Politique de Confidentialité

Préambule

TollSaver s'engage à protéger la vie privée et les données personnelles de ses utilisateurs. La présente Politique de Confidentialité décrit comment nous collectons, utilisons, stockons et protégeons vos données personnelles dans le cadre de l'utilisation de nos services (application mobile et site web).

Cette politique est établie en conformité avec le Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et la loi française Informatique et Libertés modifiée.

En utilisant TollSaver, vous acceptez les pratiques décrites dans cette Politique de Confidentialité.

1. Identité du Responsable de Traitement

1.1 Coordonnées de l'entreprise

Responsable de traitement :

• Nom : TollSaver
• Forme juridique : [À DÉFINIR - SARL/SAS]
• Siège social : [ADRESSE COMPLÈTE À DÉFINIR]
• Email de contact : contact@tollsaver.fr
• Téléphone : [À DÉFINIR]
• RCS : [NUMÉRO À OBTENIR]
• SIRET : [NUMÉRO À OBTENIR]

1.2 Délégué à la Protection des Données (DPO)

Conformément à l'article 37 du RGPD, TollSaver a désigné un Délégué à la Protection des Données que vous pouvez contacter pour toute question relative au traitement de vos données personnelles :

• Email DPO : dpo@tollsaver.fr
• Objet : Indiquez clairement "Demande RGPD" ou "Protection des données"

Le DPO est votre interlocuteur privilégié pour :

• Exercer vos droits (accès, rectification, effacement, etc.)
• Poser des questions sur le traitement de vos données
• Signaler une préoccupation relative à la confidentialité

2. Données Collectées et Finalités du Traitement

TollSaver collecte uniquement les données nécessaires à la fourniture de ses services. Nous appliquons le principe de minimisation des données (Art. 5.1.c RGPD).

2.1 Données de Compte Utilisateur

Données collectées :

• Adresse email
• Nom et prénom (facultatifs)
• Mot de passe (stocké sous forme hashée avec bcrypt, 12 rounds minimum)
• Date de création du compte
• Date de dernière connexion
• Préférences de langue et d'affichage

Finalités du traitement :

• Création et gestion de votre compte utilisateur
• Authentification sécurisée lors de vos connexions
• Communication relative au service (confirmations, notifications importantes)
• Support client et assistance technique

• Base légale : Exécution du contrat (Art. 6.1.b RGPD)
• Caractère obligatoire : Oui, ces données sont nécessaires pour créer un compte et utiliser TollSaver
• Durée de conservation : Jusqu'à la suppression de votre compte, ou 3 ans après la dernière activité

2.2 Données de Recherche et d'Utilisation

Données collectées :

• Historique des itinéraires recherchés (origine, destination, classe de véhicule)
• Date et heure des recherches
• Résultats consultés (routes, tarifs de péages)
• Préférences de trajet (plus rapide, moins cher, éviter péages, etc.)
• Routes favorites enregistrées
• Temps passé sur l'application
• Fonctionnalités utilisées

Finalités du traitement :

• Fournir le service de calcul d'itinéraires optimisés
• Personnaliser votre expérience utilisateur
• Améliorer la qualité et la pertinence de nos services
• Produire des statistiques anonymisées et agrégées
• Comprendre les comportements d'utilisation pour optimiser l'interface

Base légale :

• Exécution du contrat (Art. 6.1.b RGPD) pour la fourniture du service
• Intérêt légitime (Art. 6.1.f RGPD) pour l'amélioration du service et les statistiques

• Caractère obligatoire : Non, mais nécessaire pour bénéficier pleinement des fonctionnalités
• Durée de conservation : Compte actif : durée d'utilisation du compte. Données statistiques : anonymisées et conservées sans limitation.

2.3 Données de Paiement (Abonnement Premium)

Données collectées :

• Type d'abonnement souscrit (mensuel/annuel)
• Date de souscription et de renouvellement
• Historique des transactions
• Statut de l'abonnement (actif, annulé, expiré)

Données de paiement : Les informations de paiement (numéro de carte bancaire, coordonnées bancaires) sont collectées et traitées exclusivement par nos prestataires de paiement certifiés PCI-DSS (Apple App Store, Google Play Store, Stripe). TollSaver ne stocke jamais vos données bancaires complètes.

Finalités du traitement :

• Gestion des abonnements et facturation
• Prévention de la fraude
• Historique des achats et factures
• Support client pour les questions de facturation

Base légale :

• Exécution du contrat (Art. 6.1.b RGPD)
• Obligations légales comptables et fiscales (Art. 6.1.c RGPD)

• Caractère obligatoire : Oui, pour souscrire à un abonnement Premium
• Durée de conservation : 10 ans (obligations comptables et fiscales françaises)

2.4 Données de Connexion et Logs Techniques

Données collectées :

• Adresse IP
• Type de navigateur et système d'exploitation (User-Agent)
• Identifiant unique de l'appareil (UUID anonymisé)
• Date et heure de connexion
• Pages consultées et actions effectuées
• Données de géolocalisation approximatives (pays, ville - si autorisé)
• Logs d'erreurs techniques

Finalités du traitement :

• Sécurité du service et prévention des accès non autorisés
• Détection et prévention de la fraude et des abus
• Respect des obligations légales (conservation des logs de connexion)
• Diagnostic et résolution des problèmes techniques
• Statistiques d'utilisation anonymisées

Base légale :

• Intérêt légitime (Art. 6.1.f RGPD) pour la sécurité et la prévention de la fraude
• Obligations légales (Art. 6.1.c RGPD) pour la conservation des logs selon la LCEN

• Caractère obligatoire : Oui, pour des raisons de sécurité et légales
• Durée de conservation : 12 mois maximum (conformément à la recommandation CNIL)

2.5 Cookies et Traceurs

Types de cookies utilisés :

A. Cookies strictement nécessaires (exemptés de consentement)

• Cookies de session : Maintien de votre connexion pendant votre navigation
• Cookies d'authentification : Identification sécurisée de votre compte
• Cookies de sécurité : Protection contre les attaques CSRF et XSS
• Durée : Session ou 30 jours maximum

B. Cookies analytics (soumis à consentement)

• Google Analytics (avec anonymisation IP activée) : Statistiques de fréquentation
• Plausible Analytics : Alternative respectueuse de la vie privée
• Durée : 13 mois maximum

C. Cookies publicitaires (soumis à consentement - version gratuite)

• Google AdMob : Affichage de publicités ciblées dans la version gratuite
• Durée : 13 mois maximum

Gestion du consentement :

Un bandeau cookies conforme aux recommandations de la CNIL vous est présenté lors de votre première visite. Vous pouvez :

• Accepter tous les cookies
• Refuser les cookies non essentiels
• Personnaliser vos choix par catégorie
• Modifier vos préférences à tout moment depuis les paramètres de l'application

Le refus des cookies analytics et publicitaires n'affecte pas les fonctionnalités essentielles de TollSaver.

Base légale : Consentement (Art. 6.1.a RGPD) pour les cookies non essentiels, conformément à la directive ePrivacy

3. Destinataires et Transferts des Données

3.1 Destinataires internes

Vos données personnelles sont accessibles uniquement par :

• Les équipes techniques de TollSaver (accès restreint selon le principe du besoin d'en connaître)
• Le service support client (uniquement pour traiter vos demandes)
• Le DPO et les équipes juridiques (pour assurer la conformité RGPD)

Tous les employés et collaborateurs sont soumis à une obligation stricte de confidentialité.

3.2 Sous-traitants et partenaires

TollSaver fait appel à des sous-traitants de confiance pour fournir ses services. Conformément à l'article 28 du RGPD, des contrats de sous-traitance garantissent la protection de vos données.

Hébergement et infrastructure :

• OVH (France) : Hébergement des serveurs et bases de données
  • Localisation : Strasbourg, France
  • Certification : ISO 27001, HDS (Hébergeur de Données de Santé)
  • Engagement RGPD : Contrat de sous-traitance conforme

Paiements :

• Apple App Store : Gestion des paiements iOS
• Google Play Store : Gestion des paiements Android
• Stripe : Traitement des paiements web (certifié PCI-DSS)

Analytics et mesure d'audience :

• Google Analytics : Statistiques d'utilisation (avec anonymisation IP)
• Plausible : Alternative respectueuse de la vie privée, hébergée en UE

Publicité (version gratuite uniquement) :

• Google AdMob : Régie publicitaire mobile

Services techniques :

• Sentry : Monitoring d'erreurs (données anonymisées)
• SendGrid : Envoi d'emails transactionnels (hébergement UE)

3.3 Transferts hors de l'Union Européenne

Principe : TollSaver s'engage à ne pas transférer vos données personnelles en dehors de l'Union Européenne, sauf dans les cas suivants avec garanties appropriées :

• Google Analytics : Google LLC (États-Unis)
  • Garanties : Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne
  • Anonymisation IP activée pour limiter les données transférées

Aucun autre transfert : Tous nos autres prestataires sont situés dans l'Union Européenne ou disposent d'infrastructures européennes.

Votre droit d'information : Vous pouvez demander une copie des garanties mises en place pour les transferts hors UE en contactant notre DPO.

4. Durée de Conservation des Données

TollSaver applique des durées de conservation strictes conformément au principe de limitation de la conservation (Art. 5.1.e RGPD).

Suppression de compte : Lorsque vous supprimez votre compte ou après 3 ans d'inactivité, vos données personnelles sont supprimées de manière sécurisée sous 60 jours maximum (délai nécessaire pour la suppression des backups).

Conservation légale : Certaines données doivent être conservées plus longtemps pour respecter nos obligations légales (comptabilité, fiscalité, prévention de la fraude).

5. Vos Droits sur vos Données Personnelles

Conformément au RGPD (Articles 15 à 22), vous disposez des droits suivants concernant vos données personnelles :

5.1 Droit d'accès (Article 15)

Vous avez le droit d'obtenir :

• La confirmation que vos données sont traitées par TollSaver
• Une copie de toutes vos données personnelles
• Des informations sur les finalités du traitement, les catégories de données, les destinataires, les durées de conservation

Comment exercer ce droit : Envoyez un email à dpo@tollsaver.fr ou utilisez le formulaire en ligne dans les paramètres de votre compte.

5.2 Droit de rectification (Article 16)

Vous pouvez demander la correction de données inexactes ou incomplètes vous concernant.

Comment exercer ce droit : Directement depuis les paramètres de votre compte, ou par email à dpo@tollsaver.fr

5.3 Droit à l'effacement / "Droit à l'oubli" (Article 17)

Vous pouvez demander la suppression de vos données personnelles dans les cas suivants :

• Les données ne sont plus nécessaires au regard des finalités
• Vous retirez votre consentement (si le traitement était fondé sur le consentement)
• Vous vous opposez au traitement (Art. 21)
• Les données ont fait l'objet d'un traitement illicite
• Une obligation légale l'exige

Limites : Ce droit ne s'applique pas si nous devons conserver vos données pour respecter une obligation légale (ex : factures pour obligations comptables).

Comment exercer ce droit : Suppression de compte depuis les paramètres, ou demande à dpo@tollsaver.fr

5.4 Droit à la limitation du traitement (Article 18)

Vous pouvez demander le "gel" temporaire de vos données dans les cas suivants :

• Vous contestez l'exactitude des données (pendant la vérification)
• Le traitement est illicite mais vous préférez une limitation à un effacement
• Nous n'avons plus besoin des données mais vous en avez besoin pour une action en justice
• Vous vous êtes opposé au traitement (pendant la vérification de nos motifs légitimes)

Comment exercer ce droit : Email à dpo@tollsaver.fr

5.5 Droit à la portabilité (Article 20)

Vous avez le droit de récupérer vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV), et de les transmettre à un autre responsable de traitement.

Ce droit s'applique uniquement :

• Aux données que vous avez fournies
• Lorsque le traitement est fondé sur le consentement ou un contrat
• Lorsque le traitement est automatisé

Comment exercer ce droit : Fonctionnalité d'export disponible dans les paramètres de votre compte (format JSON), ou demande à dpo@tollsaver.fr pour d'autres formats.

5.6 Droit d'opposition (Article 21)

Vous pouvez vous opposer à tout moment au traitement de vos données personnelles lorsque :

• Le traitement est fondé sur l'intérêt légitime (Art. 6.1.f)
• Le traitement est effectué à des fins de prospection commerciale

Comment exercer ce droit :

• Publicités : Désactivation dans les paramètres de l'application ou passage à la version Premium
• Autres traitements : Email à dpo@tollsaver.fr

Effet : Nous cesserons le traitement, sauf si nous démontrons des motifs légitimes et impérieux qui prévalent sur vos intérêts, droits et libertés, ou pour la constatation, l'exercice ou la défense de droits en justice.

5.7 Droits relatifs aux décisions automatisées (Article 22)

Position de TollSaver : Nous n'utilisons pas de prise de décision entièrement automatisée produisant des effets juridiques vous concernant ou vous affectant de manière significative.

Le calcul d'itinéraires et les suggestions de routes sont des outils d'aide à la décision, mais vous gardez toujours le contrôle total de vos choix de navigation.

5.8 Droit de retirer votre consentement

Lorsqu'un traitement est fondé sur votre consentement (ex : cookies analytics), vous pouvez le retirer à tout moment sans justification.

Comment exercer ce droit : Paramètres de cookies dans l'application, ou email à dpo@tollsaver.fr

Effet : Le retrait du consentement ne remet pas en cause la licéité du traitement effectué avant ce retrait.

5.9 Modalités d'exercice de vos droits

Canaux de contact :

• Email : dpo@tollsaver.fr (privilégié)
• Formulaire en ligne : Disponible dans Paramètres > Confidentialité > Exercer mes droits
• Courrier postal : TollSaver - DPO, [ADRESSE SIÈGE SOCIAL À DÉFINIR]

Délai de réponse : 1 mois maximum à compter de la réception de votre demande (Art. 12.3 RGPD). Ce délai peut être prolongé de 2 mois supplémentaires si la demande est complexe. Vous serez informé de cette prolongation.

Pièce d'identité : Pour des raisons de sécurité et pour éviter toute divulgation de données à des tiers non autorisés, nous pouvons vous demander de justifier de votre identité (copie d'une pièce d'identité).

Gratuité : L'exercice de vos droits est gratuit. En cas de demandes manifestement infondées ou excessives (notamment répétitives), nous pouvons facturer des frais raisonnables ou refuser de donner suite.

6. Sécurité et Protection des Données

TollSaver met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (Art. 32 RGPD).

6.1 Mesures de sécurité techniques

Chiffrement :

• En transit : Toutes les communications entre votre appareil et nos serveurs sont chiffrées avec TLS 1.3 (HTTPS)
• Au repos : La base de données est chiffrée avec AES-256
• Mots de passe : Hachés avec bcrypt (12 rounds minimum), jamais stockés en clair

Authentification et contrôle d'accès :

• Authentification forte pour les administrateurs (2FA obligatoire)
• Politique de mots de passe robustes (minimum 8 caractères, complexité requise)
• Contrôle d'accès basé sur les rôles (RBAC)
• Principe du moindre privilège
• Journalisation des accès administrateurs

Infrastructure sécurisée :

• Pare-feu applicatif (WAF) pour protéger contre les attaques courantes
• Protection anti-DDoS
• Détection d'intrusion (IDS/IPS)
• Surveillance 24/7 des systèmes
• Tests d'intrusion réguliers

Sauvegardes :

• Backups quotidiens chiffrés
• Stockage géographiquement distribué
• Tests de restauration réguliers
• Conservation 30 jours

6.2 Mesures organisationnelles

Gouvernance :

• Politique de sécurité de l'information documentée
• Registre des traitements RGPD tenu à jour
• Analyses d'impact sur la vie privée (AIPD/PIA) pour les traitements à risque
• Procédures de gestion des incidents de sécurité

Ressources humaines :

• Sensibilisation et formation RGPD de tous les collaborateurs
• Clauses de confidentialité dans les contrats de travail
• Accès aux données limités aux seuls collaborateurs autorisés

Gestion des sous-traitants :

• Due diligence lors de la sélection (vérification conformité RGPD)
• Contrats de sous-traitance conformes à l'Article 28 RGPD
• Audits périodiques de nos sous-traitants

6.3 Violation de données personnelles

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, TollSaver s'engage à :

1. Notification à la CNIL : Sous 72 heures maximum (Art. 33 RGPD)
2. Notification aux personnes concernées : Si le risque est élevé, vous serez informé dans les meilleurs délais (Art. 34 RGPD)
3. Mesures correctives : Mise en place immédiate d'actions pour limiter l'impact et prévenir de futures violations

Contact en cas d'incident : security@tollsaver.fr

7. Données des Mineurs

TollSaver est destiné aux personnes âgées de 18 ans et plus. Nous ne collectons pas sciemment de données personnelles auprès de mineurs de moins de 18 ans.

Si vous êtes parent ou tuteur légal et que vous découvrez que votre enfant mineur nous a fourni des données personnelles sans votre consentement, veuillez nous contacter immédiatement à dpo@tollsaver.fr. Nous supprimerons ces données dans les plus brefs délais.

8. Modifications de la Politique de Confidentialité

TollSaver se réserve le droit de modifier cette Politique de Confidentialité à tout moment pour refléter :

• Les évolutions de nos services
• Les changements dans la législation applicable
• Les recommandations des autorités de contrôle

8.1 Notification des modifications

Modifications mineures (corrections typographiques, clarifications) :

• Publication sur cette page avec mise à jour de la date
• Aucune notification individuelle

Modifications substantielles (nouvelles finalités, nouveaux destinataires, etc.) :

• Notification par email à tous les utilisateurs
• Notification dans l'application lors de la prochaine connexion
• Délai de 30 jours avant entrée en vigueur
• Possibilité de refuser et de supprimer votre compte

Consultation : La version en vigueur est toujours accessible depuis l'application et le site web. Les versions antérieures sont archivées et disponibles sur demande.

9. Contact et Réclamations

9.1 Nous contacter

Pour toute question concernant cette Politique de Confidentialité ou le traitement de vos données personnelles :

Délégué à la Protection des Données (DPO) :

• Email : dpo@tollsaver.fr
• Objet du message : "Demande RGPD" ou "Question vie privée"
• Délai de réponse : 1 mois maximum

Service client :

• Email : contact@tollsaver.fr
• Disponible pour questions générales sur le service

9.2 Droit de réclamation auprès de l'autorité de contrôle

Si vous estimez que le traitement de vos données personnelles constitue une violation de la réglementation applicable, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité française de contrôle en matière de protection des données :

CNIL :

• Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
• Téléphone : +33 (0)1 53 73 22 22
• Site web : https://www.cnil.fr/
• Formulaire de plainte en ligne : https://www.cnil.fr/fr/plaintes

Ce droit s'exerce sans préjudice de tout recours devant une juridiction civile ou pénale.

10. Informations Complémentaires

10.1 Données publiques et OpenStreetMap

TollSaver utilise les données cartographiques de OpenStreetMap (OSM), un projet collaboratif sous licence ODbL (Open Database License). Les données OSM ne sont pas des données personnelles et leur utilisation n'est pas couverte par le RGPD.

Les données tarifaires des péages sont collectées depuis les sites publics des opérateurs autoroutiers (Vinci, APRR, SANEF, etc.) et ne contiennent aucune donnée personnelle.

10.2 Réseaux sociaux et liens externes

TollSaver peut contenir des liens vers des sites web tiers ou des réseaux sociaux. Nous ne sommes pas responsables des pratiques de confidentialité de ces sites tiers. Nous vous encourageons à lire leurs politiques de confidentialité.

Si vous partagez des informations sur les réseaux sociaux via TollSaver, ces actions sont régies par les politiques de confidentialité respectives de ces plateformes.

10.3 Respect de votre vie privée dès la conception

TollSaver applique les principes de Privacy by Design et Privacy by Default (Art. 25 RGPD) :

• Minimisation des données collectées
• Pseudonymisation et anonymisation lorsque possible
• Paramètres de confidentialité par défaut les plus protecteurs
• Sécurité intégrée dès la conception des fonctionnalités

11. Glossaire

Données personnelles

Toute information se rapportant à une personne physique identifiée ou identifiable (nom, email, adresse IP, etc.).

Traitement

Toute opération appliquée à des données personnelles (collecte, enregistrement, conservation, modification, consultation, utilisation, transmission, effacement, etc.).

Responsable de traitement

L'entité qui détermine les finalités et les moyens du traitement (TollSaver).

Sous-traitant

L'entité qui traite des données pour le compte du responsable de traitement (ex : OVH pour l'hébergement).

RGPD

Règlement Général sur la Protection des Données (UE 2016/679), applicable depuis le 25 mai 2018.

CNIL

Commission Nationale de l'Informatique et des Libertés, autorité française de contrôle.

12. Loi Applicable et Juridiction

La présente Politique de Confidentialité est soumise au droit français et au droit européen (RGPD).

Tout litige relatif à l'interprétation ou à l'exécution de cette politique relève de la compétence exclusive des tribunaux français du ressort du siège social de TollSaver.