Politique de confidentialité
Dernière mise à jour : 12 juillet 2026
1. Responsable du traitement
Voiture Comme Neuve SAS, au capital de 1 000 €, immatriculée au RCS de Paris, dont le siège social est situé en France. Email DPO : [email protected].
2. Données collectées
- Compte : email, nom, mot de passe (hashé bcrypt, optionnel si connexion Google), téléphone, adresse
- Connexion Google (optionnel) : identifiant Google (sub), email vérifié, nom et URL photo de profil. Récupérés uniquement si vous cliquez sur "Continuer avec Google". Aucun autre accès à votre compte Google (pas de Gmail, Drive, contacts, etc.)
- Réservations : date, heure, lavage choisi, prestation, prix, adresse de prestation
- Paiement : traité par Stripe (PCI-DSS niveau 1). Aucune donnée de carte stockée chez nous
- Géolocalisation : coordonnées GPS uniquement si vous activez "Près de moi" (jamais stockées sans votre consentement)
- Avis clients : nom, note, commentaire après lavage effectué
- Cookies : session uniquement (httpOnly, sameSite=lax). Aucun tracker tiers
3. Finalités
- Gérer votre compte et vos réservations
- Faciliter la mise en relation avec les partenaires lavage auto
- Traiter les paiements (via Stripe Connect)
- Vous notifier (rappel J-1, confirmation, lavage terminé)
- Améliorer la qualité du service (statistiques agrégées anonymisées)
4. Base légale
- Exécution du contrat : compte, réservation, paiement
- Obligation légale : facturation, comptabilité (10 ans)
- Consentement : géolocalisation, emails marketing, connexion via Google (déclenchée uniquement sur clic explicite du bouton "Continuer avec Google")
- Intérêt légitime : sécurité, fraude
5. Conservation
- Compte actif : tant que votre compte existe
- Compte supprimé : suppression sous 30 jours (sauf obligations légales)
- Factures et transactions : 10 ans (obligation comptable)
- Logs techniques : 12 mois
6. Sous-traitants
- Stripe (Irlande / USA) : paiements, hébergeur PCI-DSS
- Resend (USA) : envoi emails transactionnels
- Google Maps (USA) : affichage carte (uniquement si activé)
- Google LLC — OAuth / Sign-In (USA) : authentification uniquement si vous cliquez "Continuer avec Google". Scopes demandés :
openid email profile(aucun autre accès). Transferts hors UE encadrés par Data Privacy Framework + Clauses Contractuelles Types. - Cloudflare (USA) : CDN, protection anti-DDoS et captcha Turnstile
- Hostinger (UE) : hébergement serveurs et base de données
Tous nos sous-traitants sont conformes au RGPD via clauses contractuelles types.
7. Vos droits (RGPD)
- Accès : obtenir copie de vos données
- Rectification : corriger une erreur
- Effacement ("droit à l'oubli") : suppression du compte
- Portabilité : récupérer vos données dans un format ouvert
- Opposition : refuser certains traitements (marketing)
- Limitation : geler le traitement temporairement
- Délier compte Google : supprimer la liaison Google (vous pourrez continuer à vous connecter par email + mot de passe). Sur demande à [email protected].
- Révocation Google : vous pouvez retirer l'accès accordé à tout moment depuis myaccount.google.com/permissions.
Pour exercer ces droits : [email protected] (réponse sous 30 jours). Vous pouvez aussi déposer une réclamation auprès de la CNIL.
8. Sécurité
- Connexion HTTPS obligatoire (TLS 1.3)
- Mots de passe hashés bcrypt (12 rounds)
- Sessions JWT signées HMAC SHA-256
- Cookies httpOnly + sameSite=lax
- Rate limiting sur endpoints sensibles
- Backup chiffré quotidien des bases de données
9. Modifications
Nous nous réservons le droit de modifier cette politique. La date de dernière mise à jour figure en haut de page. En cas de changement substantiel, vous serez notifié par email.