1. Responsable du traitement

Le responsable du traitement est MyCars [À COMPLÉTER : raison sociale] ([À COMPLÉTER : SAS, SARL, EI, etc.]), [À COMPLÉTER : adresse du siège social], [À COMPLÉTER : RCS Ville] [À COMPLÉTER : SIREN]. Pour toute question liée à la protection des données : contact@my-cars.fr.

2. Données collectées

• Identité et compte : prénom, nom, adresse email, mot de passe haché, identifiant de compte, méthode de connexion (email ou Google).
• Véhicules : marque, modèle, version, énergie, plaque d'immatriculation, kilométrage, date de mise en circulation, date du dernier contrôle technique, photo du véhicule (optionnelle).
• Entretien : factures (photos et données extraites), réparations effectuées et planifiées, montants, dates, libellés.
• Partage familial : adresse email des personnes invitées, statut de l'invitation, droits accordés.
• Notifications : jeton de notification push Expo (Android, iOS), préférences de rappel.
• Données techniques : adresse IP tronquée, type d'appareil, version du système d'exploitation, version de l'application, logs de connexion et de sécurité, données de diagnostic en cas d'incident.

3. Finalités et bases légales (RGPD)

• Création et gestion du compte utilisateur : exécution du contrat (article 6.1.b RGPD).
• Stockage des véhicules, factures et historique d'entretien : exécution du contrat (article 6.1.b RGPD).
• Analyse automatique des factures par intelligence artificielle pour en extraire les libellés et montants : exécution du contrat (article 6.1.b RGPD).
• Génération de suggestions de futures réparations et d'estimations de coût : exécution du contrat (article 6.1.b RGPD).
• Envoi de rappels d'échéances (contrôle technique, entretien) par notification push : exécution du contrat (article 6.1.b RGPD).
• Partage d'un véhicule avec un membre de la famille : exécution du contrat (article 6.1.b RGPD).
• Sécurité du service, prévention de la fraude et des abus : intérêt légitime (article 6.1.f RGPD).
• Envoi de communications non essentielles (nouveautés produit, enquêtes de satisfaction) : consentement préalable (article 6.1.a RGPD).

4. Durées de conservation

• Données de compte et véhicules : pendant toute la durée de vie du compte, puis supprimées dans un délai de 30 jours après la fermeture du compte.
• Factures et historique d'entretien : pendant toute la durée de vie du compte, exportables avant suppression sur demande.
• Logs techniques et de sécurité : 12 mois maximum.
• Données nécessaires aux obligations comptables ou légales : archivées séparément pour la durée légale de conservation.

5. Destinataires et sous-traitants

Les données sont accessibles uniquement aux personnes habilitées de l'Éditeur. Pour fournir le service, nous recourons aux sous-traitants techniques suivants, qui agissent sur nos instructions et avec des garanties contractuelles conformes au RGPD :

• Supabase Inc. (États-Unis, hébergement données en région UE — Francfort) : base de données, authentification, stockage des photos de factures.
• Vercel Inc. (États-Unis) : hébergement et diffusion du site et de l'application web.
• Railway Corp. (États-Unis) : hébergement de l'API serveur.
• Anthropic PBC (États-Unis) : analyse par intelligence artificielle des photos de factures et génération de suggestions de futures réparations. Les données envoyées ne sont pas conservées par le sous-traitant et ne sont pas utilisées pour l'entraînement de modèles.
• Google LLC (États-Unis) : connexion par compte Google si l'utilisateur choisit cette méthode ; notifications push Android via Firebase Cloud Messaging.
• Apple Inc. (États-Unis) : notifications push iOS via Apple Push Notification Service.
• Expo (États-Unis) : routage des notifications push.
• RapidAPI / fournisseur d'API d'immatriculation : enrichissement des informations véhicule à partir de la plaque saisie (aucune donnée personnelle identifiante transmise au-delà de la plaque).

6. Transferts hors UE

Certains sous-traitants sont établis hors Union européenne (notamment États-Unis). Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne, complétées par des mesures techniques et organisationnelles (chiffrement en transit et au repos, contrôle d'accès) garantissant un niveau de protection équivalent à celui exigé dans l'UE.

Les données primaires (compte utilisateur, véhicules, factures) sont stockées dans la région UE de notre hébergeur de base de données (Francfort).

7. Vos droits (RGPD)

• Droit d'accès à vos données personnelles.
• Droit de rectification des données inexactes ou incomplètes.
• Droit à l'effacement (« droit à l'oubli »).
• Droit à la limitation du traitement.
• Droit d'opposition pour motifs légitimes.
• Droit à la portabilité de vos données dans un format structuré et lisible par machine.
• Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement.
• Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

8. Exercice des droits et suppression de compte

Vous pouvez exercer vos droits en écrivant à contact@my-cars.fr. Une preuve d'identité peut être demandée pour sécuriser la demande.

9. Sécurité des données

Vos données sont chiffrées en transit (HTTPS / TLS 1.2 minimum) et au repos (chiffrement disque côté hébergeur). Les mots de passe sont stockés sous forme de hachés cryptographiques irréversibles. L'accès aux données est restreint par contrôle d'accès et journalisation.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, vous serez informé conformément à l'article 34 du RGPD.

10. Authentification biométrique

L'application propose un déverrouillage par reconnaissance biométrique (Face ID, Touch ID, empreinte digitale Android). Cette fonctionnalité est strictement optionnelle. Les données biométriques ne quittent jamais votre appareil : elles sont gérées par le système d'exploitation (Apple ou Google) et MyCars ne reçoit qu'une confirmation booléenne du résultat de l'authentification.

11. Documents associés

Cette politique complète les conditions d'utilisation.

12. Notifications push

Avec votre accord explicite (demandé au premier lancement ou dans les réglages de votre appareil), MyCars envoie des notifications push pour vous rappeler les échéances d'entretien et de contrôle technique. Vous pouvez désactiver ces notifications à tout moment depuis les réglages de votre appareil ou de l'application.

13. Suggestions générées par intelligence artificielle

MyCars utilise un système d'intelligence artificielle (modèles Claude d'Anthropic) pour deux usages : (1) lire les photos de factures que vous prenez afin d'en extraire les libellés et montants, et (2) générer des suggestions de futures réparations et leurs coûts estimés à partir de votre historique, du kilométrage et des caractéristiques du véhicule.

Ces suggestions sont produites automatiquement et sont fournies uniquement à titre indicatif. Elles ne constituent ni un diagnostic mécanique, ni un conseil professionnel, et peuvent contenir des approximations. Aucune décision automatisée produisant des effets juridiques n'est prise à votre sujet (article 22 RGPD).

Les données transmises au sous-traitant Anthropic ne sont pas conservées par celui-ci et ne sont pas utilisées pour l'entraînement de leurs modèles.

14. Cookies et traceurs (site web)

Le site web MyCars utilise uniquement des cookies strictement nécessaires au fonctionnement du service (session, authentification, sécurité). Aucun cookie publicitaire ou de mesure d'audience tiers n'est déposé sans votre consentement préalable. L'application mobile n'utilise pas de cookies mais peut stocker localement un jeton de session, supprimable en vous déconnectant ou en désinstallant l'application.

15. Mineurs

Le service n'est pas destiné aux mineurs de moins de 16 ans. Si vous constatez qu'un mineur de moins de 16 ans a créé un compte, merci de nous le signaler à contact@my-cars.fr : le compte sera supprimé sans délai.

16. Modification de la politique

Cette politique peut être mise à jour pour refléter l'évolution du service, de la réglementation ou de nos sous-traitants. La version applicable est toujours celle publiée à la présente adresse. Les modifications substantielles vous seront notifiées par email ou via l'application.