Document conforme au Reglement (UE) 2016/679 du 27 avril 2016 (RGPD) et a la loi Informatique et Libertes du 6 janvier 1978 modifiee.
1. Responsable du traitement
Canarin SAS (cf. Mentions legales) est responsable du traitement de vos donnees personnelles.
DPO / Contact privacy : privacy@canarin.eu
2. Donnees collectees
| Categorie | Exemples | Source |
|---|---|---|
| Identite | prenom, nom, email | vous |
| Compte | mot de passe hashe (bcrypt), role, langue, fuseau | vous |
| Facturation | adresse, TVA, ID Stripe, factures | vous + Stripe |
| Capteurs | noms, sensor_key, IMEI, position GPS configuree | vous |
| Mesures | PM2.5, NO2, CO2, temperature, RSSI, GPS live | capteurs |
| Connexion | adresse IP, user-agent, dates de connexion | automatique |
| Consentement | cookies, marketing — horodate + IP | vous |
3. Finalites et bases legales
- Fourniture du service (execution du contrat) — comptes, capteurs, mesures, alertes.
- Facturation (obligation legale + contrat) — factures, abonnements Stripe.
- Securite (interet legitime) — logs de connexion, detection fraude, audit.
- Communications service (interet legitime) — alertes capteurs, releves mensuels.
- Marketing (consentement) — newsletters, nouveautes produits. Opt-in explicite, opt-out a tout moment.
- Cookies non essentiels (consentement) — mesure d'audience anonyme. Voir Politique cookies.
4. Destinataires
Vos donnees sont accessibles uniquement par :
- Les equipes Canarin habilitees (developpement, support, administration).
- Les sous-traitants listes dans les Mentions legales, encadres par des accords de traitement (DPA) conformes au RGPD.
- Les autorites administratives ou judiciaires en cas de requisition legale.
Vos donnees ne sont jamais vendues a des tiers.
5. Transferts hors UE
Les donnees sont stockees sur AWS Paris (UE). Certains sous-traitants (Google FCM, Stripe US backup) peuvent traiter des donnees hors UE ; dans ce cas, les transferts sont encadres par les Clauses Contractuelles Types (CCT) de la Commission europeenne et, le cas echeant, par le Data Privacy Framework UE-USA.
6. Duree de conservation
| Donnees | Duree |
|---|---|
| Compte utilisateur actif | tant que le compte est actif |
| Compte resilie | anonymisation sous 30 jours |
| Mesures capteurs (plan free) | 30 jours roulants |
| Mesures capteurs (plan wifi/gsm) | 12 mois roulants |
| Mesures capteurs (plan pro) | 24 mois + archive Glacier |
| Factures, comptabilite | 10 ans (obligation legale) |
| Logs de connexion | 12 mois |
| Consentement cookies | 13 mois |
7. Vos droits
Conformement aux articles 15 a 22 du RGPD, vous disposez des droits suivants :
- Acces — obtenir une copie de vos donnees.
- Rectification — corriger les donnees inexactes.
- Effacement ("droit a l'oubli") — sauf obligation legale de conservation.
- Limitation du traitement.
- Portabilite — export CSV / JSON de vos donnees.
- Opposition au traitement (notamment marketing).
- Retrait du consentement a tout moment (cookies, marketing).
Pour exercer ces droits : /compliance/gdpr ou par email privacy@canarin.eu. Reponse sous 30 jours maximum.
8. Reclamation
Si vous estimez que vos droits ne sont pas respectes, vous pouvez introduire une reclamation aupres de la CNIL : cnil.fr/fr/plaintes.
9. Securite
Canarin met en oeuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement TLS 1.3 sur tous les flux web et API.
- Mot de passe hashe (bcrypt cout 12).
- Tokens API revocables, JWT signes.
- Acces base via VPC AWS, pas d'IP publique RDS.
- Backups quotidiens chiffres (KMS).
- Audit logs (audit_events) pour tracer les acces administratifs.
- Rotation reguliere des secrets (AWS Secrets Manager).
- Alertes CrowdSec sur tentatives de brute-force.