Politique de confidentialité — DrivePal
Dernière mise à jour : 14 mai 2026 — Version 1.0
La présente Politique de Confidentialité décrit comment INOVLAB (ci-après « DrivePal », « nous », « notre ») collecte, utilise et protège les données personnelles des utilisateurs de l’application mobile DrivePal et du site drivepalapp.com.
Elle est conforme au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la Loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
1. Responsable du traitement
INOVLAB SAS au capital de 500 € — RCS Nanterre 104 913 140 — N° TVA : FR40104913140 Siège social : 4 Rue de la Station, 92360 Meudon, France Représentant légal : Christian Mazloum, Président
Contact RGPD : privacy@drivepalapp.com
INOVLAB n’est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l’article 37 du RGPD. Le responsable de traitement est le représentant légal mentionné ci-dessus.
2. Données collectées
2.1. Données d’identification
| Donnée | Finalité | Base légale |
|---|---|---|
| Authentification, notifications transactionnelles | Exécution du contrat | |
| Mot de passe (hashé) | Authentification | Exécution du contrat |
| Prénom, nom, photo de profil | Personnalisation, affichage sur les factures | Exécution du contrat |
| Numéro de téléphone | Affichage sur les factures (optionnel) | Exécution du contrat |
2.2. Données professionnelles (Chauffeur VTC)
| Donnée | Finalité | Base légale |
|---|---|---|
| Dénomination sociale, SIRET, RCS | Conformité Factur-X 2027, mentions légales factures | Obligation légale |
| Adresse professionnelle | Mentions légales factures | Obligation légale |
| Numéro TVA intracommunautaire | Facturation B2B intra-UE | Obligation légale |
| N° licence VTC | Conformité réglementaire transport | Obligation légale |
| Forme juridique, capital social | Mention obligatoire art. R.123-237 Code de commerce | Obligation légale |
| Coordonnées bancaires (IBAN, BIC) | Affichage sur factures pour règlement par virement | Exécution du contrat |
| Coordonnées assurance RC Pro | Affichage optionnel factures (rassurance client B2B) | Exécution du contrat |
2.3. Données métier (générées par l’utilisateur)
- Bons de commande, factures, avoirs
- Fiches clients (créées par le chauffeur, contenant nom/prénom/SIRET/adresse de SES clients)
- Véhicules (immatriculation, taux CO₂)
- Tarifs personnalisés
- Historique des courses (km, durée, montant)
Base légale : Exécution du contrat (gestion de l’activité professionnelle de l’utilisateur) Statut juridique : Pour les fiches clients, l’utilisateur (chauffeur) est lui-même responsable de traitement vis-à-vis de SES clients. DrivePal agit comme sous-traitant au sens du RGPD pour ces données. Un accord de sous-traitance type est implicite via les présentes CGU/Privacy.
2.4. Données techniques
| Donnée | Finalité | Base légale |
|---|---|---|
| Identifiant device anonymisé (vendor ID iOS / Android ID, hashé) | Anti-fraude programme parrainage | Intérêt légitime |
| Adresse IP (hashée) | Anti-fraude (cluster de comptes) | Intérêt légitime |
| Modèle device, version OS, version app, locale, fuseau horaire | Support technique (footer email mail support) | Intérêt légitime |
| Token push notification (Apple APNs / Google FCM) | Notifications transactionnelles (BC partenaire reçu, etc.) | Consentement |
| Données de plantage (Crashlytics) | Stabilité de l’application | Intérêt légitime |
| Statistiques d’usage anonymisées (Analytics) | Amélioration produit | Intérêt légitime |
2.5. Données de paiement
DrivePal ne stocke aucune donnée bancaire liée au paiement de l’abonnement. Les paiements sont gérés exclusivement par :
- Apple App Store (utilisateurs iOS) — via In-App Purchase
- Google Play (utilisateurs Android) — via Google Play Billing
- RevenueCat Inc. — sous-traitant pour la validation côté serveur des reçus d’abonnement
DrivePal reçoit uniquement le statut de l’abonnement (actif/inactif/expiré), pas les coordonnées bancaires.
3. Sources des données
Les données sont collectées :
- Directement auprès de vous lors de l’inscription, de la complétion du profil, de la création de bons de commande, etc.
- Auprès de tiers de confiance lors des appels API publics que vous déclenchez :
- API Recherche d’Entreprises (gouvernement français) : auto-remplissage des informations entreprise depuis votre SIRET ou celui de vos clients
- API VIES (Commission européenne) : validation des numéros de TVA intracommunautaires
- Automatiquement par votre device : token push (avec votre accord), modèle device pour le support, données de plantage anonymisées
- Apple Sign In (optionnel) : si vous choisissez ce mode de connexion, Apple nous transmet votre identifiant Apple, et UNIQUEMENT à la 1ʳᵉ connexion, votre prénom + nom (ou un email private relay si vous masquez votre vrai email)
4. Utilisations & finalités
| Finalité | Détail |
|---|---|
| Fournir le service DrivePal | Création/gestion compte, BC, factures, avoirs, clients, véhicules, tarifs |
| Conformité légale (Factur-X 2027, Code de commerce) | Mentions obligatoires sur factures, archivage 10 ans |
| Gestion abonnement Premium | Validation reçu, statut, restauration achats |
| Programme de parrainage | Suivi des inscriptions filleuls, attribution bonus |
| Notifications push transactionnelles | BC reçu d’un partenaire, BC accepté/refusé, filleul s’est abonné |
| Notifications email transactionnelles | Copie automatique facture si activée (opt-in) |
| Support utilisateur | Réponse aux demandes via email |
| Amélioration du produit | Crashlytics (stabilité), Analytics (usage anonymisé) |
| Anti-fraude | Détection des inscriptions multiples via fingerprint device + IP hashée |
5. Sous-traitants et destinataires des données
Les données sont accessibles uniquement par INOVLAB et les sous-traitants suivants, tous engagés contractuellement à respecter le RGPD (DPA signés avec chaque fournisseur listé) :
| Sous-traitant | Service rendu | Localisation des données | Garanties RGPD |
|---|---|---|---|
| Supabase Inc. | Backend, base de données, authentification, stockage fichiers, fonctions serveur | UE (Paris, eu-west-3) | DPA + hébergement UE |
| Apple Inc. | Sign in with Apple, Push Notifications APNs, In-App Purchase | États-Unis | Clauses contractuelles types (CCT) |
| Google LLC | Google Sign In, Firebase Crashlytics, Firebase Analytics, FCM, Google Play Billing | États-Unis | Clauses contractuelles types (CCT) |
| RevenueCat Inc. | Validation et gestion des reçus d’abonnement | États-Unis | DPA + CCT |
| Resend Inc. | Envoi d’emails transactionnels (copie facture opt-in) | UE | DPA + hébergement UE |
| Expo (650 Industries Inc.) | Service de Push Notifications unifié iOS+Android | États-Unis | CCT |
| OVH SAS | Hébergement du site web drivepalapp.com | France | RGPD natif |
| OSRM (Open Source Routing Machine) | Calcul d’itinéraire routier (km) — instance publique | Public, données OpenStreetMap | Pas de PII transmise (uniquement coords lat/lon anonymes) |
| api-adresse.data.gouv.fr (BAN) | Recherche d’adresses postales françaises | France (État) | Service public, RGPD natif |
| photon.komoot.io | Recherche de POI (Points d’Intérêt) | Allemagne | RGPD natif (UE) |
| recherche-entreprises.api.gouv.fr (INSEE) | Lookup SIRET et entreprises | France (État) | Service public, RGPD natif |
| VIES (Commission européenne) | Validation TVA intracommunautaire | UE | RGPD natif |
Aucune donnée n’est vendue ou cédée à des tiers à des fins commerciales.
Transferts hors UE
Certains sous-traitants (Apple, Google, RevenueCat, Expo) sont basés aux États-Unis. Les transferts sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (Décision 2021/914), garantissant un niveau de protection équivalent au RGPD.
6. Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte utilisateur (profil, paramètres) | Durée d’utilisation + suppression à la demande de l’utilisateur |
| Bons de commande, factures, avoirs | 10 ans à compter de leur émission — obligation légale art. L.123-22 du Code de commerce |
| Fiches clients | Durée d’utilisation + 3 ans après le dernier BC concernant ce client (prescription commerciale) |
| Données de paiement | Non stockées par DrivePal (Apple/Google/RevenueCat) |
| Logs techniques (Crashlytics, Analytics) | 90 jours puis anonymisation |
| Token push notification | Tant que l’utilisateur conserve l’app installée |
| Fingerprint anti-fraude (device hash, IP hash) | 30 jours glissants |
| Logs de connexion (auth) | 12 mois (recommandation CNIL) |
À l’issue de ces durées, les données sont supprimées définitivement ou anonymisées de manière irréversible.
7. Suppression du compte
Vous pouvez supprimer votre compte à tout moment depuis l’application :
Réglages → Support → Supprimer mon compte
Deux cas :
- Si vous n’avez aucune facture émise : suppression immédiate et complète (toutes les données sont effacées des serveurs Supabase + nettoyage Apple Sign In si concerné + nettoyage Storage avatar + révocation des sessions).
- Si vous avez des factures : un statut « demande de suppression RGPD » est enregistré. Vos factures sont conservées 10 ans (obligation légale) puis supprimées. Toutes les autres données (profil, clients, BC non facturés, abonnement) peuvent être supprimées sur demande à privacy@drivepalapp.com.
Pour les utilisateurs ayant utilisé Sign in with Apple, leur token de rafraîchissement Apple est automatiquement révoqué lors de la suppression du compte (conformité Apple App Store §4.8 depuis juin 2022).
8. Vos droits RGPD
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Comment l’exercer |
|---|---|
| Droit d’accès (art. 15) | Email à privacy@drivepalapp.com — réponse sous 30 jours |
| Droit de rectification (art. 16) | Modification directe dans Réglages → Profil, ou par email |
| Droit à l’effacement (art. 17) | Réglages → Support → Supprimer mon compte (cf. §7) |
| Droit à la portabilité (art. 20) | Email à privacy@drivepalapp.com — export JSON de vos données fourni sous 30 jours |
| Droit d’opposition (art. 21) | Notamment pour les notifications push (Réglages → Notifications) et les emails marketing |
| Droit de limitation (art. 18) | Email à privacy@drivepalapp.com avec motif |
| Droit de retirer son consentement (art. 7) | Désactivation des notifications, désinstallation de l’app, suppression compte |
| Droit d’introduire une réclamation auprès d’une autorité de contrôle | CNIL : www.cnil.fr — 3 Place de Fontenoy, 75007 Paris |
Une réponse est apportée dans un délai maximum d’un mois à compter de la réception de la demande (extensible à 3 mois pour les demandes complexes, avec information préalable).
9. Sécurité des données
INOVLAB met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement en transit : HTTPS/TLS 1.2+ pour toutes les communications client-serveur
- Chiffrement au repos : base de données Supabase chiffrée AES-256
- Authentification : mots de passe hashés (bcrypt), sessions JWT à durée limitée
- Row Level Security (RLS) : isolation stricte des données entre utilisateurs au niveau base de données
- Audit régulier : revues de code sécurité, mise à jour des dépendances
- Sauvegardes automatiques : Supabase effectue des backups quotidiens, conservés 7 jours
En cas de violation de données présentant un risque pour vos droits et libertés, INOVLAB s’engage à notifier la CNIL dans les 72 heures et à vous informer dans les meilleurs délais (art. 33-34 RGPD).
10. Cookies et traceurs
L’application mobile DrivePal n’utilise pas de cookies au sens technique du terme.
Le site web drivepalapp.com utilise uniquement des cookies fonctionnels strictement nécessaires (session utilisateur). Aucun cookie publicitaire, analytique ou de tracking tiers n’est déposé.
11. Mineurs
DrivePal s’adresse exclusivement aux utilisateurs majeurs (18 ans et plus) exerçant l’activité de chauffeur VTC. Le service n’est pas destiné aux mineurs et nous ne collectons pas sciemment de données concernant des personnes de moins de 18 ans.
12. Modifications
INOVLAB se réserve le droit de modifier la présente politique à tout moment. La version en vigueur est celle publiée sur drivepalapp.com/privacy. En cas de modifications substantielles, les utilisateurs sont notifiés via une notification dans l’application au moins 30 jours avant l’entrée en vigueur.
13. Contact
Pour toute question relative à cette politique ou au traitement de vos données :
INOVLAB — Service RGPD 4 Rue de la Station, 92360 Meudon, France Email : privacy@drivepalapp.com
INOVLAB — SAS au capital de 500 € — RCS Nanterre 104 913 140