Politique de confidentialité
Dernière mise à jour : 29 avril 2026
La présente politique décrit comment Hullteam SASU (ci-après « Hullteam ») collecte, utilise et protège les données personnelles de ses utilisateurs, conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi Informatique et Libertés.
1. Responsable du traitement
Hullteam SASU
Société par actions simplifiée unipersonnelle (SASU)
Capital social : 1 000 €
Siège social : Siège social en cours d'immatriculation à Sète (34), France
Immatriculation : RCS Sète (34) — immatriculation en cours
SIRET : En cours d'immatriculation
Délégué à la protection des données (DPO) : Jérome Robinet
Contact : dpo@hullteam.com
2. Données collectées
Nous collectons les catégories de données suivantes :
- Données d'identification — Nom, prénom, email, photo de profil, téléphone
- Données de navigation — Adresse IP, type de navigateur, pages consultées, durée des visites
- Données nautiques — Informations sur les bateaux (nom, immatriculation, documents), journaux de bord, waypoints GPS, carnets de voyage
- Données de transaction — Historique d'abonnement, factures (les données de paiement sont traitées directement par Stripe)
- Données de communication — Messages échangés via la messagerie interne, demandes de contact
- Photos et médias — Images uploadées (documents, carnet de voyage), métadonnées EXIF incluant la géolocalisation lorsqu'elle est présente dans la photo
- Données professionnelles — Pour les comptes pro : SIRET, KBIS, RC Pro, CNI (documents KYC Stripe)
Données EXIF GPS : lorsque vous uploadez une photo dans votre carnet de voyage, les coordonnées GPS éventuellement stockées dans le fichier sont extraites pour positionner la photo sur la carte. Vous pouvez retirer ces métadonnées avant upload depuis votre appareil ou via les paramètres de confidentialité de votre téléphone.
3. Bases légales et finalités
| Finalité | Base légale |
|---|---|
| Gestion du compte utilisateur | Exécution du contrat |
| Fourniture des services (BoatID, Vault, Logbook…) | Exécution du contrat |
| Facturation et paiement | Obligation légale |
| Envoi de notifications liées au service | Exécution du contrat |
| Newsletter et communications marketing | Consentement |
| Amélioration de la plateforme (analytics) | Consentement (cookies) |
| Marketplace et mise en relation | Exécution du contrat |
| Sécurité et prévention de la fraude | Intérêt légitime |
4. Destinataires des données — Sous-traitants
Vos données sont transmises aux sous-traitants techniques suivants, avec lesquels nous avons conclu un contrat de sous-traitance (DPA) conforme à l'article 28 du RGPD :
| Sous-traitant | Données traitées | Localisation | Base de transfert |
|---|---|---|---|
| Supabase | Base de données, authentification, stockage fichiers | UE + US | Clauses contractuelles types + DPF |
| Vercel | Hébergement, logs, CDN | US | EU-US Data Privacy Framework (DPF) |
| Stripe Connect | Paiements, KYC professionnels, facturation | US + UE (Irlande) | Clauses contractuelles types + DPF |
| Resend | Emails transactionnels | US | Clauses contractuelles types |
| Brevo | Emails marketing, SMS | France (UE) | Transfert intra-UE |
| Anthropic | Assistant IA nautique (contenu des conversations) | US | Clauses contractuelles types |
| Mapbox | Cartographie, géocodage | US | EU-US Data Privacy Framework (DPF) |
| Google Places | Géocodage de ports et adresses | US | EU-US Data Privacy Framework (DPF) |
| Pappers | Vérification SIREN/SIRET des professionnels | France (UE) | Transfert intra-UE |
| Sentry | Monitoring d'erreurs et performance applicative (replays anonymisés des erreurs côté client) | UE (Francfort) / US | Clauses contractuelles types + DPF |
Vos données peuvent par ailleurs être partagées avec :
- Professionnels nautiques — Uniquement les informations nécessaires à la réalisation d'un service demandé (devis, mise en relation)
- Autorités compétentes — En cas d'obligation légale ou de réquisition judiciaire
Aucune donnée n'est vendue à des tiers à des fins commerciales.
4 bis. AI Assistant (BoatAssistant)
Hullteam integrates a smart assistant (BoatAssistant) powered by the Claude API from Anthropic Inc. (United States). This service provides maintenance advice, diagnostics, and search across your Vault documentation.
Data sent to Anthropic is limited to the content of your messages and relevant Vault document excerpts (vector embeddings). No identification data (email, name, identifiers) is attached to the API call.
Our Anthropic integration is configured in zero data retention mode: exchanged data is not retained by Anthropic beyond the time required to process your request, and is never used to train Claude models.
BoatAssistant makes no automated decision producing legal effects or significantly affecting you within the meaning of Article 22 GDPR. Assistant responses are strictly informative; you remain solely responsible for any action on your boat.
You have a specific right to object to AI processing. You may delete your conversations from the interface at any time or request their complete erasure by writing to dpo@hullteam.com. Declining to use BoatAssistant has no impact on access to the rest of the platform.
5. Transferts hors Union européenne
Certains sous-traitants (Supabase, Vercel, Stripe, Anthropic, Mapbox, Google Places, Resend, Sentry) peuvent héberger ou traiter des données aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne (Décision 2021/914) et/ou le EU-US Data Privacy Framework (adéquation reconnue le 10 juillet 2023). Vous pouvez nous contacter à dpo@hullteam.com pour obtenir une copie des garanties mises en place.
6. Durée de conservation
- Données du compte actif — Durée de l'inscription
- Données après suppression du compte — 3 ans (archive sécurisée à des fins de preuve)
- Documents nautiques (Vault) — Durée de l'inscription + suppression immédiate lors de la demande d'effacement
- Données de facturation — 10 ans (obligation comptable — art. L.123-22 Code de commerce)
- Logs techniques et de connexion — 12 mois
- Cookies analytiques — 13 mois maximum
- Messages de la messagerie interne — Durée de l'inscription des parties
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès — Obtenir une copie de vos données personnelles (art. 15)
- Droit de rectification — Corriger des données inexactes (art. 16)
- Droit à l'effacement — Demander la suppression de vos données (art. 17)
- Droit à la portabilité — Récupérer vos données dans un format structuré (JSON) via votre tableau de bord → Paramètres → Exporter mes données (art. 20)
- Droit d'opposition — Vous opposer au traitement pour motif légitime (art. 21)
- Droit à la limitation — Restreindre le traitement dans certains cas (art. 18)
- Retrait du consentement — À tout moment pour les traitements basés sur le consentement, sans affecter la licéité des traitements antérieurs
- Directives post-mortem — Conformément à l'art. 85 de la loi Informatique et Libertés
Exercer vos droits : depuis votre tableau de bord (suppression de compte, export de données) ou par email à dpo@hullteam.com. Nous répondons sous 30 jours maximum (prolongeable de 2 mois en cas de demande complexe, avec notification).
Réclamation CNIL : vous pouvez à tout moment introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (www.cnil.fr — 3 place de Fontenoy, 75007 Paris).
8. Sécurité
Hullteam met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données (art. 32 RGPD) :
- Chiffrement TLS 1.3 en transit, AES-256 au repos
- Authentification sécurisée avec hash bcrypt des mots de passe
- Row Level Security (RLS) sur l'ensemble des tables PostgreSQL
- Cloisonnement des rôles et principe du moindre privilège
- Journaux d'audit des actions administratives
- Sauvegardes automatiques quotidiennes chiffrées
- Monitoring continu des anomalies de sécurité
- Revue de code systématique avant mise en production
Notification de violation : en cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous notifierons dans les meilleurs délais et, au plus tard, lorsque la CNIL sera notifiée (sous 72 h après connaissance de la violation, art. 33-34 RGPD).
9. Cookies
Notre utilisation des cookies est détaillée dans notre Politique de cookies. Vous pouvez modifier votre choix à tout moment via le lien « Gérer les cookies » en pied de page.
10. Minors
Hullteam is not intended for minors under 15 years of age. Pursuant to Article 8 of the GDPR and Article 45 of the French Data Protection Act, the consent of a minor under 15 is valid only with the joint authorisation of the holder of parental authority.
No feature, advertising or content on the platform is specifically directed at children. We do not profile users based on their age.
If you are a parent and wish to report or delete a minor's account, please contact us at dpo@hullteam.com. We will process your request within 30 days at most.
11. Modifications
Cette politique peut être mise à jour. Toute modification substantielle sera notifiée par email ou via un bandeau sur le Site. La date de dernière mise à jour figure en haut de cette page.
12. Contact
Pour toute question relative à la protection de vos données : dpo@hullteam.com