La société SAS TURBOPROG (ci-après « MALOU » ou « l’Éditeur »), éditrice du site malouauto.fr et des services associés, accorde une importance particulière à la protection des Données Personnelles de ses utilisateurs.
La présente Politique de Confidentialité (ci-après la « Politique ») est susceptible d’être mise à jour pour refléter les évolutions du Service, de l’organisation interne de SAS TURBOPROG ou de la réglementation applicable. La dernière version publiée fait foi.
Art. 1Responsable de traitement
Le responsable de traitement, au sens de l’article 4.7 du RGPD, est :
- Raison sociale
- SAS TURBOPROG
- Forme juridique
- Société par Actions Simplifiée (SAS)
- Capital social
- 10 000 €
- Siège social
- 25 route des Maries, 28260 Sorel-Moussel, France
- Numéro RCS / SIREN
- 829 237 015 R.C.S. Chartres
- TVA intracommunautaire
- FR72 829 237 015
- Représentant légal
- Monsieur Yann Ségalat, en qualité de Président
- Email général
- turboprog@hotmail.fr
- Téléphone
- 06 95 69 84 75
Pour toute question relative au traitement de vos Données Personnelles ou pour exercer vos droits, vous pouvez écrire à turboprog@hotmail.fr ou par courrier postal au siège social mentionné ci-dessus.
Délégué à la Protection des Données (DPO) : SAS TURBOPROG n’a pas désigné, à ce jour, de Délégué à la Protection des Données au sens de l’article 37 du RGPD. Le traitement de vos demandes RGPD est assuré en interne par SAS TURBOPROG, à l’adresse de contact ci-dessus.
Art. 2Données collectées et finalités
MALOU collecte les Données Personnelles strictement nécessaires à la fourniture du Service. Les données ci-dessous sont collectées soit directement auprès de l’utilisateur, soit dérivées de son utilisation du Service.
2.1 Identification et authentification
| Donnée | Source | Finalité | Base légale (art. 6 RGPD) | Caractère |
|---|---|---|---|---|
| Collecte directe | Création et gestion du Compte, communication transactionnelle, vérification par OTP | Exécution du contrat (art. 6.1.b) | Obligatoire | |
| Nom d’utilisateur | Collecte directe | Identification publique dans le Salon, attribution des contributions | Exécution du contrat (art. 6.1.b) | Obligatoire |
| Mot de passe | Collecte directe | Authentification stocké hashé (bcrypt) via Supabase Auth, jamais en clair | Exécution du contrat (art. 6.1.b) | Obligatoire |
| Secret TOTP (MFA) | Généré par MALOU | Authentification à double facteur lorsqu’elle est activée | Exécution du contrat (art. 6.1.b) | Facultatif |
| Codes de récupération MFA | Générés par MALOU | Récupération du Compte en cas de perte de l’app TOTP | Exécution du contrat (art. 6.1.b) | Hashés, vie du Compte |
2.2 Profil et préférences
| Donnée | Source | Finalité | Base légale | Caractère |
|---|---|---|---|---|
| Nom, prénom | Collecte directe | Personnalisation, factures pour les Comptes payants | Contrat / obligation légale | Facultatif sauf facturation |
| Préférences (thème, notifications) | Collecte directe | Personnalisation du Service | Consentement (art. 6.1.a) | Facultatif |
2.3 Données professionnelles (Comptes Pro)
| Donnée | Source | Finalité | Base légale | Caractère |
|---|---|---|---|---|
| SIRET | Collecte directe | Vérification du statut professionnel | Exécution du contrat (art. 6.1.b) | Obligatoire (Pro) |
| Raison sociale, forme juridique | Collecte directe | Affichage public dans l’annuaire Mon Atelier (lorsque l’utilisateur publie un profil), factures | Exécution du contrat (art. 6.1.b) | Obligatoire (Pro) |
| KBIS ou équivalent | Téléversement | Validation humaine TURBOPROG du statut professionnel | Exécution du contrat (art. 6.1.b) | Obligatoire (Pro) |
2.4 Données véhicule
| Donnée | Source | Finalité | Base légale | Caractère |
|---|---|---|---|---|
| Plaque d’immatriculation | Collecte directe | Identification du véhicule, lookup carte grise | Exécution du contrat (art. 6.1.b) | Obligatoire (fonctionnalités véhicule) |
| Numéro VIN | Collecte directe ou dérivé | Identification précise du véhicule, recherche du modèle | Exécution du contrat (art. 6.1.b) | Obligatoire (fonctionnalités avancées) |
| Photos du véhicule | Téléversement | Carnet d’entretien numérique, passeport véhicule | Exécution du contrat (art. 6.1.b) | Facultatif |
| Caractéristiques techniques | Dérivées du lookup | Affichage de la fiche véhicule | Exécution du contrat (art. 6.1.b) | Dérivé |
Important : la plaque et le VIN sont des Données Personnelles au sens de l’article 4.1 du RGPD, dans la mesure où ils permettent d’identifier indirectement le titulaire de la carte grise. L’utilisateur garantit qu’il dispose du droit de soumettre les véhicules qu’il enregistre dans le Service (titulaire de la carte grise ou autorisation expresse de celui-ci).
2.5 Communications
| Donnée | Source | Finalité | Base légale | Caractère |
|---|---|---|---|---|
| Messages publics dans le Salon | Collecte directe | Échanges communautaires, fonctionnement du forum | Exécution du contrat (art. 6.1.b) | Facultatif |
| Messages dans les salons privés | Collecte directe | Communication restreinte entre membres invités | Exécution du contrat (art. 6.1.b) | Facultatif |
| Conversations avec MALOU IA | Collecte directe | Fourniture de l’assistance par intelligence artificielle | Exécution du contrat (art. 6.1.b) | Facultatif |
| Réactions (like, utile, expert) | Collecte directe | Animation communautaire, attribution de points | Exécution du contrat (art. 6.1.b) | Facultatif |
2.6 Données financières
| Donnée | Source | Finalité | Base légale | Caractère |
|---|---|---|---|---|
| Identifiant client Stripe | Généré au 1ᵉʳ paiement | Gestion des Abonnements et factures | Exécution du contrat (art. 6.1.b) | Obligatoire (Abonnements payants) |
| Historique de paiement | Stripe (sous-traitant) | Facturation, suivi Abonnements, remboursements | Contrat / obligation légale (6.1.b et c) | 10 ans (art. L. 123-22 C. com.) |
MALOU ne stocke jamais les numéros de carte bancaire complets sur ses serveurs. Le traitement du paiement est intégralement assuré par Stripe Payments Europe Ltd., conforme à la norme PCI DSS niveau 1.
2.7 Sécurité et données techniques
| Donnée | Source | Finalité | Base légale | Caractère |
|---|---|---|---|---|
| Cookies de session Supabase | Navigateur | Maintien de la session authentifiée | Exécution du contrat (art. 6.1.b) | Strictement nécessaire |
| Tentatives de connexion (succès/échec, hash IP) | Collecte automatique | Protection contre attaques par force brute (rate limiting) | Intérêt légitime (art. 6.1.f) | Obligatoire |
| Logs d’erreurs (Sentry) | Collecte automatique | Détection et résolution des incidents techniques | Intérêt légitime (art. 6.1.f) | Maintenance |
| Journal d’audit interne | Collecte automatique | Traçabilité des opérations sensibles | Intérêt légitime (art. 6.1.f) | Sécurité |
2.8 Données dérivées
| Donnée | Source | Finalité | Base légale | Caractère |
|---|---|---|---|---|
| Verdict MALOU mis en cache | Généré par l’IA | Mutualisation des analyses entre utilisateurs (cache 30 j par modèle) | Intérêt légitime (art. 6.1.f) | Aucune Donnée Personnelle dans le Verdict |
| Audit log de génération de Verdict | Collecte automatique | Traçabilité des analyses, contrôle qualité IA | Intérêt légitime (art. 6.1.f) | Anonymisé après suppression du Compte |
| Quotas mensuels d’utilisation | Collecte automatique | Application des limites du Plan souscrit | Exécution du contrat (art. 6.1.b) | Obligatoire |
Art. 3Bases légales utilisées
Conformément à l’article 6 du RGPD, MALOU fonde ses traitements sur les bases légales suivantes :
| Base légale | Traitements concernés |
|---|---|
| Exécution du contrat (art. 6.1.b) | Création et gestion du Compte ; exécution des Abonnements ; traitement des analyses, Verdicts et bilans demandés ; gestion du Salon et des messages ; communications transactionnelles |
| Obligation légale (art. 6.1.c) | Conservation des factures pendant 10 ans (art. L. 123-22 C. com.) ; réponse aux réquisitions judiciaires ; conservation des données de connexion (loi n° 2004-575 art. 6-II LCEN) |
| Intérêt légitime (art. 6.1.f) | Sécurité du Service (rate limiting, MFA, audit log) ; prévention des abus ; mise en cache des Verdicts ; logs techniques et amélioration produit |
| Consentement (art. 6.1.a) | Préférences de notification opt-in ; cookies non essentiels en cas d’ajout futur ; téléversement de photos de véhicule |
Pour chaque traitement fondé sur l’intérêt légitime, MALOU réalise une mise en balance documentée entre cet intérêt et les droits et libertés de l’utilisateur. Cette analyse est disponible sur demande à l’adresse de contact RGPD indiquée à l’Article 1.
Art. 4Destinataires des données
4.1 Personnel habilité de SAS TURBOPROG
Seul le personnel de SAS TURBOPROG dûment habilité accède aux Données Personnelles, dans la limite strictement nécessaire à ses missions et sous obligation de confidentialité contractuelle.
4.2 Sous-traitants techniques
MALOU recourt à des sous-traitants au sens de l’article 28 du RGPD, chacun lié par un Data Processing Agreement (DPA) imposant des obligations strictes de confidentialité, de sécurité et de respect du RGPD. La liste exhaustive figure en Annexe de la présente Politique.
4.3 Autorités compétentes
Les Données Personnelles peuvent être transmises aux autorités administratives ou judiciaires compétentes sur réquisition légale, dans le strict respect du cadre légal applicable.
4.4 Cession ou restructuration
En cas de fusion, acquisition, cession d’activité ou procédure collective concernant SAS TURBOPROG, les Données Personnelles pourraient être transférées au repreneur. Les utilisateurs en seraient informés préalablement et conserveraient leurs droits RGPD.
MALOU ne vend, ne loue ni ne cède aucune Donnée Personnelle à des tiers à des fins commerciales, publicitaires ou de prospection.
Art. 5Transferts hors Union européenne
Certains sous-traitants de MALOU sont établis en dehors de l’Union européenne. Ces transferts sont encadrés par les garanties prévues aux articles 44 et suivants du RGPD :
- Décisions d’adéquation (art. 45 RGPD) lorsque la Commission européenne a constaté un niveau de protection adéquat dans le pays de destination ;
- Adhésion au Data Privacy Framework (DPF) pour les sous-traitants américains certifiés ;
- Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (Décision 2021/914 du 4 juin 2021), conformément à l’article 46 du RGPD.
L’utilisateur peut obtenir copie des garanties contractuelles applicables sur simple demande adressée à l’adresse de contact RGPD figurant à l’Article 1. Le détail des sous-traitants concernés et des garanties associées figure en Annexe.
Art. 6Durées de conservation
MALOU conserve chaque catégorie de Données Personnelles pendant la durée strictement nécessaire à la finalité poursuivie, dans le respect des obligations légales applicables.
| Catégorie de donnée | Durée de conservation | Fondement |
|---|---|---|
| Email, nom d’utilisateur, profil | Vie du Compte + 3 ans après suppression | Art. 17.3 RGPD (preuve contractuelle) |
| Mot de passe (hashé) | Vie du Compte | Sécurité du Compte |
| Secret TOTP MFA, codes de récupération | Vie du Compte | Sécurité du Compte |
| Données professionnelles (SIRET, KBIS) | Vie du Compte + 3 ans | Preuve contractuelle |
| Photos véhicule | Vie du véhicule dans Mon Garage | Exécution du contrat |
| Messages publics dans le Salon | Anonymisés à la suppression du Compte (cf. Art. 14.3) | Préservation des conversations communautaires |
| Messages privés (DM, salons privés) | Supprimés à la suppression du Compte | Effacement total |
| Factures et documents comptables | 10 ans | Art. L. 123-22 C. com. |
| Tentatives de connexion | ⚠ durée à confirmer dans `purge_login_attempts` | Sécurité (lutte contre la fraude) |
| Logs Sentry | ⚠ 90 jours à confirmer dans la config Sentry | Maintenance technique |
| Journal d’audit interne | 180 jours | Traçabilité, sécurité opérationnelle |
| Audit log de génération de Verdict | 180 jours puis purge | Contrôle qualité IA |
| Verdict MALOU mis en cache | 30 jours puis régénération | Intérêt légitime efficacité produit |
| Cookies de session | Durée de la session active | Authentification |
| Préférence cookie consent | 13 mois maximum | Délibération CNIL n° 2020-091 |
Au terme de la durée de conservation, les Données Personnelles sont soit supprimées, soit anonymisées de manière irréversible.
Art. 7Vos droits sur vos Données Personnelles
Conformément aux articles 12 à 22 du RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants :
7.1 Droit d’accès (art. 15 RGPD)
Vous pouvez obtenir confirmation que des Données vous concernant sont traitées et, le cas échéant, en obtenir copie ainsi que les informations relatives au traitement.
7.2 Droit de rectification (art. 16 RGPD)
Vous pouvez demander la correction de toute donnée inexacte ou incomplète. Certaines données sont modifiables directement depuis votre Compte.
7.3 Droit à l’effacement (art. 17 RGPD)
Vous pouvez demander la suppression de vos Données dans les cas prévus par le RGPD. La suppression du Compte s’effectue depuis votre tableau de bord ; elle est définitive et irréversible une fois confirmée.
Limites : certaines données sont conservées au-delà de la suppression lorsque la loi l’exige (factures 10 ans, art. L. 123-22 C. com.) ou pour la constatation, l’exercice ou la défense de droits en justice (art. 17.3 RGPD).
Anonymisation des contenus publics : vos messages publiés dans le Salon et dans les espaces partagés sont anonymisés (auteur affiché : « Utilisateur supprimé ») plutôt qu’effacés, afin de préserver la cohérence des conversations. Les messages privés sont supprimés.
7.4 Droit à la limitation (art. 18 RGPD)
Vous pouvez demander la limitation du traitement dans les cas prévus par le RGPD.
7.5 Droit à la portabilité (art. 20 RGPD)
Vous pouvez recevoir vos Données dans un format structuré et couramment utilisé pour les traitements fondés sur votre consentement ou l’exécution d’un contrat, lorsqu’ils sont effectués par des moyens automatisés.
7.6 Droit d’opposition (art. 21 RGPD)
Vous pouvez vous opposer aux traitements fondés sur votre consentement ou ayant pour finalité la prospection commerciale. Pour les traitements fondés sur l’intérêt légitime, l’opposition doit être motivée.
7.7 Droit de retirer son consentement (art. 7.3 RGPD)
Pour les traitements fondés sur votre consentement, vous pouvez le retirer à tout moment, sans incidence sur la licéité des traitements antérieurs.
7.8 Directives post-mortem (art. 85 LIL)
Vous pouvez communiquer à MALOU des directives concernant le sort de vos Données après votre décès.
7.9 Décisions automatisées (art. 22 RGPD)
Les contenus générés par intelligence artificielle (Verdict MALOU notamment) sont informatifs et ne constituent pas des décisions au sens de l’article 22 du RGPD voir Article 10.
7.10 Réclamation auprès d’une autorité de contrôle (art. 77 RGPD)
Vous disposez du droit d’introduire une réclamation auprès d’une autorité de contrôle compétente, sans avoir à saisir préalablement MALOU.
Art. 9Sécurité des données
Conformément à l’article 32 du RGPD, MALOU met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment le chiffrement en transit, la sécurisation des identifiants, le contrôle d’accès, la journalisation des opérations sensibles et l’authentification à double facteur lorsqu’elle est activée.
En cas de violation de Données Personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes concernées, MALOU notifie la CNIL dans un délai de 72 heures (art. 33 RGPD) et informe individuellement les personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés (art. 34 RGPD).
Art. 10Décisions automatisées et intelligence artificielle
MALOU utilise des outils d’intelligence artificielle (notamment le modèle Claude Sonnet d’Anthropic et le modèle Mistral) pour générer des contenus tels que les Verdicts MALOU (rapports automatisés sur des modèles de véhicules) et les réponses de l’assistance MALOU dans le Salon.
Ces contenus sont strictement informatifs et ne constituent pas des décisions automatisées au sens de l’article 22 du RGPD. Aucun de ces contenus ne produit d’effet juridique sur l’utilisateur ni ne l’affecte significativement. Ils ne se substituent pas à l’avis d’un professionnel qualifié de l’automobile.
Malgré les contrôles mis en œuvre (croisement obligatoire avec au moins trois sources distinctes pour les Verdicts), les outils d’intelligence artificielle peuvent générer des informations imprécises ou erronées. L’utilisateur dispose d’un mécanisme intégré de signalement d’erreur sur chaque Verdict, ainsi que d’un droit de demande de rectification ou de contestation manuelle adressée à l’adresse de contact RGPD figurant à l’Article 1.
Art. 11Mineurs
Le Service est destiné aux personnes majeures. L’inscription d’un mineur de moins de quinze ans est subordonnée au consentement conjoint du mineur et du titulaire de l’autorité parentale (art. 8 RGPD, art. 7-1 LIL). En cas de méconnaissance, le Compte est supprimé. Aucune publicité ciblée ne vise les mineurs.
Art. 12Modifications de la Politique
MALOU peut être amenée à mettre à jour la présente Politique pour refléter les évolutions du Service, de l’organisation interne de SAS TURBOPROG ou de la réglementation applicable.
En cas de modification substantielle (notamment évolution des finalités, élargissement des destinataires, changement de durées de conservation), les utilisateurs titulaires d’un Compte actif sont informés par email au moins trente (30) jours avant l’entrée en vigueur de la nouvelle version. Les modifications mineures (corrections rédactionnelles, mises à jour techniques sans incidence sur les droits) entrent en vigueur dès leur publication.
La date de dernière mise à jour et le numéro de version figurent en tête du présent document. Les modifications substantielles entraînent un incrément majeur de version (par exemple 1.x → 2.0) ; les modifications mineures, un incrément mineur ou correctif. Les versions antérieures peuvent être communiquées sur demande à l’adresse de contact RGPD.
Art. 13Contact et exercice des droits
Pour exercer vos droits ou poser toute question relative au traitement de vos Données :
- Email RGPD
- turboprog@hotmail.fr
- Courrier postal
- SAS TURBOPROG 25 route des Maries, 28260 Sorel-Moussel, France
MALOU répond à votre demande dans un délai d’un mois(art. 12.3 RGPD), prolongeable de deux mois en cas de complexité. La réponse est gratuite, sauf demandes manifestement infondées ou excessives (art. 12.5 RGPD). Un justificatif d’identité peut être demandé en cas de doute raisonnable (art. 12.6 RGPD).
Art. 14Particularités MALOU
14.1 Plaque et VIN Données Personnelles
La plaque et le VIN d’un véhicule sont des Données Personnelles au sens du RGPD car ils permettent d’identifier indirectement le titulaire de la carte grise. L’utilisateur garantit qu’il dispose du droit de soumettre les véhicules qu’il enregistre ou analyse via le Service (titulaire de la carte grise ou autorisation expresse de celui-ci). MALOU n’est pas tenu de vérifier ce droit a priori, mais peut suspendre tout Compte après examen du signalement reçu et notification écrite à l’utilisateur.
14.2 Verdict MALOU cache public et anonymat strict
Les Verdicts MALOU générés sont mis en cache pendant 30 jours par modèle de véhicule (couple marque + modèle + motorisation + millésime) afin d’optimiser les ressources et de mutualiser les analyses entre utilisateurs. Chaque Verdict est accessible via une URL publique de la forme malouauto.fr/bilan/[slug] et peut être indexé par les moteurs de recherche.
Aucune Donnée Personnelle de l’utilisateur demandeur n’apparaît dans le Verdict mis en cache. Le Verdict ne contient que des informations techniques publiques relatives au modèle de véhicule. Le fait qu’un utilisateur identifié ait demandé un Verdict donné n’est jamais publiquement associé à son identité.
14.3 Anonymisation des contenus publics à la suppression
Comme indiqué à l’article 7.3, les messages publiés dans le Salon et dans les espaces partagés sont anonymisés (auteur affiché : « Utilisateur supprimé ») à la suppression du Compte, plutôt qu’effacés. Ce choix vise à préserver la cohérence des fils de conversation pour les autres membres et est conforme au RGPD : l’anonymisation rend impossible toute ré-identification.
14.4 Propriété intellectuelle des contenus utilisateur
L’utilisateur conserve la propriété intellectuelle des contenus qu’il publie dans le Service (photos, messages, signalements). Il accorde à MALOU une licence non exclusive, gratuite, mondiale et limitée à la durée nécessaire à la fourniture du Service, pour héberger, afficher, indexer et reproduire ces contenus dans le strict cadre du Service. Le détail de cette licence figure dans les Conditions Générales d’Utilisation.
AnnexeCatégories de sous-traitants
Conformément à l’article 13.1.e du RGPD, MALOU informe l’utilisateur des catégories de destinataires de ses Données. Chaque sous-traitant est lié à SAS TURBOPROG par un Data Processing Agreement (DPA) imposant des obligations strictes de confidentialité et de sécurité, conformément à l’article 28 du RGPD.
| Catégorie | Région | Garanties art. 46 RGPD |
|---|---|---|
| Infrastructure technique (hébergement applicatif, base de données, stockage, monitoring) | Union européenne et États-Unis | Hébergement UE selon le service · Data Privacy Framework (DPF) et Clauses Contractuelles Types (CCT) pour les transferts hors UE |
| Services d’intelligence artificielle (génération de réponses, traitement de texte) | Union européenne et États-Unis | Hébergement UE selon le service · DPF et CCT pour les transferts hors UE |
| Traitement des paiements et facturation | Union européenne | Hébergement UE pas de transfert hors UE |
| Communication transactionnelle (emails) | États-Unis | DPF et CCT |
| Sources de données techniques et publiques (rappels constructeurs, lookup véhicule) | Union européenne | Données publiques pas de Donnée Personnelle transmise |
La liste détaillée et nominative des sous-traitants, à jour, est tenue à la disposition de l’utilisateur sur simple demande adressée à l’adresse de contact RGPD figurant à l’Article 1.