Politique de confidentialité

Dernière mise à jour : 5 avril 2026

Rollizi SAS accorde une importance particulière à la protection des données personnelles de ses utilisateurs. La présente politique décrit la manière dont nous collectons, utilisons, stockons et protégeons vos données conformément au Règlement Général sur la Protection des Données (Règlement UE 2016/679, dit « RGPD ») et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

1. Responsable du traitement

Le responsable du traitement des données est :

Rollizi SAS
Siège social : [À COMPLÉTER — adresse complète]
Email DPO : [dpo@rollizi.com — À COMPLÉTER]

2. Données collectées

2.1 Données d'identification des utilisateurs

Nom, prénom, adresse email
Rôle au sein de l'organisation (administrateur, dispatcheur, chauffeur)
Préférences d'interface (thème, langue)

2.2 Données des chauffeurs

Nom, prénom, téléphone, email
Numéro de permis de conduire et date d'expiration
Type de chauffeur (salarié / prestataire externe)
Société de rattachement (pour les prestataires)
Notes d'évaluation

2.3 Données des clients et contacts (passagers)

Raison sociale, SIRET, numéro TVA du client
Nom, prénom, téléphone, email des contacts/passagers
Adresses de facturation

2.4 Données de missions et géolocalisation

Adresses de prise en charge et de dépose (coordonnées GPS)
Dates et heures des missions
Informations de vol (numéro, horaire)
Statut et historique des missions

2.5 Données techniques et logs

Adresse IP, type de navigateur (user agent)
Logs d'audit des actions utilisateurs (création, modification, suppression)
Horodatage des connexions

3. Finalités du traitement

Finalité	Base légale (RGPD)
Exécution du contrat SaaS (gestion des missions, dispatch, planning)	Art. 6.1.b — Exécution du contrat
Gestion de la relation client (facturation, support)	Art. 6.1.b — Exécution du contrat
Sécurité et audit (logs d'accès, détection d'anomalies)	Art. 6.1.f — Intérêt légitime
Amélioration du Service (analyse d'usage agrégée)	Art. 6.1.f — Intérêt légitime
Obligations légales (conservation comptable, réquisitions)	Art. 6.1.c — Obligation légale

4. Durée de conservation

Type de donnée	Durée de conservation
Données actives (missions, clients, chauffeurs)	Durée du contrat + 3 ans (prescription civile)
Données de facturation	10 ans (obligation comptable, art. L.123-22 du Code de commerce)
Logs d'audit (actions utilisateurs)	12 mois glissants
Logs techniques (accès, erreurs)	12 mois glissants
Sauvegardes chiffrées	3 mois glissants
Données après suppression de compte	30 jours (période de rétractation), puis suppression définitive

5. Destinataires des données

5.1 Équipe interne

Seuls les membres habilités de l'équipe Rollizi (développement, support technique) accèdent aux données dans le cadre strict de leurs fonctions, sous engagement de confidentialité.

5.2 Sous-traitants techniques

Sous-traitant	Finalité	Localisation	Garanties
Contabo GmbH	Hébergement infrastructure	Allemagne (UE)	RGPD applicable directement
Stripe Inc.	Traitement des paiements	États-Unis	Décision d'adéquation EU-US Data Privacy Framework (DPF)
Deepseek	Traitement IA (création de missions par langage naturel)	Chine	Voir section 5.3

5.3 Transfert hors UE — Deepseek API (Chine)

Attention : la fonctionnalité de création de missions par intelligence artificielle utilise l'API Deepseek, dont les serveurs sont situés en Chine. La Chine ne bénéficie pas d'une décision d'adéquation de la Commission européenne au sens de l'article 45 du RGPD.

Mesures mises en place pour encadrer ce transfert :

Les données envoyées à l'API sont limitées au strict nécessaire (texte descriptif de la mission)
Aucune donnée d'identification directe (nom, email, téléphone des passagers) n'est transmise dans le prompt IA lorsque c'est évitable
Les communications sont chiffrées en transit (TLS 1.2+)
L'utilisation de cette fonctionnalité est optionnelle — les missions peuvent être créées manuellement

Nous recommandons aux utilisateurs manipulant des données particulièrement sensibles d'utiliser la création manuelle de missions plutôt que la création assistée par IA. Nous travaillons activement à proposer une alternative européenne pour le traitement IA.

6. Sécurité des données

Rollizi met en oeuvre les mesures techniques et organisationnelles suivantes :

Chiffrement des données en transit (TLS 1.2+) et des sauvegardes (AES-256)
Architecture multi-tenant avec isolation stricte par compte
Authentification par mot de passe hashé (bcrypt)
Rate limiting par adresse IP et par compte
Logs d'audit des actions sensibles
Sauvegardes quotidiennes chiffrées et externalisées
Mises à jour de sécurité régulières des dépendances

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en obtenir une copie
Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes
Droit à l'effacement (art. 17) : demander la suppression de vos données (sous réserve des obligations légales de conservation)
Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine (export CSV/ZIP disponible dans les paramètres)
Droit d'opposition (art. 21) : vous opposer au traitement de vos données pour les traitements fondés sur l'intérêt légitime
Droit à la limitation (art. 18) : demander la limitation du traitement dans certaines circonstances

Comment exercer vos droits

Vous pouvez exercer vos droits en contactant notre Délégué à la Protection des Données :

Par email : [dpo@rollizi.com — À COMPLÉTER]
Par courrier : Rollizi SAS — DPO, [adresse postale — À COMPLÉTER]

Nous nous engageons à répondre à votre demande dans un délai maximum d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois en cas de demande particulièrement complexe.

8. Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données ne respecte pas la réglementation en vigueur, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
Site web : www.cnil.fr

9. Modification de la politique

La présente politique peut être mise à jour à tout moment. En cas de modification substantielle, les utilisateurs seront informés par email et/ou par notification dans l'application au moins 30 jours avant l'entrée en vigueur des changements.