Essayer TDV Agent →
SolutionsÀ proposContactEssayer TDV Agent →

Légal

Politique de Confidentialité & DPA

Version 1.0 — Document de travail

Partie 1 — Politique de Confidentialité

Responsable de traitement

Groupe Asttas [SASU] — contact@groupe-asttas.fr

N° SIRET : [à compléter après création]

1. Données collectées & finalités

CatégorieDonnéesBase légaleDurée
Compte utilisateurNom, prénom, email, téléphoneExécution du contrat (art. 6.1.b RGPD)Contrat + 1 an
Navigation & logsIP, user-agent, actionsIntérêt légitime (sécurité)12 mois (LCEN)
FacturationCoordonnées bancaires, IBAN, SIRETObligation légale10 ans (L123-22 C. com.)
Dossiers véhiculesNoms clients, plaques, photos, signaturesExécution du contratContrat + 30 jours
NPS / AvisScore, commentaireIntérêt légitime3 ans

2. Destinataires des données

Les données ne sont jamais vendues ni cédées à des tiers à des fins commerciales.

Sous-traitants autorisés

PrestataireRôleLocalisation
Scaleway SASHébergement + Object Storage S3France (Paris)
Brevo (ex-Sendinblue)Emails transactionnelsUE (France)
GoCardless LtdPrélèvements SEPAUE (Irlande)
Stripe IncPaiements CBUE (Irlande)

Aucun transfert de données hors Union Européenne.

3. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Accès : obtenir une copie de vos données
  • Rectification : corriger des données inexactes
  • Effacement : suppression disponible directement dans l'application
  • Portabilité : export de vos données en format structuré (CSV/JSON)
  • Opposition : s'opposer à certains traitements

Contact : contact@groupe-asttas.fr — Réponse sous 30 jours.
Réclamation CNIL : www.cnil.fr

4. Sécurité

  • Chiffrement en transit : TLS 1.2+ sur toutes les connexions
  • Authentification : JWT HS256 + Argon2id (hachage mots de passe) + TOTP optionnel
  • Contrôle d'accès : RBAC multi-niveaux (lecteur → super_admin)
  • Sauvegardes quotidiennes chiffrées, rétention 7 jours
  • Photos : URLs pré-signées S3 à durée limitée (15 min), non indexables
  • Isolation multi-tenant garantie par architecture (societe_id + site_id)

Partie 2 — DPA (Data Processing Agreement — Art. 28 RGPD)

Accord de Traitement des Données entre Groupe Asttas (Sous-traitant) et le Client (Responsable de traitement)

Rôles

PartieRôle RGPD
Le Client (garage, carrosserie, etc.)Responsable de traitement
Groupe AsttasSous-traitant

Le Client détermine les finalités et les moyens du traitement. Groupe Asttas traite ces données uniquement pour fournir le Service TDV Agent.

Engagements de Groupe Asttas (Sous-traitant)

  • (a) Instructions documentées : traiter les données uniquement sur instruction documentée du Client
  • (b) Confidentialité : les personnes accédant aux données sont soumises à une obligation de confidentialité
  • (c) Sécurité (art. 32 RGPD) : chiffrement TLS + Argon2id + RBAC + sauvegardes quotidiennes + isolation multi-tenant
  • (d) Sous-traitants ultérieurs : notification préalable 30 jours avant tout nouveau sous-traitant
  • (e) Droits des personnes : assistance au Client sous 30 jours
  • (f) Notification violations : notification sous 48h après découverte d'une violation de données
  • (g) Fin du contrat : export des données sous 30 jours, suppression définitive sous 60 jours
  • (h) Audit : mise à disposition des informations sur préavis de 30 jours ouvrés

Durées de conservation applicables

DonnéeDuréeJustification
Dossiers véhicules & photosContrat + 30 joursRéversibilité
Factures10 ansArt. L123-22 C. com.
Logs de connexion12 moisObligation LCEN
Photos S3Contrat + 60 joursDélai suppression S3
Données NPS / avis3 ansIntérêt légitime