Politique de confidentialité

1) Données personnelles traitées

• Données de site et consentement : adresse IP, navigateur/appareil, horodatages, langue, choix cookie_consent et identifiants analytics uniquement si analytics est configuré et accepté.
• Compte client : prénom, nom, e-mail, téléphone, adresse, langue, hash du mot de passe, identifiants de compte/session et identifiants Google ou Apple OAuth si utilisés.
• Réservation et passagers : adresses de départ/arrivée, itinéraire, dates, heures, numéro de vol, nombre de passagers, bagages, véhicule, demandes de siège enfant ou animal, références de réservation, notes et demandes spéciales.
• Paiement, remboursement et facture : montant, devise, statut, références prestataire, remboursements/litiges, factures et données TVA/comptables. Nous ne stockons pas les numéros de carte complets ni le CVV.
• Support et contact : messages, coordonnées et fichiers ou captures que vous choisissez de nous envoyer.
• Partenaires : société, contact, TVA/VIES, confirmation de représentant autorisé, accusé de réception des e-mails de service/onboarding, documents, véhicules/photos, IBAN/paiement, zones de service et statut de candidature.
• Dispatch, preuve et administration : partenaire/chauffeur assigné, statuts opérationnels, événements de preuve, horodatages, actions admin, journaux de sécurité et de diagnostic.

2) Finalités et bases légales

• Réservations, compte, coordination passager, paiement et factures : exécution du contrat ou mesures précontractuelles (art. 6(1)(b) RGPD).
• Comptabilité, fiscalité, paiement, remboursement et conservation légale : obligation légale (art. 6(1)(c)).
• Prévention de la fraude, sécurité, qualité du dispatch, support, litiges, amélioration du service et journalisation limitée : intérêts légitimes (art. 6(1)(f)).
• Onboarding partenaire, revue documentaire, paiement partenaire et vérifications d’éligibilité : contrat/précontrat, obligations légales et intérêts légitimes selon le dossier.
• Cookies analytics et Google Analytics, si configuré : consentement (art. 6(1)(a)); analytics est bloqué tant que le consentement analytics n’est pas donné.
• E-mails promotionnels ou offres : uniquement avec opt-in séparé si ce marketing est mis en place. Les e-mails transactionnels de compte et de réservation ne sont pas du marketing.
• Les données sensibles ne sont pas demandées. Si vous en incluez volontairement dans des notes ou messages, nous traitons uniquement ce qui est nécessaire au transfert, au support, à une réclamation ou à la sécurité.

3) Destinataires et prestataires

• Les partenaires, opérateurs ou chauffeurs assignés reçoivent les données nécessaires à l’exécution du trajet.
• Prestataires de paiement : Stripe et myPOS pour paiements et remboursements en ligne lorsque utilisés.
• E-mail et messagerie : Brevo pour l’envoi transactionnel et Google Workspace pour les boîtes mail professionnelles.
• Cartes et itinéraires : Google Maps Platform pour l’autocomplétion d’adresse, les cartes et l’aide au trajet.
• Analytics : Google Analytics peut recevoir des informations de page assainies uniquement si configuré et accepté dans les paramètres cookies.
• Stockage et infrastructure : du code compatible Cloudflare R2 est utilisé pour les uploads partenaires; PostgreSQL est la technologie de base de données; l’hébergement semble probablement utiliser Vercel. Le fournisseur, la région et les réglages de production doivent être vérifiés dans les comptes concernés.
• Authentification et contrôles : Google OAuth, Apple OAuth et EU VIES peuvent être utilisés selon le cas.
• Conseils professionnels, autorités, banques, réseaux cartes ou tribunaux peuvent recevoir des données lorsque nécessaire pour la comptabilité, les réclamations, la conformité, la fraude ou les litiges.

4) Transferts internationaux et régions

Les lieux de traitement peuvent dépendre de la configuration de production, des tableaux de bord fournisseurs et de leur infrastructure. Cette page n’indique pas de région d’hébergement, base de données, stockage, analytics ou sauvegarde comme confirmée tant qu’elle n’a pas été vérifiée.

Lorsqu’un fournisseur ou sous-traitant implique un accès hors EEE, un mécanisme de transfert licite applicable et une revue contractuelle doivent être en place avant que ce fournisseur soit utilisé pour le traitement de production. Vous pouvez contacter privacy@oddotransfer.com pour les informations actuelles.

5) Conservation

• Factures, comptabilité, paiements et remboursements : 10 ans.
• Réservations liées à un paiement, une facture, un remboursement, un litige ou la comptabilité : jusqu’à 10 ans.
• Notes opérationnelles, notes chauffeur et demandes spéciales : normalement 3 ans, sauf litige, réclamation, comptabilité ou sécurité.
• Compte client : compte actif plus 3 ans d’inactivité, sauf conservation comptable ou légale plus longue.
• Messages support : normalement 24 à 36 mois après clôture du dossier.
• Candidatures partenaires refusées : normalement 12 mois, sauf fraude, litige ou raison légale.
• Dossiers et documents de partenaires approuvés : durée de la relation partenaire plus période légale/comptable requise.
• Journaux de sécurité : normalement 30 à 90 jours; plus longtemps uniquement pour incident, fraude, litige ou raison légale.
• Google Analytics : selon le paramètre de conservation configuré dans Google Analytics, à vérifier dans le tableau de bord si GA est activé.
• Consentement cookies : environ 6 mois.

6) Vos droits RGPD et demandes

• Vous pouvez demander accès, rectification, effacement, limitation, portabilité, opposition et retrait du consentement lorsque applicable.
• Envoyez vos demandes à privacy@oddotransfer.com. Nous pouvons vérifier votre identité et demander des informations suffisantes pour retrouver les dossiers.
• Le système actuel ne prévoit pas d’export ou suppression de compte entièrement automatisé en libre-service. Les demandes sont traitées manuellement si nécessaire.
• Une demande de suppression ne supprime pas forcément les factures, paiements, remboursements, litiges, dossiers fraude ou données légales qui doivent être conservés. Le traitement est alors limité au but requis.
• Vous pouvez introduire une réclamation auprès de la CNPD Luxembourg si vous estimez que vos droits ne sont pas respectés.

7) Cookies, stockage local, cartes et analytics

• Les cookies et stockages essentiels soutiennent les sessions, la langue, l’état de réservation, le paiement, la sécurité et le fonctionnement du site.
• Le cookie cookie_consent enregistre vos choix pendant environ 6 mois et peut être modifié via Paramètres des cookies dans le pied de page.
• Google Analytics ne se charge qu’après consentement analytics. Avant l’envoi d’une page vue, les paramètres d’URL sont retirés et les chemins avec jeton sont masqués.
• Si le consentement analytics est retiré, le site cesse de charger Google Analytics pour les chargements futurs et efface les cookies _ga connus lorsque possible.
• Google Maps fait partie de l’expérience de réservation/adresse et peut traiter des données de requête carte/adresse selon ses propres conditions.

8) Marketing, récompenses et minimisation

• Des récompenses peuvent être visibles dans le compte ou tableau de bord client.
• Les e-mails promotionnels ou d’offres nécessitent un opt-in séparé s’ils sont mis en place. Les e-mails de bienvenue/compte sont transactionnels et ne doivent pas contenir d’offre promotionnelle sans cet opt-in.
• ODDO TRANSFER ne collecte pas de champ genre dans le profil client actuel.
• Veuillez ne pas inclure d’informations sensibles inutiles, par exemple santé, religion, documents d’identité ou autres données particulières, dans les champs libres sauf nécessité stricte pour le transfert.

9) Sécurité

Nous appliquons des mesures techniques et organisationnelles adaptées au risque, notamment contrôle d’accès, contrôles d’authentification/session, HTTPS, accès opérationnel limité, journaux de sécurité/diagnostic et contrôles administratifs pour documents partenaires et flux paiement/remboursement.

Certaines garanties opérationnelles, comme région de stockage, règles de cycle de vie, sauvegardes et paramètres fournisseurs, sont gérées dans les tableaux de bord fournisseurs et doivent être vérifiées avant une due diligence formelle.

10) Mises à jour

Nous pouvons mettre à jour cette Politique lorsque le service, les prestataires, les exigences légales ou les processus internes changent. La dernière version est disponible sur cette page.