01 Responsable du traitement
La présente politique s'applique à l'application mobile Comoov, service de covoiturage communautaire.
- Responsable : Gestin Marketing
- Email RGPD : contact@comoov.app
- Hébergement des données : Supabase — Union Européenne (EU-West-1)
02 Données personnelles collectées
Données fournies par l'utilisateur
- Nom, prénom
- Adresse email
- Numéro de téléphone (optionnel, requis pour la vérification OTP)
- Date de naissance
- Adresse du domicile (optionnelle)
- Photo de profil (optionnelle)
- Informations sur le véhicule (type, émissions CO₂)
Données collectées automatiquement
- Position GPS lors de la création ou recherche d'un trajet
- Token de notification push (FCM) pour l'envoi de notifications
- Données de navigation via Firebase Analytics (agrégées et anonymisées)
- Adresse IP et informations techniques lors des connexions
Données relatives aux paiements
Les paiements sont traités par Stripe. Comoov ne stocke aucune donnée bancaire (numéro de carte, IBAN, etc.). Seul un identifiant de session Stripe est conservé pour le suivi des abonnements.
03 Finalités du traitement
- Création et gestion du compte utilisateur
- Mise en relation entre conducteurs et passagers pour le covoiturage
- Gestion des communautés (entreprises, écoles, clubs, associations)
- Envoi de notifications push et SMS liés aux trajets et à la sécurité
- Traitement des abonnements et paiements
- Amélioration de l'application (analytics agrégés)
- Prévention des abus, modération et sécurité de la plateforme
- Respect des obligations légales
04 Base légale des traitements
| Traitement | Base légale (RGPD) |
|---|---|
| Création de compte, gestion des trajets | Exécution du contrat (art. 6.1.b) |
| Notifications push, SMS, GPS | Consentement (art. 6.1.a) |
| Sécurité, prévention des fraudes | Intérêt légitime (art. 6.1.f) |
| Conservation données de paiement | Obligation légale (art. 6.1.c) |
05 Protection des mineurs
Comoov est accessible aux mineurs dans le cadre de communautés scolaires ou familiales, sous réserve du consentement préalable d'un représentant légal.
L'inscription d'un mineur déclenche un processus de validation parentale. Aucune donnée de mineur n'est utilisée à des fins publicitaires ou commerciales.
06 Partage des données
Au sein de la plateforme
Certaines informations (prénom, photo de profil, véhicule) sont visibles des autres membres des communautés auxquelles vous appartenez. L'adresse exacte du domicile n'est jamais partagée publiquement.
Sous-traitants techniques
| Prestataire | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données, authentification | Union Européenne |
| Firebase / Google | Notifications push, analytics | États-Unis (CCT) |
| Stripe | Paiements | États-Unis (PCI-DSS) |
| Twilio | SMS OTP | États-Unis (CCT) |
| OVH | Hébergement site web | France |
07 Durée de conservation
- Compte actif : données conservées pendant toute la durée du compte
- Après suppression : anonymisation sous 30 jours, logs supprimés sous 12 mois
- Données de paiement : 5 ans (obligation légale comptable)
- Trajets archivés : 6 mois (statistiques anonymisées)
- Codes OTP : expiration automatique après 10 minutes
08 Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
- Droit d'accès à vos données personnelles
- Droit de rectification des données inexactes
- Droit à l'effacement (« droit à l'oubli »)
- Droit à la limitation du traitement
- Droit à la portabilité de vos données
- Droit d'opposition au traitement
- Droit de retirer votre consentement à tout moment
Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr
09 Sécurité des données
- Chiffrement des données en transit (HTTPS / TLS)
- Chiffrement des données au repos (AES-256)
- Authentification multi-facteurs (MFA) sur les accès administrateurs
- Politiques de sécurité au niveau des lignes (RLS) sur l'ensemble des tables
- Secrets techniques stockés dans un coffre-fort chiffré (Supabase Vault)
- Build de l'application obfusqué
10 Cookies et traceurs
L'application mobile Comoov n'utilise pas de cookies.
Le site web comoov.app peut utiliser des cookies techniques strictement nécessaires à son fonctionnement. Firebase Analytics mesure l'audience de manière agrégée et anonymisée. Vous pouvez désactiver la collecte analytics dans les paramètres de l'application.
11 Transferts hors Union Européenne
Certains sous-traitants (Firebase, Stripe, Twilio) sont établis aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) approuvées par la Commission Européenne, conformément à l'article 46 du RGPD.
12 Modifications
Comoov se réserve le droit de modifier la présente politique. En cas de modification substantielle, vous serez informé par notification dans l'application ou par email au moins 15 jours avant l'entrée en vigueur des nouvelles dispositions.
La version en vigueur est toujours accessible depuis l'application et sur ce site.
13 Contact
- Email : contact@comoov.app
- DPO : Gestin Marketing
- Site : comoov.app