Aller au contenu principal
BaseVTC

Politique de confidentialité

En vigueur au 6 mai 2026.

1. Identité du responsable de traitement

  • Nom : Ashency (nom commercial), opéré sous Xolo Go OÜ.
  • Siège social : Paju tn 1a, 50603 Tartu, Tartu Maakond, Estonie.
  • Zone d'activité : Nice, France.
  • Numéro de registre : 14717109 (Registre du commerce estonien) — TVA : EE102156920.
  • Contact RGPD : contact@ashency.fr

2. Données collectées et finalités

2.1 Création et gestion du compte

  • Données : adresse e-mail, mot de passe (haché bcrypt), prénom, nom, ville, photo de profil, pseudo, biographie.
  • Finalité : authentification, identification dans la communauté.
  • Base légale : exécution du contrat (CGU).
  • Durée : durée de vie du compte, prolongée d'1 an après sa suppression pour traiter d'éventuels litiges. Anonymisation anticipée possible sur demande RGPD Art. 17 (cf. section 6).

2.2 Vérification de la carte VTC

  • Données : photo ou PDF de la carte VTC officielle, statut de vérification, motif de refus éventuel.
  • Finalité : vérifier que l'Utilisateur est un chauffeur VTC en activité (lutte anti-fraude communautaire).
  • Base légale : intérêt légitime (intégrité de la communauté, prévention des abus).
  • Durée : durée de vie du compte. La carte VTC est supprimée immédiatement à la suppression ou à l'anonymisation du compte (principe de minimisation RGPD Art. 5.1.c).

2.3 Messagerie et chat

  • Données : messages texte, photos jointes, réactions emoji, présence (en ligne / hors ligne).
  • Finalité : permettre les échanges entre chauffeurs (canaux publics, groupes privés, messages directs).
  • Base légale : exécution du contrat (CGU).
  • Durée : durée de vie du compte. L'Utilisateur peut supprimer individuellement ses messages à tout moment depuis l'interface de chat.

2.4 Marketplace véhicules

  • Données : annonces (titre, description, photos, prix, ville, caractéristiques véhicule), historique de publication.
  • Finalité : permettre la mise en relation entre chauffeurs proposant ou recherchant un véhicule.
  • Base légale : exécution du contrat (CGU).
  • Durée : tant que l'annonce est active. Une fois désactivée, elle est conservée 1 an en archive pour le traitement des litiges post-transaction (factures, preuves d'accord).

2.5 Notifications push

  • Données : endpoint Web Push (URL Apple Push Notification Service ou Firebase Cloud Messaging), clé publique de chiffrement, user-agent du device.
  • Finalité : envoyer des notifications push (DM, mentions, décisions admin).
  • Base légale : consentement (autorisation explicite du navigateur).
  • Durée : tant que l'abonnement push est actif.

2.6 Données techniques de connexion

  • Données : adresse IP, user-agent, identifiants de session, timestamps.
  • Finalité : sécurité du service, prévention des abus, journalisation légale.
  • Base légale : intérêt légitime + obligation légale (LCEN).
  • Durée : 1 an pour les logs de connexion (LCEN), supprimés ensuite.

2.7 Modération et signalements

  • Données : signalements émis et reçus, décisions administrateur, sanctions appliquées (avertissement, retrait, suspension, ban).
  • Finalité : appliquer les CGU, lutter contre les contenus illicites (DSA Art. 14 et 16).
  • Base légale : obligation légale + intérêt légitime.
  • Durée : 3 ans à compter du signalement, pour assurer la traçabilité des décisions de modération (DSA Art. 17) et la défense en cas de contentieux.

3. Sous-traitants et destinataires

Les données sont traitées par BaseVTC et ses sous-traitants techniques :

  • Hetzner Online GmbH (Allemagne, UE) — hébergement des serveurs et de la base de données. Garanties : DPA Hetzner.
  • Infomaniak Network SA (Suisse, équivalence RGPD) — envoi des e-mails transactionnels (confirmation, réinitialisation de mot de passe, décisions de modération) via SMTP relais.
  • Apple Push Notification Service (Apple, États-Unis, DPF) — acheminement des notifications push iOS.
  • Firebase Cloud Messaging (Google LLC, États-Unis, DPF) — acheminement des notifications push Android.
  • Stripe Payments Europe Ltd (Irlande, UE) — traitement des paiements pour les abonnements Pro et les commissions marketplace. (Sous-traitant non actif en V1 — sera activé lors du lancement de la formule Pro.)

Aucune donnée n'est revendue, ni partagée à des fins marketing tiers.

4. Transferts hors Union européenne

Lorsque cela est nécessaire (notifications push iOS/Android, paiements Stripe), des données peuvent être transférées vers les États-Unis. Ces transferts sont encadrés par le Data Privacy Framework (DPF) ou des clauses contractuelles types validées par la Commission européenne.

La modération automatique des messages utilise un modèle d'IA local hébergé sur l'infrastructure d'Ashency en France : aucun message n'est transmis à un service tiers d'analyse de contenu.

5. Cookies

BaseVTC n'utilise aucun cookie de tracking publicitaireni d'outil d'analyse tiers (pas de Google Analytics, pas de Sentry, pas de Plausible). Seuls des cookies techniques essentiels sont utilisés :

  • cookie de session pour maintenir l'Utilisateur connecté (Better Auth) ;
  • cookie de préférence de thème (clair / sombre / auto) ;
  • cookie de quota d'annonces marketplace (limite anti-spam V1).

Ces cookies relèvent de la dispense de consentement prévue à l'article 82 de la Loi Informatique et Libertés.

6. Droits des Utilisateurs (RGPD Art. 15-22)

L'Utilisateur dispose des droits suivants :

  • droit d'accès aux données collectées (Art. 15) ;
  • droit de rectification (Art. 16) ;
  • droit à l'effacement (Art. 17) — pour supprimer ton compte, envoie un email à contact@ashency.fr. La suppression (anonymisation des données identifiantes) est effective sous 30 jours maximum. Une interface de suppression self-service est prévue en V2 ;
  • droit à la limitation du traitement (Art. 18) ;
  • droit à la portabilité des données (Art. 20) ;
  • droit d'opposition au traitement fondé sur l'intérêt légitime (Art. 21) ;
  • droit de retirer son consentement (notifications push, à tout moment depuis les paramètres).

Pour exercer ces droits : contact@ashency.fr. Réponse sous 30 jours maximum.

En cas de désaccord persistant, l'Utilisateur peut introduire une réclamation auprès de la CNIL : cnil.fr/plaintes.

7. Sécurité

BaseVTC met en place des mesures techniques et organisationnelles appropriées pour protéger les données :

  • chiffrement TLS 1.3 sur toutes les communications ;
  • mots de passe stockés en hashed (bcrypt) ;
  • cookies de session signés et chiffrés ;
  • cartes VTC accessibles uniquement à leur propriétaire et aux administrateurs ;
  • sauvegardes quotidiennes de la base de données + tests mensuels de restauration.

8. Modifications

BaseVTC se réserve le droit de modifier la présente Politique de confidentialité. Les modifications substantielles seront communiquées par e-mail et/ou notification dans l'application 30 jours avant leur entrée en vigueur.