Politique de confidentialité & RGPD
Dernière mise à jour : 17 avril 2026
1. Responsable du traitement
byArno SAS
60 rue François 1er, 75008 Paris, France
contact@vtcos.upradar.cloud
2. Données collectées
| Donnée | Finalité | Conservation |
|---|---|---|
| Email, nom, mot de passe (magic link) | Authentification, support, facturation | Durée du compte + 3 ans |
| Raison sociale, SIRET, adresse, n° TVA | Émission et pied de page des factures | 10 ans (obligation fiscale) |
| Carte professionnelle VTC | Pied de facture, conformité | Durée du compte + 3 ans |
| Fiches chauffeurs (permis, carte VTC, formations) | Conformité réglementaire, alertes d'expiration | Durée d'activité du chauffeur + 5 ans |
| Fiches clients (coordonnées, historique) | CRM, facturation, relances | Durée du compte + 5 ans |
| Factures, devis, avoirs | Traçabilité comptable | 10 ans (obligation fiscale) |
| Journal des courses (registre légal) | Conformité ARDAN / DGITM | 5 ans minimum |
| Estimations tarifaires (origine, destination, prix) | Historique d'usage, facturation des crédits | 12 mois glissants |
| Données de réservation (client, trajet) | Gestion des courses | 3 ans après la course |
| Logs d'accès (IP, user-agent) | Sécurité, détection d'abus | 30 jours |
| Coordonnées bancaires | Traitées exclusivement par Stripe — jamais stockées chez vtcOS | N/A |
3. Hébergement & transferts
Toutes les données sont hébergées sur les serveurs OVHcloud en France (Roubaix / Gravelines), au sein de l'Union Européenne. Aucune donnée personnelle n'est transférée hors UE, hors des exceptions listées ci-dessous.
Sous-traitants (articles 28 RGPD) :
- Stripe, Inc. (Irlande / États-Unis) — paiements par carte bancaire. Clauses contractuelles types, certifié PCI-DSS niveau 1.
- Google Maps Platform (Irlande) — itinéraires, autocomplétion, géocodage. Les adresses saisies transitent vers Google selon leurs conditions.
- UniSend (Union Européenne) — envoi d'emails et SMS transactionnels.
- OVH Object Storage (France) — pièces jointes (photos, documents).
4. Cookies
vtcOS utilise uniquement des cookies techniques nécessaires au fonctionnement du service :
| Cookie | Type | Finalité | Durée |
|---|---|---|---|
| session | Technique | Jeton d'authentification | 30 jours |
| Cookies Stripe | Technique | Sécurisation des paiements (anti-fraude) | Session |
Les cookies techniques étant strictement nécessaires au service, ils ne requièrent pas de consentement préalable (article 82 de la loi Informatique et Libertés).
5. Vos données clients finaux (widget)
Lorsqu'un client final utilise votre widget pour obtenir un devis ou réserver, vous agissez en tant que responsable de traitement des données de ce client. vtcOS est sous-traitant (article 28 RGPD) : les données (email, téléphone, adresse, trajet, prix) ne sont utilisées que pour exécuter votre prestation et ne sont jamais partagées avec des tiers commerciaux.
Vous êtes responsable d'informer vos clients finaux de cette collecte via votre propre politique de confidentialité.
6. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679), vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de toutes vos données personnelles.
- Droit de rectification : corriger des données inexactes ou incomplètes.
- Droit à l'effacement : demander la suppression de votre compte et de vos données (hors obligations légales de conservation).
- Droit à la portabilité : recevoir vos données dans un format structuré (JSON / CSV).
- Droit d'opposition : vous opposer à un traitement basé sur l'intérêt légitime.
- Droit de limitation : demander la suspension d'un traitement.
Pour exercer vos droits, contactez-nous à rgpd@vtcos.upradar.cloud. Nous répondons sous 30 jours. Si vos droits ne sont pas respectés, vous pouvez saisir la CNIL.
7. Sécurité
- Chiffrement des communications en transit (TLS 1.3).
- Authentification sans mot de passe (magic link) — réduit le risque de compromission.
- Permissions granulaires par rôle (OWNER, ADMIN, DRIVER, READONLY).
- Sauvegardes quotidiennes des bases de données.
- Hébergement certifié ISO 27001 (OVHcloud).
- Données de paiement jamais stockées chez vtcOS (délégation à Stripe PCI-DSS L1).
8. Modifications
Cette politique peut être mise à jour. En cas de modification substantielle, les utilisateurs sont informés par email au moins 15 jours avant l'entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.