Politique de confidentialité
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via le site iocar.online et l'application app.iocar.online est :
OWL'S INDUSTRY
[adresse complète]
Email : contact@iocar.online
2. Données collectées
2.1 Données de compte (obligatoires)
- Adresse email (identifiant de connexion)
- Mot de passe (stocké de manière hashée, irréversible)
- Nom et coordonnées de la concession (raison sociale, adresse, SIRET, téléphone)
2.2 Données métier saisies par le Client
- Fiches véhicules (plaques, VIN, caractéristiques techniques, prix)
- Fiches clients (nom, coordonnées, historique d'achat)
- Factures, bons de commande, avoirs
- Livre de police (entrées et sorties de véhicules)
- Documents rattachés (CT, factures d'entretien…)
Ces données sont collectées et traitées par le Client en qualité de responsable de traitement pour ses propres clients finaux. OWL'S INDUSTRY intervient en tant que sous-traitant au sens du RGPD.
2.3 Données techniques (collecte automatique)
- Adresse IP de connexion (conservée 12 mois à des fins de sécurité)
- Logs de connexion (date, heure, navigateur)
- Quota d'utilisation de l'API plaque (pour facturation à l'usage)
3. Finalités du traitement
| Finalité | Base légale | Durée de conservation |
|---|---|---|
| Fourniture du Service | Exécution du contrat | Durée de l'abonnement + 30 jours |
| Facturation et comptabilité | Obligation légale | 10 ans (art. L123-22 C. commerce) |
| Support client | Intérêt légitime | 3 ans après dernière interaction |
| Sécurité (logs, IP) | Intérêt légitime | 12 mois |
| Prospection commerciale (si consentement) | Consentement | 3 ans ou jusqu'à opposition |
4. Destinataires des données
4.1 Interne
Seuls les membres habilités de OWL'S INDUSTRY (support, développement, administration) peuvent accéder aux données, strictement dans la mesure nécessaire à leurs missions, sous obligation de confidentialité.
4.2 Sous-traitants techniques
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Supabase, Inc. (AWS) | Hébergement base de données applicative | UE (Francfort, DE) |
| Vercel, Inc. | Hébergement du site vitrine et de l'interface | États-Unis (clauses contractuelles types) |
| Stripe, Inc. | Traitement des paiements | UE + États-Unis (clauses contractuelles types) |
| API plaque (RapidAPI) | Identification véhicules par plaque | UE / États-Unis selon fournisseur |
Chacun de ces sous-traitants a signé un contrat conforme à l'article 28 du RGPD et présente des garanties suffisantes.
4.3 Aucune revente ni partage commercial
5. Transferts hors UE
Les données métier (véhicules, clients, factures…) sont exclusivement hébergées en Europe (Francfort).
Le site vitrine et l'interface utilisent Vercel (États-Unis), dans le cadre de clauses contractuelles types (SCC) approuvées par la Commission européenne. Seules des données techniques (IP, headers) transitent par ces serveurs.
Stripe traite les paiements dans un cadre contractuel conforme au RGPD, avec adhésion aux clauses contractuelles types et certifications de sécurité (PCI DSS).
6. Sécurité des données
Mesures techniques et organisationnelles en place :
- Chiffrement en transit : TLS 1.3 sur toutes les connexions
- Chiffrement au repos : AES-256 sur la base de données
- Authentification : JWT avec rotation, mots de passe hashés (bcrypt)
- Sauvegardes : automatiques chaque nuit, conservées 30 jours, restaurables
- Accès internes : principe du moindre privilège, logs d'accès
- Monitoring : détection des accès anormaux, alertes automatiques
7. Vos droits (RGPD)
Conformément au Règlement (UE) 2016/679, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir copie de vos données
- Droit de rectification : corriger des informations inexactes
- Droit à l'effacement (« droit à l'oubli »)
- Droit à la limitation du traitement
- Droit à la portabilité : récupérer vos données dans un format structuré (CSV, JSON)
- Droit d'opposition à certains traitements
- Droit de retirer votre consentement à tout moment
- Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr/fr/plaintes)
Comment exercer vos droits : envoyez-nous un email à contact@iocar.online en précisant votre demande. Nous répondrons dans un délai maximum de 30 jours. Pour les demandes d'accès ou de portabilité, vous pouvez également utiliser directement les fonctions d'export de votre espace.
8. Cookies
Le site vitrine iocar.online n'utilise aucun cookie de traçage, analytics, ni publicitaire.
L'application app.iocar.online utilise uniquement des cookies techniques strictement nécessaires :
- Cookie de session (authentification, expire à la déconnexion)
- Stockage local du navigateur pour cache et préférences utilisateur
Ces cookies techniques sont exemptés de consentement préalable (article 82 de la loi Informatique et Libertés).
9. Mineurs
Le Service étant destiné à un usage professionnel exclusif, il n'est pas prévu pour être utilisé par des mineurs de moins de 18 ans. Aucune donnée de mineur n'est volontairement collectée.
10. Modifications
La présente politique peut être mise à jour pour refléter les évolutions du Service ou de la réglementation. Toute modification substantielle sera notifiée aux utilisateurs par email. La version en vigueur est toujours celle publiée sur cette page avec sa date de mise à jour.
11. Délégué à la Protection des Données (DPO)
Pour toute question relative au traitement de vos données personnelles, vous pouvez contacter notre référent :
Contact DPO
Email : contact@iocar.online (objet : « RGPD »)
⚠️ La désignation d'un DPO formel n'est obligatoire que dans certains cas (organisme public, traitement à grande échelle de données sensibles, etc.). Pour un petit éditeur SaaS, un « référent RGPD » suffit généralement, mais cela doit être confirmé selon votre structure.