Politique de confidentialité
La présente politique de confidentialité décrit la manière dont LVL IA, en sa qualité de responsable de traitement, collecte, utilise, partage et protège les données à caractère personnel des utilisateurs du service VTC Connect Pro, conformément au Règlement (UE) 2016/679 (ci-après « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés).
1. Responsable du traitement
Le responsable du traitement est LVL IA, SASU (Société par actions simplifiée unipersonnelle), 15 rue de Lebisey, 14000 Caen, France, immatriculée sous le SIREN 991 803 594.
Pour toute question ou demande relative à vos données personnelles, vous pouvez nous écrire à support@vtcconnectpro.net.
1 bis. Notre double rôle RGPD
Selon le traitement considéré, LVL IA agit dans deux qualités distinctes :
- Responsable de traitement pour les données des chauffeurs abonnés au Service (compte, abonnement, facturation, logs de sécurité). La présente politique régit ces traitements.
- Sous-traitant, au sens de l'article 28 du RGPD, des données personnelles des clients finaux qui transitent par le Service à la demande du chauffeur (notamment via la page publique de réservation
/reserver/{slug}et le carnet d'adresses client). Le chauffeur reste responsable du traitement de ces données ; les conditions de notre sous-traitance sont définies dans l'Annexe DPA des CGU.
En conséquence, si vous êtes un client final ayant utilisé une page de réservation publique pour solliciter une course auprès d'un chauffeur, c'est ce chauffeur qui est responsable de vos données — vous devez exercer vos droits auprès de lui en premier lieu. LVL IA relaiera votre demande si elle nous est adressée directement.
1 ter. Données des clients finaux — réservations publiques
Lorsqu'un client final remplit le formulaire de la page /reserver/{slug-du-chauffeur}, les données saisies (nom, téléphone, email facultatif, adresses de départ et d'arrivée, date / heure, message libre) sont transmises au chauffeur destinataire et stockées chez Supabase Inc. en Région eu-west-3 (Paris, France). Ces données ne sont jamais utilisées par LVL IA à ses propres fins commerciales ou marketing.
Aucune somme n'est encaissée par LVL IA au titre des courses : le paiement est réglé directement entre le client et le chauffeur. À ce titre, LVL IA n'a pas qualité d'« opérateur de plateforme » au sens de la directive DAC7 (art. 1649 ter A du CGI).
2. Données collectées
Nous collectons les catégories de données suivantes :
- Données d'identification : nom, prénom, email, mot de passe (chiffré), photo de profil (optionnelle).
- Données professionnelles : SIRET, statut juridique, adresse, IBAN (optionnel pour facturation), informations sur le véhicule.
- Données d'activité : courses importées, factures émises, dépenses, clients, réservations, documents téléversés.
- Données techniques : adresse IP, type de navigateur, journaux de connexion, cookies (cf. ci-dessous).
- Données de paiement : numéro de client Stripe, historique des facturations. Le numéro de carte bancaire n'est jamais stocké sur nos serveurs ; il est traité directement par Stripe.
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Gestion du compte utilisateur et fourniture du Service | Exécution du contrat (art. 6.1.b RGPD) |
| Facturation et gestion des paiements | Exécution du contrat / obligation légale (comptable) |
| Sécurité, prévention de la fraude | Intérêt légitime (art. 6.1.f RGPD) |
| Mesure d'audience et amélioration du Service | Intérêt légitime ou consentement |
| Communications commerciales (newsletter) | Consentement (art. 6.1.a RGPD), avec opt-out |
| Respect d'obligations légales (fiscales, comptables) | Obligation légale (art. 6.1.c RGPD) |
3 bis. Catégories sensibles — ce que nous ne collectons pas
Le Service ne collecte ni ne traite de catégories particulières de données au sens de l'article 9 du RGPD (santé, opinions, religion, orientation sexuelle, données génétiques ou biométriques). Le Service n'est pas destiné aux mineurs ; nous ne collectons pas sciemment de données de personnes âgées de moins de 16 ans.
4. Destinataires et sous-traitants
Les données sont accessibles uniquement aux personnes habilitées de LVL IA. Nous faisons appel aux sous-traitants suivants, sélectionnés pour leurs garanties RGPD :
- Hébergement applicatif : Netlify, Inc. ( 512 2nd Street, Suite 200, San Francisco, CA 94107, États-Unis) — clauses contractuelles types.
- Base de données : Supabase Inc. ( Région eu-west-3 (Paris, France)) — données stockées en Union européenne.
- Authentification : Clerk, Inc. (660 King Street #345, San Francisco, CA 94107, États-Unis).
- Paiement : Stripe Payments Europe, Ltd. (The One Building, 1 Grand Canal Street Lower, Dublin 2, Irlande).
- Email transactionnel : Resend, Inc. (États-Unis, clauses contractuelles types).
- Géolocalisation et calcul d'itinéraire : Google Ireland Ltd. (Irlande).
Lorsque le sous-traitant est situé hors de l'Union européenne, les transferts sont encadrés par les Clauses contractuelles types adoptées par la Commission européenne ou par d'autres garanties appropriées (Data Privacy Framework le cas échéant).
5. Durées de conservation
- Compte actif : tant que le compte est ouvert.
- Compte clôturé : suppression sous 30 jours, sauf obligations légales (cf. ci-dessous).
- Données comptables (factures, livre des recettes) : 10 ans à compter de la clôture de l'exercice (art. L123-22 Code de commerce).
- Logs de sécurité : 12 mois.
- Cookies : 13 mois maximum.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données :
- Droit d'accès : obtenir une copie de vos données.
- Droit de rectification : corriger des données inexactes.
- Droit à l'effacement (« droit à l'oubli »).
- Droit à la limitation du traitement.
- Droit à la portabilité : recevoir vos données dans un format structuré.
- Droit d'opposition au traitement.
- Droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur celui-ci.
- Droit de définir des directives relatives au sort de vos données après votre décès.
Pour exercer ces droits, écrivez à support@vtcconnectpro.net. Une réponse vous sera apportée sous un délai d'un mois.
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous avez le droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
7. Sécurité
LVL IA met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données :
- Chiffrement des communications (TLS 1.2+ / HTTPS).
- Chiffrement des mots de passe (bcrypt via Clerk).
- Sauvegardes quotidiennes de la base de données (Supabase, EU).
- Contrôles d'accès stricts par rôle et journalisation des accès administrateurs.
8. Cookies
Le détail des cookies utilisés (strictement nécessaires, mesure d'audience, etc.) est décrit dans notre politique cookies.
8 bis. Violations de données
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, LVL IA s'engage à notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance (art. 33 RGPD) et, lorsque le risque est élevé, à vous en informer dans les meilleurs délais (art. 34 RGPD).
9. Modifications de la politique
La présente politique peut être amenée à évoluer. Toute modification substantielle sera notifiée par email aux utilisateurs concernés.
10. Contact
Pour toute question relative à la protection de vos données : support@vtcconnectpro.net.