Politique de Confidentialité — CrossRide
Version : 1.3
Date d'entrée en vigueur : 1er mai 2026
Dernière mise à jour : 7 mai 2026
1. Responsable du traitement
CrossRide OÜ
Lõkke tn 4, 10122 Tallinn, Kesklinna linnaosa, Harju maakond, Estonia
Numéro d'immatriculation : 17500416
Email : contact@crossride.eu
Délégué à la Protection des Données (DPO) : Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre DPO à : contact@crossride.eu
2. Données collectées
2.1 Données fournies directement
- Identité : nom, prénom, date de naissance, photo de profil
- Contact : adresse email, numéro de téléphone
- Document d'identité : collecté et vérifié par Stripe Identity. CrossRide ne stocke jamais l'image du document, qui est traitée de manière sécurisée par Stripe conformément à sa propre politique de rétention.
- Informations de paiement : gérées exclusivement par Stripe (nous ne stockons jamais vos données de carte)
- Préférences : langue, notifications, paramètres de conduite
2.2 Données collectées automatiquement
- Données de trajet : origine, destination, heure, distance
- Données GPS : collectées pendant le trajet via l'application (voir section 5)
- Données d'utilisation : logs de connexion, interactions avec la plateforme
- Données de l'appareil : type d'appareil, système d'exploitation, identifiant de notification push
2.3 Données générées par la plateforme
- Historique des trajets et transactions
- Notes et avis reçus
- Score de fiabilité
- Données de remboursement et journal d'audit
3. Bases légales du traitement (RGPD)
| Finalité | Base légale |
|---|---|
| Exécution du contrat de mise en relation | Art. 6(1)(b) RGPD — exécution du contrat |
| Vérification d'identité (KYC) | Art. 6(1)(f) RGPD — intérêt légitime (sécurité des utilisateurs et prévention de la fraude) |
| Traitement des paiements | Art. 6(1)(b) RGPD — exécution du contrat |
| Détection de fraude et sécurité | Art. 6(1)(f) RGPD — intérêt légitime |
| Communications marketing | Art. 6(1)(a) RGPD — consentement |
| Amélioration du service | Art. 6(1)(f) RGPD — intérêt légitime |
| Conservation des données d'audit | Art. 6(1)(c) RGPD — obligation légale |
| Calcul des prix dynamiques | Art. 6(1)(f) RGPD — intérêt légitime (optimisation de la plateforme) |
| Collecte des données GPS | Art. 6(1)(f) RGPD — intérêt légitime (sécurité des passagers et prévention des fraudes) |
4. Finalités du traitement
Vos données sont utilisées pour :
- Créer et gérer votre compte
- Vérifier votre identité avant votre premier trajet
- Mettre en relation conducteurs et passagers
- Traiter les paiements et remboursements
- Assurer la sécurité de la plateforme et détecter les fraudes
- Calculer les prix dynamiques et les suggestions de tarification
- Fournir le support client en français et en anglais, ainsi que dans d'autres langues européennes selon l'expansion de la plateforme
- Envoyer des notifications liées à vos trajets
- Vous envoyer des communications marketing (avec votre consentement)
- Respecter nos obligations légales et réglementaires
5. Données GPS
Les données GPS sont collectées pendant le trajet sur l'appareil du conducteur pour :
- Servir de preuve secondaire dans les décisions de remboursement
- Confirmer l'itinéraire effectué en cas de litige
Conservation : Les données GPS sont conservées 90 jours après le trajet, puis supprimées définitivement (obligation RGPD).
En cas de litige sur un remboursement, les données GPS constituent une preuve secondaire. Les deux parties sont contactées pour recueillir leur version des faits. La décision finale est prise de manière équitable, en tenant compte de l'ensemble des preuves disponibles (GPS, déclarations, historique du conducteur et du passager).
6. Partage des données
Nous ne vendons jamais vos données personnelles. Nous les partageons uniquement avec :
| Destinataire | Finalité | Données transmises | Pays |
|---|---|---|---|
| Stripe | Paiements, KYC (Stripe Identity) | Données de paiement et d'identité | UE |
| Anthropic | Agents IA (support, matching, pricing, fraude) | Données pseudonymisées uniquement (ni nom, ni coordonnées complètes) — les requêtes sont anonymisées avant transmission afin de garantir la confidentialité | USA (CCT) |
| Mapbox | Cartographie et routing | Coordonnées GPS de trajet | USA (CCT) |
| ElevenLabs | Synthèse vocale (dispatchs urgents) | Script d'appel anonymisé | USA (CCT) |
| Twilio | Appels téléphoniques (dispatchs urgents) | Numéro de téléphone du conducteur | USA (CCT) |
| Sentry | Monitoring d'erreurs | Logs techniques anonymisés | USA (CCT) |
| AWS/GCP | Hébergement — régions UE uniquement | Toutes données hébergées | UE |
Tous les prestataires établis hors UE ont signé des clauses contractuelles types (CCT) conformément au RGPD.
7. Transferts hors UE
Certains de nos prestataires (Anthropic, Mapbox, ElevenLabs, Twilio, Sentry) sont établis aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne, conformément à l'article 46(2)(c) du RGPD.
Important : En raison de la législation américaine (notamment le CLOUD Act), les données hébergées par des prestataires américains peuvent, dans certaines conditions légales spécifiques, être accessibles aux autorités américaines, même en présence de CCT. CrossRide limite au strict nécessaire les données transférées à ces prestataires et ne leur transmet jamais de données sensibles inutiles.
8. Durées de conservation
| Donnée | Durée de conservation |
|---|---|
| Données de compte | Durée de vie du compte + 3 ans après résiliation |
| Données de trajet | 5 ans (obligations légales et fiscales) |
| Données GPS | 90 jours |
| Journal d'audit des remboursements | 5 ans après la clôture du dernier remboursement concerné, puis archivage anonymisé |
| Données de paiement (Stripe) | Selon politique Stripe (minimum légal) |
| Logs de sécurité | 12 mois |
| Données marketing (avec consentement) | Jusqu'au retrait du consentement |
9. Vos droits RGPD
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données personnelles
- Droit de rectification (art. 16) : corriger des données inexactes
- Droit à l'effacement (art. 17) : demander la suppression de vos données sous conditions
- Droit à la limitation (art. 18) : limiter le traitement de vos données
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré
- Droit d'opposition (art. 21) : vous opposer au traitement basé sur l'intérêt légitime
- Retrait du consentement : à tout moment pour les traitements basés sur le consentement
Pour exercer vos droits : contact@crossride.eu
Nous répondons à toute demande dans un délai de 30 jours.
9.1 Droit à l'effacement — limitations
Le droit à l'effacement ne s'applique pas aux données conservées pour :
- Des obligations légales (données fiscales, comptables)
- L'intégrité de la plateforme (journal d'audit des remboursements)
- La défense de droits en justice
10. Sécurité des données
CrossRide met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des données en transit (TLS 1.3) et au repos
- Authentification JWT + bcrypt pour les mots de passe
- Accès aux données restreint au personnel autorisé
- Pseudonymisation des données avant transmission aux prestataires IA
- Audits de sécurité réguliers et analyse de dépendances (pip-audit)
- Hébergement exclusivement sur des serveurs en Union européenne
- Pas de stockage de données bancaires (délégué à Stripe)
11. Cookies
CrossRide utilise des cookies essentiels au fonctionnement de la plateforme (authentification, préférences de langue). Des cookies analytiques et des cookies tiers peuvent être utilisés avec votre consentement explicite.
Vous pouvez gérer vos préférences de cookies via la bannière affichée lors de votre première visite ou dans les paramètres de votre compte. Pour plus de détails, consultez notre Politique de cookies.
12. Mineurs
CrossRide est réservé aux personnes âgées de 16 ans et plus (18 ans pour les conducteurs). Nous ne collectons pas sciemment de données personnelles d'enfants de moins de 16 ans. Si vous estimez qu'un enfant a créé un compte, contactez-nous à contact@crossride.eu.
13. Modifications de la politique
CrossRide peut modifier cette politique de confidentialité. En cas de modification substantielle, vous serez notifié par email au moins 15 jours avant l'entrée en vigueur. La version en vigueur est toujours accessible sur https://crossride.eu/legal/confidentialite.
14. Réclamation auprès d'une autorité de contrôle
Si vous estimez que le traitement de vos données viole le RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de protection des données compétente :
- Belgique : Autorité de protection des données (APD) — www.autoriteprotectiondonnees.be
- Estonie : Andmekaitse Inspektsioon — www.aki.ee
- France : Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr
- Portail européen : Trouvez l'autorité compétente dans votre pays — https://ec.europa.eu/info/law/law-making-process/your-rights-eu/your-rights-eu-protecting-your-personal-data/data-protection-authorities_fr
Contact pour les questions RGPD / DPO : contact@crossride.eu