1. Responsable du traitement
Freetime SAS, [adresse]. Contact DPO : dpo@freetime.com
2. Données collectées
Données d'identification
- Email, mot de passe (hashé bcrypt), rôle, tenant
Données métier
- Véhicules, leads, commandes, photos, historique prix
Données techniques
- Adresse IP, user-agent, événements de tracking, logs de connexion
3. Finalités
- Fourniture du service SaaS (base légale : contrat)
- Sécurité et prévention fraude (intérêt légitime)
- Analytics et amélioration du service (intérêt légitime)
- Facturation (obligation légale)
4. Durée de conservation
- Données de compte : durée de la relation + 3 ans
- Données de facturation : 10 ans (obligation légale)
- Logs de sécurité : 12 mois
- Données supprimées sur demande (droit à l'effacement)
5. Sous-traitants
- AWS — Hébergement (UE, eu-west-3 Paris)
- Stripe — Paiement (certifié PCI-DSS)
- Redis — Cache (hébergé sur infrastructure AWS)
6. Transferts hors UE
Aucun transfert hors UE. Toutes les données sont hébergées en région Paris (eu-west-3). Stripe opère sous clauses contractuelles types (CCT).
7. Sécurité
- Chiffrement en transit (HTTPS/TLS)
- Mots de passe hashés (bcrypt)
- Authentification JWT avec expiration
- Isolation multi-tenant (Row-Level Security)
- Protection brute-force (rate limiting)
8. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants :
- Accès — Obtenir une copie de vos données (GET /auth/me)
- Rectification — Modifier vos informations (profil)
- Effacement — Supprimer votre compte (DELETE /auth/account)
- Portabilité — Export CSV de vos données
- Opposition — Contacter dpo@freetime.com
- Limitation — Contacter dpo@freetime.com
Délai de réponse : 30 jours maximum. Réclamation possible auprès de la CNIL (cnil.fr).
9. Cookies
Seuls des cookies techniques sont utilisés (JWT, préférences). Aucun cookie publicitaire ou de tracking tiers.
10. Violation de données
En cas de violation, la CNIL sera notifiée sous 72h et les utilisateurs concernés seront informés dans les meilleurs délais.