Politique de Confidentialité — ResaByBicabi v1.0
Entrée en vigueur : 22 avril 2026
1. Introduction
ResaByBicabi est une plateforme SaaS multi-locataire destinée aux entreprises de transport routier (VTC, taxis, autocars). Elle facilite la gestion des réservations de transport, l'affectation des véhicules et la facturation auprès des clients finaux.
La présente Politique de Confidentialité décrit comment SAS BICABI (ci-après « BICABI ») collecte, traite, stocke et protège les données personnelles pour lesquelles elle agit en qualité de responsable de traitement (art. 4(7) RGPD), conformément au Règlement Général sur la Protection des Données (RGPD – UE 2016/679), à la Loi Informatique et Libertés (LIL – Loi 78-17 modifiée), à la Loi pour la Confiance dans l'Économie Numérique (LCEN), à la Directive ePrivacy (2002/58/CE) et à la Data Act (Règlement UE 2023/2854).
1.1 Périmètre de la présente politique
Cette politique s'applique :
- aux Transporteurs (entreprises abonnées à la Plateforme) en tant que clients professionnels de BICABI ;
- aux Utilisateurs Transporteurs (personnes physiques agissant pour le compte d'un Transporteur : owners, supervisors, drivers, clients internes, partners) ;
- aux Partenaires (personnes morales liées à BICABI par une CGV partenaire) ;
- aux visiteurs du site marketing
resabybicabi.fr(cookies, analytics, prospection).
1.2 Hors périmètre : les Clients finaux des Transporteurs
La présente politique ne s'applique pas directement aux clients finaux des Transporteurs (passagers, invités, clients référés par un Partenaire). Pour ces personnes, BICABI agit en sous-traitant au sens de l'article 28 du RGPD, pour le compte du Transporteur qui est leur responsable de traitement.
Les clients finaux doivent se référer à la Politique de Confidentialité publiée par leur Transporteur pour connaître les modalités de traitement de leurs données personnelles (finalités, base juridique, durées, droits, destinataires). Les modalités de la sous-traitance entre BICABI et le Transporteur sont définies dans le Data Processing Agreement (DPA) annexé à la CGV Transporteur.
Si un client final adresse directement une demande RGPD à BICABI (dpo@bicabi.fr), BICABI la transmet au Transporteur responsable de traitement et en assure l'accusé de réception, conformément au DPA.
2. Responsable de Traitement et Délégué à la Protection des Données
2.1 Responsable de Traitement Principal
| Élément | Valeur |
|---|---|
| Dénomination sociale | SAS BICABI |
| Forme juridique | Société par Actions Simplifiée |
| Capital social | 5 000 € |
| SIREN | 883 359 697 |
| RCS | Bordeaux |
| Adresse du siège social | 11 rue Marie Curie, 33320 Eysines, France |
| Président / Directeur de la publication | Frédéric VAGNAT |
| Numéro TVA intracommunautaire | FR12883359697 |
| Email contact | contact@bicabi.fr |
2.2 Délégué à la Protection des Données (DPO)
| Élément | Valeur |
|---|---|
| dpo@bicabi.fr | |
| Modalités d'exercice des droits | Voir section 12 |
2.3 Rôles de Responsable de Traitement vs. Sous-Traitant
2.3.1 BICABI comme Responsable de Traitement (Art. 4(7) RGPD)
BICABI est responsable de traitement pour les données personnelles qu'il traite pour son propre compte et dont la présente Politique de Confidentialité précise les modalités :
- Données des Transporteurs et de leurs représentants : identité, coordonnées, données d'entreprise (SIREN, TVA), données de facturation SaaS, contrats
- Données des Utilisateurs Transporteurs : identité, rôle, affiliation tenant, logs d'authentification, actions d'administration
- Données des Partenaires : identité de contact, raison sociale, credentials API, contrat
- Données de connexion et sécurité : adresses IP, historique de connexion, informations de navigateur, last login, traces d'audit des accès support
- Données de support client : tickets, conversations, feedback (pour les comptes Transporteurs/UT/Partenaires)
- Données des visiteurs du site marketing
resabybicabi.fr: cookies, analytics, soumissions de formulaires de prospection - Données agrégées ou anonymisées : statistiques d'usage, tableaux de bord internes, amélioration du service
Bases juridiques : exécution du contrat (art. 6.1.b RGPD), respect d'une obligation légale (art. 6.1.c : facturation, comptabilité), intérêt légitime (art. 6.1.f : amélioration du service, prévention de la fraude, sécurité) et, le cas échéant, consentement (art. 6.1.a : marketing, cookies analytiques).
2.3.2 BICABI comme Sous-Traitant (Art. 28 RGPD)
BICABI agit en qualité de sous-traitant pour les données des Clients finaux des Transporteurs (passagers, invités, clients référés par un Partenaire), traitées exclusivement sur instructions documentées du Transporteur :
- Données des passagers : identité, coordonnées de réservation, données de paiement (références tokenisées)
- Données des invités : email, nom, prénom, téléphone (accès via lien unique, sans compte)
- Données des clients référés par un Partenaire : isolées, jamais fusionnées avec les comptes Utilisateurs Transporteurs
Statut juridique du Transporteur : chaque Transporteur est responsable de traitement indépendant pour les données de ses Clients finaux. C'est à lui qu'il appartient :
- d'établir la base juridique du traitement (contrat de transport, intérêt légitime, consentement le cas échéant) ;
- de rédiger et publier sa propre Politique de Confidentialité vis-à-vis de ses Clients finaux ;
- de gérer les demandes d'exercice des droits RGPD (accès, rectification, effacement, etc.) de ses Clients finaux ;
- de notifier les Clients finaux en cas de violation de données les concernant.
BICABI traite ces données exclusivement selon les instructions du Transporteur, matérialisées par les fonctionnalités de la Plateforme et le Data Processing Agreement (DPA) annexé à la CGV Transporteur.
Absence de co-responsabilité dans la relation bilatérale : la relation entre BICABI et un Transporteur ne constitue pas une co-responsabilité de traitement au sens de l'article 26 RGPD ; chaque partie conserve ses rôles distincts et ses responsabilités clairement définies.
2.3.3 Cas particulier de la marketplace inter-professionnelle
Lorsque deux Transporteurs utilisent la marketplace inter-professionnelle pour sous-traiter l'exécution d'une course (le Transporteur Émetteur et le Transporteur Récepteur), BICABI agit en qualité de sous-traitant simultané des deux Transporteurs pour les données opérationnelles transmises pendant la durée de la course (chauffeur, véhicule, position GPS, statut opérationnel).
Cette configuration est strictement limitée dans le temps (durée de la course) et dans le périmètre (données strictement nécessaires au suivi d'exécution). Elle ne crée :
- ni co-responsabilité entre les deux Transporteurs au sens de l'article 26 RGPD (chacun reste responsable de traitement indépendant pour ses propres données) ;
- ni co-responsabilité entre BICABI et les Transporteurs.
Les modalités précises (opt-in, instructions convergentes, journalisation inter-tenants, purge GPS, notification de violation aux deux Parties) sont détaillées à l'article 3.5 du DPA.
3. Catégories d'Utilisateurs et Données Personnelles Collectées
3.1 Transporteurs (Responsables de Compte d'Entreprise)
Données collectées
| Catégorie | Données | Obligatoire | Finalité |
|---|---|---|---|
| Identité | Nom, prénom, email (normalisé en minuscules), téléphone, locale | Oui | Authentification, contact, support |
| Entreprise | Raison sociale, SIRET, numéro TVA, adresse, slug de domaine | Oui | Identification locataire, facturation, conformité légale |
| Facturation | Stripe Customer ID, historique d'abonnement, historique de paiement | Oui | Gestion des paiements, réconciliation comptable |
| Technique | Adresses IP, logs de connexion, informations du navigateur, last login, session tokens | Oui | Sécurité, authentification, détection d'anomalies |
| Consentement | Acceptance de conditions, consentement marketing opt-in | Non | Marketing, communications électives |
Source de collecte
- Formulaires d'inscription et d'onboarding
- Intégrations API (données partenaires importées avec consentement)
- Logs serveur (IP, User-Agent, cookies)
Base juridique
- Contrat (art. 6.1.b) : authentification, gestion de service
- Obligation légale (art. 6.1.c) : facturation (Code de Commerce, TVA)
- Intérêt légitime (art. 6.1.f) : sécurité, prévention de fraude, amélioration du service
- Consentement (art. 6.1.a) : communications marketing
3.2 Utilisateurs Transporteurs (Propriétaires, Superviseurs, Chauffeurs)
Les Transporteurs peuvent ajouter plusieurs utilisateurs avec des rôles distincts (Propriétaire, Superviseur, Chauffeur).
Données collectées
| Catégorie | Données | Obligatoire | Finalité |
|---|---|---|---|
| Identité | Nom, prénom, email, téléphone | Oui | Authentification, support |
| Affiliation | Rôle (owner/supervisor/driver), rattachement au locataire | Oui | Contrôle d'accès, isolation multi-locataire |
| Localisation (Chauffeurs) | Dernière position GPS (latitude/longitude) | Oui | Assignation de courses, suivi en temps réel |
| Technique | Logs de connexion, IP, jetons de session | Oui | Sécurité, audit |
Spécificités des Données de Position (Chauffeurs)
- Stockage : La dernière position GPS est stockée dans un jeton technique de statut chauffeur, associé au locataire.
- Synchronisation multi-locataires : Les données GPS et les informations d'assignation peuvent être synchronisées entre locataires dans le cadre de la marketplace inter-professionnelle, le temps de la course uniquement.
- Suppression : Les coordonnées GPS sont supprimées immédiatement à la fin de la course (prise en charge terminée, dépose confirmée) ou à l'annulation de la réservation. Le jeton de statut sans coordonnées est conservé 24 heures pour permettre au chauffeur de consulter sa mission, puis purgé physiquement sous 48 heures maximum par un traitement quotidien automatisé. Voir section 8 – Durées de conservation.
- Finalité : Assignation efficace, respect des délais, optimisation des parcours
Base juridique
- Contrat (art. 6.1.b) : gestion d'équipe, assignation de courses
- Intérêt légitime (art. 6.1.f) : sécurité, prévention de fraude, optimisation opérationnelle
- Consentement (art. 6.1.a) : traitement GPS spécifique si dépassement de la finalité contractuelle (ex. : suivi géolocalisation continuée après la course)
3.3 Clients finaux des Transporteurs (passagers et invités) — BICABI sous-traitant
BICABI traite des données de Clients finaux (passagers authentifiés et invités accédant par lien unique) exclusivement en qualité de sous-traitant du Transporteur. La présente politique ne régit pas les finalités, bases juridiques et droits applicables à ces traitements ; ceux-ci relèvent de la Politique de Confidentialité publiée par chaque Transporteur, qui est seul responsable de traitement.
À titre d'information technique sur les catégories de données techniquement opérées pour le compte du Transporteur :
- Passagers authentifiés : identité (nom, prénom, email, téléphone), adresses de réservation et coordonnées GPS de points d'intérêt, données de réservation (dates, heures, options), référence de paiement Stripe (tokenisée, aucune donnée bancaire complète stockée), logs de connexion et adresse IP.
- Invités (accès par lien) : prénom, nom, email, téléphone, adresses et paramètres de réservation, référence de paiement Stripe. Le token d'accès est un identifiant cryptographiquement sécurisé (64 caractères) valide jusqu'à 24 heures après l'heure de prise en charge prévue, puis conservé 7 jours après expiration à des fins d'audit avant suppression physique automatique. Aucune donnée personnelle n'est stockée dans le token lui-même.
Les Clients finaux qui souhaitent exercer leurs droits RGPD (accès, rectification, effacement, portabilité, opposition, limitation) doivent s'adresser à leur Transporteur, dont les coordonnées figurent dans les conditions générales de vente et la politique de confidentialité du Transporteur concerné. Si une demande est directement reçue par BICABI (dpo@bicabi.fr), elle est transmise au Transporteur responsable conformément à l'article 4.5 du DPA.
3.5 Partenaires (Hôtels, Agences, Entreprises)
Les Partenaires bénéficient d'accès dédié à la plateforme (ex. : intégration calendrier, portail de réservation dédié).
Données collectées
| Catégorie | Données | Obligatoire | Finalité |
|---|---|---|---|
| Identité de contact | Nom, prénom, email professionnel, téléphone | Oui | Gestion du partenariat, support |
| Entreprise partenaire | Raison sociale, adresse, numéro SIRET/TVA | Oui | Facturation, contrats |
| Accès | Credentials API, tokens, permissions spécifiques | Oui | Authentification, autorisation |
Données Passagers Partenaires
- Isolation totale : Les données des Passagers créés via un Partenaire sont complètement isolées des comptes Utilisateurs de la plateforme ResaByBicabi.
- Jamais de fusion : Aucune possibilité de migration d'un Passager Partenaire vers un compte standard.
- Finalité partenariat : Exclusivement pour les réservations via le portail partenaire.
Base juridique
- Contrat (art. 6.1.b) : gestion du partenariat
- Intérêt légitime (art. 6.1.f) : sécurité, audit
4. Bases Juridiques des Traitements
Le tableau ci-dessous synthétise la finalité de chaque traitement, la base juridique applicable et le public concerné :
| Finalité | Base Juridique | Art. RGPD | Catégories concernées | Obligatoire |
|---|---|---|---|---|
| Authentification & gestion de compte | Contrat | 6.1.b | Tous | Oui |
| Exécution des réservations | Contrat | 6.1.b | Passagers, Invités, Partenaires | Oui |
| Facturation & paiement | Contrat + Obligation légale (Code de Commerce) | 6.1.b, 6.1.c | Tous | Oui |
| Conformité légale & TVA | Obligation légale | 6.1.c | Transporteurs | Oui |
| Comptabilité & audit (10 ans) | Obligation légale | 6.1.c | Transporteurs | Oui |
| Sécurité & détection de fraude | Intérêt légitime | 6.1.f | Tous | Oui |
| Support client & tickets | Contrat + Intérêt légitime | 6.1.b, 6.1.f | Tous | Oui |
| Logs de sécurité & audit | Intérêt légitime | 6.1.f | Tous (via IP, User-Agent) | Oui |
| Amélioration du service (anonymisé) | Intérêt légitime | 6.1.f | Tous | Oui |
| Marketing & communications électives | Consentement | 6.1.a | Tous (opt-in) | Non |
| Analyse IA (devis, optimisation) | Contrat + Intérêt légitime | 6.1.b, 6.1.f | Transporteurs, Passagers | Oui (certaines) |
| Cookies analytiques (anonymisé) | Consentement (CNIL 2020-092) | 6.1.a | Tous | Oui (exception strict. nécessaire) |
5. Finalités des Traitements
5.1 Gestion du Service et Exécution du Contrat
- Création et maintien des comptes utilisateurs
- Authentification et contrôle d'accès (incluant biométrie sur mobile)
- Gestion des réservations, assignation de véhicules et chauffeurs
- Paiement et facturation
- Support client et résolution de problèmes
5.2 Conformité Légale et Régulation
- Respect des obligations comptables (Code de Commerce, 10 ans)
- Vérification de TVA et SIRET (conformité anti-fraude)
- Détection d'abus (ex. : limitation 1 essai gratuit par SIRET)
- Archivage légal des transactions
5.3 Sécurité et Prévention de Fraude
- Détection et prévention des tentatives de fraude transactionnelle
- Analyse des anomalies de connexion et comportement utilisateur
- Gestion des incidents de sécurité
- Logs d'audit pour investigation
- Journalisation des accès support : toute intervention de notre équipe support (Bicabi) sur l'espace d'un transporteur fait l'objet d'un enregistrement détaillé (intervenant, date/heure, action, IP) consultable par le responsable du tenant. Cette journalisation est réalisée en temps réel et persistée de façon synchrone (RGPD art. 30 & 32).
5.4 Amélioration du Service
- Analyse anonymisée des performances de la plateforme
- Optimisation des fonctionnalités utilisateur
- Amélioration de la qualité de service et UX
- Test A/B et expérimentations (anonymisées)
5.5 Intelligence Artificielle et Analyse IA
Transparence – Recommandations CNIL 2025-131
ResaByBicabi intègre des capacités d'analyse IA (Claude API) pour :
- Analyse de devis : optimisation automatique de devis, détection d'anomalies
- Suggestions de tarification : recommandations tarifaires basées sur l'historique
- Optimisation des trajets : calcul d'itinéraires optimisés
Traitement des Données Personnelles par IA
- Données envoyées à Anthropic Claude API : Certaines données (ex. : détails de devis, historique de pricing) sont envoyées à l'API Claude pour analyse
- Aucun stockage persistant par BICABI : Les réponses IA sont traitées mais pas conservées au-delà de la transaction immédiate
- Politiques Anthropic : Les données transférées à Anthropic (USA) sont soumises à la Politique de Confidentialité Anthropic. Un Impact Assessment de Transfert (TIA) a été réalisé (voir section 7)
- Quotas mensuels : Selon le plan d'abonnement
- Plan Solo : 5 requêtes IA/mois
- Plan Starter : 20 requêtes IA/mois
- Plan Pro : 50 requêtes IA/mois
- Plan Enterprise : Illimité
- Droit d'opposition : Les utilisateurs peuvent désactiver l'analyse IA via les paramètres de compte (désactiver = pas d'envoi à Anthropic)
Base juridique : Contrat (art. 6.1.b – exécution du service) + Intérêt légitime (art. 6.1.f – optimisation du service).
5.6 Communications Marketing
- Newsletters, annonces de mises à jour produit
- Offres promotionnelles partenaires
- Invitations aux webinaires/formations
Consentement requis : Double opt-in pour toutes les communications marketing. Les utilisateurs peuvent se désabonner à tout moment (lien unsubscribe dans chaque email).
6. Destinataires des Données Personnelles
6.1 Équipe Interne BICABI
Les données personnelles sont accessible à :
- Équipe Support : accès aux tickets, données utilisateur pour résolution de problèmes
- Équipe Technique : accès aux logs de sécurité, data engineering, optimisation de performance
- Équipe Finance : accès aux données de facturation et paiement
- Direction : rapports synthétiques et audits
Restrictif au besoin de savoir : Chaque accès est loggé et limité au strict nécessaire par rôle.
Transparence totale pour les transporteurs : tout accès de notre équipe support à l'espace d'un transporteur nécessite une autorisation explicite et préalable de l'owner ou d'un superviseur du tenant (valable 1 heure, révocable à tout moment). Chaque ouverture et chaque fermeture de session déclenche un email automatique aux responsables du tenant. L'intégralité des actions effectuées (page consultée, modification, IP, intervenant) est journalisée et consultable par le tenant depuis Paramètres → Assistance → Historique, avec export CSV intégral (RGPD art. 13 et 15).
6.2 Sous-Traitants Ultérieurs (Art. 28 RGPD)
Conformément à l'article 28.2 et 28.4 RGPD, les données personnelles peuvent être transférées aux sous-traitants suivants. Un Data Processing Agreement (DPA) est en vigueur avec chaque sous-traitant.
| Sous-Traitant | Domaine | Finalité | Localisation | Statut |
|---|---|---|---|---|
| OVH SAS | Infrastructure, Hosting | Hébergement des serveurs, bases de données, sauvegardes | France (Gravelines) | Conforme RGPD, DPA en place |
| Stripe | Paiements, Facturation | Traitement des paiements, réconciliation comptable | EU / USA (SCCs) | DPA 2021/914 |
| Resend | Emails transactionnels | Envoi de confirmations, notifications, rappels | USA (SCCs) | DPA 2021/914 |
| Google Maps / Google Places API | Géolocalisation, Routing | Géocodage des adresses, calcul d'itinéraires | EU / USA (SCCs) | DPA 2021/914 |
| Anthropic (Claude API) | Intelligence Artificielle | Analyse de devis, optimisation tarifaire | USA (SCCs) | DPA 2021/914, TIA réalisé |
| Google Firebase (FCM) | Notifications push mobile | Acheminement des notifications push vers les applications iOS/Android (via Firebase Cloud Messaging) | USA (SCCs) | DPA 2021/914, TIA réalisé |
Contrats de Sous-Traitance
Chaque sous-traitant a signé un contrat incluant :
- Obligations de confidentialité et sécurité (art. 32 RGPD)
- Limitations d'utilisation des données (art. 28.3 RGPD)
- Assistance pour les droits des personnes (art. 28.3.e)
- Audit et contrôle (art. 28.3.h)
- Notification d'incidents de sécurité dans les 24h
6.3 Transporteurs (Responsables de Traitement Indépendants)
Les données des Clients finaux (passagers, invités, clients référés par un Partenaire) sont traitées sous la responsabilité du Transporteur concerné, qui est leur responsable de traitement. BICABI agit uniquement en qualité de sous-traitant et ne peut être tenu des obligations RGPD incombant au responsable de traitement (information préalable, base juridique, gestion des droits, notifications aux personnes). Les Transporteurs doivent respecter leurs obligations RGPD vis-à-vis de leurs Clients finaux et publier leur propre Politique de Confidentialité.
Domaine email personnalisé : Les Transporteurs disposant d'un Plan Pro ou Enterprise peuvent activer un domaine d'expédition email personnalisé (ex. : notifications@montransport.fr). Dans ce cas, les emails transactionnels (confirmations de réservation, rappels, notifications) sont techniquement acheminés par l'infrastructure BICABI via le sous-traitant Resend (section 6.2), mais l'identité d'expéditeur affichée au destinataire est celle du Transporteur. Le Transporteur est responsable de traitement pour le contenu de ces communications ; BICABI agit en qualité de sous-traitant technique pour leur acheminement. Le Client final destinataire exerce ses droits RGPD auprès du Transporteur expéditeur. Si une demande parvient à BICABI (dpo@bicabi.fr), elle est transmise sans délai au Transporteur concerné.
6.4 Partage inter-Transporteurs (Marketplace) — sous-traitance simultanée
Dans le cadre de la marketplace inter-professionnelle, lorsqu'un Transporteur récepteur accepte une course émise par un Transporteur émetteur, des données opérationnelles limitées sont partagées entre les deux tenants pour permettre le suivi d'exécution de la prestation par le Transporteur émetteur et son Client final :
- Données partagées : statut opérationnel du chauffeur assigné, position GPS en temps réel pendant la course, nom et numéro de téléphone du chauffeur, informations du véhicule (marque, modèle, couleur, immatriculation).
- Données exclues du partage : adresse personnelle du chauffeur, adresse email, données bancaires ou toute autre donnée non strictement nécessaire au suivi d'exécution.
Qualification juridique : pendant la durée de la course marketplace, BICABI agit en qualité de sous-traitant simultané des deux Transporteurs (émetteur et récepteur), conformément à l'article 3.5 du DPA. Chaque Transporteur demeure responsable de traitement indépendant pour ses propres données (les données du Client final pour l'Émetteur, les données du chauffeur et du véhicule pour le Récepteur). Aucune co-responsabilité au sens de l'article 26 RGPD n'est créée entre les deux Transporteurs ni entre BICABI et l'un d'eux.
Base juridique : l'exécution du contrat de transport sous-traité (art. 6.1.b RGPD) et l'intérêt légitime à la bonne exécution de la prestation vis-à-vis du Client final (art. 6.1.f). Chaque Transporteur doit informer son équipe (chauffeurs, clients) de ce partage conformément aux articles 13-14 RGPD. Chaque échange est journalisé dans un registre d'audit inter-tenants. Les données ne sont plus accessibles au Transporteur émetteur après la clôture de la course ; les coordonnées GPS sont purgées dès la dépose confirmée.
6.5 Tiers Autorisés (Légalement ou Contractuellement)
- Autorités publiques : uniquement sur demande légale (ordonnance judiciaire, enquête policière)
- Partenaires intégrés : accès limité aux données nécessaires à l'intégration (ex. : agences partenaires pour leurs réservations)
7. Transferts de Données Hors Union Européenne
7.1 Contexte Réglementaire
Plusieurs sous-traitants de ResaByBicabi sont situés hors UE (États-Unis notamment). Conformément au Chapitre V du RGPD (articles 44-50) et à la jurisprudence Schrems II (CJUE, 16 juillet 2020, C-311/18), tout transfert hors UE doit reposer sur une décision d'adéquation ou des mécanismes appropriés (Clauses Contractuelles Types – CCT).
7.2 Mécanisme de Transfert : Clauses Contractuelles Types (CCT 2021/914)
Décision applicable : Décision d'exécution (UE) 2021/914 de la Commission Européenne (27 mai 2021) — dernière version des Clauses Contractuelles Types approuvées après Schrems II.
Tous les transferts vers les États-Unis (Stripe, Resend, Google, Anthropic) utilisent les CCT 2021/914 dans les contrats de sous-traitance. Ces clauses incluent :
- Obligations du destinataire d'offrir des garanties essentiellement équivalentes à celles de l'UE
- Recours légaux du destinataire en cas d'accès gouvernemental
- Notification préalable en cas d'accès forcé (avis légal)
7.3 Impact Assessment de Transfert (TIA) – Schrems II
Conformément aux recommandations de la Commission Nationale de l'Informatique et des Libertés (CNIL) et à la jurisprudence Schrems II, un Impact Assessment de Transfert (TIA) a été réalisé pour chaque sous-traitant USA :
TIA Stripe
- Risque d'accès gouvernemental : MODÉRÉ – Stripe Inc. est une entreprise US soumise aux programmes de surveillance (PRISM, NSLs, etc.)
- Mesures supplémentaires : Contractuellement, Stripe s'engage à résister aux ordres FISA non divulgués autant que légalement possible ; notification préalable en cas d'accès forcé
- Données transférées : Références de paiement, historique de facturation (PAS numéros de carte complets – tokenisés)
- Verdict : Transfert ACCEPTÉ avec mesures complémentaires (chiffrement en transit, limitation de données)
TIA Resend
- Risque d'accès gouvernemental : MODÉRÉ – Resend est un service US de notification email
- Mesures supplémentaires : Engagement de résister aux NSLs, notification préalable en cas d'accès forcé, logs d'audit disponibles
- Données transférées : Contenu des emails transactionnels (confirmations, rappels – PAS données sensibles)
- Verdict : Transfert ACCEPTÉ (données peu sensibles, TTL court sur les logs)
TIA Google Maps/Places API
- Risque d'accès gouvernemental : ÉLEVÉ – Google est une mega-entreprise tech soumise à surveillance intensive
- Mesures supplémentaires : Chiffrement en transit (TLS), limitation de données (géocodage seul, pas historique personnalisé), contrats Google Cloud Terms (versions DPA)
- Données transférées : Adresses de réservation, coordonnées GPS (anonymisables en lot)
- Verdict : Transfert ACCEPTÉ (légitimité du service d'infrastructure critique, données partiellement anonymisables)
TIA Anthropic (Claude API)
- Risque d'accès gouvernemental : ÉLEVÉ – Anthropic est une startup US, soumise potentiellement à NSLs
- Mesures supplémentaires : Chiffrement en transit (TLS), pas de stockage persistant des requêtes côté Anthropic après traitement immédiat, logs côté BICABI conservés 1 an (audit possible), opt-out utilisateur pour désactiver IA
- Données transférées : Contenus de devis, descriptions de trajets, paramètres de tarification (PAS données personnelles directes, mais données confidentielles métier)
- Verdict : Transfert ACCEPTÉ avec droit d'opposition (users peuvent désactiver IA dans préférences)
TIA Google Firebase (FCM)
- Risque d'accès gouvernemental : ÉLEVÉ – Google LLC, entreprise US soumise à surveillance (PRISM, NSLs, FISA)
- Mesures supplémentaires : Chiffrement en transit (TLS), minimisation du payload (aucune donnée personnelle sensible transmise dans les notifications push — uniquement des identifiants techniques de réservation et un court message neutre), opt-out utilisateur possible au niveau OS
- Données transférées : Token de device FCM (identifiant technique généré par Firebase), contenu du message (titre + corps court), métadonnées techniques (badge count, deeplink)
- Verdict : Transfert ACCEPTÉ (payload minimisé, aucune donnée sensible, service d'infrastructure standard pour notifications mobiles)
7.4 Mesures Complémentaires de Sécurité
Au-delà des CCT, BICABI applique :
- Chiffrement en transit : TLS 1.3 minimum sur toutes les connexions sortantes
- Chiffrement au repos : Données au repos en France (OVH) restent en EU (sauf cache Stripe tokenisé)
- Minimisation de données : Seules les données strictement nécessaires sont transférées
- Audit & Monitoring : Logs d'accès aux données USA, audit annuel des sous-traitants
- Droit d'accès et rectification : Les utilisateurs peuvent demander à savoir si leurs données ont été transférées hors EU
7.5 Droit de Réclamation
Les résidents EU ayant des préoccupations quant aux transferts vers les USA peuvent :
- Contacter le DPO BICABI (dpo@bicabi.fr)
- Déposer plainte auprès de la CNIL (https://www.cnil.fr)
- Saisir les autorités de protection des données de leur État membre
8. Durées de Conservation des Données Personnelles
La conservation des données personnelles est soumise au principe de limitation du stockage (art. 5.1.e RGPD) : "conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire".
| Catégorie de Données | Durée de Conservation | Justification | Destruction/Anonymisation |
|---|---|---|---|
| Comptes Transporteurs actifs | Durée de l'abonnement + 30 jours (période d'export) | Contrat, droit à portabilité | Suppression complète après 30j, ou export fourni sur demande |
| Locataires non vérifiés | 48 heures | Anti-spam, conformité | Suppression automatique sans demande |
| Historique de slugs (domaines) | 6 mois | Audit, traçabilité migration | Suppression automatique |
| Données Passagers & Invités (booking actif) | Durée de la réservation + 6 mois | Contrat, support post-réservation, réclamations | Suppression/anonymisation après délai |
| Données Passagers (archivage) | 3 ans après clôture de compte | Contentieux potentiel, garantie légale | Suppression, possibilité anonymisation |
| Facturation & Accounting | 10 ans | Code de Commerce art. L123-22 (obligation légale France) | Archivage sécurisé, puis destruction |
| Logs de Sécurité (auth, failures) | 1 an | Enquête sécurité, détection de fraude | Suppression automatique |
| Logs d'Assistance Support | 1 an | Traçabilité des accès super-admin (RGPD art. 30 & 32), transparence tenant | Suppression automatique quotidienne |
| Logs de Transactions (API calls) | 6 mois | Audit, résolution de litiges | Suppression automatique |
| Logs d'Emails | 6 mois | Traçabilité livraison, support | Suppression automatique |
| Cookies de Session | Durée de session + 30 jours | Sécurité, CSRF protection | Suppression au logout ou après 30 j d'inactivité |
| Position GPS (Chauffeurs) | Coordonnées : suppression immédiate à la fin de la course (dépose confirmée) ou à l'annulation. Jeton de statut sans coordonnées : 24 h pour consultation chauffeur, puis purge physique sous 48 h maximum | Assignation, géolocalisation en temps réel | Suppression synchrone côté tenant émetteur et tenant récepteur marketplace, tracée dans un registre d'audit inter-tenants |
| Revendications Trial/Freemium (1 par SIRET) | Durée indéterminée | Prévention de la fraude et des abus (art. 6.1.f RGPD — intérêt légitime). La conservation du SIRET est strictement nécessaire pour garantir l'unicité de l'essai gratuit et prévenir les inscriptions abusives répétées. Seul le SIRET est conservé, sans donnée personnelle associée. | Non supprimé automatiquement ; opposition possible via dpo@bicabi.fr sous réserve de justification |
| Cookies analytiques (si acceptés) | 13 mois | Anonymat, conformité CNIL 2020-092 modifié | Suppression automatique |
| Données de consentement | Durée de validité du consentement + 3 ans après retrait | LGPD, preuve de consentement | Suppression après 3 ans post-retrait |
| Données biométriques (empreintes digitales, reconnaissance faciale) | Stockées localement sur l'appareil uniquement | Authentification mobile (verrouillage après inactivité) | BICABI ne collecte ni ne stocke ces données — elles sont gérées exclusivement par le système d'exploitation de l'appareil (iOS/Android) |
8.1 Gestion des Suppressions
- Automatisé : Cron jobs quotidiens supprimant les données selon les durées définies ci-dessus
- Manuel : Droit d'accès à la suppression anticipée via dpo@bicabi.fr (sauf obligations légales)
- Anonymisation : Quand une suppression complète n'est pas possible (légalement), les données sont anonymisées (pas de ré-identification possible)
8.1.bis Suppression d'un compte Transporteur : effet sur les logs d'Assistance
Lorsqu'un Transporteur (tenant) exerce son droit à l'effacement (art. 17 RGPD) ou résilie son contrat :
- Le compte est d'abord marqué comme supprimé (suppression logique). Les données restent en base pendant une période de grâce de 30 jours pour permettre une restauration ou un export.
- À l'issue de la période de grâce, un traitement quotidien automatisé procède à la suppression définitive. À ce moment :
- Toutes les données de réservation, paiement, partenaire, flotte et documents sont supprimées en cascade.
- Les logs d'assistance support du tenant sont également purgés en cascade, conformément au principe RGPD de limitation du stockage (art. 5.1.e) : plus aucune action n'est à auditer pour un tenant qui n'existe plus.
- Les archives comptables (factures, journal d'écritures) restent conservées 10 ans conformément au Code de commerce art. L123-22 — elles ne contiennent pas les logs d'assistance.
8.2 Récupération de Données Supprimées
Les données supprimées ne peuvent pas être récupérées, sauf :
- Depuis backups : Backups chiffrés conservés 90 jours (récupération catastrophe uniquement)
- Depuis archives comptables : Données de facturation archivées 10 ans (accès restricté audit/légal)
9. Cookies et Traceurs
9.1 Cadre Réglementaire
ResaByBicabi respecte :
- Directive ePrivacy (2002/58/CE) : cookies nécessitent consentement préalable (sauf cas strict. nécessaire)
- CNIL Délibération 2020-092 (15 juillet 2020) : lignes directrices sur les cookies (mise à jour recommandée CNIL 2025-131)
- Données Act (article 5 : transparence sur le suivi)
9.2 Types de Cookies et Consentement
| Cookie | Type | Finalité | Domaine | Consentement requis | Durée |
|---|---|---|---|---|---|
PHPSESSID |
Session / Securité | Authentification, CSRF token | resabybicabi.fr | NON (strictement nécessaire) | Session |
capacitor_app |
Session / Mobile | Détection de l'application mobile native | .resabybicabi.fr | NON (strictement nécessaire) | Session |
tenant_slug |
Session / Technique | Résolution du locataire multi-tenant | resabybicabi.fr | NON (strictement nécessaire) | Session |
X-CSRF-TOKEN |
Session / Securité | Protection CSRF (Laravel) | resabybicabi.fr | NON (strictement nécessaire) | Session |
cookies_consent |
Tracking / Analytique | Enregistrement du choix utilisateur consentement | resabybicabi.fr | N/A (choice storage) | 13 mois |
_ga, _gid, _gat |
Analytique | Google Analytics (si accepté) | resabybicabi.fr | OUI (Analytics) | 26 mois |
__Secure-utm_* |
Tracking / UTM | Suivi campagnes marketing (si accepté) | resabybicabi.fr | OUI (Marketing) | Session |
9.3 Cookies Strictement Nécessaires (Pas de Consentement)
Les cookies suivants sont strictement nécessaires au fonctionnement du site et n'exigent pas de consentement préalable (article 82 de la Loi Informatique et Libertés, précisé par la délibération CNIL 2020-092 modifiée) :
- PHPSESSID : Identifiant de session PHP, authentification
- capacitor_app : Flag détectant l'application mobile native – fallback gracieux sur web
- CSRF Token : Protection contre les attaques CSRF (jeton anti-CSRF applicatif)
- Tenant slug : Résolution du locataire en multi-tenant
9.4 Mécanisme de Consentement
Banneau de Cookies
- Affichage : Au premier accès, banneau "Cookies & Traceurs" proposant :
- Accepter tous les cookies (y compris analytiques & marketing)
- Refuser tous les cookies (strictement nécessaires acceptés d'office)
- Personnaliser (choix granulaire par catégorie)
- Stockage du choix : Cookie
cookies_consentenregistre le choix (valide 13 mois, réévaluable) - Accessibilité : Bouton "Gestion des cookies" en pied de page pour modifier le consentement
Double Opt-In (Marketing)
Pour les communications marketing par email, un double opt-in est requis :
- Utilisateur coche "Recevoir les newsletters"
- Email de confirmation envoyé avec lien de validation
- Consentement valide après clic sur lien de confirmation
Révocation : Lien "Unsubscribe" dans chaque email (poste au dpi 1-click conformément à la LCEN).
9.5 Analytics & Traceurs Tiers
Google Analytics (si accepté)
- Cookies :
_ga,_gid,_gat,__Secure-utm_* - Finalité : Analyse anonymisée de trafic, comportement utilisateur, conversion
- Transfert données : Google Analytics 4 (EU data centers avec anonymization)
- Rétention : 26 mois (par défaut GA4)
- Consentement requis : OUI (bandeau cookies – catégorie "Analytique")
Pas de Publicité Comportementale
ResaByBicabi ne déploie pas de cookies publicitaires (Facebook Pixel, Google Ads Remarketing, etc.). Aucun retargeting publicitaire cross-site.
9.6 Safe Areas & Détection d'Appli (Mobile)
Le cookie capacitor_app=1 est défini uniquement quand l'application mobile native se connecte à la Plateforme. Ce cookie est strictement nécessaire pour :
- Adapter le layout aux safe areas (encoche, barre de geste)
- Offrir des APIs natives (biométrie, géolocalisation, notifications push)
- Fallback gracieux sur web (pas d'erreur si safe area indisponible)
10. Intelligence Artificielle et Données Personnelles
10.1 Transparence – Recommandations CNIL 2025-131
La CNIL Délibération 2025-131 (décembre 2025) établit des recommandations pour la transparence et la loyauté quand des données personnelles sont utilisées par des systèmes d'IA.
ResaByBicabi s'engage à :
- Informer explicitement les utilisateurs lorsque leurs données alimentent des modèles IA
- Documenter les finalités de chaque usage IA
- Offrir le droit d'opposition (opt-out) sans friction
10.2 Usages IA Déployés (Claude API)
Analyse de Devis (Claude API)
- Finalité : Optimisation automatique de devis, détection d'anomalies tarifaires, suggestions d'améliorations
- Données envoyées à Anthropic : Contenu du devis (descriptions de trajet, kilométrage, tarifs proposés)
- Données personnelles impliquées : NOM du chauffeur, date/heure du trajet, pas d'adresses personnelles des passagers
- Rétention chez Anthropic : Aucune rétention persistante ; traitement immédiat, réponse retournée à BICABI
- Consentement : Par défaut OUI (contrat de service), droit d'opposition via préférences compte
Suggestions de Tarification
- Finalité : Recommandations de pricing basées sur l'historique de réservations, demande (surge pricing), conditions météorologiques
- Données envoyées : Historique des tarifs appliqués, volume de réservations, heure/jour
- Données personnelles : Anonymisées (agrégation par plage horaire, pas par passager)
- Consentement : Par défaut OUI (contrat de service)
Optimisation de Trajets
- Finalité : Calcul d'itinéraires optimisés (via Google Maps + analyse IA pour prédire embouteillages, chemins alternatifs)
- Données envoyées : Points de départ/arrivée, historique de conditions de circulation
- Données personnelles : Adresses de passagers (nécessaires pour le calcul), liées au contexte spécifique de la course
- Consentement : Par défaut OUI (contrat de service), droit d'opposition
10.3 Droit d'Opposition (Opt-Out)
Les utilisateurs peuvent désactiver entièrement l'utilisation de l'IA via :
- Préférences de compte → "Intelligence Artificielle" → basculer "Désactiver l'analyse IA"
- Effet immédiat : Aucune donnée ne sera plus envoyée à Anthropic pour requêtes futures
- Rétroactif : Les requêtes passées ne sont pas supprimées chez Anthropic, mais aucune nouvelle requête n'est effectuée
10.4 Aucun Entraînement de Modèle
BICABI s'engage formellement à :
- Ne pas envoyer de données personnelles pour finetuning ou entraînement de modèles IA propriétaires
- Respecter les restrictions Anthropic : Les données traitées par Claude API ne sont jamais utilisées pour améliorer les modèles Anthropic (sauf consentement explicite de Anthropic)
- Audit annuel : Vérification que les données IA ne sont utilisées que pour les cas documentés ci-dessus
10.5 Documentation et Explainabilité
Chaque utilisation d'IA dans ResaByBicabi inclut :
- Documentation : Expliquer COMMENT et POURQUOI l'IA est utilisée
- Explainabilité : Les suggestions IA incluent des explications (ex. : "Tarif suggeré 45€ basé sur 20 courses similaires cette semaine, moyenne 44€")
- Révision manuelle possible : Les utilisateurs peuvent toujours réviser/rejeter les suggestions IA avant de les appliquer
11. Sécurité des Données Personnelles
11.1 Mesures Techniques (Art. 32 RGPD)
Chiffrement
- En transit : TLS 1.3 minimum sur toutes les connexions (HTTP → HTTPS obligatoire)
- Au repos : Bases de données chiffrées via OVH Disk Encryption (AES-256), backups chiffrés
- Authentification sensible : Hachage bcrypt (coût 12), jamais stockage en clair
Authentification & Autorisation
- Multi-factor authentication (MFA) : Support optionnel TOTP (Google Authenticator, Authy)
- Biométrie mobile : Support empreinte digitale / reconnaissance faciale via les API biométriques natives iOS/Android
- Rate limiting : Limitation des tentatives de connexion (5 tentatives / 15 min par IP)
- Session tokens : JWT ephémères (15 min), refresh tokens avec rotation (24h)
- Permissions granulaires : RBAC par rôle (Owner, Supervisor, Driver)
Email & Vérification
- Single-use tokens : Tokens d'activation email à usage unique, expiration 1 heure
- Vérification obligatoire : Email doit être vérifié avant accès complet
- Webhook idempotency : Paiements Stripe valident les signatures et évitent les traitements dupliqués
API & Intégrations
- API keys : Tokens révocables, rotation annuelle recommandée
- CORS : Whitelisting strict des domaines autorisés (dev.resabybicabi.fr, resabybicabi.fr)
- CSP : Content Security Policy (CSP headers) protégeant contre XSS, clickjacking
Logging & Audit
- Logs structurés : Tous les accès sensibles loggés (authentification, paiement, admin actions)
- Retention : 1 an pour logs de sécurité, 6 mois pour logs d'API
- No sensitive data in logs : Jamais d'emails, mots de passe, ou numéros de carte
- Alertes : Notifications immédiates en cas d'activité suspecte (x tentatives failed, accès IP non-usual)
11.2 Mesures Organisationnelles (Art. 32.4 RGPD)
Gouvernance des Données
- Data Protection Officer (DPO) : Nommé, dpo@bicabi.fr, indépendant opérationnellement
- Data Governance Committee : Revues trimestrielles des pratiques de sécurité
- Privacy by Design : Toute nouvelle fonctionnalité évaluée pour impact RGPD (DPIA si nécessaire)
Contrôle d'Accès
- Principle of Least Privilege : Chaque rôle a accès minimum nécessaire
- Audit des accès : Logs de qui a accédé à quoi, quand
- Séparation : Support client ne peut pas voir données de facturation sensibles
Formation & Sensibilisation
- Formation RGPD : Tous les employés formés initialement et annuellement
- Processus incidents : Plan de réponse aux incidents (RASCC – Rapport, Arrêt, Sécurisation, Confinement, Communication)
Gestion des Incidents de Sécurité
- Notification CNIL : Tout incident exposant données personnelles signalé à la CNIL dans les 72h (art. 33 RGPD)
- Notification utilisateurs : Si risque significatif pour les droits/libertés (art. 34 RGPD)
- Post-mortem : Analyse approfondie de chaque incident, remédiation documentée
11.3 Sous-Traitants Sécurité
Chaque sous-traitant doit respecter :
- Audit annuel : Conformité SOC 2 Type II (Stripe, Google, Anthropic)
- Incident SLA : Notification breaches < 24h
- DPA signé : Data Processing Agreement incluant art. 28 obligations
12. Droits des Personnes Concernées (Articles 15-22 RGPD)
Conformément à la Loi Informatique et Libertés (LIL 78-17 modifiée) et au RGPD, toute personne concernée dispose des droits suivants :
12.1 Droit d'Accès (Art. 15 RGPD)
Définition : Droit d'obtenir confirmation de si ses données sont traitées, et si oui, accès à ces données.
Modalités :
- Demande : Email à dpo@bicabi.fr avec pièce d'identité
- Contenu : Copie complète des données personnelles en format lisible (PDF ou CSV)
- Délai : Réponse dans un mois (extensible 2 mois pour demandes complexes)
- Coût : Gratuit, sauf demandes manifestement abusives ou répétées (alors frais raisonnables peuvent s'appliquer)
12.2 Droit de Rectification (Art. 16 RGPD)
Définition : Droit de corriger ses données si inexactes ou incomplètes.
Modalités :
- Auto-service : Modification directe dans les préférences de compte (nom, email, téléphone, adresse)
- Assistance : Pour données non-directement accessibles, contacter dpo@bicabi.fr
- Délai : Correction immédiate ou dans un mois
- Notification : Destinataires informés de la rectification (si applicable)
12.3 Droit à l'Effacement / Droit à l'Oubli (Art. 17 RGPD)
Définition : Droit de demander suppression de ses données (sauf obligations légales).
Conditions de droit :
- Données plus nécessaires pour leur finalité
- Consentement retiré (pas de base juridique alternative)
- Objet valide au traitement
- Données d'enfant (< 16 ans) traitées sans consentement parental
Exceptions légales :
- Données de facturation (10 ans – Code de Commerce) : suppression impossible, anonymisation à la place
- Données comptables (obligatoires)
- Données liées à litiges en cours
Modalités :
- Demande : dpo@bicabi.fr
- Délai : Réponse 1 mois
- Effet : Suppression compte (si possible) ou anonymisation
- Droit d'oubli partiel : Possible pour certaines données (ex. : historique de recherche) tout en conservant factures
12.4 Droit à la Limitation du Traitement (Art. 18 RGPD)
Définition : Droit de demander restriction du traitement (données marquées mais non supprimées) en attente de résolution d'un litige.
Conditions :
- Exactitude contestée
- Traitement illicite, mais opposition à suppression
- Données plus nécessaires, mais nécessaires pour exercer droits légaux
Modalités :
- Demande : dpo@bicabi.fr
- Effet : Données conservées mais ne peuvent être traitées que pour certaines finalités (stockage, défense légale)
12.5 Droit à la Portabilité des Données (Art. 20 RGPD, Data Act)
Définition : Droit de récupérer ses données dans un format structuré, couramment utilisé et lisible par machine, et droit de les transférer à un autre responsable.
Données portables :
- Données d'authentification (identité, email, téléphone)
- Historique de réservations (dates, trajets, tarifs)
- Préférences utilisateur
- Données de paiement (références Stripe, historique)
Non portables :
- Données de logs d'audit (sécurité)
- Dérivées/inférées (ex. : scores de fraude)
Modalités :
- Demande : dpo@bicabi.fr ou via menu "Exporter mes données"
- Format : JSON, CSV (choix utilisateur)
- Délai : Dans un mois
- Transfert direct : BICABI peut aider à transférer vers un tiers (si techniquement faisable)
Data Act (Art. 5 – Réversibilité de Données) :
- BICABI s'engage à fournir ses données dans un délai raisonnable lors de la résiliation du contrat
- Format standard pour éviter lock-in technologique
12.6 Droit d'Opposition (Art. 21 RGPD)
Définition : Droit de s'opposer au traitement pour motifs tenant à la situation particulière de l'utilisateur.
Opposition Générale (Art. 21.1)
Applicable si la base juridique est intérêt légitime (ex. : analytics, improvement du service).
Modalités :
- Demande : dpo@bicabi.fr
- Effet : BICABI doit cesser le traitement sauf raison impérative
Opposition Marketing (Art. 21.2 – LCEN Art. L34-5)
Applicable pour communications commerciales et marketing.
Modalités :
- Auto-service : Lien "Unsubscribe" en pied de chaque email (1-click)
- Email : dpo@bicabi.fr
- Effet immédiat : Suppression des listes de marketing, aucun email ultérieur
- Délai de traitement : 10 jours maximum (LCEN)
Opposition IA (Art. 22 RGPD)
Droit de s'opposer à tout traitement automatisé produisant des effets juridiques ou affectant significativement l'utilisateur.
Modalités :
- Droit d'opposition IA : Via préférences compte "Désactiver l'analyse IA"
- Effet : Aucune donnée envoyée à Anthropic Claude API
- Alternative manuelle : Utilisateurs peuvent toujours effectuer les tâches manuellement
12.7 Droit de Ne Pas Être Soumis à une Décision Entièrement Automatisée (Art. 22 RGPD)
Définition : Droit d'opposition à une décision produite par un traitement entièrement automatisé ayant des effets juridiques ou affectant significativement.
Exceptions :
- Exécution d'un contrat
- Avec consentement explicite
- Obligations légales
Implémentation dans ResaByBicabi :
- Scoring de fraude automatisé : PEUT bloquer une réservation (suspension préventive), mais utilisateur peut demander révision manuelle
- Suggestions tarifaires IA : Non-exécutoires, révision manuelle requise avant application
- Droit de révision : Contact dpo@bicabi.fr pour contester une décision automatisée
12.8 Droit de Retrait du Consentement (Art. 7.3 RGPD)
Définition : Possibilité de retirer son consentement à tout moment (aussi facilement qu'on l'a donné).
Modalités :
- Communications marketing : Lien Unsubscribe ou dpo@bicabi.fr (immédiat)
- Cookies analytiques : Gestion des cookies en pied de page (immédiat)
- Consentement IA : Préférences compte (immédiat)
- Effet : Cessation du traitement immédiate (sauf obligation légale)
12.9 Exercice des Droits – Processus
12.9.1 Demande par Email
Adresse : dpo@bicabi.fr
Contenu requis :
- Identité du demandeur (nom, email, adresse)
- Nature du droit exercé (accès, rectification, effacement, etc.)
- Justification si applicable
- Pièce d'identité (pour authentifier)
12.9.2 Délai de Réponse
- Standard : 1 mois à compter de la demande complète (art. 12.3 RGPD)
- Extensions : Jusqu'à 3 mois pour demandes particulièrement complexes ou nombreuses (art. 12.6), avec notification du délai supplémentaire
- Refus : Si demande infondée ou abusive, BICABI informe le demandeur des motifs et de son droit de recours
12.9.3 Assistance & Ressources
- Confidentialité de la demande : Toutes les demandes de droits sont traitées confidentiellement
- Pas de discrimination : Aucune discrimination envers le demandeur pour avoir exercé ses droits (art. 12 RGPD)
- Assistance gratuite : BICABI assiste gratuitement les demandes de droits
13. Portabilité et Réversibilité des Données (Data Act – Règlement UE 2023/2854)
13.1 Contexte Légal
La Data Act (applicable depuis le 12 septembre 2025) étend les obligations de portabilité et introduit le concept de réversibilité : obligation pour les fournisseurs SaaS de faciliter la migration des données à la cessation du service.
13.2 Obligations BICABI
Export de Données à la Résiliation
À la cessation de l'abonnement, BICABI s'engage à :
- Exporter complètement tous les données du Transporteur (réservations, utilisateurs, configuration) dans un format standard (JSON, CSV)
- Accessibilité : Données téléchargeables pendant 30 jours après résiliation
- Format interopérable : Structure de données documentée pour faciliter import dans tiers systèmes (Salesforce, ERP, autre SaaS)
Pas de Rétention Coercitive
- BICABI ne conserve PAS les données du Transporteur après la période de 30 jours gratuite
- Exception : Données de facturation (10 ans pour conformité légale) – anonymisées pour fins archivage
- Droit du Transporteur : Demander suppression anticipée avant expiration 30j
Support de Migration
- Documentation de schéma de données
- Contact support pour assistance technique si nécessaire (payant après 30 jours, si required)
13.3 Engagement de Non-Lock-In
ResaByBicabi s'engage à :
- Pas de format propriétaire : Toutes les données en formats standards (JSON, CSV, REST API)
- Accès API : APIs ouvertes pour lecture des données (authentification + rate limiting)
- Données de métadonnées : Documentées pour faciliter ré-mappage dans tiers systèmes
- Pas de restrictions contractuelles : Aucune clause n'empêche Transporteur d'exporter ou migrer ses données
14. Modifications de la Politique de Confidentialité
14.1 Évolutions et Notifications
Cette politique peut être modifiée à tout moment pour refléter :
- Changements légaux (nouvelles obligations RGPD, CNIL, etc.)
- Évolutions technologiques (nouvelle sous-traitant, nouveau traitement IA, etc.)
- Clarifications (meilleure explication, reformulation)
14.2 Processus de Notification
Modifications mineures (clarifications, reformulations) :
- Publiées directement
- Communication via email si affectent directement les utilisateurs
Modifications substantielles (new traitements, new sous-traitants, nouvelles finalités) :
- Email préalable aux utilisateurs concernés, au moins 30 jours avant entrée en vigueur
- Possibilité d'opposition ou résiliation sans pénalité si modification substantielle dégradant les droits
Historique de versions :
- Chaque version numérotée (v1.0, v1.1, etc.)
- Date de dernière mise à jour visible
- Archive des versions antérieures conservée (3 ans minimum)
15. Contact et Réclamation
15.1 Contact Délégué à la Protection des Données (DPO)
Pour toute question relative à cette politique ou pour exercer vos droits :
| Coordonnée | Valeur |
|---|---|
| dpo@bicabi.fr | |
| Adresse postale | SAS BICABI, 11 rue Marie Curie, 33320 Eysines, France |
| Délai de réponse | 1 mois (extensible à 3 mois pour complexité) |
15.2 Contact Support Général
Pour problèmes techniques ou support client :
| Coordonnée | Valeur |
|---|---|
| contact@bicabi.fr | |
| Téléphone | À définir |
| Horaires | Jours ouvrables, 9h-18h CET |
15.3 Droit de Réclamation auprès de l'Autorité de Contrôle
Si vous estimez que BICABI n'a pas respecté vos droits, vous avez le droit de déposer une plainte auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :
| Coordonnée | Valeur |
|---|---|
| Organisme | Commission Nationale de l'Informatique et des Libertés (CNIL) |
| Site web | https://www.cnil.fr |
| plaintes@cnil.fr | |
| Adresse postale | 3 Place de Fontenoy, 75007 Paris, France |
| Téléphone | 01 53 73 22 22 |
Droit effectif de recours : Vous pouvez également saisir votre autorité de contrôle de données locale (ex. : autre État membre UE) ou intenter une action en justice (art. 79 RGPD).
15.4 Signalement d'Incident de Sécurité
Si vous découvrez une vulnérabilité de sécurité ou un incident affectant vos données :
- Email sécurité : security@bicabi.fr
- Non-divulgation responsable : Nous respectons les délais raisonnables avant divulgation publique
- Reconnaissance : Chercheurs en sécurité seront remerciés (si souhaité)
16. Dispositions Spéciales
16.1 Utilisateurs Mineurs
ResaByBicabi est un service B2B (aux entreprises de transport) et ne s'adresse pas directement aux mineurs.
Cependant, si un Transporteur embauche un conducteur mineur (15-18 ans) :
- Une autorisation parentale est requise pour le traitement des données du mineur
- Droit d'accès parental aux données du mineur (art. 14 RGPD)
- Suppression des données à 18 ans si demandée
16.2 Droits Spécifiques par Rôle
Les droits énumérés ci-dessous concernent les personnes dont BICABI est responsable de traitement (section 2.3.1). Les Clients finaux d'un Transporteur (passagers, invités, clients de Partenaires) exercent leurs droits auprès de leur Transporteur, qui est leur responsable de traitement (section 2.3.2).
| Rôle | Droits Spécifiques auprès de BICABI |
|---|---|
| Transporteur (personne morale abonnée) | Accès complet à ses données d'entreprise et de facturation, gestion d'utilisateurs, export de données, résiliation, droits RGPD de ses représentants personnes physiques |
| Utilisateur Transporteur — Owner | Accès, rectification, portabilité, effacement de son compte, droits RGPD standard |
| Utilisateur Transporteur — Supervisor | Accès, rectification, effacement de son compte personnel |
| Utilisateur Transporteur — Driver | Accès à ses propres données de chauffeur (identité, logs), droit d'opposition au traitement de géolocalisation au-delà de la finalité contractuelle |
| Utilisateur Transporteur — Client / Partner interne | Accès, rectification, effacement de son compte personnel |
| Partenaire (personne morale) | Accès aux données d'entreprise et de contrat, droits RGPD standard pour les personnes physiques représentant le Partenaire |
16.3 Conformité Sectorielle
ResaByBicabi respecte aussi :
- Loi LCEN (2004) : Responsabilité des opérateurs, consentement marketing (art. L34-5)
- Directive ePrivacy : Consentement cookies, opt-in for emails (art. 7, 13)
- CNIL Recommandations : Délibération 2020-092 (cookies), 2025-131 (IA), SAN-2025-004 (consent)
- Protection des transporteurs : Données des Transporteurs non transférées à tiers sans consentement préalable
- Protection des passagers : Données passagers isolées par Transporteur (exception : partage opérationnel limité via marketplace, voir section 6.4)
17. Tableaux Synthétiques
17.1 Résumé des Traitements Principaux
| Traitement | Données | Base Juridique | Destinataires | Durée |
|---|---|---|---|---|
| Gestion compte Transporteur | Identité, entreprise, facturation | Contrat + Obligation légale | Support, Finance | Durée + 30j |
| Authentification utilisateur | Email, mot de passe, MFA | Contrat | Tech (auth) | Durée session |
| Gestion réservations passagers | Identité, adresses, paiement | Contrat | Chauffeur, Transporteur | 6 mois post-résa |
| Sécurité & fraude | Logs, IPs, comportement | Intérêt légitime | Tech (security) | 1 an |
| Facturation & comptabilité | Invoice, paiement, TVA | Obligation légale | Finance, Audit | 10 ans |
| Support client | Tickets, correspondance | Contrat + Intérêt légitime | Support | 6 mois |
| Analytics (consentement) | Comportement anonymisé | Consentement | Google Analytics | 13 mois |
| IA (Claude API) | Devis, tarifs, trajets | Contrat + Intérêt légitime | Anthropic | Traitement immédiat |
| Marketing (opt-in) | Email, préférences | Consentement | Resend | Durée opt-in + 1a |
17.2 Matrice Sous-Traitants
| Sous-Traitant | Type Données | Transfert Hors EU | Accord | TIA | DPA |
|---|---|---|---|---|---|
| OVH SAS | Toutes | NON | OVH SAS | N/A | Oui |
| Stripe | Paiement, facturation | OUI (USA) | Stripe Terms | Oui | Oui (2021/914) |
| Resend | Emails transactionnels | OUI (USA) | Resend Terms | Oui | Oui (2021/914) |
| Google Maps/Places | Géolocalisation, routing | OUI (USA/EU) | Google Cloud Terms | Oui | Oui (2021/914) |
| Anthropic (Claude) | Devis, tarifs | OUI (USA) | Anthropic ToS | Oui | Oui (2021/914) |
| Google Firebase (FCM) | Push notifications mobile | OUI (USA) | Firebase Data Processing Terms | Oui | Oui (2021/914) |
18. Ressources Utiles
18.1 Liens Officiels
-
CNIL : https://www.cnil.fr
- Droits & libertés : https://www.cnil.fr/vos-droits
- Ressources entreprises : https://www.cnil.fr/professionnel
-
Commission Européenne : https://ec.europa.eu/info/law/law-topic/data-protection_en
-
Data Act : https://eur-lex.europa.eu/eli/reg/2023/2854
-
Autorités de Contrôle État Membres :
- France : CNIL (https://www.cnil.fr)
- Belgique : APD (https://www.autoriteprotectiondonnees.be)
- Luxembourg : CNPD (https://cnpd.public.lu)
- Allemagne : BfDI (https://www.bfdi.bund.de)
18.2 Jurisprudence et Recommandations Récentes
- Schrems II (CJUE, 16 juillet 2020, C-311/18) : Transferts USA, Impact Assessment
- CNIL Délibération 2020-092 (15 juillet 2020, modifiée 2025) : Cookies et traceurs
- CNIL Délibération 2025-131 (décembre 2025) : IA et transparence
- CNIL SAN-2025-004 (Google, consentement cookies)
- CNIL SAN-2026-001/002 (janvier 2026) : Rétention de données
19. Entrée en Vigueur et Historique des Versions
| Version | Date Entrée en Vigueur | Modification Principale |
|---|---|---|
| v1.0 | 22 avril 2026 | Politique initiale ResaByBicabi — périmètre restreint aux traitements dont BICABI est responsable de traitement (Transporteurs, Utilisateurs Transporteurs, Partenaires, visiteurs marketing). Les données des Clients finaux relèvent du DPA et de la Politique de Confidentialité propre au Transporteur. Qualification marketplace : sous-traitance simultanée. |
Acceptation de la Politique de Confidentialité
En accédant et utilisant ResaByBicabi, vous acceptez les termes de cette Politique de Confidentialité. Si vous n'acceptez pas, veuillez cesser l'utilisation du service.
Pour toute question, contactez : dpo@bicabi.fr
Politique de Confidentialité ResaByBicabi v1.0 — Élaborée en conformité avec le RGPD (UE 2016/679), la Loi Informatique et Libertés (78-17), la LCEN, la Directive ePrivacy et la Data Act (UE 2023/2854).
Dernière mise à jour : 22 avril 2026