Politique de Confidentialité
Dernière mise à jour : 13 juin 2026 — Version 2.0
La présente Politique de Confidentialité décrit la manière dont dropfleet.eu collecte, utilise, conserve et protège les données à caractère personnel des Utilisateurs de la Plateforme, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
1Identité et coordonnées du responsable du traitement
Dénomination sociale : NUVAY France
Forme juridique : Société par actions simplifiée (SAS)
Activité : Édition et exploitation de la plateforme SaaS dropfleet.eu
Site web : https://dropfleet.eu
E-mail général : hello@dropfleet.eu
2Coordonnées du Délégué à la Protection des Données (DPO)
Délégué à la Protection des Données — dropfleet.eu
E-mail : dpo@dropfleet.eu
Adresse postale : à l'attention du DPO, NUVAY France
Délai de réponse : 30 jours calendaires maximum (Art. 12 RGPD)
Pour toute demande relative à la présente Politique de Confidentialité, à l'exercice de vos droits ou à tout incident de sécurité, vous pouvez contacter directement notre DPO.
3Catégories de données collectées
Le tableau suivant présente l'ensemble des données à caractère personnel traitées par dropfleet.eu, conformément aux Articles 13 et 14 du RGPD.
| Catégorie | Données concernées | Source | Finalité | Base légale | Durée de conservation |
|---|---|---|---|---|---|
| Données d'identification (Tenant Admin / Dispatcher) | Nom, prénom, adresse e-mail professionnelle, numéro de téléphone professionnel, nom de l'entreprise | Directement collectées lors de l'inscription | Création et gestion du compte, communication contractuelle, facturation | Exécution du contrat (Art. 6.1.b RGPD) | Durée de la relation contractuelle + 3 ans (obligations légales) |
| Données de connexion et d'authentification | Adresse e-mail, mot de passe haché (bcrypt), token JWT (Chauffeurs), horodatage des connexions | Directement collectées lors de la connexion | Authentification sécurisée, prévention des accès non autorisés | Intérêt légitime (Art. 6.1.f RGPD) — sécurité du Service | Durée de la session active + logs conservés 12 mois |
| Données des Chauffeurs | Nom, prénom, adresse e-mail professionnelle, numéro de téléphone professionnel, rôle | Collectées par le Tenant Admin lors de la création du compte Chauffeur | Gestion des tournées, communication opérationnelle, portail PWA | Exécution du contrat (Art. 6.1.b RGPD) | Durée de la relation contractuelle + 3 ans |
| Données de localisation GPS | Coordonnées géographiques (latitude, longitude), horodatage, précision GPS | Collectées via l'application PWA, uniquement durant les tournées actives | Suivi temps réel des tournées, optimisation logistique, traçabilité des livraisons | Exécution du contrat (Art. 6.1.b) et/ou intérêt légitime (Art. 6.1.f) — le Tenant doit vérifier sa propre base légale vis-à-vis de ses Chauffeurs | 90 jours, puis suppression définitive |
| Données des commandes et livraisons | Adresses de collecte et de livraison, référence de commande, statuts, horodatages, nom et coordonnées du destinataire (client final) | Saisies par le Dispatcher ou le Tenant Admin | Exécution des livraisons, portail client, archivage logistique, obligations fiscales | Exécution du contrat (Art. 6.1.b) et obligation légale (Art. 6.1.c) pour la conservation fiscale | 5 ans (obligations comptables et fiscales belges) |
| Données des Clients finaux | Nom, prénom, adresse e-mail, numéro de téléphone, adresse de livraison | Saisies par le Dispatcher ou soumises via le formulaire de commande public | Livraison des colis, suivi client via portail public, notifications de livraison | Exécution du contrat (Art. 6.1.b) — le Tenant reste responsable de l'information préalable | 5 ans (obligations comptables), coordonnées personnelles anonymisées après 3 ans d'inactivité |
| Logs d'activité et d'audit | Adresse IP, user-agent, actions effectuées (création/modification/suppression), horodatages | Collectés automatiquement par la Plateforme | Sécurité du Service, détection des fraudes, audit de conformité, résolution d'incidents | Intérêt légitime (Art. 6.1.f RGPD) — sécurité et intégrité du Service | 12 mois |
| Données de consentement | Type de consentement, statut (accordé/refusé), adresse IP, horodatage | Collectées lors de l'acceptation des cookies ou des conditions générales | Preuve du consentement, conformité RGPD | Obligation légale (Art. 6.1.c RGPD) | 5 ans à compter de l'enregistrement |
| Données de facturation | Nom de l'entreprise, adresse de facturation, numéro de TVA, références de paiement (sans numéro de carte) | Collectées lors de la souscription à un plan payant | Facturation, comptabilité, obligations fiscales | Obligation légale (Art. 6.1.c RGPD) | 10 ans (obligations comptables belges) |
dropfleet.eu ne collecte aucune donnée dite « sensible » au sens de l'Article 9 du RGPD (données de santé, origines raciales ou ethniques, opinions politiques, croyances religieuses, etc.).
4Finalités et bases légales des traitements
| Finalité | Description | Base légale (RGPD) |
|---|---|---|
| Fourniture du Service | Exécution de toutes les fonctionnalités de la Plateforme : dispatch, GPS, PWA, portail client, exports | Art. 6.1.b — Exécution du contrat |
| Gestion des comptes Utilisateurs | Création, modification et suppression des comptes, gestion des rôles et droits d'accès | Art. 6.1.b — Exécution du contrat |
| Authentification et sécurité | Vérification de l'identité, prévention des accès non autorisés, rate limiting, détection de fraudes | Art. 6.1.f — Intérêt légitime (sécurité du Service) |
| Suivi GPS des tournées | Collecte et affichage de la position des Chauffeurs en temps réel pendant les tournées actives | Art. 6.1.b — Exécution du contrat (ou Art. 6.1.f selon le contexte employeur) |
| Facturation et comptabilité | Émission des factures, gestion des paiements, conservation des pièces comptables | Art. 6.1.b et Art. 6.1.c — Exécution du contrat et obligation légale |
| Communication opérationnelle | Notifications e-mail de mise à jour de statuts, alertes de sécurité, maintenance planifiée | Art. 6.1.b — Exécution du contrat |
| Amélioration du Service | Analyse agrégée et anonymisée des usages pour améliorer les fonctionnalités de la Plateforme | Art. 6.1.f — Intérêt légitime (amélioration du produit) — données agrégées non réidentifiables |
| Obligations légales et réglementaires | Réponse aux injonctions judiciaires, notification APD en cas de violation, conservation des archives légales | Art. 6.1.c — Obligation légale |
| Gestion des droits des personnes | Traitement des demandes d'accès, rectification, effacement, portabilité et opposition | Art. 6.1.c — Obligation légale |
5Destinataires et sous-traitants
dropfleet.eu fait appel à des sous-traitants soigneusement sélectionnés pour l'exploitation du Service. Chaque sous-traitant est lié contractuellement à l'Éditeur par un accord de traitement des données conforme à l'Article 28 du RGPD.
| Destinataire / Sous-traitant | Rôle | Données transmises | Localisation |
|---|---|---|---|
| Hébergeur (Infrastructure) | Hébergement des serveurs, bases de données et fichiers de la Plateforme | Toutes les données hébergées sur la Plateforme | Union Européenne exclusivement |
| Prestataire SMTP (Service e-mail) | Routage des e-mails transactionnels (notifications de livraison, alertes, facturation) | Adresses e-mail des destinataires, contenu des e-mails transactionnels | Union Européenne |
| TomTom Maps API | Calcul d'itinéraires et affichage cartographique dans la PWA Chauffeur | Coordonnées GPS pour le calcul d'itinéraires (requêtes ponctuelles, non persistées par TomTom) | Infrastructure UE — politique de données TomTom applicable |
| Prestataire de paiement (plans payants) | Traitement sécurisé des paiements par carte bancaire | Données de facturation (nom, adresse), références de transaction (aucun numéro de carte conservé par l'Éditeur) | Conforme PCI-DSS — UE |
En dehors des sous-traitants listés ci-dessus, les données à caractère personnel ne sont communiquées à aucun tiers, sauf obligation légale ou décision judiciaire contraignante.
6Transferts de données hors de l'Union Européenne
dropfleet.eu ne procède à aucun transfert de données à caractère personnel en dehors de l'Union Européenne.
L'ensemble des données collectées et traitées dans le cadre du Service sont hébergées et traitées exclusivement sur des infrastructures localisées au sein de l'Union Européenne, conformément aux Articles 44 à 49 du RGPD.
En cas d'évolution de cette politique (intégration d'un prestataire hors UE), les Tenants et Utilisateurs concernés seront informés préalablement, et les garanties appropriées (clauses contractuelles types de la Commission Européenne ou décision d'adéquation) seront mises en place avant tout transfert.
7Durées de conservation
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte (Tenant Admin, Dispatcher, Chauffeur) | Durée de la relation contractuelle + 3 ans | Délai de prescription des actions contractuelles en droit belge |
| Données de localisation GPS | 90 jours, puis suppression définitive | Traçabilité opérationnelle limitée dans le temps |
| Données des commandes et livraisons | 5 ans | Obligations comptables et fiscales (Code des sociétés et des associations belge) |
| Données de facturation | 10 ans | Délai légal de conservation des pièces comptables (Art. III.86 Code de droit économique belge) |
| Logs d'activité et d'audit | 12 mois | Sécurité du Service, délai proportionné aux risques |
| Données de consentement | 5 ans à compter de l'enregistrement | Preuve de la licéité du traitement |
| Données post-résiliation (Tenant) | 30 jours puis suppression/anonymisation | Délai accordé au Tenant pour l'export de ses données (Art. 13 CGU) |
| Compte utilisateur anonymisé (suite à une demande de suppression RGPD) | Conservation indéfinie du profil anonymisé (identifiants remplacés par [Supprimé]) | Préservation de l'intégrité des logs d'audit (clés étrangères) |
8Vos droits et modalités d'exercice
Conformément au Règlement (UE) 2016/679, vous disposez des droits suivants sur vos données à caractère personnel :
Droit d'accès
Vous avez le droit d'obtenir confirmation que des données vous concernant sont traitées et d'en recevoir une copie, ainsi que les informations relatives au traitement (Art. 15 RGPD).
Droit de rectification
Vous pouvez demander la correction de données inexactes ou incomplètes vous concernant, sans délai indu (Art. 16 RGPD).
Droit à l'effacement
Vous pouvez demander la suppression de vos données dans les cas prévus par l'Art. 17 RGPD (données plus nécessaires, retrait du consentement, opposition légitime). Ce droit est limité par nos obligations légales de conservation.
Droit à la portabilité
Vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON), et les transmettre à un autre responsable du traitement (Art. 20 RGPD).
Droit d'opposition
Vous pouvez vous opposer à tout moment aux traitements fondés sur l'intérêt légitime (Art. 21 RGPD). L'opposition aux traitements fondés sur l'exécution du contrat peut conduire à l'impossibilité de fournir le Service.
Droit à la limitation
Vous pouvez demander la suspension temporaire du traitement de vos données dans les cas prévus par l'Art. 18 RGPD (données contestées, opposition en attente, etc.).
Retrait du consentement
Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment, sans que cela n'affecte la licéité du traitement effectué avant le retrait (Art. 7.3 RGPD).
Décision automatisée
dropfleet.eu ne prend pas de décisions produisant des effets juridiques significatifs sur les personnes basées exclusivement sur un traitement automatisé (Art. 22 RGPD).
Comment exercer vos droits ?
- Via l'interface de la Plateforme : Accédez à la page Exercice des droits RGPD pour télécharger une copie de vos données ou initier une suppression de compte ;
- Par e-mail : Adressez votre demande à notre DPO : dpo@dropfleet.eu ;
- Identification : Pour des raisons de sécurité, toute demande doit permettre d'identifier le demandeur (adresse e-mail du compte concerné). Une preuve d'identité peut être demandée en cas de doute raisonnable sur l'identité du demandeur.
L'Éditeur s'engage à répondre à toute demande dans un délai de 30 jours calendaires à compter de la réception de la demande complète. Ce délai peut être prolongé de deux mois supplémentaires en cas de demandes complexes ou nombreuses, le demandeur en étant informé.
9Droit de réclamation auprès de l'APD
Si vous estimez que le traitement de vos données à caractère personnel ne respecte pas le RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. En Belgique, il s'agit de :
Autorité de Protection des Données (APD)
Rue de la Presse 35, 1000 Bruxelles, Belgique
Téléphone : +32 (0)2 274 48 00
E-mail : contact@apd-gba.be
Site web : https://www.autoriteprotectiondonnees.be
Vous pouvez également vous adresser à l'autorité de contrôle de l'État membre de l'UE dans lequel vous résidez habituellement ou travaillez.
Nous vous encourageons à nous contacter en premier lieu à l'adresse dpo@dropfleet.eu afin de résoudre votre préoccupation à l'amiable avant toute saisine de l'APD.
10Sécurité des données
L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisé, conformément à l'Article 32 du RGPD.
Mesures techniques
- Chiffrement TLS 1.2 minimum de toutes les communications (HTTPS obligatoire) ;
- Hachage bcrypt des mots de passe (coût adaptatif) ;
- Tokens CSRF sur tous les formulaires et mutations d'état ;
- Rate limiting sur l'ensemble des endpoints API et d'authentification ;
- Sauvegardes chiffrées quotidiennes conservées 30 jours en UE ;
- Segmentation réseau et isolation des environnements ;
- Journalisation des accès et des actions (audit logs) ;
- Authentification JWT pour les Chauffeurs (tokens à durée limitée) ;
- Validation et assainissement de toutes les entrées utilisateur.
Mesures organisationnelles
- Accès aux données personnelles limité au personnel habilité selon le principe du moindre privilège ;
- Engagement de confidentialité signé par les personnes accédant aux données de production ;
- Procédure documentée de gestion des incidents de sécurité et de notification RGPD ;
- Revue régulière des accès et des droits d'administration ;
- Accord de traitement des données (DPA Art. 28 RGPD) signé avec chaque sous-traitant.
Aucun système informatique ne peut garantir une sécurité absolue. En cas de violation de données vous affectant, vous serez notifié conformément à l'Article 34 du RGPD.
11Cookies
La Plateforme utilise des cookies et technologies similaires strictement nécessaires à son fonctionnement (session, CSRF, préférences). Aucun cookie publicitaire ou de tracking tiers n'est utilisé.
Pour une information exhaustive sur les cookies utilisés, leurs finalités et durées de vie, consultez notre Politique de Cookies .
12Modifications de la Politique de Confidentialité
L'Éditeur se réserve le droit de modifier la présente Politique de Confidentialité pour tenir compte des évolutions légales, réglementaires ou des modifications du Service.
Toute modification substantielle est notifiée aux Utilisateurs par e-mail et/ou notification in-app avec un préavis de 30 jours. La date de la dernière mise à jour est indiquée en tête du document.
La version en vigueur est accessible en permanence à l'adresse https://dropfleet.eu/legal/privacy. Nous vous encourageons à consulter régulièrement cette page.