Politique de Confidentialité
Conforme au Règlement (UE) 2016/679 (RGPD) et à la Loi Informatique et Libertés modifiée.
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via la plateforme InfoBorne est :
- Simon Wills, Entrepreneur Individuel
- SIRET : 99241998600011
- Email : contact@infoborne.fr
En tant qu'éditeur de la plateforme, Simon Wills agit comme responsable du traitement pour les données techniques et opérationnelles propres à la plateforme. Pour les données collectées dans le cadre de prestations pour le compte d'une collectivité (EPCI, SYMEED, opérateur), Simon Wills agit comme sous-traitant au sens du RGPD, dans le cadre d'un Accord de Traitement (DPA) signé avec le client.
2. Données collectées et finalités
2.1 — Chauffeurs autorisés
| Donnée | Finalité |
|---|---|
| Nom, prénom | Identification opérationnelle |
| Position GPS pendant les tournées | Optimisation d'itinéraire, historique de service |
| Kilométrage véhicule (départ / retour) | Suivi opérationnel |
| Photographies de bornes / dépôts sauvages | Preuve d'intervention, preuve d'incident |
| Clé d'accès personnelle | Authentification individuelle |
2.2 — Citoyens (application Signaler)
| Donnée | Finalité |
|---|---|
| Position GPS du signalement | Géolocalisation de l'incident |
| Photographie | Documentation visuelle de l'incident |
| Adresse email (facultative) | Suivi du signalement et notification de résolution |
2.3 — Administrateurs
| Donnée | Finalité |
|---|---|
| Adresse email professionnelle | Authentification |
| Logs de connexion (IP, horodatage) | Sécurité, traçabilité |
3. Bases légales du traitement
- Données chauffeurs : exécution du contrat de travail / prestation (RGPD art. 6.1.b).
- Données citoyennes (signalements) : consentement explicite (RGPD art. 6.1.a) lors de l'envoi du signalement.
- Données administrateurs : intérêt légitime (RGPD art. 6.1.f) — sécurité et bon fonctionnement du service.
- Données comptables et fiscales : obligation légale (RGPD art. 6.1.c).
4. Destinataires des données
Les données peuvent être transmises aux destinataires suivants, dans la limite stricte de leurs missions respectives :
- L'opérateur de collecte (par exemple, association d'insertion comme ABI 29) : pour la gestion opérationnelle des tournées de collecte.
- L'EPCI ou organisme délégant (par exemple, SYMEED 29) : pour le suivi des indicateurs de performance et la coordination territoriale.
- Les autorités compétentes : sur demande légalement fondée (réquisition judiciaire, contrôle administratif).
Aucune donnée personnelle n'est cédée, vendue ou louée à des tiers à des fins commerciales.
5. Sous-traitants techniques
Pour assurer le fonctionnement du service, InfoBorne fait appel aux sous-traitants suivants :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Cloudflare, Inc. | Hébergement, CDN, sécurité, stockage de fichiers (R2) | États-Unis (avec serveurs UE) |
| Airtable, Inc. | Base de données opérationnelle | États-Unis |
| Google LLC | API d'optimisation d'itinéraires (Routes API), cartographie | États-Unis (avec serveurs UE) |
Chaque sous-traitant intervient dans le cadre d'un Accord de Traitement de Données conforme à l'article 28 du RGPD.
6. Transferts hors Union européenne
Les sous-traitants Cloudflare, Airtable et Google peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :
- Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne en 2021.
- Le cadre EU–US Data Privacy Framework (DPF) lorsque applicable, ces sociétés étant certifiées DPF.
Vous pouvez demander une copie des garanties mises en œuvre en écrivant à contact@infoborne.fr.
7. Durée de conservation
| Catégorie | Durée |
|---|---|
| Données opérationnelles actives (tournées, signalements résolus) | 2 ans à compter de la fin du service |
| Données comptables et fiscales | 10 ans (obligation légale) |
| Logs de connexion administrateur | 12 mois |
| Photographies de signalements citoyens | 1 an après résolution du signalement |
| Photographies opérationnelles (collectes) | Durée de la prestation + 1 an |
| Données chauffeurs (après cessation d'activité) | 5 ans (obligations sociales) |
8. Sécurité des données
InfoBorne met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :
- Chiffrement TLS 1.3 pour toutes les communications.
- Authentification forte des administrateurs (Cloudflare Access, login unique avec vérification email).
- Cloisonnement strict des espaces (admin / chauffeur / citoyen) avec contrôle d'accès par jetons.
- Sauvegardes automatiques chiffrées des bases de données.
- Journalisation des accès administrateurs.
- Politique de moindre privilège pour les sous-traitants.
9. Vos droits
Conformément aux articles 15 à 22 du RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès : obtenir confirmation que vos données sont traitées et en recevoir copie.
- Droit de rectification : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données.
- Droit à la limitation du traitement.
- Droit à la portabilité : recevoir vos données dans un format structuré.
- Droit d'opposition au traitement.
- Droit de retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur.
- Droit de définir des directives post-mortem sur le sort de vos données.
Pour exercer vos droits, écrivez à contact@infoborne.fr en précisant l'objet de votre demande et en justifiant de votre identité. Une réponse vous sera apportée dans un délai maximum d'un mois, prorogeable de deux mois en cas de complexité.
10. Cookies
InfoBorne dépose uniquement des cookies techniques strictement nécessaires au fonctionnement du service, exemptés de consentement au titre de l'article 82 de la Loi Informatique et Libertés :
- Cookie de session : maintien de la connexion administrateur (durée : session navigateur).
- Jeton d'authentification Cloudflare Access : sécurisation de l'accès admin (durée : 24h max).
- sessionStorage côté navigateur : sauvegarde temporaire de la sélection de langue, du mode d'affichage. Aucune donnée personnelle.
Aucun cookie publicitaire, de mesure d'audience tiers ou de profilage n'est utilisé.
11. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : cnil.fr/fr/plaintes
- Par courrier : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
12. Modifications
La présente politique peut être mise à jour pour refléter les évolutions du service ou de la réglementation. Toute modification substantielle vous sera notifiée par email ou via une bannière sur la plateforme. La date de dernière mise à jour est indiquée en bas de cette page.
Privacy Policy
Compliant with Regulation (EU) 2016/679 (GDPR) and the French Data Protection Act as amended.
1. Data controller
The controller for personal data collected via the InfoBorne platform is:
- Simon Wills, Sole Trader (Entrepreneur Individuel)
- SIRET: 99241998600011
- Email: contact@infoborne.fr
As publisher of the platform, Simon Wills acts as data controller for technical and operational data specific to the platform. For data collected on behalf of a public body (EPCI, SYMEED, operator), Simon Wills acts as processor within the meaning of GDPR, under a Data Processing Agreement signed with the client.
2. Data collected and purposes
2.1 — Authorised drivers
| Data | Purpose |
|---|---|
| First name, last name | Operational identification |
| GPS position during routes | Route optimisation, service history |
| Vehicle mileage (start / return) | Operational tracking |
| Photos of collection points / illegal dumps | Service evidence, incident evidence |
| Personal access key | Individual authentication |
2.2 — Citizens (Reporting application)
| Data | Purpose |
|---|---|
| GPS position of the report | Incident geolocation |
| Photograph | Visual documentation of the incident |
| Email address (optional) | Report follow-up and resolution notification |
2.3 — Administrators
| Data | Purpose |
|---|---|
| Professional email address | Authentication |
| Connection logs (IP, timestamp) | Security, traceability |
3. Legal bases for processing
- Driver data: performance of an employment / service contract (GDPR art. 6.1.b).
- Citizen data (reports): explicit consent (GDPR art. 6.1.a) when submitting a report.
- Administrator data: legitimate interest (GDPR art. 6.1.f) — service security and proper operation.
- Accounting and tax data: legal obligation (GDPR art. 6.1.c).
4. Recipients of data
Data may be transmitted to the following recipients, strictly within the scope of their respective missions:
- The collection operator (e.g. social inclusion association such as ABI 29): for operational management of collection routes.
- The EPCI or delegating body (e.g. SYMEED 29): for monitoring performance indicators and territorial coordination.
- Competent authorities: upon legally founded request (judicial requisition, administrative audit).
No personal data is sold, leased or transferred to third parties for commercial purposes.
5. Technical sub-processors
To deliver the service, InfoBorne relies on the following sub-processors:
| Sub-processor | Role | Location |
|---|---|---|
| Cloudflare, Inc. | Hosting, CDN, security, file storage (R2) | USA (with EU servers) |
| Airtable, Inc. | Operational database | USA |
| Google LLC | Route optimisation API (Routes API), mapping | USA (with EU servers) |
Each sub-processor operates under a Data Processing Agreement compliant with article 28 of GDPR.
6. Transfers outside the EU
Sub-processors Cloudflare, Airtable and Google may process data in the United States. These transfers are governed by:
- Standard Contractual Clauses (SCCs) adopted by the European Commission in 2021.
- The EU–US Data Privacy Framework (DPF) where applicable, these companies being DPF-certified.
You can request a copy of the safeguards in place by writing to contact@infoborne.fr.
7. Retention periods
| Category | Duration |
|---|---|
| Active operational data (routes, resolved reports) | 2 years from end of service |
| Accounting and tax data | 10 years (legal obligation) |
| Administrator connection logs | 12 months |
| Citizen report photographs | 1 year after report resolution |
| Operational photographs (collections) | Service duration + 1 year |
| Driver data (after end of activity) | 5 years (social obligations) |
8. Data security
InfoBorne implements appropriate technical and organisational measures to ensure a level of security suited to the risk:
- TLS 1.3 encryption for all communications.
- Strong authentication of administrators (Cloudflare Access, single sign-on with email verification).
- Strict separation of areas (admin / driver / citizen) with token-based access control.
- Automatic encrypted backups of databases.
- Logging of administrator access.
- Least-privilege policy for sub-processors.
9. Your rights
In accordance with articles 15 to 22 of GDPR and the French Data Protection Act, you have the following rights:
- Right of access: obtain confirmation that your data is being processed and receive a copy.
- Right of rectification: have inaccurate or incomplete data corrected.
- Right to erasure ("right to be forgotten"): request deletion of your data.
- Right to restriction of processing.
- Right to data portability: receive your data in a structured format.
- Right to object to processing.
- Right to withdraw consent at any time, without affecting the lawfulness of prior processing.
- Right to set post-mortem instructions regarding the fate of your data.
To exercise your rights, write to contact@infoborne.fr specifying the subject of your request and providing proof of identity. A response will be provided within a maximum of one month, extendable by two months in case of complexity.
10. Cookies
InfoBorne only uses technical cookies strictly necessary for service operation, exempted from consent under article 82 of the French Data Protection Act:
- Session cookie: maintains administrator login (duration: browser session).
- Cloudflare Access authentication token: secures admin access (duration: 24h max).
- Browser sessionStorage: temporary save of language and display preferences. No personal data.
No advertising cookies, third-party analytics or profiling cookies are used.
11. Complaint to the CNIL
If, after contacting us, you believe your data protection rights are not being respected, you can lodge a complaint with the French Data Protection Authority (CNIL):
- Online: cnil.fr/fr/plaintes
- By post: CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
- Phone: +33 (0)1 53 73 22 22
12. Updates
This policy may be updated to reflect changes to the service or regulations. Any substantial change will be notified to you by email or via a banner on the platform. The date of last update is shown at the bottom of this page.