Voiture Comme Neuve
Voiture Comme Neuve
Lavage auto premium
Retour
Confidentialité

Politique de confidentialité

Dernière mise à jour : 12 juillet 2026

1. Responsable du traitement

Voiture Comme Neuve SAS, au capital de 1 000 €, immatriculée au RCS de Paris, dont le siège social est situé en France. Email DPO : [email protected].

2. Données collectées

  • Compte : email, nom, mot de passe (hashé bcrypt, optionnel si connexion Google), téléphone, adresse
  • Connexion Google (optionnel) : identifiant Google (sub), email vérifié, nom et URL photo de profil. Récupérés uniquement si vous cliquez sur "Continuer avec Google". Aucun autre accès à votre compte Google (pas de Gmail, Drive, contacts, etc.)
  • Réservations : date, heure, lavage choisi, prestation, prix, adresse de prestation
  • Paiement : traité par Stripe (PCI-DSS niveau 1). Aucune donnée de carte stockée chez nous
  • Géolocalisation : coordonnées GPS uniquement si vous activez "Près de moi" (jamais stockées sans votre consentement)
  • Avis clients : nom, note, commentaire après lavage effectué
  • Cookies : session uniquement (httpOnly, sameSite=lax). Aucun tracker tiers

3. Finalités

  • Gérer votre compte et vos réservations
  • Faciliter la mise en relation avec les partenaires lavage auto
  • Traiter les paiements (via Stripe Connect)
  • Vous notifier (rappel J-1, confirmation, lavage terminé)
  • Améliorer la qualité du service (statistiques agrégées anonymisées)

4. Base légale

  • Exécution du contrat : compte, réservation, paiement
  • Obligation légale : facturation, comptabilité (10 ans)
  • Consentement : géolocalisation, emails marketing, connexion via Google (déclenchée uniquement sur clic explicite du bouton "Continuer avec Google")
  • Intérêt légitime : sécurité, fraude

5. Conservation

  • Compte actif : tant que votre compte existe
  • Compte supprimé : suppression sous 30 jours (sauf obligations légales)
  • Factures et transactions : 10 ans (obligation comptable)
  • Logs techniques : 12 mois

6. Sous-traitants

  • Stripe (Irlande / USA) : paiements, hébergeur PCI-DSS
  • Resend (USA) : envoi emails transactionnels
  • Google Maps (USA) : affichage carte (uniquement si activé)
  • Google LLC — OAuth / Sign-In (USA) : authentification uniquement si vous cliquez "Continuer avec Google". Scopes demandés : openid email profile (aucun autre accès). Transferts hors UE encadrés par Data Privacy Framework + Clauses Contractuelles Types.
  • Cloudflare (USA) : CDN, protection anti-DDoS et captcha Turnstile
  • Hostinger (UE) : hébergement serveurs et base de données

Tous nos sous-traitants sont conformes au RGPD via clauses contractuelles types.

7. Vos droits (RGPD)

  • Accès : obtenir copie de vos données
  • Rectification : corriger une erreur
  • Effacement ("droit à l'oubli") : suppression du compte
  • Portabilité : récupérer vos données dans un format ouvert
  • Opposition : refuser certains traitements (marketing)
  • Limitation : geler le traitement temporairement
  • Délier compte Google : supprimer la liaison Google (vous pourrez continuer à vous connecter par email + mot de passe). Sur demande à [email protected].
  • Révocation Google : vous pouvez retirer l'accès accordé à tout moment depuis myaccount.google.com/permissions.

Pour exercer ces droits : [email protected] (réponse sous 30 jours). Vous pouvez aussi déposer une réclamation auprès de la CNIL.

8. Sécurité

  • Connexion HTTPS obligatoire (TLS 1.3)
  • Mots de passe hashés bcrypt (12 rounds)
  • Sessions JWT signées HMAC SHA-256
  • Cookies httpOnly + sameSite=lax
  • Rate limiting sur endpoints sensibles
  • Backup chiffré quotidien des bases de données

9. Modifications

Nous nous réservons le droit de modifier cette politique. La date de dernière mise à jour figure en haut de page. En cas de changement substantiel, vous serez notifié par email.