Politique de confidentialité
Conforme RGPD (Règlement UE 2016/679) — dernière mise à jour : 6 mai 2026
1. Responsable du traitement
Vernish Services — Malek Baroudi, entrepreneur individuel (EI) — éditeur de Conduiteo (ci-après « la Plateforme ») — DPO joignable à dpo@conduiteo.fr.
2. Données collectées
Tous comptes
- Email, mot de passe (hashé), nom complet, photo (optionnel)
- Adresse IP, user-agent (logs sécurité, 90j)
- Cookies fonctionnels (session, préférences)
Élève
- Date de naissance, NEPH, code postal, position approximative
- Historique des cours, paiements, avis donnés
- Progression REMC (compétences validées par les moniteurs)
Moniteur / Inspecteur / Agence
- Documents KYC (BEPECASER, autorisation préfectorale, casier B2, etc.)
- SIRET, IBAN (via Stripe Connect — pas stocké chez nous)
- Photos voitures, plaques d'immatriculation
3. Finalités
- Création et gestion du compte utilisateur
- Mise en relation moniteurs/élèves/inspecteurs
- Traitement des paiements via Stripe
- Vérification professionnelle (KYC)
- Notifications transactionnelles (rappels cours, paiements)
- Statistiques anonymisées d'utilisation
4. Base légale
- Exécution du contrat — données nécessaires aux services
- Obligation légale — facturation, KYC anti-blanchiment, conservation comptable 10 ans
- Intérêt légitime — sécurité, prévention de la fraude
- Consentement — cookies analytiques, communications marketing (opt-in seulement)
5. Durée de conservation
- Compte actif : tant que le compte existe
- Compte supprimé : anonymisation immédiate, suppression complète après 30 jours sauf obligations légales
- Bookings + paiements : 10 ans (obligation comptable)
- Logs sécurité : 90 jours
6. Tes droits RGPD
Tu peux à tout moment depuis Mon compte :
- Accès et portabilité — exporter toutes tes données (Article 15 + 20)
- Rectification — modifier tes infos via ton profil (Article 16)
- Effacement — supprimer ton compte (Article 17)
- Limitation et opposition — désactiver compte temporairement (Article 18 + 21)
Tu peux aussi déposer une réclamation auprès de la CNIL (cnil.fr/plaintes).
7. Sous-traitants
| Sous-traitant | Localisation | Finalité |
|---|---|---|
| Supabase (DB) | UE (Frankfurt) | Stockage données + auth |
| Fly.io (hébergement) | France (CDG) | Serveurs application |
| Stripe Payments | UE (Dublin) | Paiements + KYC financier |
| Inngest (jobs) | USA | Cron + webhooks (data minimisée) |
| Resend (email) | UE | Emails transactionnels |
8. Cookies
Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement (session, préférences). Aucun cookie de tracking publicitaire. Aucun consentement explicite n'est requis pour ces cookies fonctionnels (cf. CNIL).
9. Sécurité
- Chiffrement TLS 1.3 sur toutes les connexions
- Mots de passe hashés (bcrypt via Supabase)
- Row-Level Security Postgres : chaque utilisateur ne voit que ses propres données
- Logs d'audit (BookingEvent append-only)
- Sauvegardes quotidiennes chiffrées