Politique de Confidentialité
Dernière mise à jour : 1er avril 2026
1. Responsable du traitement
Le responsable du traitement des données à caractère personnel collectées via la plateforme Voilib est Maroine, éditeur non professionnel de la plateforme au sens de l'article 6.III-2 de la loi n° 2004-575 du 21 juin 2004.
Conformément à l'article 6.III-2 précité, les coordonnées postales complètes du responsable de traitement sont conservées par l'hébergeur (voir mentions légales) et communicables sur réponse à toute réquisition d'une autorité judiciaire ou administrative compétente.
Pour toute question relative à la protection de vos données personnelles, vous pouvez nous contacter à l'adresse : dpo@voilib.fr
2. Données collectées
Nous collectons les catégories de données suivantes :
- Données d'identification : nom d'utilisateur, adresse email, mot de passe (hashé), ville, photo de profil
- Données véhicules : marque, modèle, année, type de carburant, kilométrage, plaque d'immatriculation (strictement privée), dates de contrôle technique
- Données de rendez-vous : établissement, service, créneau, statut
- Données de messagerie : contenu des messages, pièces jointes
- Données de géolocalisation : position GPS (uniquement avec votre consentement explicite)
- Données techniques : tokens de notification push, type d'appareil, système d'exploitation
3. Finalités du traitement
Vos données sont collectées pour les finalités suivantes :
- Gestion de votre compte utilisateur et authentification
- Mise en relation avec les professionnels de l'automobile
- Gestion des rendez-vous et notifications associées
- Envoi de rappels de contrôle technique
- Amélioration de nos services et statistiques anonymisées
- Communications marketing (avec votre consentement explicite)
4. Bases légales
- Exécution du contrat : gestion du compte, rendez-vous, messagerie, rappels RDV
- Intérêt légitime : rappels de contrôle technique, invitations à laisser un avis, amélioration du service
- Consentement : géolocalisation, notifications push, communications marketing
- Obligation légale : emails de sécurité, conservation des logs d'audit
5. Durées de conservation
| Donnée | Durée | Traitement à expiration |
|---|---|---|
| Messages texte | 1 an | Suppression automatique |
| Photos messagerie | 6 mois | Suppression du stockage |
| Notifications in-app | 30 jours | Suppression automatique |
| Historique RDV | 3 ans | Anonymisation |
| Avis | Durée du compte | Conservés anonymisés |
| Comptes inactifs | 3 ans | Suppression automatique |
| Logs techniques | 90 jours | Suppression automatique |
| Logs d'audit admin | 5 ans | Obligation légale |
6. Vos droits
Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès : obtenir la communication de vos données personnelles
- Droit de rectification : modifier vos données inexactes ou incomplètes
- Droit d'effacement : demander la suppression de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré (JSON)
- Droit d'opposition : vous opposer au traitement de vos données
Ces droits peuvent être exercés directement depuis l'application (Paramètres > Confidentialité) ou en nous contactant à dpo@voilib.fr. Nous nous engageons à répondre dans un délai d'un mois.
7. Données relatives aux auto-écoles
Dans le cadre de la fonctionnalité de liaison avec une auto-école, nous collectons et traitons les données suivantes sur la base légale de l'exécution d'un contrat (article 6.1.b du RGPD) : type de permis préparé, nombre d'heures de formation, historique des leçons, dates d'examens, et notes personnelles de l'élève.
Les compte-rendus de moniteur ne sont collectés qu'avec l'accord explicite de l'élève, révocable à tout moment depuis les paramètres de l'application.
La liaison numérique entre un élève et une auto-école ne constitue pas un contrat de formation. La Plateforme décline toute responsabilité concernant le contrat de formation signé entre l'élève et l'auto-école.
8. Cookies
Le site web voilib.fr utilise des cookies strictement nécessaires au fonctionnement du site. Aucun cookie de tracking ou publicitaire n'est utilisé sans votre consentement préalable.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles : chiffrement des données en transit (TLS) et au repos, validation des entrées, contrôle d'accès strict (Row Level Security), et limitation du taux de requêtes.
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans un délai de 72 heures et à vous informer dans les meilleurs délais.
10. Sous-traitants
Conformément aux articles 13 et 28 du RGPD, nous vous informons que Voilib a recours aux sous-traitants suivants pour le traitement de vos données. Chacun a signé un accord de traitement (DPA) conforme au RGPD, et les transferts hors Union européenne, lorsqu'ils existent, sont encadrés par des clauses contractuelles types (CCT) et, le cas échéant, le Data Privacy Framework UE-États-Unis (décision d'adéquation 2023).
| Sous-traitant | Finalité | Pays | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage des fichiers | UE (Francfort) | DPA + hébergement intra-UE |
| Render Services, Inc. | Hébergement de l'API applicative (logique métier : RDV, messagerie, comptes, traitement serveur) | UE (Francfort) | DPA + hébergement intra-UE |
| Vercel Inc. | Hébergement du site voilib.fr et du back-office admin | UE (Paris) + CDN mondial | DPA + DPF + région fonctions forcée UE |
| Resend Inc. | Envoi des emails transactionnels (confirmation compte, rappels RDV, réinitialisation mot de passe) | USA | DPA + CCT + DPF |
| Google LLC (Maps) | Affichage cartographique des établissements | USA | DPA + CCT + DPF |
| Google LLC (Firebase) | Notifications push sur application mobile (iOS/Android) | USA | DPA + CCT + DPF · envoi conditionné au consentement |
| Vercel Analytics | Mesure d'audience anonymisée (nb de visites, pays, appareil) | UE | Sans cookie, sans identifiant · exemption CNIL « mesure d'audience » |
La liste des sous-traitants peut évoluer. En cas d'ajout ou de changement, nous mettrons à jour la présente politique. Pour toute question ou demande d'accès aux contrats de sous-traitance (DPA) : dpo@voilib.fr.
11. Transferts hors Union européenne
Certaines données peuvent être transférées hors de l'Union européenne dans le cadre strict des sous-traitants listés ci-dessus (Resend, Google — tous basés aux États-Unis).
Ces transferts sont encadrés par :
- Le Data Privacy Framework UE-États-Unis, adopté par la Commission européenne le 10 juillet 2023 (décision d'adéquation 2023/1795), pour les sous-traitants certifiés.
- Les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914), intégrées dans chaque contrat.
- Des mesures techniques supplémentaires (chiffrement en transit TLS, minimisation des données transférées).
Le traitement applicatif (API Render), le stockage en base (Supabase) et l'exécution du site (Vercel) restent entièrement dans l'Union européenne (Francfort et Paris). Aucune donnée personnelle n'est traitée ni stockée hors de l'UE, à l'exception des sous-traitants tiers listés ci-dessus (emails, cartographie, notifications push), encadrés par les garanties RGPD indiquées.
12. Contact DPO
Pour toute question concernant la protection de vos données personnelles, l'exercice de vos droits ou l'accès aux contrats de sous-traitance :
Email : dpo@voilib.fr
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr