Politique de confidentialité

1. Notre principe directeur : minimisation

HistoAuto applique strictement le principe RGPD de minimisation des données (article 5.1.c du règlement européen 2016/679). Nous ne collectons que ce qui est indispensable à la fourniture du service. Nous ne demandons jamais : nom, adresse postale, téléphone, profession, situation familiale, niveau de revenu. Aucun cookie publicitaire, aucun pixel de tracking tiers, aucune revente ni partage de données à des tiers à des fins commerciales. La mesure d'audience via Google Analytics est optionnelle et soumise à votre consentement préalable via la bannière à votre première visite (détail dans la politique cookies).

2. Responsable du traitement

Le responsable du traitement des données collectées sur le site histoauto.com est HistoAuto, éditeur du site (voir mentions légales). Pour toute question relative au traitement de vos données ou à l'exercice de vos droits, vous pouvez nous contacter par email à :

contact@histoauto.com

Compte tenu de la nature et du volume du traitement, HistoAuto n'est pas tenu de désigner un délégué à la protection des données (DPO) au sens de l'article 37 du RGPD. Les demandes relatives à vos données sont traitées directement par l'équipe à l'adresse ci-dessus.

3. Données collectées & finalités

Les informations bancaires (numéro de carte, CVC, date d'expiration) ne transitent jamais par nos serveurs. Elles sont collectées directement par Stripe Payments Europe Limited, certifié PCI-DSS niveau 1, et HistoAuto ne reçoit que la confirmation de paiement (statut, montant, identifiant de session).

4. Transferts internationaux de données

Certains sous-traitants étant basés en dehors de l'Espace économique européen (notamment aux États-Unis), des transferts de données peuvent intervenir hors UE. Ces transferts sont encadrés par :

• Le Data Privacy Framework (DPF) UE-USA, dont bénéficient Vercel, Stripe (sous-entité US) et Resend, conformément à la décision d'adéquation de la Commission européenne du 10 juillet 2023.
• Les clauses contractuelles types (CCT) de la Commission européenne (décision 2021/914) pour les sous-traitants non couverts par le DPF.
• Des mesures techniques complémentaires (chiffrement en transit TLS 1.3, chiffrement au repos AES-256, régionalisation des bases en UE quand l'option est disponible).

Une copie des clauses contractuelles types peut être obtenue sur simple demande à contact@histoauto.com.

5. Durée de conservation

• Token d'accès rapport : 72 heures à compter de la génération. Après expiration, le token devient invalide et le rapport n'est plus accessible via le lien.
• Données du rapport (VIN, résultats) : conservées 13 mois pour permettre une re-consultation éventuelle et la gestion des réclamations.
• Données de facturation : conservées 10 ans, conformément aux obligations comptables françaises (article L.123-22 du Code de commerce).
• Cache Redis : 24 heures maximum, purgé automatiquement.
• Logs techniques (Sentry) : 90 jours pour détection d'anomalies et sécurité.
• Logs d'accès serveur : 30 jours, conformément à la recommandation CNIL.

6. Sécurité des données

HistoAuto met en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD :

• Chiffrement TLS 1.3 sur toutes les communications
• Chiffrement AES-256 des données au repos en base
• Authentification forte (UUID v4, 122 bits d'entropie) pour l'accès aux rapports
• Expiration automatique des tokens à 72 heures
• Vérification de signature HMAC-SHA256 sur tous les webhooks
• Limitation de débit applicative (10 requêtes/heure/IP)
• Monitoring en continu via Sentry, alertes immédiates en cas d'anomalie
• Sauvegardes automatiques quotidiennes de la base de données

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, HistoAuto s'engage à notifier la CNIL sous 72 heures (article 33 RGPD) et à vous informer dans les meilleurs délais (article 34 RGPD).

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :

• Droit d'accès (art. 15)
• Droit de rectification (art. 16)
• Droit à l'effacement (« droit à l'oubli », art. 17), sous réserve des obligations légales de conservation
• Droit à la limitation du traitement (art. 18)
• Droit à la portabilité (art. 20)
• Droit d'opposition (art. 21) pour les traitements fondés sur l'intérêt légitime
• Droit de définir des directives post-mortem concernant la conservation et la communication de vos données après votre décès (article 85 de la loi Informatique et Libertés)

Pour exercer vos droits, écrivez à contact@histoauto.com en précisant votre email d'achat et l'objet de la demande. Une réponse motivée sera apportée dans un délai maximal d'un mois, conformément à l'article 12.3 du RGPD (délai pouvant être prolongé de deux mois en cas de demande complexe).

8. Cookies & traceurs

Le site HistoAuto n'utilise aucun cookie publicitaire, aucun outil de tracking comportemental ni aucun pixel social. Seuls les cookies strictement nécessaires au fonctionnement technique du site (session de paiement Stripe, préférence de langue) sont déposés. Ces cookies sont exemptés de consentement préalable conformément à l'article 82 de la loi Informatique et Libertés et à la recommandation CNIL « cookies et autres traceurs » du 17 septembre 2020.

Aucun consentement de votre part n'est requis pour la navigation sur le site. Si nous décidons à l'avenir d'intégrer un outil de mesure d'audience (analytics), nous opterons exclusivement pour une solution sans cookie et anonymisée (type Plausible ou Vercel Analytics), respectueuse de votre vie privée par conception (privacy by design).

9. Mise à jour de la politique

HistoAuto peut être amené à modifier la présente politique de confidentialité pour refléter les évolutions du service, de la réglementation ou des sous-traitants utilisés. La date de dernière mise à jour est indiquée en haut de la page. Les modifications substantielles seront signalées par un bandeau d'information à votre prochaine visite du site.