Politique de confidentialité
Dernière mise à jour : 15 avril 2026
La présente politique décrit comment Hullteam SASU (ci-après « Hullteam ») collecte, utilise et protège les données personnelles de ses utilisateurs, conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi Informatique et Libertés.
1. Responsable du traitement
Hullteam SASU
Société par actions simplifiée unipersonnelle (SASU)
Capital social : 1 000 €
Siège social : Siège social en cours d'immatriculation à Sète (34), France
Immatriculation : RCS Sète (34) — immatriculation en cours
SIRET : En cours d'immatriculation
Délégué à la protection des données (DPO) : Jérome Robinet
Contact : dpo@hullteam.eu
2. Données collectées
Nous collectons les catégories de données suivantes :
- Données d'identification — Nom, prénom, email, photo de profil, téléphone
- Données de navigation — Adresse IP, type de navigateur, pages consultées, durée des visites
- Données nautiques — Informations sur les bateaux (nom, immatriculation, documents), journaux de bord, waypoints GPS, carnets de voyage
- Données de transaction — Historique d'abonnement, factures (les données de paiement sont traitées directement par Stripe)
- Données de communication — Messages échangés via la messagerie interne, demandes de contact
- Photos et médias — Images uploadées (documents, carnet de voyage), métadonnées EXIF incluant la géolocalisation lorsqu'elle est présente dans la photo
- Données professionnelles — Pour les comptes pro : SIRET, KBIS, RC Pro, CNI (documents KYC Stripe)
Données EXIF GPS : lorsque vous uploadez une photo dans votre carnet de voyage, les coordonnées GPS éventuellement stockées dans le fichier sont extraites pour positionner la photo sur la carte. Vous pouvez retirer ces métadonnées avant upload depuis votre appareil ou via les paramètres de confidentialité de votre téléphone.
3. Bases légales et finalités
| Finalité | Base légale |
|---|---|
| Gestion du compte utilisateur | Exécution du contrat |
| Fourniture des services (BoatID, Vault, Logbook…) | Exécution du contrat |
| Facturation et paiement | Obligation légale |
| Envoi de notifications liées au service | Exécution du contrat |
| Newsletter et communications marketing | Consentement |
| Amélioration de la plateforme (analytics) | Consentement (cookies) |
| Marketplace et mise en relation | Exécution du contrat |
| Sécurité et prévention de la fraude | Intérêt légitime |
4. Destinataires des données — Sous-traitants
Vos données sont transmises aux sous-traitants techniques suivants, avec lesquels nous avons conclu un contrat de sous-traitance (DPA) conforme à l'article 28 du RGPD :
| Sous-traitant | Données traitées | Localisation | Base de transfert |
|---|---|---|---|
| Supabase | Base de données, authentification, stockage fichiers | UE + US | Clauses contractuelles types + DPF |
| Vercel | Hébergement, logs, CDN | US | EU-US Data Privacy Framework (DPF) |
| Stripe Connect | Paiements, KYC professionnels, facturation | US + UE (Irlande) | Clauses contractuelles types + DPF |
| Resend | Emails transactionnels | US | Clauses contractuelles types |
| Brevo | Emails marketing, SMS | France (UE) | Transfert intra-UE |
| Anthropic | Assistant IA nautique (contenu des conversations) | US | Clauses contractuelles types |
| Mapbox | Cartographie, géocodage | US | EU-US Data Privacy Framework (DPF) |
| Google Places | Géocodage de ports et adresses | US | EU-US Data Privacy Framework (DPF) |
| Pappers | Vérification SIREN/SIRET des professionnels | France (UE) | Transfert intra-UE |
Vos données peuvent par ailleurs être partagées avec :
- Professionnels nautiques — Uniquement les informations nécessaires à la réalisation d'un service demandé (devis, mise en relation)
- Autorités compétentes — En cas d'obligation légale ou de réquisition judiciaire
Aucune donnée n'est vendue à des tiers à des fins commerciales.
5. Transferts hors Union européenne
Certains sous-traitants (Supabase, Vercel, Stripe, Anthropic, Mapbox, Google Places, Resend) peuvent héberger ou traiter des données aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne (Décision 2021/914) et/ou le EU-US Data Privacy Framework (adéquation reconnue le 10 juillet 2023). Vous pouvez nous contacter à dpo@hullteam.eu pour obtenir une copie des garanties mises en place.
6. Durée de conservation
- Données du compte actif — Durée de l'inscription
- Données après suppression du compte — 3 ans (archive sécurisée à des fins de preuve)
- Documents nautiques (Vault) — Durée de l'inscription + suppression immédiate lors de la demande d'effacement
- Données de facturation — 10 ans (obligation comptable — art. L.123-22 Code de commerce)
- Logs techniques et de connexion — 12 mois
- Cookies analytiques — 13 mois maximum
- Messages de la messagerie interne — Durée de l'inscription des parties
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès — Obtenir une copie de vos données personnelles (art. 15)
- Droit de rectification — Corriger des données inexactes (art. 16)
- Droit à l'effacement — Demander la suppression de vos données (art. 17)
- Droit à la portabilité — Récupérer vos données dans un format structuré (JSON) via votre tableau de bord → Paramètres → Exporter mes données (art. 20)
- Droit d'opposition — Vous opposer au traitement pour motif légitime (art. 21)
- Droit à la limitation — Restreindre le traitement dans certains cas (art. 18)
- Retrait du consentement — À tout moment pour les traitements basés sur le consentement, sans affecter la licéité des traitements antérieurs
- Directives post-mortem — Conformément à l'art. 85 de la loi Informatique et Libertés
Exercer vos droits : depuis votre tableau de bord (suppression de compte, export de données) ou par email à dpo@hullteam.eu. Nous répondons sous 30 jours maximum (prolongeable de 2 mois en cas de demande complexe, avec notification).
Réclamation CNIL : vous pouvez à tout moment introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (www.cnil.fr — 3 place de Fontenoy, 75007 Paris).
8. Sécurité
Hullteam met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données (art. 32 RGPD) :
- Chiffrement TLS 1.3 en transit, AES-256 au repos
- Authentification sécurisée avec hash bcrypt des mots de passe
- Row Level Security (RLS) sur l'ensemble des tables PostgreSQL
- Cloisonnement des rôles et principe du moindre privilège
- Journaux d'audit des actions administratives
- Sauvegardes automatiques quotidiennes chiffrées
- Monitoring continu des anomalies de sécurité
- Revue de code systématique avant mise en production
Notification de violation : en cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous notifierons dans les meilleurs délais et, au plus tard, lorsque la CNIL sera notifiée (sous 72 h après connaissance de la violation, art. 33-34 RGPD).
9. Cookies
Notre utilisation des cookies est détaillée dans notre Politique de cookies. Vous pouvez modifier votre choix à tout moment via le lien « Gérer les cookies » en pied de page.
10. Modifications
Cette politique peut être mise à jour. Toute modification substantielle sera notifiée par email ou via un bandeau sur le Site. La date de dernière mise à jour figure en haut de cette page.
11. Contact
Pour toute question relative à la protection de vos données : dpo@hullteam.eu