Politique de Confidentialité — GPRelay
Version 1.0 — En vigueur à compter du 1er avril 2026
Article 1 — Identité du responsable de traitement
Le responsable du traitement des données personnelles collectées via la Plateforme GPRelay est :
Daouda Traoré
Auto-entrepreneur — Exploitant de la plateforme GPRelay
Adresse : Rennes, France
Email : [email protected]
Site web : https://gprelay.com
Article 2 — Principes fondamentaux
L'Éditeur s'engage à traiter vos données personnelles dans le respect du Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et de la loi Informatique et Libertés (loi n°78-17 du 6 janvier 1978 modifiée).
- Licéité : tout traitement repose sur une base légale valable.
- Minimisation : seules les données strictement nécessaires sont collectées.
- Exactitude : vous pouvez corriger vos données à tout moment.
- Limitation de la conservation : vos données ne sont pas conservées au-delà du nécessaire.
- Sécurité : des mesures techniques et organisationnelles appropriées protègent vos données.
- Transparence : nous vous informons clairement de l'usage de vos données.
Article 3 — Données collectées et finalités
3.1 Création et gestion de compte
| Données collectées | Finalité | Base légale |
|---|---|---|
| Prénom, nom | Identification de l'utilisateur | Exécution du contrat |
| Adresse email | Authentification, communication, vérification | Exécution du contrat |
| Numéro de téléphone | Contact, sécurité | Exécution du contrat |
| Mot de passe (chiffré) | Authentification sécurisée | Exécution du contrat |
| Pays de résidence | Paramétrage du service | Exécution du contrat |
| Photo de profil | Identification visuelle sur la Plateforme | Consentement |
| Biographie | Présentation du profil GP | Consentement |
3.2 Vérification d'email
Un code à 6 chiffres est généré et envoyé à l'adresse email fournie lors de l'inscription. Ce code est stocké temporairement le temps de sa validation, puis supprimé.
3.3 Connexion Google (OAuth)
Si vous choisissez de vous connecter via Google, nous recevons : prénom, nom, adresse email et photo de profil. Aucun mot de passe n'est transmis à GPRelay. Ce traitement repose sur votre consentement lors de l'autorisation OAuth.
3.4 Publication de trajets (GPs)
| Données collectées | Finalité | Base légale |
|---|---|---|
| Villes et pays de départ/arrivée | Affichage du trajet | Exécution du contrat |
| Date et heure du trajet | Organisation de la mise en relation | Exécution du contrat |
| Capacité disponible, tarif | Fonctionnement du service | Exécution du contrat |
| Coordonnées GPS de départ/arrivée | Géolocalisation du trajet | Exécution du contrat |
3.5 Réservation et livraison (Clients)
| Données collectées | Finalité | Base légale |
|---|---|---|
| Description, poids, type du colis | Mise en relation avec le GP | Exécution du contrat |
| Photos du colis | Preuve de l'état du colis | Exécution du contrat |
| Adresse de collecte et de livraison | Organisation de la livraison | Exécution du contrat |
| Nom, téléphone de l'expéditeur | Contact pour la collecte | Exécution du contrat |
| Nom, téléphone du destinataire | Contact pour la livraison | Exécution du contrat |
| Code OTP de livraison | Confirmation sécurisée de la livraison | Exécution du contrat |
3.6 Paiements (via Stripe)
| Données collectées | Finalité | Base légale |
|---|---|---|
| Montant des transactions | Facturation, comptabilité | Exécution du contrat / Obligation légale |
| Identifiant Stripe Connect (GPs) | Versement des paiements | Exécution du contrat |
| Statut du paiement | Suivi des transactions | Exécution du contrat |
3.7 Vérification d'identité (via Stripe Identity)
| Données collectées | Finalité | Base légale |
|---|---|---|
| Type de document d'identité | Vérification d'identité | Consentement / Intérêt légitime |
| Nom, prénom, date de naissance, numéro, pays | Authentification renforcée | Consentement |
| Identifiant de session Stripe Identity | Suivi du statut de vérification | Exécution du contrat |
Les images de documents et selfies ne sont pas conservées sur les serveurs de GPRelay — elles sont transmises directement à Stripe Identity.
3.8 Messagerie instantanée
| Données collectées | Finalité | Base légale |
|---|---|---|
| Contenu des messages texte | Communication entre utilisateurs | Exécution du contrat |
| Images envoyées dans le chat | Communication entre utilisateurs | Consentement |
| Horodatage des messages | Historique et accusés de lecture | Exécution du contrat |
| Statut de lecture | Confirmation de réception | Exécution du contrat |
Les messages ne sont pas lus par l'Éditeur sauf en cas de signalement ou de procédure judiciaire.
3.9 Suivi GPS et tracking de livraison
| Données collectées | Finalité | Base légale |
|---|---|---|
| Coordonnées GPS du GP (trajet actif) | Suivi en temps réel de la livraison | Exécution du contrat |
| Historique des statuts de livraison | Traçabilité, preuve de livraison | Exécution du contrat |
La collecte GPS n'a lieu que pendant les trajets actifs et avec votre consentement explicite.
3.10 Notifications push
| Données collectées | Finalité | Base légale |
|---|---|---|
| Token Expo Push | Envoi de notifications mobiles | Consentement |
| Identifiant de l'appareil | Gestion multi-appareils | Consentement |
| Plateforme (iOS/Android) | Compatibilité technique | Intérêt légitime |
| Journal des notifications envoyées | Audit, déduplication | Intérêt légitime |
3.11 Photos et fichiers (via Cloudinary)
Les photos de profil et de colis sont hébergées sur Cloudinary (CDN tiers). L'URL publique de chaque fichier est stockée dans notre base de données.
3.12 Données de connexion et logs techniques
| Données collectées | Finalité | Base légale |
|---|---|---|
| Adresse IP | Sécurité, prévention de la fraude | Intérêt légitime |
| Horodatage des connexions | Audit de sécurité | Intérêt légitime |
| Type d'appareil, système d'exploitation | Optimisation technique | Intérêt légitime |
Article 4 — Destinataires des données
4.1 Au sein de la Plateforme
- •Profil GP : prénom, photo, biographie, note, badge de vérification — visibles par les Clients.
- •Informations de contact — partagées avec le GP uniquement lors d'une réservation active.
4.2 Sous-traitants techniques
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Stripe | Paiements, Stripe Connect, Vérification d'identité | USA / Europe | CCT UE — PCI-DSS |
| Cloudinary | Hébergement des fichiers et images | USA | CCT UE |
| Expo | Notifications push mobiles | USA | CCT UE |
| Authentification OAuth, SMTP | USA / Europe | CCT UE |
4.3 Autorités légales
L'Éditeur peut communiquer vos données aux autorités judiciaires françaises et européennes sur réquisition ou décision de justice.
Article 5 — Transferts hors Union Européenne
Certains de nos sous-traitants (Stripe, Cloudinary, Expo, Google) sont établis aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne, conformément à l'article 46 du RGPD.
Article 6 — Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte (profil, email, téléphone) | Durée de vie du compte + 3 ans après suppression |
| Données de transactions et paiements | 10 ans (obligation comptable et fiscale) |
| Messages de la messagerie | 3 ans à compter de la clôture de la conversation |
| Données de vérification d'identité | 5 ans à compter de la vérification |
| Historique de suivi de livraison | 3 ans à compter de la livraison |
| Données GPS (positions) | 30 jours après la fin du trajet |
| Tokens push (inactifs) | 90 jours après désactivation |
| Logs techniques | 12 mois |
| Codes OTP email | Supprimés immédiatement après validation ou expiration |
| Données de compte après suppression | 30 jours, puis anonymisation |
Article 7 — Vos droits
Conformément au RGPD, vous disposez des droits suivants :
Droit d'accès (art. 15)
Obtenir une copie de vos données personnelles que nous détenons.
Droit de rectification (art. 16)
Corriger vos données inexactes ou incomplètes.
Droit à l'effacement (art. 17)
Demander la suppression de vos données (sauf obligation légale).
Droit à la portabilité (art. 20)
Recevoir vos données dans un format lisible par machine.
Droit d'opposition (art. 21)
Vous opposer au traitement fondé sur l'intérêt légitime.
Droit à la limitation (art. 18)
Demander la suspension temporaire du traitement.
Retrait du consentement
Retirer votre consentement à tout moment sans effet rétroactif.
Directives post-mortem
Définir des directives sur vos données après votre décès.
Par email à [email protected], en précisant votre nom et prénom. Réponse sous 1 mois.
Article 8 — Réclamation auprès de la CNIL
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715, 75334 Paris Cedex 07
www.cnil.fr
Article 9 — Sécurité des données
- Chiffrement des mots de passe (BCrypt)
- HTTPS obligatoire sur l'ensemble des échanges
- JWT à durée limitée (24 heures) pour les sessions
- Accès restreint aux données (principe du moindre privilège)
- Hébergement sécurisé chez un prestataire certifié
- Aucune donnée bancaire stockée sur nos serveurs
Article 10 — Cookies et technologies similaires
L'application mobile GPRelay n'utilise pas de cookies au sens strict. Des tokens JWT sont stockés localement sur votre appareil pour maintenir votre session. Ces données ne sont pas partagées avec des tiers à des fins publicitaires.
Article 11 — Données des mineurs
La Plateforme est strictement réservée aux personnes âgées de 18 ans et plus. Si vous pensez qu'un mineur nous a fourni des données, contactez-nous immédiatement à [email protected].
Article 12 — Modifications
L'Éditeur se réserve le droit de modifier cette politique à tout moment. Toute modification substantielle fera l'objet d'une notification dans l'application et/ou par email avec un préavis raisonnable.
Article 13 — Contact
Dernière mise à jour : 1er avril 2026 — Version 1.0