1. Identité du responsable de traitement
Romain Jeanniot — Micro-entreprise Forom 1 rue George Robinson - 57000 Metz Email : contact@goparo.fr
Goparo ne dispose pas de Délégué à la Protection des Données (DPO) formellement désigné à ce stade. Toute demande relative aux données personnelles est adressée à : contact@goparo.fr — réponse garantie sous un mois (art. 12 RGPD).
2. Périmètre
La présente politique s'applique à l'ensemble des traitements de données réalisés dans le cadre de :
- la navigation sur https://goparo.fr ;
- l'utilisation de l'application Goparo (création de compte, gestion du service) ;
- la relation commerciale (abonnement, facturation, support) ;
- les communications (notifications produit, newsletter, alertes réglementaires).
3. Données collectées, finalités et bases légales
| Catégorie | Source | Finalité | Base légale RGPD |
|---|---|---|---|
| Données d'identification (nom, prénom, email, téléphone, fonction) | Formulaire d'inscription | Création et gestion du compte | Exécution du contrat — art. 6.1.b |
| Données de l'entreprise (raison sociale, SIRET, adresse, TVA) | Formulaire d'inscription | Gestion contractuelle et facturation légale | Exécution du contrat — art. 6.1.b |
| Données de facturation (montants, références, dates d'émission) | Saisie utilisateur + prestataire de paiement | Facturation, comptabilité, obligations fiscales | Obligation légale — art. 6.1.c |
| Données d'activité professionnelle (clients du garage, devis, factures, véhicules, pièces) | Saisie utilisateur | Fourniture du service de gestion administrative | Exécution du contrat — art. 6.1.b |
| Données de connexion (adresse IP, logs serveur, navigateur, dates et heures d'accès) | Collecte automatique infrastructure | Sécurité, détection de fraude, diagnostic technique | Intérêt légitime — art. 6.1.f |
| Données d'usage applicatif (navigation dans l'app, fonctionnalités utilisées, fréquence) | Analytics (Google Analytics 4 via GTM) | Amélioration du produit, mesure d'audience agrégée | Intérêt légitime / consentement — art. 6.1.f / 6.1.a |
| Données vocales (si saisie vocale activée) | Microphone de l'utilisateur | Transcription en texte via IA, génération de brouillons de devis | Consentement explicite — art. 6.1.a |
| Adresse email (newsletter) | Formulaire d'abonnement newsletter | Envoi d'informations produit, mises à jour réglementaires | Consentement — art. 6.1.a |
| Données de paiement (tokenisé — numéro de carte non stocké par Goparo) | Prestataire de paiement (Alma) | Traitement sécurisé des transactions | Exécution du contrat — art. 6.1.b |
Données des tiers — Rôle de sous-traitant
Dans le cadre de l'utilisation de l'application, l'utilisateur est amené à saisir des données concernant ses propres clients (nom, véhicule, coordonnées, historique d'interventions). Sur ces données, Goparo intervient en qualité de sous-traitant au sens de l'article 28 du RGPD. L'utilisateur est responsable de traitement de ces données et déclare les avoir collectées conformément au RGPD.
L'éditeur traite ces données exclusivement selon les instructions de l'utilisateur, ne les exploite pas à des fins propres et s'engage à les supprimer ou restituer à la demande de l'utilisateur ou à la résiliation du contrat.
4. Durée de conservation
| Catégorie | Durée | Base légale ou justification |
|---|---|---|
| Données de compte utilisateur actif | Durée du contrat | Exécution du contrat |
| Données de compte utilisateur inactif | Durée du contrat + 3 ans | Prescription de droit commun — art. 2224 C. civ. |
| Données de facturation et documents comptables | 10 ans à compter de la clôture de l'exercice | Art. L. 123-22 C. com. |
| Données de connexion et logs | 12 mois | Art. 6-II LCEN |
| Données vocales | Durée de la session de transcription uniquement, puis suppression | Minimisation — art. 5.1.e RGPD |
| Données d'analytics | 13 mois glissants | Recommandation CNIL |
| Données marketing (newsletter) | Jusqu'au retrait du consentement ou 3 ans sans contact actif | Délibération CNIL |
| Données post-résiliation | 60 jours accessibles (portabilité), puis suppression définitive | Minimisation + portabilité garantie |
5. Destinataires et sous-traitants
5.1 Sous-traitants techniques
| Prestataire | Rôle | Localisation | Garanties RGPD |
|---|---|---|---|
| Vercel Inc. | Hébergement applicatif, déploiement continu | CDN mondial + edge UE | Clauses contractuelles types (CCT) |
| Supabase Inc. | Base de données relationnelle PostgreSQL | eu-west-3 (Paris, France) | Hébergement UE — RGPD direct |
| Anthropic, Inc. | Modèles IA (assistance saisie, transcription vocale) | États-Unis | CCT Commission européenne |
| Alma SAS | Traitement des paiements en ligne (option fractionnement) | France (UE) | RGPD conforme — DPA disponible |
| Brevo (ex-Sendinblue) | Emailing transactionnel et marketing | France (UE) | RGPD conforme — DPA disponible |
| Google LLC | Synchronisation agenda (Google Calendar API) + Analytics (GA4/GTM) | UE + États-Unis | CCT + Programme de conformité Google / DPF |
5.2 Partenaires fonctionnels (sur activation explicite)
- Qonto : données strictement nécessaires à l'inscription sur la Plateforme Agréée pour la réception de factures électroniques. Activation sous consentement explicite de l'utilisateur.
- Pennylane : données nécessaires à l'intégration comptable et/ou à l'activation de la PA. Activation sous consentement explicite.
- Expert-comptable désigné : accès en lecture et export activé exclusivement par l'utilisateur depuis ses paramètres. Aucune transmission automatique.
5.3 Autorités compétentes
Les données peuvent être communiquées aux autorités judiciaires, fiscales ou réglementaires sur réquisition légale ou en cas d'obligation légale de déclaration.
5.4 Engagement de non-revente
Goparo ne vend, ne loue, ne cède et ne commercialise aucune donnée individuelle identifiante à des tiers, à quelque fin que ce soit. Les statistiques sectorielles produites à partir des données agrégées sont strictement anonymisées.
6. Transferts hors Union européenne
Les prestataires Anthropic (États-Unis), Vercel (États-Unis) et Google (États-Unis) peuvent traiter des données depuis des pays tiers. Ces transferts sont encadrés par :
- des clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914/UE du 4 juin 2021) ;
- pour Google : le Data Privacy Framework UE-États-Unis (DPF, décision d'adéquation de la Commission européenne du 10 juillet 2023).
Les données de base de données (Supabase eu-west-3) restent hébergées en France et ne font l'objet d'aucun transfert hors UE.
7. Sécurité des données
L'éditeur met en œuvre les mesures techniques et organisationnelles suivantes, conformément à l'article 32 du RGPD :
Mesures techniques
- Chiffrement des communications en transit (HTTPS/TLS 1.3 minimum)
- Chiffrement des données au repos sur les serveurs Supabase
- Authentification sécurisée avec gestion des sessions et invalidation automatique
- Contrôle d'accès par rôles (RBAC) — l'expert-comptable ne voit que ce que l'utilisateur autorise
- Sauvegardes automatiques quotidiennes avec capacité de restauration vérifiée
Mesures organisationnelles
- Accès aux données de production limité au strict nécessaire (principe du moindre privilège)
- Environnements de développement et de production strictement séparés
Gestion des incidents
En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'éditeur s'engage à :
- notifier la CNIL dans les 72 heures (art. 33 RGPD) ;
- informer les personnes concernées si le risque est élevé (art. 34 RGPD).
8. Vos droits RGPD
8.1 Droits applicables
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés du 6 janvier 1978 modifiée, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) — Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
- Droit de rectification (art. 16) — Faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) — Obtenir la suppression de vos données dans les cas prévus par le RGPD (retrait du consentement, données non nécessaires, opposition légitime), sous réserve des obligations légales de conservation.
- Droit à la limitation du traitement (art. 18) — Faire suspendre temporairement l'utilisation de vos données le temps d'une contestation ou d'une vérification.
- Droit à la portabilité (art. 20) — Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON), et les transférer à un autre responsable de traitement.
- Droit d'opposition (art. 21) — Vous opposer à tout moment au traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale.
- Retrait du consentement — Révoquer à tout moment votre consentement aux traitements qui en dépendent (analytics, newsletter, données vocales), sans que cela n'affecte la licéité des traitements effectués antérieurement.
- Directives post-mortem (art. 85 de la loi Informatique et Libertés) — Définir des instructions sur le sort de vos données après votre décès.
8.2 Exercice des droits
Par email : contact@goparo.fr — en indiquant votre identité, le droit que vous souhaitez exercer et, si possible, les données concernées. Par courrier : Romain Jeanniot — 1 rue George Robinson - 57000 Metz
L'éditeur s'engage à accuser réception de votre demande et à y répondre dans un délai d'un mois à compter de sa réception. Ce délai peut être prorogé de deux mois supplémentaires en cas de demande complexe ou en nombre (art. 12 RGPD), avec information préalable. Une pièce d'identité pourra être demandée pour vérifier votre identité.
8.3 Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas la réglementation applicable, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL) 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07 Téléphone : 01 53 73 22 22 Site : www.cnil.fr
10. Modification de la présente politique
L'éditeur se réserve le droit de modifier la présente Politique de confidentialité pour tenir compte des évolutions légales, réglementaires, techniques ou opérationnelles. En cas de modification substantielle des traitements ou des droits des personnes, les utilisateurs sont informés par email avec un préavis de 30 jours avant entrée en vigueur. La date de mise à jour figurant en tête du document fait foi.