Politique de confidentialité

1.1. La présente Politique de confidentialité explique comment GrowthTurn Marcin Chirowski, enregistré en Pologne sous le NIP 7542694209, dont le siège social est situé à al. Zwycięstwa 241/13, 81-521 Gdynia (« Carseto », « nous », « notre »), collecte, utilise, stocke et partage vos données personnelles lorsque vous utilisez notre site carseto.com, nos applications mobiles et services associés (la « Plateforme »).

1.2. Carseto est le responsable du traitement des données personnelles au titre du Règlement général sur la protection des données (UE) 2016/679 (« GDPR »).

1.3. Pour toute question relative à la protection des données, contactez notre délégué à la protection des données : privacy@carseto.com ou écrivez à : Protection des données, GrowthTurn Marcin Chirowski, al. Zwycięstwa 241/13, 81-521 Gdynia, Pologne.

Nous collectons les catégories suivantes de données personnelles :

2.1. Données de compte - nom, adresse e-mail, mot de passe (haché), numéro de téléphone (facultatif), nom d'affichage, photo de profil, pays de résidence, langue préférée.

2.2. Données Garage et annonces - détails du véhicule que vous fournissez (marque, modèle, année, VIN/numéro de châssis, état, photos, historique d'entretien, documents), prix demandés, descriptions d'annonces.

2.3. Données de vérification d'identité - lorsque vous choisissez de vérifier votre identité : pièce d'identité officielle, documents d'immatriculation d'entreprise, coordonnées bancaires (pour les revendeurs), selfie pour correspondance d'identité. Elles ne sont traitées qu'à des fins de vérification et stockées avec une sécurité renforcée.

2.4. Données de communication - messages envoyés via notre système de messagerie interne, demandes d'information, demandes de support, commentaires sur les annonces.

2.5. Données de transaction - enregistrements d'achat et de paiement, détails d'abonnement, adresse de facturation, identifiants du mode de paiement (nous ne stockons pas les numéros de carte complets ; ils sont détenus par Stripe).

2.6. Données d'utilisation - pages visitées, fonctionnalités utilisées, requêtes de recherche, informations sur l'appareil (type de navigateur, système d'exploitation, résolution d'écran), adresse IP, source de référence, durée de session.

2.7. Données de cookies et suivi - comme décrit dans notre Politique des cookies, y compris les données analytiques, cookies de préférence et identifiants marketing (uniquement avec votre consentement).

2.8. Données tierces - lorsque les annonces proviennent de places de marché publiques, nous pouvons collecter les informations d'annonces disponibles publiquement, y compris les descriptions de véhicules et coordonnées des vendeurs publiés par les utilisateurs sur ces plateformes.

Nous traitons vos données personnelles sur les bases légales suivantes :

3.2. Lorsque nous nous appuyons sur l'intérêt légitime, nous avons effectué un test de proportionnalité et conclu que nos intérêts ne prévalent pas sur vos droits et libertés. Vous pouvez demander les détails de nos évaluations en contactant privacy@carseto.com.

4.1. Avec d'autres utilisateurs. Lorsque vous créez une annonce, les informations de votre annonce et les informations de profil limitées (nom d'affichage, statut de vérification, date d'inscription, temps de réponse) sont visibles par les autres utilisateurs. Lorsque vous envoyez un message, votre nom d'affichage et le contenu du message sont visibles par le destinataire.

4.2. Prestataires de services. Nous partageons des données avec les catégories suivantes de sous-traitants qui agissent sur nos instructions :

4.3. Obligations légales. Nous pouvons divulguer vos données lorsque la loi, une réglementation, une procédure judiciaire ou une demande gouvernementale l'exige, y compris aux autorités répressives si nous estimons qu'une annonce concerne un véhicule volé ou une activité frauduleuse.

4.4. Cessions d'entreprise. En cas de fusion, acquisition ou cession d'actifs, vos données peuvent être transférées à l'entité acquéreuse. Nous vous informerons de tout transfert et de toute modification de la politique de confidentialité applicable.

4.5. Données agrégées. Nous pouvons partager des données anonymisées et agrégées (telles que les tendances de marché et les indices de prix CCI) avec des tiers. Ces données ne peuvent pas servir à vous identifier.

4.6. Nous ne vendons pas vos données personnelles. Nous ne partageons pas vos données personnelles avec des tiers à des fins marketing propres sans votre consentement explicite.

5.1. Vos données sont principalement stockées et traitées dans l'Espace économique européen (EEE). Notre base de données principale est hébergée par Supabase dans la région EU-West (Frankfurt).

5.2. Certains de nos prestataires peuvent traiter des données en dehors de l'EEE (par exemple, certains nœuds de périmètre du CDN Vercel). Dans ce cas, nous assurons des garanties appropriées, notamment : les clauses contractuelles types de l'UE (CCT) conformément à l'art. 46(2)(c) du GDPR ; ou les décisions d'adéquation de la Commission européenne conformément à l'art. 45 du GDPR.

5.3. Vous pouvez demander une copie des garanties que nous utilisons pour les transferts internationaux en contactant privacy@carseto.com.

6.1. Nous conservons vos données personnelles uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, ou conformément à la loi.

6.2. Après la période de conservation, les données sont supprimées de manière sécurisée ou irréversiblement anonymisées à des fins statistiques.

7.1. Au titre du GDPR, vous disposez des droits suivants concernant vos données personnelles :

- Droit d'accès (Art. 15) - demander une copie des données personnelles que nous détenons sur vous.
- Droit de rectification (Art. 16) - demander la correction de données inexactes ou incomplètes.
- Droit à l'effacement (Art. 17) - demander la suppression de vos données personnelles lorsqu'il n'y a pas de motif impérieux pour continuer le traitement (sous réserve des obligations légales de conservation).
- Droit à la limitation du traitement (Art. 18) - demander que nous limitions l'utilisation de vos données dans certaines circonstances.
- Droit à la portabilité des données (Art. 20) - recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable.
- Droit d'opposition (Art. 21) - vous opposer au traitement fondé sur des intérêts légitimes, y compris le profilage. Lorsque nous traitons des données pour le marketing direct, vous avez un droit absolu d'opposition.
- Droit de retirer le consentement - lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment sans affecter la licéité du traitement antérieur.

7.2. Pour exercer l'un de ces droits, contactez-nous à privacy@carseto.com. Nous répondrons sous un mois. Si votre demande est complexe, nous pouvons prolonger ce délai de deux mois supplémentaires et vous en informerons.

7.3. Nous ne facturerons pas de frais pour l'exercice de vos droits, sauf si les demandes sont manifestement infondées ou excessives, auquel cas nous pouvons facturer des frais raisonnables ou refuser d'agir.

7.4. Si vous n'êtes pas satisfait de la manière dont nous traitons votre demande, vous avez le droit de déposer une plainte auprès de l'autorité de contrôle polonaise : Urząd Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, Pologne, https://uodo.gov.pl. Vous pouvez également déposer une plainte auprès de l'autorité de contrôle de votre pays de résidence.

8.1. Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre l'accès non autorisé, la modification, la divulgation ou la destruction. Cela comprend :
- Le chiffrement des données en transit (TLS 1.2+) et au repos ;
- La sécurité au niveau des lignes (RLS) sur toutes les tables de base de données, limitée aux utilisateurs authentifiés ;
- La limitation de débit et la prévention des bots sur tous les points de terminaison ;
- Des audits de sécurité et évaluations des vulnérabilités réguliers ;
- Des contrôles d'accès limitant l'accès des employés aux données personnelles selon le besoin d'en connaître ;
- Une authentification sécurisée via Supabase Auth avec prise en charge de l'authentification multi-facteurs.

8.2. Bien que nous nous efforcions de protéger vos données, aucune méthode de stockage ou transmission électronique n'est sûre à 100 %. Nous ne pouvons garantir une sécurité absolue.

9.1. La Plateforme n'est pas destinée aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès d'enfants. Si vous pensez que nous avons collecté des données auprès d'un mineur, veuillez nous contacter à privacy@carseto.com et nous les supprimerons promptement.

10.1. Nous utilisons des systèmes automatisés pour le score de confiance, la détection des fraudes et la modération des annonces. Ces systèmes peuvent influer sur la visibilité de vos annonces ou le statut de votre compte. Toutefois, aucune décision automatisée produisant des effets juridiques ou similaires significatifs n'est prise sans supervision humaine.

10.2. Vous avez le droit de demander un examen humain de toute décision automatisée qui vous affecte significativement.

11.1. Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. En cas de modification substantielle, nous vous en informerons par e-mail ou par un avis visible sur la Plateforme au moins 30 jours avant leur entrée en vigueur.

11.2. La date de la dernière mise à jour est affichée en haut de cette page.

12.1. Pour toute question concernant cette Politique de confidentialité ou nos pratiques en matière de données, contactez-nous :

- E-mail : privacy@carseto.com
- Courrier : Protection des données, GrowthTurn Marcin Chirowski, al. Zwycięstwa 241/13, 81-521 Gdynia, Pologne
- Autorité de contrôle : UODO, ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl