Politique de confidentialité
Dernière mise à jour : 29 avril 2026
La présente politique décrit comment Hullteam SASU (ci-après « Hullteam ») collecte, utilise et protège les données personnelles de ses utilisateurs, conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi Informatique et Libertés.
1. Responsable du traitement
Hullteam SASU
Société par actions simplifiée unipersonnelle (SASU)
Capital social : 1 000 €
Siège social : Siège social en cours d'immatriculation à Sète (34), France
Immatriculation : RCS Sète (34) — immatriculation en cours
SIRET : En cours d'immatriculation
Délégué à la protection des données (DPO) : Jérome Robinet
Contact : dpo@hullteam.com
2. Données collectées
Nous collectons les catégories de données suivantes :
- Données d'identification — Nom, prénom, email, photo de profil, téléphone
- Données de navigation — Adresse IP, type de navigateur, pages consultées, durée des visites
- Données nautiques — Informations sur les bateaux (nom, immatriculation, documents), journaux de bord, waypoints GPS, carnets de voyage
- Données de transaction — Historique d'abonnement, factures (les données de paiement sont traitées directement par Stripe)
- Données de communication — Messages échangés via la messagerie interne, demandes de contact
- Photos et médias — Images uploadées (documents, carnet de voyage), métadonnées EXIF incluant la géolocalisation lorsqu'elle est présente dans la photo
- Données professionnelles — Pour les comptes pro : SIRET, KBIS, RC Pro, CNI (documents KYC Stripe)
Données EXIF GPS : lorsque vous uploadez une photo dans votre carnet de voyage, les coordonnées GPS éventuellement stockées dans le fichier sont extraites pour positionner la photo sur la carte. Vous pouvez retirer ces métadonnées avant upload depuis votre appareil ou via les paramètres de confidentialité de votre téléphone.
3. Bases légales et finalités
| Finalité | Base légale |
|---|---|
| Gestion du compte utilisateur | Exécution du contrat |
| Fourniture des services (BoatID, Vault, Logbook…) | Exécution du contrat |
| Facturation et paiement | Obligation légale |
| Envoi de notifications liées au service | Exécution du contrat |
| Newsletter et communications marketing | Consentement |
| Amélioration de la plateforme (analytics) | Consentement (cookies) |
| Marketplace et mise en relation | Exécution du contrat |
| Sécurité et prévention de la fraude | Intérêt légitime |
4. Destinataires des données — Sous-traitants
Vos données sont transmises aux sous-traitants techniques suivants, avec lesquels nous avons conclu un contrat de sous-traitance (DPA) conforme à l'article 28 du RGPD :
| Sous-traitant | Données traitées | Localisation | Base de transfert |
|---|---|---|---|
| Supabase | Base de données, authentification, stockage fichiers | UE + US | Clauses contractuelles types + DPF |
| Vercel | Hébergement, logs, CDN | US | EU-US Data Privacy Framework (DPF) |
| Stripe Connect | Paiements, KYC professionnels, facturation | US + UE (Irlande) | Clauses contractuelles types + DPF |
| Resend | Emails transactionnels | US | Clauses contractuelles types |
| Brevo | Emails marketing, SMS | France (UE) | Transfert intra-UE |
| Anthropic | Assistant IA nautique (contenu des conversations) | US | Clauses contractuelles types |
| Mapbox | Cartographie, géocodage | US | EU-US Data Privacy Framework (DPF) |
| Google Places | Géocodage de ports et adresses | US | EU-US Data Privacy Framework (DPF) |
| Pappers | Vérification SIREN/SIRET des professionnels | France (UE) | Transfert intra-UE |
| Sentry | Monitoring d'erreurs et performance applicative (replays anonymisés des erreurs côté client) | UE (Francfort) / US | Clauses contractuelles types + DPF |
Vos données peuvent par ailleurs être partagées avec :
- Professionnels nautiques — Uniquement les informations nécessaires à la réalisation d'un service demandé (devis, mise en relation)
- Autorités compétentes — En cas d'obligation légale ou de réquisition judiciaire
Aucune donnée n'est vendue à des tiers à des fins commerciales.
4 bis. Assistente IA (BoatAssistant)
Hullteam integra un assistente intelligente (BoatAssistant) basato sull'API Claude di Anthropic Inc. (Stati Uniti). Questo servizio fornisce consigli di manutenzione, diagnostica e ricerche nella documentazione del tuo Vault.
I dati trasmessi ad Anthropic si limitano al contenuto dei tuoi messaggi e agli estratti di documenti Vault pertinenti alla richiesta (embedding vettoriali). Nessun dato di identificazione (email, nome, identificatori) è allegato alla chiamata API.
La nostra integrazione Anthropic è configurata in modalità zero data retention: i dati scambiati non sono conservati da Anthropic oltre il tempo necessario all'elaborazione della richiesta, né sono mai utilizzati per addestrare i modelli Claude.
BoatAssistant non prende alcuna decisione automatizzata che produca effetti giuridici o che ti riguardi in modo significativo ai sensi dell'articolo 22 del GDPR. Le risposte dell'assistente sono strettamente informative; resti tu il solo responsabile di qualsiasi azione sulla tua imbarcazione.
Hai un diritto di opposizione specifico al trattamento tramite IA. Puoi eliminare le tue conversazioni dall'interfaccia in qualsiasi momento o richiederne la cancellazione completa scrivendo a dpo@hullteam.com. Il rifiuto di utilizzare BoatAssistant non ha alcun impatto sull'accesso al resto della piattaforma.
5. Transferts hors Union européenne
Certains sous-traitants (Supabase, Vercel, Stripe, Anthropic, Mapbox, Google Places, Resend, Sentry) peuvent héberger ou traiter des données aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne (Décision 2021/914) et/ou le EU-US Data Privacy Framework (adéquation reconnue le 10 juillet 2023). Vous pouvez nous contacter à dpo@hullteam.com pour obtenir une copie des garanties mises en place.
6. Durée de conservation
- Données du compte actif — Durée de l'inscription
- Données après suppression du compte — 3 ans (archive sécurisée à des fins de preuve)
- Documents nautiques (Vault) — Durée de l'inscription + suppression immédiate lors de la demande d'effacement
- Données de facturation — 10 ans (obligation comptable — art. L.123-22 Code de commerce)
- Logs techniques et de connexion — 12 mois
- Cookies analytiques — 13 mois maximum
- Messages de la messagerie interne — Durée de l'inscription des parties
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès — Obtenir une copie de vos données personnelles (art. 15)
- Droit de rectification — Corriger des données inexactes (art. 16)
- Droit à l'effacement — Demander la suppression de vos données (art. 17)
- Droit à la portabilité — Récupérer vos données dans un format structuré (JSON) via votre tableau de bord → Paramètres → Exporter mes données (art. 20)
- Droit d'opposition — Vous opposer au traitement pour motif légitime (art. 21)
- Droit à la limitation — Restreindre le traitement dans certains cas (art. 18)
- Retrait du consentement — À tout moment pour les traitements basés sur le consentement, sans affecter la licéité des traitements antérieurs
- Directives post-mortem — Conformément à l'art. 85 de la loi Informatique et Libertés
Exercer vos droits : depuis votre tableau de bord (suppression de compte, export de données) ou par email à dpo@hullteam.com. Nous répondons sous 30 jours maximum (prolongeable de 2 mois en cas de demande complexe, avec notification).
Réclamation CNIL : vous pouvez à tout moment introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (www.cnil.fr — 3 place de Fontenoy, 75007 Paris).
8. Sécurité
Hullteam met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données (art. 32 RGPD) :
- Chiffrement TLS 1.3 en transit, AES-256 au repos
- Authentification sécurisée avec hash bcrypt des mots de passe
- Row Level Security (RLS) sur l'ensemble des tables PostgreSQL
- Cloisonnement des rôles et principe du moindre privilège
- Journaux d'audit des actions administratives
- Sauvegardes automatiques quotidiennes chiffrées
- Monitoring continu des anomalies de sécurité
- Revue de code systématique avant mise en production
Notification de violation : en cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous notifierons dans les meilleurs délais et, au plus tard, lorsque la CNIL sera notifiée (sous 72 h après connaissance de la violation, art. 33-34 RGPD).
9. Cookies
Notre utilisation des cookies est détaillée dans notre Politique de cookies. Vous pouvez modifier votre choix à tout moment via le lien « Gérer les cookies » en pied de page.
10. Minori
Hullteam non è destinata a minori di 15 anni. Ai sensi dell'articolo 8 del GDPR e dell'articolo 45 della legge francese sulla protezione dei dati, il consenso di un minore di 15 anni è valido solo con l'autorizzazione congiunta del titolare della responsabilità genitoriale.
Nessuna funzionalità, pubblicità o contenuto della piattaforma è specificamente destinato ai bambini. Non profiliamo gli utenti in base alla loro età.
Se sei genitore e desideri segnalare o cancellare l'account di un minore, contattaci all'indirizzo dpo@hullteam.com. Tratteremo la tua richiesta entro 30 giorni al massimo.
11. Modifications
Cette politique peut être mise à jour. Toute modification substantielle sera notifiée par email ou via un bandeau sur le Site. La date de dernière mise à jour figure en haut de cette page.
12. Contact
Pour toute question relative à la protection de vos données : dpo@hullteam.com