Politique de confidentialité

Le responsable du traitement des données à caractère personnel est Monsieur Stéphane Bitoun, entrepreneur individuel exerçant sous le nom commercial DriveFlow et l'enseigne ConvoyMax.

• Adresse : 2 rue de la Chaussée Ferrée, 14000 Caen, France
• RCS Caen 451 644 975
• Contact dédié à la protection des données : formulaire disponible sur la page de contact, en précisant en objet la mention RGPD

La désignation d'un délégué à la protection des données n'est pas obligatoire pour le responsable de traitement, l'activité ne relevant pas des cas prévus à l'article 37 du RGPD. Le responsable assume directement les missions correspondantes et répond aux sollicitations des personnes concernées.

Dans le cadre de la fourniture des services, les catégories de données suivantes peuvent être collectées, traitées et stockées :

• Données d'identification : nom, prénom, adresse électronique, mot de passe chiffré
• Données professionnelles : adresse professionnelle ou de départ, zone d'activité déclarée, coordonnées géographiques approximatives lorsque vous les fournissez, préférences de transport
• Données de facturation : historique des abonnements, factures, identifiants client Stripe, aucune donnée de carte bancaire complète n'est stockée par le Vendeur
• Données d'usage : journaux de connexion, actions effectuées dans l'application, missions consultées, matches acceptés ou refusés, à des fins statistiques et de support
• Données techniques : adresse IP, navigateur, système d'exploitation, identifiants de session, identifiants de notification push, à des fins de sécurité et d'amélioration du service
• Contenus soumis par l'utilisateur : textes de notifications plateformes collés dans l'application à des fins d'extraction automatisée, traités via une API d'intelligence artificielle tierce décrite ci-après

Les traitements sont mis en œuvre pour les finalités suivantes, chacune reposant sur une base légale prévue à l'article 6 du RGPD :

• Création et gestion du compte utilisateur. Base légale : exécution du contrat souscrit par l'utilisateur
• Fourniture des fonctionnalités d'agrégation, de matching et de trésorerie prévisionnelle. Base légale : exécution du contrat
• Encaissement des abonnements et des packs. Base légale : exécution du contrat et obligations légales comptables
• Envoi des notifications liées au service, transactionnelles ou de sécurité. Base légale : exécution du contrat
• Envoi d'informations commerciales sur les évolutions du service. Base légale : consentement préalable de l'utilisateur, librement révocable à tout moment
• Amélioration du service et analyse statistique anonymisée. Base légale : intérêt légitime du responsable du traitement à améliorer la qualité de ses services
• Prévention de la fraude et sécurité des systèmes. Base légale : intérêt légitime du responsable à sécuriser la plateforme
• Respect des obligations légales, notamment fiscales et comptables. Base légale : obligation légale

Les données collectées sont destinées aux personnels habilités du Vendeur et peuvent être transmises aux sous-traitants ci-dessous, exclusivement pour les finalités décrites dans la présente politique et dans le cadre d'instructions documentées :

• Stripe Payments Europe, Limited (République d'Irlande), pour le traitement des paiements par carte bancaire. Les données transmises sont strictement nécessaires à la transaction. Aucune donnée de carte complète n'est stockée par le Vendeur
• Resend, Inc. (États-Unis), pour l'envoi des emails transactionnels et de notification. Les données transmises se limitent à l'adresse email du destinataire et au contenu du message. Resend, Inc. est certifiée Data Privacy Framework
• Anthropic, PBC (États-Unis), pour l'extraction automatisée d'informations structurées à partir des textes de notification plateforme que l'utilisateur soumet. Les contenus transmis sont traités via l'API Claude, sans conservation longue durée par le sous-traitant, conformément à sa politique de confidentialité
• Railway Corp. (États-Unis), pour l'hébergement de l'application, de l'API et de la base de données PostgreSQL opérationnelle de ConvoyMax
• Google LLC (États-Unis), pour la lecture programmatique de la boîte email professionnelle ConvoyMax via l'API Gmail (OAuth 2.0), uniquement pour ingérer les notifications de missions reçues des plateformes partenaires
• Google Ireland Limited (Irlande), pour la mesure d'audience anonymisée du site convoymax.com via Google Analytics 4, déclenchée uniquement après votre consentement explicite recueilli via le bandeau cookies
• Netlify, Inc. (États-Unis), pour l'hébergement de la vitrine web

Chaque sous-traitant intervient dans le cadre d'un accord de sous-traitance conforme à l'article 28 du RGPD. La liste peut être amenée à évoluer, les utilisateurs en sont informés par la présente politique.

Certains sous-traitants mentionnés ci-dessus sont établis en dehors de l'Union Européenne, notamment aux États-Unis. Ces transferts sont encadrés par les mécanismes juridiques suivants, conformément aux articles 44 à 49 du RGPD :

• Décision d'adéquation de la Commission européenne, lorsque applicable au pays de destination
• Clauses contractuelles types adoptées par la Commission européenne le 4 juin 2021
• Mesures techniques et organisationnelles complémentaires mises en œuvre par les sous-traitants, telles que chiffrement en transit et au repos

Plusieurs sous-traitants américains, notamment Anthropic, PBC, Resend, Inc., Railway Corporation, LLC et Netlify, Inc., sont certifiés au titre du Data Privacy Framework UE-États-Unis adopté par la Commission européenne le 10 juillet 2023, qui constitue une décision d'adéquation au sens de l'article 45 du RGPD pour les organisations participantes.

Une copie des garanties applicables à un transfert donné peut être obtenue sur demande via le formulaire de contact.

Les données sont conservées pour les durées suivantes, calibrées sur le principe de minimisation et les obligations légales :

• Données de compte actif : pendant toute la durée de la relation contractuelle
• Données de compte après résiliation : archivées en base intermédiaire pour une durée maximale de trois ans à des fins de gestion commerciale et de preuve, sauf opposition exercée par l'utilisateur
• Factures et pièces comptables : dix ans à compter de la clôture de l'exercice, en application de l'article L123-22 du Code de commerce
• Journaux de connexion et logs de sécurité : au maximum un an, en application des recommandations de la CNIL
• Contenus de notifications soumis à l'API Claude pour parsing : conservés uniquement le temps strictement nécessaire au traitement technique, supprimés de la mémoire applicative à l'issue de l'extraction
• Données de prospection commerciale, si consentement donné : jusqu'à retrait du consentement et au maximum trois ans à compter du dernier contact émanant de l'utilisateur

Le Vendeur met en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, notamment :

• Chiffrement des communications par TLS
• Stockage chiffré des mots de passe au moyen d'une fonction de hachage cryptographique adaptée
• Cookies de session HttpOnly et marqués Secure en production
• Journalisation des accès et surveillance des anomalies
• Sauvegardes périodiques de la base de données
• Limitation stricte des habilitations internes

Conformément aux articles 15 à 22 et 77 du RGPD, vous disposez des droits suivants sur vos données à caractère personnel :

• Droit d'accès : obtenir la confirmation que des données vous concernant sont ou non traitées, et en obtenir une copie
• Droit de rectification : obtenir la correction de données inexactes ou incomplètes
• Droit à l'effacement : obtenir la suppression de vos données, sous réserve des obligations légales de conservation
• Droit à la limitation du traitement : demander le gel de certaines données dans les cas prévus par l'article 18 du RGPD
• Droit à la portabilité : recevoir les données que vous avez fournies dans un format structuré et couramment utilisé, ou en demander la transmission directe à un autre responsable de traitement
• Droit d'opposition : vous opposer, pour motifs légitimes, au traitement de vos données, et à tout moment et sans motif au traitement à des fins de prospection
• Droit de retirer votre consentement : lorsque le traitement repose sur votre consentement, le retirer à tout moment, sans que ce retrait affecte la licéité du traitement antérieur
• Directives relatives au sort des données après votre décès : définir des directives générales ou particulières

Pour exercer ces droits, adressez votre demande via le formulaire de contact, en précisant en objet la mention RGPD. Une preuve d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur. Le Vendeur répond dans un délai d'un mois, prorogeable de deux mois pour les demandes complexes ou nombreuses.

Si vous estimez, après avoir contacté le Vendeur, que vos droits ne sont pas respectés ou que le traitement de vos données n'est pas conforme à la réglementation, vous pouvez adresser une réclamation à la Commission nationale de l'informatique et des libertés :

• CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Téléphone : 01 53 73 22 22
• Formulaire en ligne : cnil.fr/fr/plaintes

Le site convoymax.com utilise des cookies et technologies similaires. Lors de votre première visite, un bandeau vous permet d'accepter ou de refuser le dépôt des cookies non strictement nécessaires au fonctionnement.

Cookies strictement nécessaires. Ils sont indispensables au fonctionnement du site et ne requièrent pas votre consentement. Ils incluent notamment le cookie de session cm_session, de durée maximale douze heures, permettant de maintenir l'authentification, et le cookie mémorisant votre choix en matière de cookies, conservé treize mois conformément à la recommandation de la CNIL.

Cookies de mesure d'audience. Le site peut déposer des cookies de Google Analytics 4 (Google Ireland Limited) et de Plausible Analytics, uniquement après votre consentement exprès recueilli via le bandeau cookies. Ces outils sont configurés en mode anonymisé : adresse IP tronquée, signaux publicitaires Google désactivés, pas de personnalisation publicitaire, durée de rétention limitée à quatorze mois. Aucun profil individuel n'est reconstitué. Vous pouvez retirer votre consentement à tout moment en réinitialisant vos préférences cookies.

Cookies publicitaires. Aucun cookie publicitaire n'est déposé sans votre consentement exprès.

Vous pouvez modifier à tout moment vos préférences en matière de cookies en réinitialisant votre consentement, depuis votre navigateur ou, selon les cas, via un lien dédié sur le site.

La présente politique peut être modifiée à tout moment pour refléter des évolutions réglementaires, techniques ou organisationnelles. La version en vigueur est celle publiée sur cette page, datée en haut du document. En cas de modification substantielle, les utilisateurs actifs sont informés par courrier électronique ou par une notification visible dans l'application.