Wroom Services
Réserver

Politique de Confidentialité

Version 1.0 — Juin 2026

WM (SASU) — Capital variable (minimum 10 €) — Siège : 58 avenue de Wagram, 75017 Paris — RCS Paris n° 990 485 732 — SIRET 99048573200012 — NAF 6312Z — TVA non applicable, art. 293 B du CGI

Hébergeur : Render Services, Inc., 525 Brannan St Suite 300, San Francisco CA 94107, USA

DPO : dpo@wroomservice.fr — Contact : contact@wroomservice.fr

Article 1 — Responsable du traitement

Le responsable du traitement des données personnelles collectées via la Plateforme Wroom est :

WM (SASU)

Société par Actions Simplifiée Unipersonnelle à capital variable

Capital social minimum : 10 € (dix euros)

Siège social : 58 avenue de Wagram, 75017 Paris, France

RCS Paris : 990 485 732

SIRET : 99048573200012

Code NAF : 6312Z (Portails Internet)

TVA non applicable, art. 293 B du CGI

WM (SASU) est représentée par son Président.

Délégué à la Protection des Données (DPO) : dpo@wroomservice.fr

Contact général : contact@wroomservice.fr

Adresse postale : 58 avenue de Wagram, 75017 Paris, France

Article 2 — Objet de la présente Politique

La présente Politique de Confidentialité décrit comment WM (SASU), exploitant la Plateforme Wroom accessible sur wroomservice.fr et platform.wroomservice.fr, collecte, utilise, conserve et protège les données personnelles des Utilisateurs.

Elle est conforme au Règlement Général sur la Protection des Données (Règlement UE 2016/679 du 27 avril 2016 — « RGPD ») et à la loi n°78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».

Article 3 — Données collectées

3.1 Clients

Données obligatoires (nécessaires à l’exécution du contrat de réservation) :

  • Prénom, nom
  • Adresse email
  • Numéro de téléphone
  • Adresses de départ et d’arrivée de la course
  • Nombre de passagers
  • Données de paiement (traitées par Stripe — cf. Art. 7)
  • Code PIN de validation de la course

Données automatiques (collectées lors de l’utilisation) :

  • Historique des courses et réservations
  • Adresse IP, type de navigateur, système d’exploitation
  • Données de navigation (pages visitées, durée de session)
  • Cookies et traceurs (cf. Art. 9)

Données optionnelles :

  • Photo de profil
  • Demandes spéciales ou commentaires

3.2 Chauffeurs partenaires

Données obligatoires (nécessaires à la mise en relation et au partenariat) :

  • Prénom, nom
  • Adresse email
  • Numéro de téléphone
  • Numéro de carte professionnelle VTC
  • Numéro SIRET actif
  • Relevé d’Identité Bancaire (RIB) pour le reversement des courses
  • Zones de couverture géographique

Données de géolocalisation (collectées exclusivement pendant la durée active d’une course) :

  • Position GPS (latitude, longitude) à intervalle de 5 minutes
  • Horodatage des événements clés (début, fin de course, Code PIN)

Données automatiques :

  • Historique des courses effectuées
  • Adresse IP, données de connexion

Données optionnelles :

  • Photo de profil
  • Notes et évaluations Clients

3.3 Formulaire de contact

Les données collectées via le formulaire de contact de la Plateforme (/contact) sont les suivantes :

  • Prénom, nom
  • Adresse email
  • Sujet de la demande
  • Message
  • Statut déclaré (client, chauffeur, autre)

Base légale : intérêt légitime de WM (SASU) à répondre aux demandes adressées à la Plateforme (RGPD Art. 6.1.f).

Durée de conservation : 3 ans à compter de la clôture de la demande.

Ces données ne sont pas transmises à des tiers à des fins commerciales et ne font pas l’objet d’un traitement automatisé.

Article 4 — Base légale des traitements

4.1 Clients

TraitementBase légale (RGPD art. 6)
Création de compte, gestion de réservation, facturationArt. 6.1.b — Exécution du contrat
Communication transactionnelle (confirmation, rappels)Art. 6.1.b — Exécution du contrat
Prévention de la fraude, sécurité de la PlateformeArt. 6.1.f — Intérêt légitime
Cookies strictement nécessairesArt. 6.1.f — Intérêt légitime
Cookies d’analyse d’audience, communications marketingArt. 6.1.a — Consentement

4.2 Chauffeurs partenaires

TraitementBase légale (RGPD art. 6)
Inscription, mise en relation, reversementArt. 6.1.b — Exécution du contrat
Vérification SIRET, traçabilité comptable (5 ans)Art. 6.1.c — Obligation légale (Art. L110-4 C. com.)
Géolocalisation pendant les coursesArt. 6.1.b — Exécution du contrat
Sécurité de la Plateforme, prévention de la fraudeArt. 6.1.f — Intérêt légitime

Article 5 — Durées de conservation

5.1 Clients

Catégorie de donnéesDurée de conservation
Données de compte et historique des courses3 ans après la dernière utilisation du compte
Données de paiement (références Stripe)13 mois (délai de rétractation + délai de contestation)
Logs de connexion1 an
Données de communication transactionnelle3 ans
Données collectées avec consentement (marketing)2 ans ou jusqu’à retrait du consentement

5.2 Chauffeurs partenaires

Catégorie de donnéesDurée de conservation
Données de contrat et SIRET5 ans après la fin du partenariat (Art. L110-4 C. com.)
Données bancaires (RIB)3 ans après la fin du partenariat
Historique commissions et reversements5 ans (traçabilité comptable)
Données GPS de course (forme complète)12 mois
Données GPS de course (pseudonymisées)5 ans, puis suppression
Documents d’identité et carte VTCSuppression à la résiliation du partenariat
Logs de connexion1 an

Article 6 — Droits des personnes concernées

Conformément au RGPD et à la loi Informatique et Libertés, tout Utilisateur dispose des droits suivants :

  • Droit d’accès (Art. 15 RGPD) : obtenir une copie des données personnelles détenues.
  • Droit de rectification (Art. 16 RGPD) : corriger des données inexactes ou incomplètes.
  • Droit à l’effacement (Art. 17 RGPD) : demander la suppression des données, sous réserve des obligations légales de conservation.
  • Droit à la limitation du traitement (Art. 18 RGPD) : suspendre l’utilisation des données dans certains cas.
  • Droit à la portabilité (Art. 20 RGPD) : recevoir ses données dans un format structuré et lisible par machine (JSON ou CSV).
  • Droit d’opposition (Art. 21 RGPD) : s’opposer aux traitements fondés sur l’intérêt légitime, notamment à des fins de prospection commerciale.
  • Droit de définir des directives post-mortem : définir les modalités de conservation et de communication de ses données après son décès (loi Informatique et Libertés Art. 85).

Procédure d’exercice :

Adresser une demande écrite à : dpo@wroomservice.fr ou par courrier à : 58 avenue de Wagram, 75017 Paris, France.

Joindre la nature du droit exercé et, pour les demandes d’accès, une copie d’un justificatif d’identité.

Délai de réponse : 30 jours maximum à compter de la réception de la demande complète.

Réclamation auprès de la CNIL :

Tout Utilisateur dispose du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL — 3 place de Fontenoy, 75007 Paris — cnil.fr).

Article 7 — Destinataires des données et sous-traitants

7.1 Accès interne

L’accès aux données personnelles est strictement limité aux personnes habilitées au sein de WM (SASU) dans le cadre de leurs fonctions (gestion, support client, comptabilité).

7.2 Sous-traitants techniques

Sous-traitantRôleLocalisationEncadrement transfert hors UE
Supabase, Inc.Base de données, authentification (AWS eu-west-1)UE (Irlande)Pas de transfert hors UE
Render Services, Inc.Hébergement de l’applicationUSAClauses Contractuelles Types (CCT) — Art. 46 RGPD
Stripe Payments Europe Ltd.Traitement des paiementsUE (Irlande)DPA signé — Art. 28 RGPD
Resend, Inc.Envoi d’emails transactionnelsUSAClauses Contractuelles Types (CCT) — Art. 46 RGPD
Cloudflare, Inc.Protection anti-robots (Turnstile) — cf. Art. 10USAClauses Contractuelles Types (CCT) — Art. 46 RGPD

7.3 Tiers institutionnels

WM (SASU) peut être amenée à communiquer des données aux autorités compétentes (police, justice, administration fiscale) sur réquisition légale ou sur injonction judiciaire.

Vérification SIRET Chauffeurs : l’API Sirene de l’INSEE est utilisée pour vérifier l’activité des numéros SIRET des Chauffeurs partenaires.

7.4 Absence de cession ou vente

WM (SASU) ne vend, ne loue et ne cède aucune donnée personnelle à des tiers à des fins commerciales ou publicitaires.

Article 8 — Sécurité des données

8.1 Mesures techniques

  • Chiffrement des communications : HTTPS / TLS 1.3+ sur l’ensemble de la Plateforme.
  • Chiffrement au repos : données stockées sur Supabase (AWS eu-west-1), avec chiffrement natif et sauvegardes quotidiennes.
  • Hachage des mots de passe : algorithme bcrypt non réversible (géré par Supabase Auth).
  • Authentification : support de l’authentification multi-facteurs (MFA) recommandé.
  • Row-Level Security (RLS) : politiques d’accès aux données activées en base (Supabase).

8.2 Mesures organisationnelles

  • Accès aux données personnelles limité au personnel habilité.
  • Contrats de confidentialité et DPA avec les sous-traitants.
  • Audit de sécurité régulier.
  • Plan de gestion des incidents de sécurité.

8.3 Notification de violation

En cas de violation de données présentant un risque pour les droits et libertés des personnes concernées, WM (SASU) notifie la CNIL dans un délai de 72 heures conformément à l’Art. 33 RGPD, et les personnes concernées sans délai indu si le risque est élevé (Art. 34 RGPD).

Article 9 — Cookies et traceurs

Conforme à la délibération CNIL n°2020-091 du 17 septembre 2020.

9.1 Définition

Un cookie est un petit fichier texte déposé sur le terminal de l’Utilisateur lors de sa visite sur la Plateforme. La présente section vise également les autres traceurs assimilés (local storage, session storage, empreintes numériques) au sens de l’Art. 82 de la loi Informatique et Libertés.

9.2 Cookies strictement nécessaires (exemptés de consentement)

Ces cookies sont indispensables au fonctionnement de la Plateforme. Ils ne peuvent pas être désactivés.

FinalitéTypeDurée
Authentification de session (Supabase Auth)Cookie techniqueSession + 7 jours (token de rafraîchissement)
Préférences de consentement aux cookiesCookie technique6 mois
Protection contre les attaques CSRFCookie techniqueDurée de la session
Routage et équilibrage de charge (Render)Cookie techniqueDurée de la session

Base légale : intérêt légitime de WM (SASU) (RGPD Art. 6.1.f).

9.3 Cookies de mesure d’audience (soumis à consentement)

Ces cookies permettent de produire des statistiques anonymisées d’utilisation de la Plateforme.

Aucun outil de mesure d’audience actuellement actif.

Base légale : consentement de l’Utilisateur (RGPD Art. 6.1.a).

9.4 Cookies de personnalisation (soumis à consentement)

FinalitéTypeDurée maximale
Mémorisation des préférences d’interface (langue, affichage)Cookie premier niveau6 mois

Base légale : consentement de l’Utilisateur (RGPD Art. 6.1.a).

9.5 Cookies publicitaires

Wroom n’utilise aucun cookie publicitaire. Aucune donnée n’est partagée à des fins de profilage marketing avec des régies publicitaires tierces.

9.6 Gestion du consentement

Lors de la première visite, un bandeau de consentement permet de :

  • Accepter l’ensemble des cookies ;
  • Refuser l’ensemble des cookies non essentiels (avec la même facilité que l’acceptation, conformément à la délibération CNIL n°2020-091) ;
  • Personnaliser le choix par catégorie.

L’absence d’action ne vaut pas consentement. Seuls les cookies strictement nécessaires (§9.2) sont déposés en l’absence de choix.

Le consentement peut être retiré à tout moment via le lien « Gérer mes cookies » en pied de page, ou via les paramètres du navigateur. Le retrait n’affecte pas la licité du traitement antérieur.

Le consentement est conservé 6 mois maximum, au terme desquels le bandeau est à nouveau présenté.

9.7 Durée maximale des cookies soumis à consentement

Conformément à la délibération CNIL n°2020-091, durée maximale de dépôt : 13 mois. Durée maximale de conservation des informations collectées : 25 mois.

Article 10 — Cloudflare Turnstile

La Plateforme utilise Cloudflare Turnstile, un service de protection contre les robots automatisés fourni par Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, États-Unis).

Turnstile est activé en mode invisible sur les formulaires d’authentification de la Plateforme (inscription, connexion, réinitialisation de mot de passe). Il collecte et transmet à Cloudflare certaines données techniques (empreinte navigateur, adresse IP partielle, données d’interaction) afin de distinguer un utilisateur humain d’un robot automatisé, sans afficher de CAPTCHA visible.

Base légale : intérêt légitime de WM (SASU) à sécuriser la Plateforme contre les accès non autorisés et les attaques automatisées (RGPD Art. 6.1.f).

Transfert hors UE : les données transmises à Cloudflare font l’objet d’un transfert vers les États-Unis, encadré par des Clauses Contractuelles Types (CCT) conformément à l’Art. 46 RGPD.

Pour les informations détaillées sur le traitement des données personnelles par Cloudflare dans le cadre de Turnstile, consulter l’addendum dédié : cloudflare.com/cloudflare-turnstile-privacy-addendum

Article 11 — Données des mineurs

La Plateforme Wroom n’est pas destinée aux personnes mineures (moins de 18 ans). WM (SASU) ne collecte pas sciemment de données personnelles concernant des mineurs.

Si vous constatez qu’un mineur a fourni des données personnelles sur la Plateforme, contactez immédiatement : contact@wroomservice.fr. Les données seront supprimées sans délai.

Article 12 — Liens vers des sites tiers

La Plateforme peut contenir des liens vers des sites ou services tiers. WM (SASU) n’est pas responsable des pratiques en matière de confidentialité de ces tiers. L’Utilisateur est invité à consulter les politiques de confidentialité propres à chaque site visité.

Article 13 — Modifications de la présente Politique

WM (SASU) peut modifier la présente Politique à tout moment. Les modifications sont publiées sur la Plateforme avec mention de la date de mise à jour. En cas de modification substantielle affectant les droits des Utilisateurs, une notification par email sera adressée au moins 15 jours avant l’entrée en vigueur des modifications.

L’utilisation continue de la Plateforme après l’entrée en vigueur des modifications vaut acceptation de la Politique révisée.

Article 14 — Autorité de contrôle

Commission Nationale de l’Informatique et des Libertés (CNIL)

3 place de Fontenoy, TSA 80715

75334 Paris Cedex 07

Téléphone : +33 (0)1 53 73 22 22

Site : cnil.fr

Tout Utilisateur dispose du droit d’introduire une réclamation auprès de la CNIL en cas de traitement de données personnelles non conforme au RGPD ou à la loi Informatique et Libertés.

Version 1.0 — Juin 2026 — Wroom / WM (SASU)