Politique de confidentialité

Version 2.0, dernière mise à jour : 8 mai 2026

La présente politique décrit la manière dont Re-FAP, éditeur du service JeRouleMalin, collecte, utilise et protège vos données personnelles. Elle est conforme au Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

En résumé : vos données vous appartiennent. Vous pouvez les exporter ou les supprimer à tout moment. Nous n'en faisons aucun usage commercial vis-à-vis de tiers, ni profilage publicitaire. Le service ne fonctionne qu'avec le strict nécessaire.

1. Responsable du traitement

Re-FAP, SARL unipersonnelle au capital de 25 000 €
SIRET : 920 254 802 00027, RCS Clermont-Ferrand B 920 254 802
Siège social : 13 Cours Sablon, 63000 Clermont-Ferrand
Représentant légal : Jean-Marc Antignac, gérant
Email général : contact@re-fap.fr

2. Délégué à la protection des données (DPO)

Conformément à l'article 37 du RGPD, Re-FAP désigne un point de contact dédié à la protection des données :

Délégué à la protection des données : Jean-Marc Antignac
Email dédié : dpo@re-fap.fr
Adresse postale : DPO Re-FAP, 13 Cours Sablon, 63000 Clermont-Ferrand

Toute question relative au traitement de vos données peut être adressée au DPO. Le délai de réponse est d'un mois maximum, prolongeable de deux mois en cas de demande complexe (article 12 du RGPD).

3. Données collectées

Nous collectons uniquement les données nécessaires au fonctionnement du service, regroupées dans les catégories suivantes :

3.1 Données d'identification du compte

  • Adresse email (identifiant de connexion)
  • Mot de passe haché par algorithme scrypt, jamais stocké en clair
  • Numéro de téléphone, uniquement en cas d'inscription via QR code centre auto
  • Date de création du compte

3.2 Données véhicules

  • Marque, modèle, motorisation, plaque d'immatriculation
  • Date de première immatriculation, catégorie de contrôle technique
  • Kilométrage saisi par vos soins, dates et nature des entretiens
  • Pleins de carburant : kilométrage, litres, prix, station
  • Quota leasing/LLD/LOA et date de début de contrat (uniquement si vous le renseignez)
  • Documents véhicule : carte grise, contrôle technique, attestation d'assurance, factures (sur saisie ou photo)

3.3 Données d'utilisation

  • Cookies techniques (session, préférences d'affichage)
  • Stockage local du navigateur (préférences, données mises en cache pour usage hors ligne)
  • Logs techniques (date d'accès, type d'opération, code d'erreur), conservés 30 jours pour la sécurité

3.4 Données de géolocalisation

  • Position géographique uniquement si vous l'autorisez explicitement dans le navigateur
  • Utilisation strictement temporaire, pour la recherche de centres auto à proximité
  • Aucune conservation : la donnée disparaît dès la fermeture de la session

3.5 Données de paiement (plans payants uniquement)

  • Nom, adresse de facturation, montants, dates des transactions
  • Aucune donnée de carte bancaire n'est stockée chez Re-FAP : Stripe, certifié PCI-DSS niveau 1, gère seul ces informations

4. Finalités et bases légales

FinalitéBase légale (RGPD art. 6)
Création et gestion du compte, accès au serviceExécution du contrat (art. 6.1.b)
Calcul des échéances d'entretien et de contrôle techniqueExécution du contrat (art. 6.1.b)
Envoi d'alertes et de rappels par emailExécution du contrat (art. 6.1.b)
Recherche de centres auto à proximitéConsentement (art. 6.1.a) pour la géolocalisation
Lien avec un centre auto partenaire (programme de fidélité)Consentement (art. 6.1.a) lors du scan du QR code
Facturation et conservation comptableObligation légale (art. 6.1.c, Code de commerce L123-22)
Sécurité, prévention de la fraude, journalisationIntérêt légitime (art. 6.1.f)
Statistiques anonymisées d'usage et amélioration du serviceIntérêt légitime (art. 6.1.f)

Aucune utilisation à des fins de prospection commerciale tierce. Aucune cession de données à des annonceurs ou data brokers. Aucun cookie publicitaire.

5. Durées de conservation

CatégorieDuréeJustification
Données du compte (email, véhicules, entretiens)Durée de vie du compte, puis 3 ans après suppressionDélai de prescription des actions en responsabilité civile (art. 2224 Code civil)
Données de paiement et factures10 ansCode de commerce art. L123-22
Logs de connexion et logs techniques30 jours, 1 an pour les logs liés à un incident de sécuritéRecommandation CNIL délibération 2007-160
Cookies et stockage local13 mois maximumRecommandation CNIL
Données de géolocalisationAucune conservation, usage temps réel uniquementMinimisation (art. 5.1.c RGPD)
Données après suppression du compteEffacement immédiat sauf obligations légales (facturation 10 ans)Droit à l'effacement (art. 17 RGPD)

6. Sous-traitants et destinataires

Vos données peuvent être traitées par les sous-traitants suivants, encadrés par un contrat de sous-traitance conforme à l'article 28 du RGPD :

Sous-traitantFinalitéLocalisation des données
Supabase Inc.Base de données, authentification, stockageRégion eu-central, Allemagne (UE)
Vercel Inc.Hébergement applicatif, CDN, fonctions serveurUSA, encadré par clauses contractuelles types
Stripe Payments Europe LtdTraitement des paiements (plans payants)Irlande (UE) et USA, certifié PCI-DSS
Brevo (Sendinblue SAS)Envoi des emails et SMS de notificationFrance (UE)
Google LLC (Maps Places API)Recherche de centres auto à proximitéUSA, encadré par clauses contractuelles types

Aucun de ces sous-traitants n'est autorisé à utiliser vos données pour son propre compte. Tous sont engagés par contrat à respecter le niveau de protection imposé par le RGPD.

7. Transferts hors Union européenne

Certains sous-traitants peuvent traiter vos données aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) approuvées par la Commission européenne (décision 2021/914), complétées par des mesures techniques additionnelles : chiffrement en transit, chiffrement au repos, séparation des données de paiement chez un prestataire certifié PCI-DSS.

8. Profilage et décisions automatisées

Le service génère des recommandations automatisées (alertes d'entretien, suggestions d'échéance, calcul amorti des dépenses). Conformément à l'article 22 du RGPD, ces recommandations :

  • Sont fournies à titre purement indicatif
  • Ne produisent aucun effet juridique vous concernant
  • Peuvent être modifiées ou désactivées par vos soins à tout moment
  • Reposent sur des règles métier transparentes (intervalles constructeur, plan d'entretien type, kilométrage saisi)

Aucune décision automatisée ne vous est imposée. Vous gardez la maîtrise de vos paramètres et de vos suivis.

9. Partage avec un centre auto partenaire

Si vous liez votre compte à un centre auto partenaire (par scan d'un QR code en magasin), une partie ciblée de vos données peut être consultée par ce partenaire pour vous accompagner sur l'entretien de votre véhicule :

  • Votre adresse email et votre numéro de téléphone, pour vous contacter en cas de rappel d'entretien ou de devis
  • Identifiant du véhicule (nom ou plaque), type, kilométrage, échéances d'entretien à venir
  • Solde de points de fidélité chez ce partenaire uniquement
  • Historique des passages dans ce centre auto uniquement

Le partenaire ne voit pas vos autres centres auto liés, ni vos pleins de carburant, ni vos données de leasing, ni vos documents personnels (cartes grises, permis, factures, contrôles techniques, assurances). Ces informations restent strictement dans votre espace personnel.

Vous pouvez délier votre centre auto à tout moment depuis votre espace de gestion des points. Le délien est immédiat et irréversible côté partenaire : il n'a plus accès à vos échéances ni à votre email ou téléphone.

10. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie
  • Droit de rectification : faire corriger toute donnée inexacte ou incomplète
  • Droit à l'effacement : demander la suppression de vos données dans les conditions prévues par la loi
  • Droit à la limitation du traitement : suspendre temporairement le traitement
  • Droit d'opposition : vous opposer au traitement pour des motifs tenant à votre situation particulière
  • Droit à la portabilité : recevoir vos données dans un format structuré, exploitable par machine (export JSON disponible depuis votre profil)
  • Droit de retrait du consentement : à tout moment, sans affecter la licéité du traitement antérieur
  • Droit de définir des directives post-mortem : organiser le sort de vos données après votre décès (article 85 loi Informatique et Libertés)

Pour exercer ces droits, écrivez au DPO à dpo@re-fap.fr. Le délai de réponse est d'un mois maximum, prolongeable de deux mois pour les demandes complexes (vous serez alors notifié).

Vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr/fr/plaintes, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

11. Sécurité des données

Re-FAP applique les mesures techniques et organisationnelles suivantes :

  • Chiffrement des communications par TLS 1.3 (HTTPS) sur l'ensemble du service
  • Chiffrement des bases de données au repos
  • Hachage scrypt des mots de passe, jamais stockés en clair
  • Cloisonnement strict par compte via Row Level Security (RLS) côté Supabase
  • Sauvegardes automatiques quotidiennes, conservées 7 jours
  • Accès aux serveurs limité à l'éditeur, journalisé
  • Revue de sécurité périodique : dépendances applicatives, advisors Supabase, scan automatisé
  • Authentification renforcée pour les sous-traitants (2FA obligatoire sur les outils d'administration)

12. Violation de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, Re-FAP s'engage à :

  • Notifier la CNIL dans les 72 heures suivant la prise de connaissance, conformément à l'article 33 du RGPD
  • Vous informer dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour vos droits, conformément à l'article 34 du RGPD
  • Documenter tout incident dans un registre interne accessible à la CNIL sur demande
  • Mettre en œuvre les mesures correctrices techniques et organisationnelles nécessaires

13. Cookies et stockage local

Cookies strictement nécessaires

Cookies de session, jeton d'authentification, mémorisation des préférences d'affichage. Indispensables au fonctionnement du service, exemptés de consentement (article 82 loi Informatique et Libertés).

Stockage local du navigateur

JeRouleMalin utilise localStorage pour mémoriser certaines données côté navigateur (jeton d'accès, préférences d'affichage, état temporaire de saisie). Ces données restent sur votre appareil et ne sont synchronisées avec nos serveurs qu'à votre demande explicite (saisie validée).

Pas de cookie publicitaire

Aucun cookie de tracking publicitaire, aucun pixel tiers, aucun outil d'analyse comportementale ne sont déposés.

14. Mineurs

Le service est destiné à des utilisateurs majeurs. Les mineurs de 16 à 18 ans peuvent l'utiliser sous la responsabilité de leur représentant légal. En dessous de 16 ans, le consentement parental est requis (article 8 RGPD).

15. Réversibilité et portabilité

Depuis votre profil utilisateur, vous pouvez à tout moment :

  • Télécharger l'intégralité de vos données au format JSON structuré (véhicules, entretiens, pleins, documents, dépenses)
  • Supprimer définitivement votre compte et toutes les données associées en deux clics

Aucun verrouillage propriétaire. Vos données sont les vôtres.

16. Modification de la politique

Cette politique peut évoluer. Toute modification substantielle vous sera notifiée par email à l'adresse associée à votre compte, au moins 30 jours avant entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page. Les versions précédentes sont conservées et fournies sur demande au DPO.

Voir aussi : CGUCGVMentions légales