PoolCenter
Se connecter

Politique de confidentialité

Dernière mise à jour : 27 mai 2026 · Version 1.0

Ce document décrit les données personnelles que nous collectons, leur base légale, leurs durées de conservation et les droits dont vous disposez au titre du RGPD.

1. Qui sommes-nous ?

PoolCenter est une application de gestion d'interventions pour professionnels de l'entretien de piscines, éditée par PoolCenter (service en cours d'immatriculation).

Le responsable de traitement et délégué à la protection des données (DPO) est l'éditeur du service, joignable à contact.poolcenter@gmail.com.

La présente politique décrit les données que nous collectons, leur base légale, leurs durées de conservation et les droits dont vous disposez.

2. Données collectées et finalités

Nous collectons uniquement les données strictement nécessaires à la fourniture du service :

  • Données d'identification — nom, prénom, email, téléphone. Gestion du compte.
  • Données professionnelles — nom d'entreprise, identifiant légal (SIRET ou équivalent), adresse. Identification légale, rapports PDF, facturation.
  • Données des sites clients — adresse, contact, coordonnées GPS. Planification des interventions et tournées.
  • Données sensibles d'accès — digicode, code alarme, instructions d'accès. Accès aux sites par les intervenants (chiffrées via Supabase Vault).
  • Données d'intervention — analyses chimiques (pH, chlore, stabilisant, TAC, TH, phosphore, sel), température, compteur d'eau, produits, actions, observations. Documentation des prestations et conformité ARS.
  • Photos d'intervention — photo horodatée de fin d'intervention. Preuve de passage (rétention 30 jours, URLs signées 1 h).
  • Photo de profil — avatar utilisateur. Identification visuelle dans l'équipe.
  • Données techniques et de connexion — type d'appareil, système, adresse IP, identifiant OneSignal, tokens d'authentification. Fonctionnement technique, sécurité, notifications push.
  • Portail client — email du client, code PIN (bcrypt + Vault Supabase), historique de connexion. Accès sécurisé des propriétaires à l'historique de leur site.
  • Bug reports — description, capture d'écran. Amélioration du service et support technique.
  • Données de facturation — historique des paiements, abonnement. Gestion comptable (10 ans, C.com. art. L123-22).

3. Bases légales des traitements

Chaque traitement repose sur une base légale conforme au RGPD :

  • Contrat (Art. 6.1.b) — gestion des comptes, planification, entretiens, portail client, envoi de rapports.
  • Intérêt légitime (Art. 6.1.f) — géolocalisation des sites (optimisation des tournées), signalement de bugs, logs de sécurité, analyse d'usage produit et monitoring des crashs (PostHog — saisies masquées).
  • Consentement (Art. 6.1.a) — notifications push OneSignal, monitoring Sentry (mobile), cookies Google Maps. Recueilli à l'inscription et révocable à tout moment.
  • Obligation légale (Art. 6.1.c) — conservation des données de facturation (10 ans, C.com. art. L123-22).

4. Durées de conservation

Vos données sont conservées le temps strictement nécessaire aux finalités poursuivies :

  • Compte utilisateur — durée du contrat + 1 an maximum.
  • Photos d'intervention — 30 jours (purge automatique, CRON quotidien).
  • Invitations — 48 heures si non utilisées.
  • Sites et entretiens — durée du contrat.
  • Logs de connexion et sécurité (IP, tentatives) — 1 an maximum.
  • Logs d'accès aux données sensibles et d'envoi d'emails — durée du contrat.
  • Rate-limit IP — fenêtre glissante de 1 heure.
  • Données de facturation — 10 ans (obligation légale).
  • Cache local (Hive chiffré) — jusqu'à synchronisation avec le serveur.
  • Bug reports — durée du contrat.

5. Destinataires et sous-traitants

Vos données sont hébergées et traitées par les sous-traitants suivants, avec lesquels nous avons signé un contrat de traitement (DPA) conforme à l'Art. 28 du RGPD :

  • Supabase Inc. — base de données, authentification, stockage de fichiers, Edge Functions (Francfort, UE). SOC 2, ISO 27001.
  • PostHog — analyse d'usage produit, monitoring des crashs web, session replay avec masquage des saisies (hébergement UE, Francfort).
  • Vercel Inc. — hébergement de l'application web (CDN mondial, États-Unis). SOC 2, SCC 2021/914.
  • OneSignal LLC — notifications push (États-Unis). DPF, SCC.
  • Resend Inc. — envoi d'emails transactionnels (États-Unis, hébergé sur AWS). SCC 2021/914.
  • Sentry.io — monitoring des erreurs (États-Unis, mobile uniquement). SOC 2, ISO 27001, DPF, SCC.
  • Google Cloud / Google Maps Platform — géocodage, itinéraires, cartes. SOC 2, ISO 27001, DPF, SCC.
  • Cloudflare Inc. — stockage et CDN images (R2, mondial). SOC 2, ISO 27001, DPF, C5.

Aucune donnée n'est revendue ni utilisée à des fins de prospection non sollicitée.

6. Transferts hors Union européenne

Certains sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par :

  • Le Data Privacy Framework (DPF) UE-États-Unis (décision d'adéquation de la Commission européenne du 10 juillet 2023) pour les organisations certifiées (Sentry, Cloudflare, Google).
  • Les Clauses Contractuelles Types (SCC) de la Commission européenne (décision 2021/914) pour les autres sous-traitants.

Vous pouvez obtenir une copie de ces garanties en nous contactant à : contact.poolcenter@gmail.com.

7. Cookies et traceurs

L'application utilise les cookies et traceurs strictement nécessaires à son fonctionnement :

  • Google Maps JavaScript API — affichage des cartes et optimisation de tournée (ParcoursPro). Google peut collecter des données d'usage conformément à sa politique de confidentialité.
  • Vercel Speed Insights — mesure de performance anonymisée.
  • PostHog (web et mobile) — mesure d'audience produit et session replay pour le diagnostic. Les saisies (identifiants, code PIN) sont masquées et l'enregistrement est coupé sur les écrans sensibles (connexion, portail client).
  • Sentry JS (web) — capture d'erreurs techniques.
  • Tokens JWT (Supabase Auth) — gestion de session authentifiée.
  • SharedPreferences — préférences locales (thème, langue).

Aucun cookie publicitaire ou de traçage tiers n'est utilisé.

8. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement AES-256 du cache local (Hive) — clé stockée dans le coffre-fort sécurisé du terminal.
  • Chiffrement au repos des champs sensibles (digicode, alarme) via Supabase Vault (pgp_sym_encrypt).
  • Stockage des PIN portail en bcrypt + Vault Supabase — jamais en clair en base.
  • Contrôle d'accès par rôles (RLS) sur toutes les tables.
  • URLs signées temporaires (1 h maximum) pour les fichiers privés.
  • Rate-limiting du portail client (5 essais / 15 min par portail, 30 / IP / heure).
  • Purge automatique des données temporaires (photos 30 jours, invitations 48 h).
  • Connexion HTTPS obligatoire (TLS 1.3).
  • CSP stricte (Content Security Policy) sur l'application web.

9. Vos droits RGPD

Conformément au Règlement Général sur la Protection des Données (UE 2016/679), vous disposez des droits suivants :

  • Droit d'accès (Art. 15) — obtenir la confirmation que vos données sont traitées et en recevoir une copie.
  • Droit de rectification (Art. 16) — faire corriger vos données inexactes ou incomplètes.
  • Droit à l'effacement (Art. 17) — obtenir la suppression de vos données (droit à l'oubli). Une fonction « Supprimer mon compte » est disponible dans Réglages → Zone de danger.
  • Droit à la portabilité (Art. 20) — recevoir vos données dans un format structuré et lisible par machine (export JSON), depuis Réglages → Confidentialité & Légal.
  • Droit d'opposition (Art. 21) — vous opposer au traitement pour des motifs légitimes.
  • Droit à la limitation (Art. 18) — demander le gel du traitement de vos données.

Pour exercer vos droits : contact.poolcenter@gmail.com ou via Réglages → Confidentialité & Légal. Réponse sous un mois maximum.

10. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :

CNIL
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Tél. : 01 53 73 22 22
Site web : www.cnil.fr

11. Évolution de la politique

Nous nous réservons le droit de modifier la présente politique de confidentialité. Les utilisateurs seront informés des modifications significatives par email ou par notification dans l'application au moins 15 jours avant leur entrée en vigueur.

12. Contact

Pour toute question relative à vos données personnelles ou à l'exercice de vos droits :

Email : contact.poolcenter@gmail.com
Responsable de traitement : éditeur du service PoolCenter
DPO : éditeur du service — contact.poolcenter@gmail.com
Adresse : à finaliser lors de l'immatriculation