9.4 KiB
9.4 KiB
Politique de confidentialité
Version : 1.0 Date d'effet : [DATE] Dernière mise à jour : [DATE]
Conforme au Règlement Général sur la Protection des Données (RGPD) (UE 2016/679).
1. Responsable de traitement
RoadWave [ADRESSE SIÈGE SOCIAL] SIRET : [SIRET] Email : dpo@roadwave.fr
Délégué à la Protection des Données (DPO) : [NOM DPO] Email : dpo@roadwave.fr
2. Données collectées
2.1 Données d'identification
| Donnée | Obligatoire | Finalité | Base légale |
|---|---|---|---|
| Oui | Connexion, récupération compte | Exécution du contrat | |
| Mot de passe | Oui | Authentification sécurisée | Exécution du contrat |
| Pseudo | Oui | Identification publique créateur | Exécution du contrat |
| Date de naissance | Oui | Vérification âge minimum (13 ans) | Obligation légale |
2.2 Données de géolocalisation
| Donnée | Obligatoire | Finalité | Base légale |
|---|---|---|---|
| Position GPS précise | Non | Diffusion contenu géolocalisé | Consentement explicite |
| Geohash 5 (~5km²) | Auto | Recommandations après 24h | Intérêt légitime |
Durée conservation GPS précis :
- Historique personnel : 24h puis agrégé en geohash 5
- Geohash : conservé pour analytics (anonymisé)
Révocation consentement :
- Désactivation GPS dans paramètres → effet immédiat
- Mode dégradé : contenus nationaux + neutres uniquement
2.3 Données d'utilisation
| Donnée | Finalité | Base légale |
|---|---|---|
| Historique d'écoute | Recommandations personnalisées | Intérêt légitime |
| Centres d'intérêt (jauges) | Algorithme de recommandation | Consentement |
| Interactions (likes, abonnements, skips) | Amélioration UX, analytics | Intérêt légitime |
| Logs techniques (IP, user-agent) | Sécurité, anti-fraude | Intérêt légitime |
IP anonymisée :
- Dernier octet masqué (ex: 192.168.1.XXX)
- Conservation : 7 jours (sécurité) puis suppression
2.4 Données créateurs (monétisation)
| Donnée | Finalité | Base légale |
|---|---|---|
| SIRET, numéro TVA | KYC Mangopay, fiscalité | Obligation légale |
| RIB professionnel | Virements revenus | Exécution du contrat |
| Pièce d'identité | Vérification identité (KYC) | Obligation légale |
| Kbis <3 mois | Vérification entreprise | Obligation légale |
Traitement KYC : délégué à Mangopay (sous-traitant RGPD).
2.5 Données analytics
- Matomo self-hosted (pas Google Analytics)
- IP anonymisées
- 0 cookie tiers
- Données agrégées (pas de tracking individuel hors RoadWave)
3. Finalités et bases légales
| Finalité | Base légale RGPD | Opt-out possible |
|---|---|---|
| Création et gestion compte | Exécution du contrat | Non (essentiel) |
| Diffusion contenu géolocalisé | Consentement (GPS) | Oui (désactiver GPS) |
| Recommandations personnalisées | Intérêt légitime | Oui (mode anonyme) |
| Modération contenus | Obligation légale (DSA) | Non |
| Analytics plateforme | Intérêt légitime | Oui (opposition) |
| Publicité ciblée géo | Consentement | Oui (désactiver dans paramètres) |
| Paiements créateurs | Exécution du contrat | Non (si monétisation) |
4. Partage des données
4.1 Sous-traitants RGPD
| Sous-traitant | Finalité | Localisation données | DPA signé |
|---|---|---|---|
| Mangopay | Paiements, KYC créateurs | UE (Luxembourg) | Oui |
| OVH | Hébergement audio, stockage fichiers | France | Oui |
| Hetzner | Hébergement serveurs backend | UE (Allemagne) | Oui |
DPA = Data Processing Agreement (accord de sous-traitance RGPD).
4.2 Données publiques
| Donnée | Visibilité | Modification |
|---|---|---|
| Pseudo créateur | Publique | Modifiable |
| Bio créateur | Publique | Modifiable |
| Stats créateur (abonnés, écoutes) | Publique (arrondies) | Non modifiable |
| Badge vérifié | Publique | Non modifiable |
4.3 Aucune revente
RoadWave ne vend jamais vos données à des tiers.
4.4 Autorités
Données transmises uniquement si :
- Obligation légale (réquisition judiciaire)
- Signalement contenu illégal (terrorisme, pédopornographie) → autorités compétentes
5. Durées de conservation
| Donnée | Durée | Justification |
|---|---|---|
| Compte actif | Tant que compte existe | Exécution contrat |
| Compte supprimé | Grace period 30 jours puis suppression | Récupération possible |
| GPS précis | 24h puis agrégé geohash 5 | RGPD minimisation |
| Historique écoute | Tant que compte existe | Recommandations |
| Logs modération | 3 ans (DSA) | Obligation légale |
| Logs techniques (IP) | 7 jours puis suppression | Sécurité |
| KYC créateurs | 5 ans après fin relation (obligation fiscale) | Obligation légale |
| Contenus supprimés | Anonymisés immédiatement, analytics conservés | Analytics plateforme |
6. Droits des utilisateurs (RGPD)
6.1 Droit d'accès
- Consulter toutes ses données personnelles
- Interface dédiée : "Mes données" dans paramètres
- Export automatique (voir 6.4)
6.2 Droit de rectification
- Modifier : pseudo, bio, email, centres d'intérêt
- Demande via : dpo@roadwave.fr
- Délai : 1 mois (RGPD)
6.3 Droit à l'effacement ("droit à l'oubli")
- Suppression compte : paramètres → "Supprimer mon compte"
- Grace period : 30 jours (récupération possible)
- Après 30 jours : suppression définitive
Exceptions (conservation nécessaire) :
- Logs modération : 3 ans (obligation DSA)
- KYC créateurs : 5 ans (obligation fiscale)
- Analytics agrégés (anonymisés)
6.4 Droit à la portabilité
- Export données : JSON + HTML + audio
- Générateur asynchrone (délai 48h si volume important)
- Lien téléchargement expire après 7 jours
Contenu export :
- Profil (pseudo, bio, stats)
- Historique écoute complet
- Centres d'intérêt (jauges)
- Contenus publiés (métadonnées + fichiers audio)
- Abonnements, likes
6.5 Droit d'opposition
- Profilage publicitaire : désactivation dans paramètres
- Analytics : désactivation tracking Matomo
- Emails marketing : désinscription lien footer email
6.6 Droit de limitation
- Suspension traitement pendant contestation exactitude données
- Demande via : dpo@roadwave.fr
6.7 Réclamation CNIL
Si désaccord avec RoadWave :
- CNIL (Commission Nationale de l'Informatique et des Libertés)
- Site : https://www.cnil.fr/fr/plaintes
- Adresse : 3 Place de Fontenoy, 75007 Paris
7. Sécurité des données
7.1 Mesures techniques
- Chiffrement : HTTPS (TLS 1.3) pour toutes communications
- Stockage : bases de données chiffrées au repos (AES-256)
- Mots de passe : hashage bcrypt (salt + iterations)
- Backups : quotidiens, chiffrés, stockés UE
7.2 Mesures organisationnelles
- Accès données restreint (équipe RoadWave uniquement)
- Authentification 2FA pour admins
- Logs d'accès (audit trail)
7.3 Violation de données
En cas de fuite de données :
- Notification CNIL sous 72h
- Notification utilisateurs concernés (email) si risque élevé
- Mesures correctives immédiates
8. Cookies
8.1 Cookies essentiels (pas de consentement requis)
| Cookie | Finalité | Durée |
|---|---|---|
session_token |
Authentification utilisateur | 30 jours |
refresh_token |
Renouvellement session | 30 jours |
8.2 Cookies analytics (consentement requis)
- Matomo : analytics self-hosted
- Bannière Tarteaucitron.js au premier lancement
- Refus = aucun cookie analytics
8.3 Aucun cookie tiers
- Pas de Google Analytics
- Pas de Facebook Pixel
- Pas de trackers publicitaires tiers
9. Mineurs
9.1 Âge minimum
- 13 ans minimum (RGPD)
- Vérification : date de naissance à l'inscription
9.2 Mineurs 13-15 ans
- Autorisation parentale requise
- Email parent vérifié
- Parent peut demander suppression compte mineur
9.3 Mode Kids
- Activation automatique si <13 ans (détecté via date naissance)
- Contenus filtrés : uniquement "Tout public" + tranches d'âge adaptées
- Pas de publicités ciblées (conformité COPPA US si expansion)
10. Transferts hors UE
10.1 Principe
Données hébergées exclusivement UE :
- Serveurs : Hetzner (Allemagne) ou OVH (France)
- Storage : OVH Object Storage (France)
- Paiements : Mangopay (Luxembourg)
10.2 Exceptions
API tierces potentielles (post-MVP) :
- Si transfert hors UE → clauses contractuelles types (CCT)
- Notification utilisateurs avant activation
11. Modifications de la politique
- Notification 14 jours avant entrée en vigueur (email)
- Version datée disponible : roadwave.fr/confidentialite
- Changements majeurs → nouveau consentement requis
12. Contact DPO
Délégué à la Protection des Données :
- Email : dpo@roadwave.fr
- Délai réponse : 1 mois (RGPD)
Pour toute question RGPD :
- Email dpo@roadwave.fr
- Objet : "[RGPD] Votre demande"
- Joindre : justificatif identité (si accès/suppression données)