1. Responsable du traitement
UrbanFlow Mobility — Projet académique de plateforme de mobilité multimodale.
Contact : privacy@urbanflow.app
2. Données personnelles collectées
Conformément au principe de minimisation (RGPD art. 5.1.c), nous ne collectons que les données strictement nécessaires :
| Donnée | Finalité | Base légale | Durée |
|---|---|---|---|
| Géolocalisation | Calcul d'itinéraire | Consentement (art. 6.1.a) | Session uniquement |
| Adresse e-mail | Création de compte | Exécution du contrat (art. 6.1.b) | Durée du compte + 30j |
| Mot de passe (haché) | Authentification | Exécution du contrat (art. 6.1.b) | Durée du compte |
| Favoris | Personnalisation | Consentement (art. 6.1.a) | Durée du compte |
| Historique de recherche | Recommandations | Consentement (art. 6.1.a) | 90 jours |
| Logs de navigation | Sécurité et debug | Intérêt légitime (art. 6.1.f) | 6 mois |
3. Recueil du consentement
- Géolocalisation : bannière explicite au premier accès. Refus possible, l'application reste utilisable.
- Compte utilisateur : case à cocher non pré-cochée pour les CGU et la politique de confidentialité.
- Cookies : bannière avec choix granulaire (nécessaires, fonctionnels, analytiques).
Chaque consentement est enregistré avec la date, l'horodatage et la version de la politique.
4. Vos droits (RGPD art. 15-22)
| Droit | Mise en œuvre |
|---|---|
| Droit d'accès (art. 15) | Page Profil → Consulter mes données |
| Droit de rectification (art. 16) | Page Profil → Modifier mes informations |
| Droit à l'effacement (art. 17) | Page Profil → Supprimer mon compte |
| Droit à la portabilité (art. 20) | Page Profil → Exporter mes données (JSON) |
| Droit d'opposition (art. 21) | Désactiver les recommandations et l'historique |
Délai de réponse : 30 jours conformément à l'article 12 du RGPD.
5. Sous-traitants
- Hostinger (hébergeur VPS) — données sur serveurs en UE, DPA disponible
- OpenStreetMap (cartographie) — aucune donnée personnelle transmise
- PRIM / IDF Mobilités (données transport) — API publiques Open Data
Aucun transfert hors UE.
6. Mesures de sécurité
- Chiffrement en transit (HTTPS obligatoire, HSTS)
- Mots de passe hachés (bcrypt, 12 rounds)
- Headers de sécurité (CSP, X-Frame-Options, X-Content-Type-Options)
- Rate limiting sur les endpoints sensibles
- Validation des entrées côté serveur
- Minimisation des logs (pas d'IP ni d'identifiant personnel)
7. Cookies
- Nécessaires : session JWT (httpOnly, secure) — exemptés de consentement
- Fonctionnels : préférences de géolocalisation — consentement requis
- Analytiques : désactivés par défaut
8. Modifications
En cas de modification de cette politique, vous serez notifié in-app et par e-mail. La date de dernière mise à jour est indiquée ci-dessous.
Dernière mise à jour : 20 mai 2026 — Version 1.0