La présente politique de confidentialité décrit la manière dont Safepath (ci-après « Safepath », « nous ») collecte et traite vos données à caractère personnel lorsque vous utilisez l'application mobile Safepath, le site safepath.app et les services associés (ci-après les « Services »).
Elle s'inscrit dans le respect du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».
1. Responsable de traitement
Le responsable de traitement au sens de l'article 4.7 du RGPD est :
- Safepath, société éditrice de l'application.
- Adresse postale : à compléter.
- Adresse e-mail de contact : privacy@safepath.app.
- Délégué à la protection des données (DPO) : dpo@safepath.app.
2. Données collectées
Nous collectons uniquement les données nécessaires au fonctionnement des Services. Elles se répartissent comme suit.
2.1. Données d'identification et de compte
- Nom, adresse e-mail, numéro de téléphone.
- Mot de passe stocké sous forme de condensat bcrypt avec « pepper » applicatif — jamais en clair.
- Identifiants de connexion fédérée (SSO) : identifiant unique Google, Meta (Facebook) ou Apple si vous utilisez ces méthodes de connexion. Nous ne stockons pas vos mots de passe issus de ces services.
- Date de création du compte et historique technique de connexion.
2.2. Données de conduite et de télématique
- Position GPS (latitude, longitude, horodatage) enregistrée pendant les trajets.
- Données des capteurs du smartphone : accéléromètre, gyroscope, magnétomètre, vitesse estimée.
- Trajets : heure de début et de fin, distance parcourue, durée, vitesse moyenne, polyligne du trajet.
- Score de conduite et son détail (freinages, accélérations, virages, vitesse, attention au téléphone).
- Événements de conduite : début/fin de trajet, entrée/sortie de zone, détection d'accident.
- Mode de transport détecté (les trajets non-voiture sont supprimés automatiquement après analyse).
2.3. Données du cercle de proches
- Composition de votre cercle de proches (membres invités ou ayant rejoint via votre code à 6 caractères).
- Lieux nommés (zones géographiques) que vous créez (domicile, école, bureau…), définis par leurs coordonnées et leur rayon.
- Préférences de partage par membre et par lieu, ainsi que la liste de contacts d'alerte destinataires d'une notification critique en cas d'accident.
2.4. Données techniques et d'usage
- Jetons d'appareil (FCM / APNs) pour l'envoi de notifications push.
- Adresse IP, modèle d'appareil, système d'exploitation, version de l'application.
- Journaux d'activité applicatifs (route appelée, statut HTTP, durée — durée typique 30 jours).
- Rapports d'erreur techniques (Sentry) en cas de défaillance.
2.5. Données de jeu et de récompenses
- Solde de points, historique des défis réalisés et résultats associés.
- Récompenses débloquées et historique de redemption auprès des partenaires.
3. Finalités et bases légales
Chaque traitement repose sur une base légale au sens des articles 6 et 9 du RGPD. La fonction de détection d'accident peut, par ailleurs, traiter incidemment des données relatives à la santé (art. 9.2.c — sauvegarde des intérêts vitaux).
| Finalité | Données concernées | Base légale |
|---|---|---|
| Création de compte, authentification, gestion de la relation utilisateur | Identification, SSO | Exécution du contrat (art. 6.1.b) |
| Calcul du score de conduite et restitution dans l'application | Trajets, capteurs, GPS | Exécution du contrat (art. 6.1.b) |
| Détection d'accident et alerte des contacts d'urgence | Capteurs, GPS, contacts d'alerte | Sauvegarde des intérêts vitaux (art. 6.1.d et 9.2.c) et consentement explicite (liste de contacts) |
| Partage de position et d'événements avec votre cercle | GPS, événements de trajet, lieux | Consentement (art. 6.1.a) — granulaire et révocable depuis l'application |
| Envoi de notifications push (trajet, géolocalisation, récompense) | Jetons d'appareil | Exécution du contrat (art. 6.1.b) |
| Gestion du portefeuille de points et des récompenses partenaires | Points, historique de défis, redemptions | Exécution du contrat (art. 6.1.b) |
| Sécurité du service, lutte contre la fraude, journaux techniques | IP, journaux, rapports d'erreur | Intérêt légitime (art. 6.1.f) |
| Respect des obligations légales et comptables | Identification, historique de transactions | Obligation légale (art. 6.1.c) |
| Amélioration du produit (statistiques agrégées et anonymisées) | Données d'usage agrégées | Intérêt légitime (art. 6.1.f) |
Le partage de votre position avec un proche est strictement subordonné à votre consentement explicite, configurable au cas par cas (par destinataire) et révocable à tout moment depuis les réglages de l'application. Aucune donnée de localisation n'est diffusée vers un membre de votre cercle sans que vous l'ayez explicitement autorisé.
4. Destinataires et sous-traitants
Vos données ne sont jamais vendues. Elles sont accessibles, dans la stricte limite de leurs missions, par :
- Le personnel habilité de Safepath (équipes produit, ingénierie, support, sécurité).
- Les membres de votre cercle que vous avez expressément autorisés, dans les limites du partage que vous avez configuré.
- Les contacts d'alerte que vous avez désignés, uniquement lors du déclenchement d'une alerte de crash (notification push et SMS contenant votre position).
Nous nous appuyons sur les sous-traitants techniques suivants, encadrés par un contrat conforme à l'article 28 du RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Sentiance NV | Analyse télématique des trajets et calcul du score de conduite | Union européenne (Belgique) |
| Google Ireland Ltd. (Firebase Cloud Messaging, Maps) | Envoi de notifications push Android, géocodage inverse | UE / Irlande, transferts encadrés (voir §5) |
| Apple Distribution International Ltd. (APNs) | Envoi de notifications push iOS | UE / Irlande |
| Hébergeur applicatif | Hébergement des bases de données et des API | Union européenne |
| Fournisseur SMS | Acheminement des SMS d'alerte en cas d'accident | Union européenne |
| Sentry GmbH | Surveillance des erreurs techniques | UE, transferts encadrés (voir §5) |
Vos données peuvent également être transmises aux autorités compétentes (forces de l'ordre, services de secours, justice) sur réquisition judiciaire ou pour la sauvegarde de vos intérêts vitaux.
5. Transferts hors Union européenne
Vos données sont hébergées dans l'Union européenne. Lorsque certains de nos sous-traitants opèrent des transferts vers des pays tiers (par exemple Google ou Apple aux États-Unis pour la livraison des notifications push), ces transferts sont encadrés par :
- Une décision d'adéquation de la Commission européenne (cadre EU-US Data Privacy Framework pour les sous-traitants certifiés) ;
- À défaut, des clauses contractuelles types (CCT) adoptées par la Commission et complétées, si nécessaire, de mesures supplémentaires (chiffrement en transit, pseudonymisation).
6. Durées de conservation
- Compte utilisateur : pendant toute la durée d'utilisation, puis 12 mois après la dernière connexion à des fins de réactivation.
- Trajets et données télématiques détaillées : 24 mois glissants. Au-delà, seules des statistiques agrégées sont conservées.
- Événements (trajets, géofence) : 24 mois.
- Événements d'accident (CRASH_DETECTED) : 5 ans, afin de pouvoir vous assister en cas de litige ou d'enquête.
- Journaux techniques et d'accès : 12 mois maximum.
- Données comptables et de facturation : 10 ans en application du Code de commerce.
À l'issue de ces durées, vos données sont supprimées ou anonymisées de manière irréversible.
7. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles destinées à garantir la confidentialité, l'intégrité et la disponibilité de vos données :
- Chiffrement TLS de l'ensemble des communications entre l'application et nos serveurs.
- Hachage bcrypt renforcé d'un « pepper » applicatif pour les mots de passe.
- Cloisonnement des bases de données (données applicatives vs données télématiques).
- Contrôle d'accès strict, journalisation des actions d'administration et audits réguliers.
- Limitation par filtrage de débit (« rate limiting ») et détection d'usages anormaux.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès : obtenir confirmation que vos données sont traitées et en recevoir copie.
- Droit de rectification : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données.
- Droit à la limitation du traitement.
- Droit à la portabilité : récupérer vos données dans un format structuré et couramment utilisé.
- Droit d'opposition, notamment aux traitements fondés sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment, sans que cela ne remette en cause la licéité du traitement antérieur.
- Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi Informatique et Libertés).
La plupart de ces droits s'exercent directement depuis l'application (réglages de confidentialité, suppression du compte, export des données). Vous pouvez également nous écrire à privacy@safepath.app en joignant tout élément permettant de vérifier votre identité. Nous nous engageons à vous répondre dans un délai d'un mois, prolongeable de deux mois en cas de demande complexe.
9. Cookies et traceurs
Le site safepath.app n'utilise aucun cookie publicitaire ni traceur tiers. Seuls des cookies strictement nécessaires au fonctionnement du site (préférence de langue, session) peuvent être déposés ; ils sont exemptés de consentement au sens de l'article 82 de la loi Informatique et Libertés.
L'application mobile n'utilise pas l'IDFA d'Apple ni l'AAID de Google à des fins publicitaires.
10. Mineurs
Les Services s'adressent aux personnes âgées d'au moins 15 ans, âge à partir duquel un mineur peut consentir seul à un traitement de données dans le contexte d'un service de la société de l'information en France (art. 7-1 de la loi Informatique et Libertés). En deçà, le consentement d'un titulaire de l'autorité parentale est requis.
11. Modifications de la politique
Cette politique peut être amenée à évoluer. Toute modification substantielle vous sera notifiée dans l'application ou par e-mail au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en tête du présent document.
12. Contact et droit de réclamation
Pour toute question relative à la présente politique ou à l'exercice de vos droits, vous pouvez nous écrire à :
- E-mail : privacy@safepath.app
- DPO : dpo@safepath.app
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
- Site web : www.cnil.fr