Politique de confidentialité

Dernière mise à jour : 20 mai 2026 · Version 2026-05-20

Ceci est une traduction non officielle. La version anglaise sur napspan.com/privacy.html fait foi pour l'interprétation juridique. Vos droits au titre du RGPD et du droit national restent applicables.

Cette politique explique comment nous collectons, utilisons, conservons et protégeons les données à caractère personnel lorsque vous visitez napspan.com ou utilisez l'API NAPSPAN, le portail développeur, la carte en direct ou les services associés (le « Service »). Elle met en œuvre nos obligations au titre du règlement (UE) 2016/679 (« RGPD »), de la directive 2002/58/CE (« ePrivacy ») et des lois nationales de transposition dans les États membres de l'EEE (en France, la loi Informatique et Libertés modifiée).

1. Responsable du traitement et représentant UE

Responsable du traitement au sens de l'article 4, point 7, du RGPD :

• Roman Kotenko, entrepreneur individuel (фізична особа-підприємець) immatriculé en Ukraine
• E-mail : [email protected]
• Adresse postale : voir les Mentions légales

Représentant dans l'Union européenne (article 27 RGPD) : l'exploitant est établi hors de l'EEE mais propose le Service à des personnes concernées dans l'EEE. Notre représentant UE désigné — auquel les personnes concernées dans l'EEE et les autorités de contrôle peuvent adresser toute question relative au traitement — est identifié dans les Mentions légales. Tant que la désignation n'y est pas publiée, vous pouvez adresser toute demande RGPD à [email protected] ; nous l'orienterons en conséquence.

Délégué à la protection des données (DPO). Nous ne sommes pas tenus de désigner un DPO au titre de l'article 37 du RGPD (pas de traitement à grande échelle de catégories particulières, pas de surveillance systématique à grande échelle). Adressez vos demandes en matière de protection des données directement au responsable du traitement.

2. Données traitées, finalités et bases légales

Les sections suivantes décrivent, pour chaque activité de traitement, ce que nous traitons, pourquoi, sur quelle base légale (article 6, paragraphe 1, du RGPD) et combien de temps nous conservons les données.

2.1 Création et gestion de compte

• Catégories : nom, e-mail, nom d'entreprise (facultatif), mot de passe (haché en bcrypt ; jamais en clair)
• Finalité : création et gestion de votre compte ; authentification
• Base légale : exécution du contrat ou mesures pré-contractuelles — article 6(1)(b) RGPD
• Conservation : pendant la durée de votre compte ; suppression dans les 30 jours suivant une demande de suppression, sauf conservation plus longue requise par le droit fiscal ou comptable (en France, 10 ans pour les pièces comptables au titre de l'article L. 123-22 du Code de commerce)

2.2 Gestion des clés API et authentification des requêtes

• Catégories : clé API (stockée uniquement comme empreinte SHA-256 ; la clé complète n'est affichée qu'une fois à la création), libellé de la clé, horodatage de création/dernière utilisation
• Finalité : authentifier vos requêtes API ; appliquer les limites et quotas
• Base légale : exécution du contrat — article 6(1)(b) RGPD
• Conservation : tant que la clé est active ; les clés révoquées sont conservées jusqu'à 90 jours pour audit, puis supprimées

2.3 Utilisation de l'API et limitation de débit

• Catégories : identifiant haché de la clé API, point de terminaison de la requête, horodatage, adresse IP (à court terme, pour la limitation de débit), compteurs quotidiens agrégés
• Finalité : limitation de débit, application des formules, prévention des abus, planification de capacité
• Base légale : exécution du contrat — article 6(1)(b) ; intérêt légitime à protéger l'intégrité du Service — article 6(1)(f) RGPD
• Conservation : les journaux bruts ne sont pas stockés ; les adresses IP utilisées pour la limitation de débit sont conservées en mémoire volatile uniquement ; les compteurs quotidiens sont conservés jusqu'à 12 mois

2.4 Facturation et gestion d'abonnement

• Catégories : identifiant client Paddle, identifiant d'abonnement, formule, statut, montants et dates de transaction, pays de facturation, statut TVA. Nous ne voyons, ne stockons ni n'avons accès au numéro de carte, à l'IBAN ou à tout autre instrument de paiement.
• Finalité : gestion de l'abonnement payant, émission de factures, conformité fiscale
• Base légale : exécution du contrat — article 6(1)(b) ; obligation légale (droit fiscal/comptable) — article 6(1)(c) RGPD
• Conservation : selon les durées requises par le droit fiscal de la juridiction concernée (en France, 10 ans pour les factures)

2.5 E-mails transactionnels

• Catégories : adresse e-mail, contenu du message (vérification de compte, réinitialisation de mot de passe, rappels d'essai, avis de facturation, alertes de sécurité)
• Finalité : communications essentielles au Service
• Base légale : exécution du contrat — article 6(1)(b) RGPD
• Conservation : nous n'archivons pas les e-mails transactionnels ; ils sont conservés uniquement le temps nécessaire à la livraison et au traitement des rebonds

2.6 Correspondance support

• Catégories : nom, e-mail, contenu du message, pièces jointes que vous choisissez d'envoyer
• Finalité : répondre à vos demandes et résoudre les problèmes
• Base légale : exécution du contrat ou mesures pré-contractuelles — article 6(1)(b) ; intérêt légitime à fournir le support — article 6(1)(f) RGPD
• Conservation : 24 mois à compter du dernier message du fil, puis archivage ou suppression

2.7 Journaux serveur (sécurité et débogage)

• Catégories : adresse IP tronquée, chemin de la requête, code d'état, user-agent, horodatage ; journaux d'avertissement/erreur applicatifs
• Finalité : supervision de sécurité, prévention des abus, débogage
• Base légale : intérêt légitime à exploiter un service sécurisé — article 6(1)(f) RGPD
• Conservation : les journaux d'erreur/avertissement sont supprimés après 7 jours ; les journaux d'accès après 30 jours

2.8 Cookies et technologies similaires

Voir la Politique de cookies pour la liste exhaustive. Nous n'utilisons que des cookies et entrées de stockage local strictement nécessaires (session d'authentification, jeton CSRF, préférence linguistique). Aucun cookie d'analyse, de publicité ou de suivi.

2.9 Entrées de routage et itinéraires enregistrés automatiquement

• Catégories : coordonnées d'origine, de destination et de points intermédiaires facultatifs, le profil de véhicule figé (dimensions, poids, nombre d'essieux, classe de marchandises dangereuses) actif au moment de la requête, la géométrie d'itinéraire sérialisée et la couche d'enrichissement produites par NAPSPAN, ainsi que les horodatages de création, de dernière récupération et d'expiration de la durée de vie. Nous n'inférons ni ne stockons l'identité du conducteur, la plaque d'immatriculation du véhicule, la description du fret ni l'itinéraire d'expédition.
• Finalité : calculer et renvoyer le résultat du routage, permettre de récupérer à nouveau un itinéraire récent sans consommer de nouvel appel de routage, appliquer le quota et la prévention des abus, et — pour les itinéraires que vous conservez explicitement — fournir la fonction de stockage demandée.
• Base légale : exécution du contrat — article 6(1)(b) RGPD — pour les itinéraires que vous soumettez dans le cadre d'une formule incluant le routage.
• Destinataires / sous-traitants : les coordonnées et le profil de véhicule sont transmis à HERE Technologies (HERE Global B.V., Pays-Bas), agissant en tant que sous-traitant pour notre compte (voir la section 4). Nous ne transmettons ni votre e-mail, ni votre nom, ni votre entreprise, ni votre clé API, ni votre identifiant de compte, ni aucun autre attribut de compte à HERE.
• Conservation : les itinéraires enregistrés automatiquement sont supprimés automatiquement 30 minutes après leur création. Les itinéraires que vous avez explicitement conservés sont gardés jusqu'à ce que vous les supprimiez ou que vous fermiez votre compte.

2.10 E-mails marketing et newsletter

• Catégories : adresse e-mail, nom, votre état d'abonnement à la newsletter et l'horodatage de votre consentement ou de votre désinscription.
• Finalité : vous envoyer notre newsletter — actualités produit, mises à jour, offres et conseils — uniquement si vous y êtes activement abonné.
• Base légale : votre consentement — article 6(1)(a) du RGPD. La case d'abonnement est décochée par défaut et l'abonnement constitue une action distincte, facultative et positive. Nous appliquons un processus de double opt-in : après que vous avez coché la case, nous envoyons un e-mail de confirmation, et vous n'êtes ajouté à la newsletter que lorsque vous cliquez sur le lien de confirmation contenu dans cet e-mail.
• Retrait du consentement : vous pouvez vous désabonner à tout moment — depuis la page Paramètres du portail développeur ou via le lien de désinscription présent dans chaque newsletter. Le retrait prend effet immédiatement et n'affecte ni la licéité du traitement effectué avant le retrait, ni les e-mails transactionnels (vérification, facturation, sécurité), nécessaires à l'exécution du contrat.
• Conservation : tant que vous restez abonné ; l'horodatage du consentement / de la désinscription est conservé comme preuve de consentement aussi longtemps que nécessaire pour démontrer la conformité au titre de l'article 7(1) du RGPD.

3. Ce que nous ne faisons PAS

• Nous ne vendons ni ne louons vos données à des tiers
• Nous ne partageons pas vos données avec des annonceurs ou des courtiers en données
• Nous n'exécutons pas de pixels de suivi tiers, scripts d'analyse, balises de retargeting ni outils de session-replay
• Nous ne vous profilons pas à des fins marketing
• Nous n'effectuons pas de prise de décision exclusivement automatisée produisant des effets juridiques ou affectant significativement les personnes au sens de l'article 22 du RGPD
• Nous ne stockons pas vos clés API complètes (seulement les empreintes SHA-256)

4. Destinataires et sous-traitants

Nous ne partageons les données qu'avec les destinataires suivants, chacun étant lié par un contrat de sous-traitance écrit conformément à l'article 28 du RGPD lorsqu'il agit pour notre compte :

• Paddle.com Market Limited — Irlande (siège) et Royaume-Uni — Marchand officiel du service NAPSPAN. Agit en tant que responsable distinct pour la conformité fiscale/de paiement et en tant que sous-traitant pour la gestion des abonnements. Traite : nom, e-mail, entreprise, pays de facturation, statut TVA / numéro fiscal (le cas échéant), données de carte et empreinte (tokenisée) de carte (stockées exclusivement par Paddle). Paddle, et non NAPSPAN, est responsable du calcul, de la collecte et du reversement de la TVA / GST / sales tax sur les transactions, ainsi que de l'émission de factures conformes. Politique de confidentialité : paddle.com/legal/privacy.
• Zoho Corporation — relais SMTP Zoho Mail pour les e-mails transactionnels. Reçoit l'adresse e-mail et le contenu nécessaires à la livraison. Politique : zoho.com/privacy.html.
• Hetzner Online GmbH — Allemagne — fournit les serveurs dédiés et l'infrastructure de base de données managée. Lié par un contrat de sous-traitance au titre de l'article 28 RGPD. Politique : hetzner.com/legal/privacy-policy.
• Cloudflare, Inc. — États-Unis, avec des options de traitement basées dans l'UE — utilisé pour (i) le DNS et la terminaison TLS de périphérie sur certains hôtes, ne traitant que les métadonnées de requête (IP, hôte, chemin) nécessaires au routage de la requête ; et (ii) le CAPTCHA Cloudflare Turnstile sur les formulaires d'inscription, de connexion et de réinitialisation de mot de passe. Turnstile collecte une empreinte de navigateur/appareil et des signaux comportementaux du visiteur et les partage avec Cloudflare à des fins de lutte contre les abus et de détection de robots ; nous ne recevons qu'un verdict réussite/échec. Cloudflare propose des Clauses Contractuelles Types pour les traitements hors UE. Politique : cloudflare.com/privacypolicy.
• HERE Technologies (HERE Global B.V., Pays-Bas) — fournisseur de routage en amont utilisé par le point de terminaison de routage poids lourds, agissant en tant que sous-traitant pour notre compte au sens de l'article 28 du RGPD. Lorsque vous soumettez une requête de routage, nous ne transmettons à HERE que : les coordonnées d'origine, de destination et de points intermédiaires facultatifs, ainsi que le profil de véhicule (dimensions, poids, nombre d'essieux, classe de marchandises dangereuses). Nous ne transmettons ni votre e-mail, ni votre nom, ni votre entreprise, ni votre clé API, ni votre identifiant de compte, ni aucun autre attribut de compte identifiant. HERE Global B.V. est établi dans l'UE ; pour la partie du calcul effectuée sur une infrastructure située hors EEE, HERE s'appuie sur ses propres garanties appropriées (Clauses Contractuelles Types ou adéquation). Avis de confidentialité de HERE : legal.here.com/privacy. Remarque : l'API NAPSPAN ne nomme délibérément pas HERE dans les corps ou les en-têtes de réponse de routage, afin de préserver notre capacité à changer de fournisseur de routage sans rompre les intégrations ; toutefois, les obligations de transparence du RGPD imposent que nous identifiions HERE ici, et la présente Politique de confidentialité constitue la divulgation de référence.
• L'exploitant (Roman Kotenko, Ukraine) — administre le Service depuis l'Ukraine ; cela constitue un transfert vers un pays tiers (voir section 5).
• Autorités publiques et services répressifs — uniquement lorsque le droit de l'UE ou le droit national applicable l'exige et dans la mesure strictement nécessaire.

Une liste à jour des sous-traitants est disponible sur demande à [email protected].

5. Transferts internationaux

Les serveurs applicatifs et la base de données PostgreSQL principale du Service sont hébergés dans l'Union européenne (Francfort, Allemagne). Toutefois, certains transferts hors EEE ont lieu :

• Ukraine — accès administratif par l'exploitant. L'Ukraine ne fait pas l'objet d'une décision d'adéquation au titre de l'article 45 du RGPD. Nous nous appuyons sur les Clauses Contractuelles Types de la Commission européenne (décision d'exécution (UE) 2021/914) et sur des mesures techniques supplémentaires (chiffrement en transit, accès SSH chiffré, principe du moindre privilège), conformément à l'article 46 du RGPD.
• Royaume-Uni (Paddle) — couvert par la décision d'adéquation de la Commission européenne du 28 juin 2021.
• Inde (Zoho) — Zoho exploite des centres de données dans l'UE pour les clients EEE ; lorsque des données sont traitées en Inde, les Clauses Contractuelles Types s'appliquent.
• HERE Technologies (Pays-Bas ; éventuellement d'autres localisations en tant que sous-traitant ultérieur de HERE) — calcul d'itinéraires. HERE Global B.V. est établi dans l'UE. Lorsque l'infrastructure que HERE utilise pour traiter nos requêtes est située hors EEE, HERE s'appuie sur ses propres garanties au titre de l'article 46 du RGPD (Clauses Contractuelles Types, adéquation le cas échéant). Les données que nous envoyons à HERE se limitent à des coordonnées et à un profil de véhicule (section 4) et ne comprennent pas d'identifiants directs.

Vous pouvez demander une copie des garanties applicables à un transfert spécifique à [email protected].

6. Vos droits

Si vous êtes dans l'EEE ou au Royaume-Uni, vous bénéficiez des droits suivants au titre du RGPD / UK GDPR. Pour les exercer, écrivez à [email protected] ; nous répondons dans un délai d'un mois (prolongeable de deux mois supplémentaires pour les demandes complexes, avec information).

• Droit d'accès (article 15) : obtenir la confirmation du traitement et une copie de vos données
• Droit de rectification (article 16) : faire corriger des données inexactes ou incomplètes ; la plupart des champs sont modifiables dans le portail
• Droit à l'effacement / « droit à l'oubli » (article 17) : demander la suppression dans les cas prévus
• Droit à la limitation du traitement (article 18) : demander la limitation dans les cas définis
• Droit à la portabilité (article 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable
• Droit d'opposition (article 21) : vous opposer aux traitements fondés sur l'intérêt légitime, y compris au profilage (nous n'effectuons pas de profilage)
• Droits relatifs à la décision automatisée (article 22) : nous n'avons pas recours à une telle décision
• Droit de retirer le consentement (article 7(3)) : à tout moment, sans affecter la licéité du traitement antérieur
• Droit d'introduire une réclamation auprès d'une autorité de contrôle (article 77) : vous pouvez saisir l'autorité de protection des données de votre État membre EEE de résidence, lieu de travail ou lieu présumé de l'infraction. La liste des autorités EEE est publiée par le Comité européen de la protection des données : edpb.europa.eu/about-edpb/about-edpb/members. En France, l'autorité compétente est la CNIL (cnil.fr).

L'exercice de ces droits est en principe gratuit ; en cas de demandes manifestement infondées ou excessives, nous pouvons exiger des frais raisonnables ou refuser de donner suite, conformément à l'article 12(5) du RGPD.

7. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées (article 32 RGPD), notamment :

• HTTPS/TLS pour tout le trafic API et site
• hachage des mots de passe en bcrypt
• hachage SHA-256 des clés API au repos (la clé complète n'est affichée qu'une fois à la création)
• disques chiffrés sur l'infrastructure d'hébergement
• accès base de données restreint et authentifié ; principe du moindre privilège
• signature HMAC-SHA256 des charges utiles webhooks
• sauvegardes hors site chiffrées

8. Notification des violations

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, nous la notifierons à l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance (article 33 RGPD), et nous vous notifierons sans retard injustifié si la violation est susceptible d'engendrer un risque élevé (article 34 RGPD).

9. Mineurs

Le Service ne s'adresse pas aux personnes de moins de 16 ans (ou à l'âge supérieur de consentement numérique fixé par un État membre EEE — en France, 15 ans). Nous ne collectons pas sciemment de données à caractère personnel de mineurs. Si vous pensez qu'un mineur nous a fourni des données, contactez-nous et nous les supprimerons.

10. Modifications de cette politique

Nous pouvons mettre à jour cette politique à mesure que nos pratiques, le droit ou notre infrastructure évoluent. Les modifications substantielles seront communiquées par e-mail et par un avis sur le site web au moins 14 jours avant leur prise d'effet. La date « Dernière mise à jour » indique la révision la plus récente.

11. Contact

Pour toute demande relative à la confidentialité ou pour exercer vos droits, contactez [email protected] ou notre représentant UE identifié dans les Mentions légales.