Politique de confidentialité
Traitement des données personnelles — RGPD Art. 13 & 14
Version 1.0 — Dernière mise à jour : 22 février 2026
Engagement MovAIsy
MovAIsy est fondée par un chauffeur de taxi professionnel. Nous savons ce que signifie faire confiance à une plateforme avec ses données. Cette politique décrit avec précision et sans jargon ce que nous collectons, pourquoi, combien de temps nous le conservons, et comment vous pouvez contrôler vos données.
1. Qui est responsable de vos données ?
Responsable de traitement : MovAIsy SASU — 998 952 956 R.C.S. Versailles — 2 Rue Louis Blériot, 78130 Les Mureaux.
Contact protection des données : Contact.movaisy@gmail.com
MovAIsy agit exclusivement comme plateforme numérique de mise en relation. Elle n'est pas un transporteur et ne transfère pas vos données à des fins publicitaires.
2. Quelles données collectons-nous et pourquoi ?
Nous collectons uniquement les données strictement nécessaires à chaque finalité (principe de minimisation, Art. 5.1.c RGPD). Le tableau ci-dessous détaille l'intégralité de nos traitements :
| Données | Finalité | Base légale | Durée de conservation |
|---|---|---|---|
| Nom, prénom, email, téléphone | Création et gestion de votre compte | Exécution du contrat (Art. 6.1.b) | Durée du compte + 3 ans après dernière activité, puis suppression |
| Position GPS (latitude/longitude) | Mise en relation chauffeur-passager (dispatch, navigation, ETA). Active pendant la course uniquement. | Exécution du contrat (Art. 6.1.b) | Position individuelle : supprimée dans les 24h après la course. Logs agrégés anonymisés : 13 mois. |
| Historique de courses (dates, adresses, montants) | Facturation, support, litiges | Exécution du contrat + obligation légale (Art. 6.1.b + 6.1.c) | Adresses : 36 mois après dernière activité. Données comptables : 10 ans (Art. L. 123-22 Code de commerce). |
| Données de paiement (via Stripe Connect) | Encaissement et virement. MovAIsy ne stocke jamais vos données de carte bancaire. | Exécution du contrat (Art. 6.1.b) | Références de transaction : 10 ans (obligation comptable). Données CB : gérées par Stripe. |
| Wallet chauffeur (solde, transactions) | Gestion de la commission fixe et des remboursements | Exécution du contrat (Art. 6.1.b) | Durée de la relation + 10 ans (obligation comptable) |
| Notation (1 à 5 étoiles) | Information des utilisateurs sur les offres disponibles. Usage informatif uniquement. | Intérêt légitime (Art. 6.1.f) | Agrégée et anonymisée après 12 mois |
| Logs de connexion et d'utilisation | Sécurité, prévention des fraudes, amélioration technique. | Intérêt légitime (Art. 6.1.f) | 30 jours pour les logs individuels. Statistiques agrégées : 13 mois. |
| Données de santé (module CPAM uniquement) | Transport médical prescrit. Consentement distinct requis. | Consentement explicite (Art. 9.2.a) + obligation légale CPAM (Art. 6.1.c) | 10 ans (obligation réglementaire Assurance Maladie). Hébergement OVH HDS exclusivement. |
Ce que nous ne faisons jamais
- • MovAIsy ne vend jamais vos données à des tiers.
- • MovAIsy n'utilise pas vos données à des fins publicitaires.
- • MovAIsy n'applique aucun profilage au sens de l'article 22 RGPD produisant des effets juridiques.
- • MovAIsy ne conserve pas l'historique de vos déplacements GPS au-delà de 24h.
3. Géolocalisation — ce qu'il faut savoir
La géolocalisation est techniquement nécessaire à l'exécution du service de mise en relation (base légale : Art. 6.1.b RGPD). Sans géolocalisation, le dispatch et le calcul d'ETA sont impossibles.
- Chauffeurs : position GPS active uniquement en statut disponible (vert) ou en course. Désactivée hors ligne.
- Passagers : position GPS active uniquement pendant la recherche de course et le trajet.
- Historique : les positions GPS sont supprimées automatiquement dans les 24h après la fin de la course.
- Désactivation : si vous désactivez la géolocalisation dans votre appareil, le service de mise en relation ne peut pas fonctionner.
4. Qui a accès à vos données ?
Nous appliquons le principe du moindre privilège : chaque acteur n'accède qu'aux données strictement nécessaires à sa fonction.
| Destinataire | Données accessibles | Encadrement |
|---|---|---|
| Stripe Connect (paiement) | Référence de transaction uniquement | DPA Stripe — stripe.com/fr/legal/dpa |
| OVH SAS (hébergement) | Infrastructure uniquement — accès aux données interdit sans autorisation MovAIsy | DPA OVH + Annexe HDS pour les données de santé |
| Google Maps Platform | Coordonnées GPS pour calcul d'itinéraire — pas de données identifiantes | Conditions Google Maps Platform — CCT pour transferts hors UE |
| Firebase / Google (Auth) | Authentification — identifiant de session pseudonymisé | DPA Google Cloud — configuration région EU |
| GIE SESAM-Vitale (CPAM) | NIR, prescription, données Vitale — télégestion CPAM uniquement | Convention de partenariat GIE SESAM-Vitale |
| Équipe MovAIsy | Accès limité selon matrice RBAC — pas d'accès données santé sauf urgence loggée | Politique interne RBAC v1.0 |
| Autorités judiciaires | Sur réquisition judiciaire uniquement — log systématique | Procédure interne réquisition judiciaire |
5. Données de santé (module CPAM)
Protection renforcée — Catégorie spéciale Art. 9 RGPD
Les données de santé bénéficient d'une protection maximale. Elles ne sont traitées que si vous utilisez le module de transport médical CPAM, avec votre consentement explicite recueilli via un écran distinct.
- Données traitées : prescription médicale (motif de transport), numéro de sécurité sociale (NIR), identité du médecin prescripteur, taux de prise en charge CPAM, données carte Vitale via GIE SESAM-Vitale.
- Ce que nous ne collectons pas : votre diagnostic médical, votre pathologie, vos antécédents médicaux.
- Hébergement : exclusivement sur l'infrastructure OVH certifiée HDS (Art. L. 1111-8 du Code de la santé publique).
- Durée : 10 ans à compter du transport (Art. R. 161-47 CSS).
- Accès chauffeur : uniquement pendant la course active, révocation automatique à la clôture.
- Retrait du consentement : possible à tout moment depuis les paramètres de l'application, sans affecter les autres fonctionnalités (VTC, taxi, livraison).
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données :
| Droit | Description | Comment l'exercer |
|---|---|---|
| Accès (Art. 15) | Obtenir une copie de toutes vos données | Email à Contact.movaisy@gmail.com — réponse sous 30 jours |
| Rectification (Art. 16) | Corriger des données inexactes ou incomplètes | Email ou directement dans l'application |
| Effacement (Art. 17) | Demander la suppression (sauf exceptions légales : comptabilité 10 ans, CPAM 10 ans) | Email à Contact.movaisy@gmail.com — réponse sous 30 jours |
| Portabilité (Art. 20) | Recevoir vos données dans un format structuré (JSON ou CSV) | Email en précisant le format souhaité |
| Opposition (Art. 21) | Vous opposer au traitement fondé sur l'intérêt légitime | Email avec motif |
| Limitation (Art. 18) | Suspendre le traitement le temps d'une contestation | Email à Contact.movaisy@gmail.com |
| Retrait consentement santé | Révoquer votre consentement aux traitements de données de santé | Paramètres de l'application — onglet Confidentialité |
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
7. Sécurité de vos données
- Chiffrement TLS 1.3 pour toutes les communications
- Chiffrement AES-256 au repos pour toutes les données stockées
- Chiffrement renforcé pour les données de santé (NIR, prescriptions)
- Authentification multi-facteurs (MFA) obligatoire pour les accès administrateurs
- Contrôle d'accès par rôle (RBAC) — principe du moindre privilège
- Suppression automatique programmée des logs GPS dans les 24h (cron OVH)
- Infrastructure hébergée en France (OVH, Roubaix) — données de santé sur infrastructure HDS
- Notification des incidents en 72h conformément à l'Art. 33 RGPD
8. Transferts de données hors UE
MovAIsy privilégie les prestataires hébergeant les données en France ou dans l'Union Européenne. Certains services peuvent nécessiter des transferts hors UE, dans les conditions suivantes :
| Prestataire | Pays de traitement | Garantie |
|---|---|---|
| OVH SAS | France — Roubaix | Aucun transfert hors UE |
| Stripe Connect | Irlande (UE) — Stripe Europe Ltd | Données dans l'UE |
| Google Maps Platform | Serveurs Google (US possible) | Clauses Contractuelles Types (CCT) — analyse TIA si nécessaire (Schrems II) |
| Firebase (Google Auth) | Configuration région EU recommandée | DPA Google Cloud — CCT si transfert hors UE |
| GIE SESAM-Vitale | France exclusivement | Données de santé jamais transférées hors France |
9. Mineurs
La plateforme MovAIsy est réservée aux personnes majeures (18 ans ou plus). MovAIsy ne collecte pas sciemment de données personnelles concernant des mineurs. Si un mineur s'est inscrit sur la plateforme à notre insu, ses données seront supprimées dès que nous en aurons connaissance. Signalez tout cas à Contact.movaisy@gmail.com.
10. Mise à jour de cette politique
MovAIsy se réserve le droit de modifier la présente Politique de Confidentialité pour l'adapter aux évolutions légales, réglementaires ou techniques. En cas de modification substantielle, les utilisateurs seront informés par notification dans l'application et/ou par email, au moins 30 jours avant l'entrée en vigueur des modifications.
Contact : Contact.movaisy@gmail.com