La présente Politique de confidentialité décrit les pratiques de GéoDistrib 24/7 en matière de collecte, d'utilisation et de protection des données personnelles, conformément au Règlement (UE) 2016/679 dit « RGPD » et à la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».
1. Responsable du traitement
Le responsable du traitement des données personnelles est GéoDistrib 24/7, éditeur de la plateforme accessible à l'adresse https://geodistrib24.fr.
Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre référent RGPD à l'adresse : privacy@geodistrib24.fr.
2. Données collectées
2.1 Données d'inscription (utilisateurs)
- Adresse email (obligatoire)
- Mot de passe (stocké sous forme de hash bcrypt, jamais en clair)
- Pseudo (facultatif, affiché publiquement sur vos contributions)
- Identifiant Google (si connexion OAuth)
2.2 Données d'inscription (professionnels)
- Raison sociale
- Numéro SIRET — chiffré en AES-256-GCM, jamais exposé publiquement
- Adresse email professionnelle
- Preuves de revendication (photo façade, Kbis, facture)
2.3 Données d'utilisation
- Contributions publiques : ajouts de distributeurs, avis, notes, photos (avec métadonnées EXIF GPS)
- Données de géolocalisation ponctuelles — uniquement si vous y consentez expressément, pour la recherche par proximité et le wizard d'ajout
- Préférences : dark mode, style de carte, mode nuit, favoris, recherches sauvegardées
- Statistiques anonymisées d'usage de la Plateforme
2.4 Données de paiement (professionnels)
Les données de paiement (numéro de carte, cryptogramme) ne sont jamais stockées par GéoDistrib 24/7. Elles sont traitées directement par notre prestataire certifié PCI-DSS Mollie B.V. (Pays-Bas). Seuls un identifiant de transaction et le montant sont conservés par nos soins pour l'émission des factures.
2.5 Données techniques
- User-agent du navigateur (type, version)
- Date et heure d'accès
- Adresse IP — immédiatement hachée (SHA-256 tronqué) avant stockage, jamais conservée en clair, conformément aux recommandations CNIL
3. Finalités et bases légales
| Finalité | Base légale (RGPD art. 6) |
|---|---|
| Gestion du compte utilisateur | Exécution du contrat (CGU) |
| Modération des contributions | Intérêt légitime |
| Gestion des abonnements pro | Exécution du contrat (CGV) |
| Facturation et obligations fiscales | Obligation légale |
| Géolocalisation de l'utilisateur | Consentement |
| Notifications push et emails transactionnels | Consentement / Exécution contrat |
| Mesure d'audience (Matomo anonyme) | Intérêt légitime (exemption CNIL) |
| Analytics Google (GA4) | Consentement |
| Prévention de la fraude | Intérêt légitime |
4. Durée de conservation
- Compte actif : aussi longtemps que le compte n'est pas supprimé par l'utilisateur ;
- Compte supprimé : anonymisation des données personnelles dans un délai de 30 jours. Les contributions publiques (avis, distributeurs ajoutés) sont conservées sous pseudonyme anonyme pour préserver la cohérence de la Plateforme ;
- Factures : 10 ans à compter de leur émission (obligation légale comptable et fiscale) ;
- Logs d'audit admin : 90 jours par défaut (configurable) ;
- Logs de sécurité : 30 jours par défaut (configurable) ;
- Données de géolocalisation : non stockées, utilisées uniquement en temps réel ;
- Gamification (inactivité) : les points sont réduits de 50 % après 6 mois d'inactivité.
5. Destinataires
Les données personnelles ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles peuvent être transmises à :
- les sous-traitants techniques (hébergeur, CDN, prestataires email, Mollie) dans les limites strictes de leur mission et sous clauses contractuelles RGPD ;
- les autorités judiciaires ou administratives sur demande légale motivée.
6. Transferts hors UE
Certains sous-traitants sont établis hors de l'Union européenne (Google — États-Unis, Cloudflare — États-Unis). Ces transferts sont encadrés par des garanties appropriées : Data Privacy Framework UE-USA et/ou Clauses Contractuelles Types validées par la Commission européenne.
Notre hébergeur Hostinger est établi à Chypre (Union européenne). Notre prestataire de paiement Mollie est établi aux Pays-Bas (Union européenne).
7. Sécurité
- Authentification renforcée : mots de passe hachés bcrypt, sessions JWT en cookie HttpOnly + SameSite=Strict ;
- 2FA obligatoire pour les comptes administrateurs ;
- Chiffrement AES-256-GCM du SIRET et des tokens API externes ;
- IP anonymisées (SHA-256 tronqué) — jamais stockées en clair ;
- Connexions HTTPS/TLS 1.3 uniquement ;
- Anti brute-force : blocage 15 min après 5 tentatives ;
- Sauvegardes chiffrées et quotidiennes ;
- Accès base de données strictement limité au serveur applicatif (localhost).
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir la copie de vos données
- Droit de rectification (art. 16) : corriger des données inexactes
- Droit à l'effacement (art. 17) : suppression de votre compte
- Droit à la limitation (art. 18)
- Droit à la portabilité (art. 20) : export de vos données au format JSON/CSV
- Droit d'opposition (art. 21) au traitement fondé sur l'intérêt légitime
- Retrait du consentement à tout moment pour les traitements concernés
- Droit de définir des directives post-mortem sur le sort de vos données (loi Informatique et Libertés art. 85)
Pour exercer vos droits, contactez-nous à privacy@geodistrib24.fr. Nous répondons sous 30 jours.
9. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) :
3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
cnil.fr/fr/plaintes
10. Cookies et mesure d'audience
Voir notre Politique cookies détaillée.
11. Modifications
La présente politique peut être mise à jour. Les utilisateurs seront informés des changements substantiels par email et par un bandeau sur la Plateforme.