Mentions légales
Politique de Confidentialité
Cette politique explique comment GuVarda traite les données personnelles lors de l'utilisation de la plateforme, y compris bases légales, conservation et droits.
Dernière mise à jour · version de politique 2026-04-23.1
Responsable du traitement
GuVarda est le responsable du traitement pour les activités décrites dans cette politique. Pour toute question sur vos données, contactez-nous à [email protected].
Contact confidentialité
Les demandes liées à la vie privée (accès, rectification, effacement, opposition, portabilité) peuvent être envoyées à [email protected]. Lorsque la loi l'exige, nous désignons un délégué à la protection des données ; le point de contact actuel est [email protected].
Finalités et bases légales
Nous traitons les données personnelles pour les finalités suivantes : • Inscription et authentification du compte — art. 6(1)(b) RGPD (exécution du contrat). • Publication, partage et modération d'itinéraires, d'étapes, de commentaires et de médias — art. 6(1)(b). • Journalisation du consentement aux cookies et au suivi — art. 6(1)(c) (obligation légale au titre de l'art. 7(1) RGPD et de l'art. 5(3) ePrivacy). • Dé-doublonnage anonyme du compteur de vues via une empreinte côté serveur (hachage SHA-256 d'IP, user-agent, Accept-Language) — art. 6(1)(f) (intérêt légitime aux métriques agrégées et à la prévention des abus). Conservation : 90 jours, puis l'empreinte est annulée. • Analytique produit via Google Analytics 4 — art. 6(1)(a) (consentement). Chargé uniquement après opt-in sur la catégorie analytique. • E-mails transactionnels (vérification, réinitialisation, avis d'inactivité) via Brevo — art. 6(1)(b). • Géocodage et calcul d'itinéraires via Photon (Komoot) et/ou Stadia Maps et Mapbox — art. 6(1)(b). Seules des requêtes textuelles et des coordonnées GPS sont envoyées, jamais les données du compte. • Suggestions IA facultatives dans l'éditeur via OpenAI ou GitHub Models (Microsoft), selon la configuration du déploiement — art. 6(1)(b). Seul le texte du brouillon fourni est envoyé pour générer la suggestion. • Journal d'audit administrateur pour les actions privilégiées — art. 6(1)(f) (intérêt légitime à la redevabilité).
Catégories de données traitées
Compte : adresse e-mail, mot de passe haché (comptes locaux), identifiants OAuth (Google), pseudonyme, champs de profil, date de dernière connexion. Authentification : métadonnées des refresh tokens, métadonnées des jetons de vérification d'e-mail. Contenus : itinéraires (titre, slug, description, statut), étapes et waypoints (coordonnées), commentaires, likes, favoris, signalements. Médias : avatars, images d'étape et de couverture stockés en object storage. Consentement : identifiant pseudonyme, version de la politique, décision par catégorie, action, horodatage, locale, hachage salé de l'IP, user-agent. Techniques : empreinte anonyme côté serveur (hachée), journaux de requête sans e-mail ni PII en clair, trace ids, entrées d'audit administrateur.
Destinataires et sous-traitants
Nous nous appuyons sur les sous-traitants suivants pour exploiter le service : • Google LLC — Connexion Google (authentification) et, avec votre consentement, Google Analytics 4 (analytique). • Brevo (Sendinblue) — envoi d'e-mails transactionnels. • Photon (Komoot, UE) et Stadia Maps — géocodage. • Stadia Maps et/ou Mapbox — calcul d'itinéraires routiers. • OpenAI, L.L.C. ou GitHub Models (Microsoft) — suggestions IA dans l'éditeur, selon la configuration du déploiement. • MinIO (auto-hébergé) ou AWS S3 — object storage pour les médias. La liste à jour des données transférées, du pays de traitement et du mécanisme légal est tenue dans le registre interne des sous-traitants et communiquée aux autorités de contrôle sur demande.
Transferts internationaux
Certains sous-traitants listés sont établis hors de l'Espace économique européen. Dans ce cas, le transfert est couvert par les garanties appropriées prévues à l'art. 46 RGPD, généralement les Clauses Contractuelles Types (2021/914) et, le cas échéant, le Data Privacy Framework UE-États-Unis. Une copie des garanties peut être demandée à [email protected].
Durées de conservation
Nous conservons les données uniquement le temps nécessaire à la finalité visée : • Données de compte et de profil — jusqu'à la suppression du compte ou jusqu'à la purge pour inactivité (24 mois sans connexion → e-mail d'avertissement → 30 jours de délai → suppression définitive). • Refresh tokens — 30 jours après expiration. • Jetons de vérification d'e-mail — 7 jours après expiration. • Journaux de consentement — 24 mois depuis l'enregistrement. • Journal d'audit administrateur — 12 mois. • Empreintes anonymes de vue — 90 jours, puis annulées ; le compteur de vues est conservé sous forme agrégée. • Médias téléversés — tant que le contenu associé existe ; à la suppression du compte, l'avatar et les médias non référencés sont retirés. • Itinéraires publiés après suppression du compte — maintenus en ligne sous forme anonymisée (auteur affiché comme utilisateur supprimé) selon les Conditions d'utilisation.
Vos droits
Vous avez le droit d'accéder, de rectifier, d'effacer, de limiter, de porter vos données et de vous opposer au traitement lorsque cela s'applique. Vous pouvez exercer la plupart de ces droits directement : • Accès / portabilité — profil → Confidentialité → « Télécharger mes données ». L'export est une archive JSON structurée. • Rectification — édition du profil, plus un flux dédié de changement d'e-mail avec vérification de la nouvelle adresse. • Effacement — profil → Confidentialité → « Supprimer mon compte ». Une double confirmation est requise. Les conséquences sont décrites dans les Conditions d'utilisation. • Retrait du consentement cookies — lien « Gérer mes préférences cookies » dans le pied de page et les pages légales. Pour toute demande non traitable en libre-service, écrivez à [email protected].
Réclamations
Si vous estimez que vos données ont été traitées de manière non conforme, vous pouvez introduire une réclamation auprès de votre autorité de protection des données. En Italie : Garante per la protezione dei dati personali (https://www.garanteprivacy.it).
Décisions automatisées
GuVarda ne prend pas de décisions exclusivement automatisées produisant des effets juridiques ou similairement significatifs sur les personnes. Les suggestions IA de l'éditeur sont des propositions que vous relisez et acceptez manuellement.