Politique de confidentialité
La présente politique de confidentialité décrit comment ODOWA (ci-après « nous ») collecte, utilise, partage et protège
les données personnelles des utilisateurs de l'application mobile Kartes (ci-après « l'Application »),
ainsi que des services associés accessibles via le site kartes.io.
Elle est conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679)
et à la Loi Informatique et Libertés du 6 janvier 1978 modifiée.
Sommaire
- Identité du responsable de traitement
- Données collectée
- Finalités et bases légales
- Permissions de l'application mobile
- Sous-traitants et destinataires des données
- Transferts hors Union européenne
- Durées de conservation
- Sécurité des données
- Vos droits
- Mineurs
- Cookies et traceurs
- Modifications de la politique
- Contact
1. Identité du responsable de traitement
Le responsable de traitement des données personnelles est :
- ODOWA
- Adresse : 49 rue de la République, 60160 Montataire, France
- SIRET : 94505301500018
- email : support@kartes.io
2. Données collectées
2.1 Données fournies directement par l'utilisateur
| Catégorie | Données concernées |
|---|---|
| Compte utilisateur | Adresse email, mot de passe (haché), nom, prénom, numéro de téléphone (optionnel), photo de profil (optionnelle) |
| Espace de travail (workspace) | Nom de l'organisation, logo, paramètres, rôle de l'utilisateur (membre, administrateur, propriétaire) |
| Contenu produit dans l'application | Photos d'éléments d'infrastructure prises depuis l'application, descriptions saisies, commentaires, formulaires d'inspection et d'intervention, signatures électroniques, enregistrements vocaux pour transcription |
| Paiement (offres payantes) | Données de facturation traitées par Stripe (nom, adresse de facturation). Les données carte ne transitent jamais par nos serveurs. |
2.2 Données collectées automatiquement
| Catégorie | Données concernées |
|---|---|
| Données de localisation | Coordonnées GPS (latitude/longitude) lors de la création ou consultation d'un élément sur la carte, ainsi que pour la fonctionnalité optionnelle de partage de position d'équipe (offre Pro et supérieures, désactivable) |
| Données techniques | Adresse IP, type d'appareil, version d'OS (Android/iOS/Web), version de l'application, identifiants techniques anonymisés |
| Journaux d'activité (audit log) | Historique horodaté des actions effectuées (création / modification / suppression d'éléments, interventions, inspections) avec identifiant utilisateur — utilisé pour traçabilité et sécurité |
| Données d'usage | Pages consultées, fonctionnalités utilisées, temps passé, à des fins statistiques internes |
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (CGU) |
| Fourniture des fonctionnalités de l'application (cartographie, inspection, intervention, reporting) | Exécution du contrat |
| Géolocalisation des éléments sur la carte | Exécution du contrat — la fonctionnalité requiert la position pour fonctionner |
| Analyse d'images par intelligence artificielle (IA Vision : reconnaissance d'objets, suggestions de champs) | Exécution du contrat / consentement (fonctionnalité optionnelle activable) |
| Transcription vocale par intelligence artificielle (IA Voice) | Consentement (déclenchement explicite par l'utilisateur) |
| Assistant conversationnel IA | Consentement (fonctionnalité optionnelle) |
| Messagerie d'équipe | Exécution du contrat |
| Notifications push (alertes, messages, rappels) | Consentement (autorisation système activable/désactivable) |
| Gamification (badges, classements optionnels) | Exécution du contrat — désactivable par l'administrateur |
| Partage de position d'équipe (offres Pro+) | Consentement (activable par chaque membre individuellement) |
| Facturation et paiement de l'abonnement | Exécution du contrat / obligation légale (comptabilité) |
| Sécurité, prévention de la fraude, traçabilité (audit log) | Intérêt légitime / obligation légale |
| Statistiques internes anonymisées d'usage | Intérêt légitime |
| Communications transactionnelles (réinitialisation de mot de passe, confirmations) | Exécution du contrat |
4. Permissions de l'application mobile
L'application Kartes sollicite les autorisations système suivantes sur Android et iOS. Toutes sont demandées
contextuellement au moment de leur première utilisation et peuvent être révoquées à tout moment dans les paramètres de l'appareil.
| Permission | Justification d'usage |
|---|---|
| Caméra | Prendre des photos d'éléments d'infrastructure (équipements, signalétiques, dégradations) pour les associer aux éléments cartographiés ou aux interventions/inspections. |
| Localisation (précise et approximative) | Géolocaliser les éléments lors de leur création sur la carte, afficher votre position en temps réel pour vous orienter sur le terrain, et le cas échéant partager votre position avec votre équipe (fonctionnalité optionnelle). |
| Microphone | Enregistrer des annotations vocales transcrites par IA pour saisir rapidement des champs sans clavier (fonctionnalité optionnelle). |
| Stockage / Photos | Sélectionner des images existantes depuis la galerie pour les attacher à un élément ou une intervention. |
| Notifications | Vous prévenir d'événements pertinents (nouveau message, intervention assignée, alerte importante). |
| Internet | Synchroniser les données avec nos serveurs et utiliser les fonctionnalités IA cloud. |
5. Sous-traitants et destinataires des données
Pour fournir les services de l'application, nous faisons appel à des sous-traitants techniques sélectionnés pour leur conformité RGPD :
| Sous-traitant | Finalité | Données concernées |
|---|---|---|
| Amazon Web Services (AWS S3) | Stockage des photos et fichiers téléchargés | Photos prises depuis l'application, photos de profil, jaquettes |
| Anthropic (API Claude) | Analyse d'image par IA (Vision), transcription vocale (Voice), assistant conversationnel | Images uploadées, enregistrements vocaux, prompts texte — uniquement lors d'un déclenchement explicite par l'utilisateur |
| Mapbox | Affichage de la cartographie, géocodage d'adresses | Coordonnées GPS, adresses recherchées |
| Stripe | Traitement des paiements d'abonnement | Nom, email, adresse de facturation, données carte (gérées exclusivement par Stripe, jamais par nos serveurs) |
| DeepL | Traduction automatique des contenus pour les utilisateurs non francophones | Snippets texte à traduire (libellés, descriptions de types d'objets) |
| Hébergeur (serveurs API) | Hébergement de la base de données et des serveurs applicatifs | Ensemble des données utilisateur |
| Services email transactionnel | Envoi d'emails (réinitialisation mot de passe, invitations, factures) | Adresse email, prénom |
Aucune donnée personnelle n'est revendue à des tiers à des fins commerciales ou publicitaires.
6. Transferts hors Union européenne
Certains de nos sous-traitants peuvent traiter des données depuis des pays hors Union européenne :
- Anthropic (États-Unis) : transferts encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne.
- Stripe (États-Unis / Irlande) : certifié Data Privacy Framework (DPF) UE-USA, et CCT.
- AWS : nos buckets S3 sont configurés en région eu-west-3 (Paris) — vos photos et fichiers restent stockés en France.
- Mapbox : CCT pour les requêtes de tuiles cartographiques.
7. Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Compte utilisateur (profil, identifiants) | Tant que le compte est actif. Suppression sur demande, ou inactivité prolongée (3 ans sans connexion) |
| Contenu produit (photos, éléments, interventions) | Tant que l'espace de travail est actif. Suppression définitive dans les 30 jours après suppression du compte ou de l'espace de travail |
| Journaux d'audit (audit log) | 2 ans à compter de l'événement |
| Données de facturation | 10 ans (obligation légale comptable) |
| Logs techniques (connexion, erreurs) | 12 mois maximum |
| Sauvegardes | 30 à 90 jours selon la criticité |
| Données envoyées aux IA (Anthropic) | Non conservées par Anthropic au-delà de la requête (politique zero-retention pour les usages API) |
8. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :
- Chiffrement TLS pour toutes les communications client/serveur
- Mots de passe hachés (algorithme bcrypt) — jamais stockés en clair
- Authentification par jetons JWT à durée de vie limitée + refresh tokens révocables
- Isolation stricte des données par espace de travail (cloisonnement multi-tenant en base et en cache)
- Sauvegardes chiffrées
- Contrôle d'accès basé sur les rôles (RBAC) côté serveur
- Journaux d'audit horodatés pour tracer toute action sensible
- Mises à jour de sécurité régulières des serveurs et dépendances
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir une copie des données vous concernant
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve de nos obligations légales
- Droit à la limitation du traitement
- Droit d'opposition au traitement fondé sur l'intérêt légitime
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible
- Droit de retirer votre consentement à tout moment pour les traitements fondés sur celui-ci
- Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr)
Pour exercer vos droits, contactez-nous à : support@kartes.io. Nous répondons dans un délai maximal d'un mois.
La suppression de votre compte est également possible directement depuis l'application, dans les paramètres utilisateur.
10. Mineurs
L'application Kartes est un outil professionnel destiné aux acteurs de la gestion d'infrastructure
(collectivités, entreprises, gestionnaires de patrimoine). Elle n'est pas destinée à des personnes de moins de 16 ans
et nous ne collectons pas sciemment de données concernant des mineurs. Si vous pensez qu'un mineur nous a fourni des
données, contactez-nous pour suppression immédiate.
11. Cookies et traceurs
L'application mobile n'utilise pas de cookies tiers à des fins publicitaires ou de profilage.
Le site kartes.io peut utiliser des cookies strictement nécessaires
au fonctionnement (session, langue) et, le cas échéant, des cookies de mesure d'audience anonymisés.
Aucun cookie publicitaire ou de tracking cross-site n'est déposé.
12. Modifications de la politique
Cette politique peut être mise à jour pour refléter des évolutions techniques, juridiques ou fonctionnelles.
Toute modification substantielle sera signalée aux utilisateurs (notification dans l'application ou email).
La date de dernière mise à jour figure en haut de ce document.
13. Contact
Pour toute question relative à cette politique de confidentialité ou au traitement de vos données personnelles :
- email : support@kartes.io
- Courrier : ODOWA — 49 rue de la République, 60160 Montataire, France