# Politique de confidentialité **Version** : 1.0 **Date d'effet** : [DATE] **Dernière mise à jour** : [DATE] Conforme au **Règlement Général sur la Protection des Données (RGPD)** (UE 2016/679). --- ## 1. Responsable de traitement **RoadWave** [ADRESSE SIÈGE SOCIAL] SIRET : [SIRET] Email : dpo@roadwave.fr **Délégué à la Protection des Données (DPO)** : [NOM DPO] Email : dpo@roadwave.fr --- ## 2. Données collectées ### 2.1 Données d'identification | Donnée | Obligatoire | Finalité | Base légale | |--------|-------------|----------|-------------| | **Email** | Oui | Connexion, récupération compte | Exécution du contrat | | **Mot de passe** | Oui | Authentification sécurisée | Exécution du contrat | | **Pseudo** | Oui | Identification publique créateur | Exécution du contrat | | **Date de naissance** | Oui | Vérification âge minimum (13 ans) | Obligation légale | ### 2.2 Données de géolocalisation | Donnée | Obligatoire | Finalité | Base légale | |--------|-------------|----------|-------------| | **Position GPS précise** | Non | Diffusion contenu géolocalisé | **Consentement explicite** | | **Geohash 5 (~5km²)** | Auto | Recommandations après 24h | Intérêt légitime | **Durée conservation GPS précis** : - Historique personnel : **24h** puis agrégé en geohash 5 - Geohash : **conservé** pour analytics (anonymisé) **Révocation consentement** : - Désactivation GPS dans paramètres → effet immédiat - Mode dégradé : contenus nationaux + neutres uniquement ### 2.3 Données d'utilisation | Donnée | Finalité | Base légale | |--------|----------|-------------| | **Historique d'écoute** | Recommandations personnalisées | Intérêt légitime | | **Centres d'intérêt (jauges)** | Algorithme de recommandation | Consentement | | **Interactions** (likes, abonnements, skips) | Amélioration UX, analytics | Intérêt légitime | | **Logs techniques** (IP, user-agent) | Sécurité, anti-fraude | Intérêt légitime | **IP anonymisée** : - Dernier octet masqué (ex: 192.168.1.XXX) - Conservation : 7 jours (sécurité) puis suppression ### 2.4 Données créateurs (monétisation) | Donnée | Finalité | Base légale | |--------|----------|-------------| | **SIRET, numéro TVA** | KYC Mangopay, fiscalité | Obligation légale | | **RIB professionnel** | Virements revenus | Exécution du contrat | | **Pièce d'identité** | Vérification identité (KYC) | Obligation légale | | **Kbis <3 mois** | Vérification entreprise | Obligation légale | **Traitement KYC** : délégué à **Mangopay** (sous-traitant RGPD). ### 2.5 Données analytics - **Matomo self-hosted** (pas Google Analytics) - IP anonymisées - **0 cookie tiers** - Données agrégées (pas de tracking individuel hors RoadWave) --- ## 3. Finalités et bases légales | Finalité | Base légale RGPD | Opt-out possible | |----------|------------------|------------------| | **Création et gestion compte** | Exécution du contrat | Non (essentiel) | | **Diffusion contenu géolocalisé** | Consentement (GPS) | Oui (désactiver GPS) | | **Recommandations personnalisées** | Intérêt légitime | Oui (mode anonyme) | | **Modération contenus** | Obligation légale (DSA) | Non | | **Analytics plateforme** | Intérêt légitime | Oui (opposition) | | **Publicité ciblée géo** | Consentement | Oui (désactiver dans paramètres) | | **Paiements créateurs** | Exécution du contrat | Non (si monétisation) | --- ## 4. Partage des données ### 4.1 Sous-traitants RGPD | Sous-traitant | Finalité | Localisation données | DPA signé | |---------------|----------|----------------------|-----------| | **Mangopay** | Paiements, KYC créateurs | UE (Luxembourg) | Oui | | **OVH** | Hébergement audio, stockage fichiers | France | Oui | | **Hetzner** | Hébergement serveurs backend | UE (Allemagne) | Oui | **DPA** = Data Processing Agreement (accord de sous-traitance RGPD). ### 4.2 Données publiques | Donnée | Visibilité | Modification | |--------|------------|--------------| | **Pseudo créateur** | Publique | Modifiable | | **Bio créateur** | Publique | Modifiable | | **Stats créateur** (abonnés, écoutes) | Publique (arrondies) | Non modifiable | | **Badge vérifié** | Publique | Non modifiable | ### 4.3 Aucune revente RoadWave **ne vend jamais** vos données à des tiers. ### 4.4 Autorités Données transmises uniquement si : - **Obligation légale** (réquisition judiciaire) - **Signalement contenu illégal** (terrorisme, pédopornographie) → autorités compétentes --- ## 5. Durées de conservation | Donnée | Durée | Justification | |--------|-------|---------------| | **Compte actif** | Tant que compte existe | Exécution contrat | | **Compte supprimé** | Grace period **30 jours** puis suppression | Récupération possible | | **GPS précis** | **24h** puis agrégé geohash 5 | RGPD minimisation | | **Historique écoute** | Tant que compte existe | Recommandations | | **Logs modération** | **3 ans** (DSA) | Obligation légale | | **Logs techniques (IP)** | **7 jours** puis suppression | Sécurité | | **KYC créateurs** | 5 ans après fin relation (obligation fiscale) | Obligation légale | | **Contenus supprimés** | Anonymisés immédiatement, analytics conservés | Analytics plateforme | --- ## 6. Droits des utilisateurs (RGPD) ### 6.1 Droit d'accès - **Consulter** toutes ses données personnelles - Interface dédiée : "Mes données" dans paramètres - Export automatique (voir 6.4) ### 6.2 Droit de rectification - **Modifier** : pseudo, bio, email, centres d'intérêt - Demande via : dpo@roadwave.fr - Délai : **1 mois** (RGPD) ### 6.3 Droit à l'effacement ("droit à l'oubli") - **Suppression compte** : paramètres → "Supprimer mon compte" - Grace period : **30 jours** (récupération possible) - Après 30 jours : suppression définitive **Exceptions** (conservation nécessaire) : - Logs modération : 3 ans (obligation DSA) - KYC créateurs : 5 ans (obligation fiscale) - Analytics agrégés (anonymisés) ### 6.4 Droit à la portabilité - **Export données** : JSON + HTML + audio - Générateur asynchrone (délai **48h** si volume important) - Lien téléchargement expire après **7 jours** **Contenu export** : - Profil (pseudo, bio, stats) - Historique écoute complet - Centres d'intérêt (jauges) - Contenus publiés (métadonnées + fichiers audio) - Abonnements, likes ### 6.5 Droit d'opposition - **Profilage publicitaire** : désactivation dans paramètres - **Analytics** : désactivation tracking Matomo - **Emails marketing** : désinscription lien footer email ### 6.6 Droit de limitation - **Suspension traitement** pendant contestation exactitude données - Demande via : dpo@roadwave.fr ### 6.7 Réclamation CNIL Si désaccord avec RoadWave : - **CNIL** (Commission Nationale de l'Informatique et des Libertés) - Site : https://www.cnil.fr/fr/plaintes - Adresse : 3 Place de Fontenoy, 75007 Paris --- ## 7. Sécurité des données ### 7.1 Mesures techniques - **Chiffrement** : HTTPS (TLS 1.3) pour toutes communications - **Stockage** : bases de données chiffrées au repos (AES-256) - **Mots de passe** : hashage bcrypt (salt + iterations) - **Backups** : quotidiens, chiffrés, stockés UE ### 7.2 Mesures organisationnelles - Accès données restreint (équipe RoadWave uniquement) - Authentification 2FA pour admins - Logs d'accès (audit trail) ### 7.3 Violation de données En cas de fuite de données : - Notification CNIL sous **72h** - Notification utilisateurs concernés (email) si risque élevé - Mesures correctives immédiates --- ## 8. Cookies ### 8.1 Cookies essentiels (pas de consentement requis) | Cookie | Finalité | Durée | |--------|----------|-------| | `session_token` | Authentification utilisateur | 30 jours | | `refresh_token` | Renouvellement session | 30 jours | ### 8.2 Cookies analytics (consentement requis) - **Matomo** : analytics self-hosted - Bannière **Tarteaucitron.js** au premier lancement - Refus = aucun cookie analytics ### 8.3 Aucun cookie tiers - Pas de Google Analytics - Pas de Facebook Pixel - Pas de trackers publicitaires tiers --- ## 9. Mineurs ### 9.1 Âge minimum - **13 ans minimum** (RGPD) - Vérification : date de naissance à l'inscription ### 9.2 Mineurs 13-15 ans - **Autorisation parentale requise** - Email parent vérifié - Parent peut demander suppression compte mineur ### 9.3 Mode Kids - Activation automatique si <13 ans (détecté via date naissance) - Contenus filtrés : uniquement "Tout public" + tranches d'âge adaptées - Pas de publicités ciblées (conformité COPPA US si expansion) --- ## 10. Transferts hors UE ### 10.1 Principe Données hébergées **exclusivement UE** : - Serveurs : Hetzner (Allemagne) ou OVH (France) - Storage : OVH Object Storage (France) - Paiements : Mangopay (Luxembourg) ### 10.2 Exceptions **API tierces potentielles** (post-MVP) : - Si transfert hors UE → clauses contractuelles types (CCT) - Notification utilisateurs avant activation --- ## 11. Modifications de la politique - Notification **14 jours avant** entrée en vigueur (email) - Version datée disponible : roadwave.fr/confidentialite - Changements majeurs → nouveau consentement requis --- ## 12. Contact DPO **Délégué à la Protection des Données** : - Email : dpo@roadwave.fr - Délai réponse : **1 mois** (RGPD) **Pour toute question RGPD** : 1. Email dpo@roadwave.fr 2. Objet : "[RGPD] Votre demande" 3. Joindre : justificatif identité (si accès/suppression données)