Politique de Confidentialité
Version 1.0 — Juin 2026
WM (SASU) — Capital variable (minimum 10 €) — Siège : 58 avenue de Wagram, 75017 Paris — RCS Paris n° 990 485 732 — SIRET 99048573200012 — NAF 6312Z — TVA non applicable, art. 293 B du CGI
Hébergeur : Render Services, Inc., 525 Brannan St Suite 300, San Francisco CA 94107, USA
DPO : dpo@wroomservice.fr — Contact : contact@wroomservice.fr
Article 1 — Responsable du traitement
Le responsable du traitement des données personnelles collectées via la Plateforme Wroom est :
WM (SASU)
Société par Actions Simplifiée Unipersonnelle à capital variable
Capital social minimum : 10 € (dix euros)
Siège social : 58 avenue de Wagram, 75017 Paris, France
RCS Paris : 990 485 732
SIRET : 99048573200012
Code NAF : 6312Z (Portails Internet)
TVA non applicable, art. 293 B du CGI
WM (SASU) est représentée par son Président.
Délégué à la Protection des Données (DPO) : dpo@wroomservice.fr
Contact général : contact@wroomservice.fr
Adresse postale : 58 avenue de Wagram, 75017 Paris, France
Article 2 — Objet de la présente Politique
La présente Politique de Confidentialité décrit comment WM (SASU), exploitant la Plateforme Wroom accessible sur wroomservice.fr et platform.wroomservice.fr, collecte, utilise, conserve et protège les données personnelles des Utilisateurs.
Elle est conforme au Règlement Général sur la Protection des Données (Règlement UE 2016/679 du 27 avril 2016 — « RGPD ») et à la loi n°78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».
Article 3 — Données collectées
3.1 Clients
Données obligatoires (nécessaires à l’exécution du contrat de réservation) :
- Prénom, nom
- Adresse email
- Numéro de téléphone
- Adresses de départ et d’arrivée de la course
- Nombre de passagers
- Données de paiement (traitées par Stripe — cf. Art. 7)
- Code PIN de validation de la course
Données automatiques (collectées lors de l’utilisation) :
- Historique des courses et réservations
- Adresse IP, type de navigateur, système d’exploitation
- Données de navigation (pages visitées, durée de session)
- Cookies et traceurs (cf. Art. 9)
Données optionnelles :
- Photo de profil
- Demandes spéciales ou commentaires
3.2 Chauffeurs partenaires
Données obligatoires (nécessaires à la mise en relation et au partenariat) :
- Prénom, nom
- Adresse email
- Numéro de téléphone
- Numéro de carte professionnelle VTC
- Numéro SIRET actif
- Relevé d’Identité Bancaire (RIB) pour le reversement des courses
- Zones de couverture géographique
Données de géolocalisation (collectées exclusivement pendant la durée active d’une course) :
- Position GPS (latitude, longitude) à intervalle de 5 minutes
- Horodatage des événements clés (début, fin de course, Code PIN)
Données automatiques :
- Historique des courses effectuées
- Adresse IP, données de connexion
Données optionnelles :
- Photo de profil
- Notes et évaluations Clients
3.3 Formulaire de contact
Les données collectées via le formulaire de contact de la Plateforme (/contact) sont les suivantes :
- Prénom, nom
- Adresse email
- Sujet de la demande
- Message
- Statut déclaré (client, chauffeur, autre)
Base légale : intérêt légitime de WM (SASU) à répondre aux demandes adressées à la Plateforme (RGPD Art. 6.1.f).
Durée de conservation : 3 ans à compter de la clôture de la demande.
Ces données ne sont pas transmises à des tiers à des fins commerciales et ne font pas l’objet d’un traitement automatisé.
Article 4 — Base légale des traitements
4.1 Clients
| Traitement | Base légale (RGPD art. 6) |
|---|---|
| Création de compte, gestion de réservation, facturation | Art. 6.1.b — Exécution du contrat |
| Communication transactionnelle (confirmation, rappels) | Art. 6.1.b — Exécution du contrat |
| Prévention de la fraude, sécurité de la Plateforme | Art. 6.1.f — Intérêt légitime |
| Cookies strictement nécessaires | Art. 6.1.f — Intérêt légitime |
| Cookies d’analyse d’audience, communications marketing | Art. 6.1.a — Consentement |
4.2 Chauffeurs partenaires
| Traitement | Base légale (RGPD art. 6) |
|---|---|
| Inscription, mise en relation, reversement | Art. 6.1.b — Exécution du contrat |
| Vérification SIRET, traçabilité comptable (5 ans) | Art. 6.1.c — Obligation légale (Art. L110-4 C. com.) |
| Géolocalisation pendant les courses | Art. 6.1.b — Exécution du contrat |
| Sécurité de la Plateforme, prévention de la fraude | Art. 6.1.f — Intérêt légitime |
Article 5 — Durées de conservation
5.1 Clients
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte et historique des courses | 3 ans après la dernière utilisation du compte |
| Données de paiement (références Stripe) | 13 mois (délai de rétractation + délai de contestation) |
| Logs de connexion | 1 an |
| Données de communication transactionnelle | 3 ans |
| Données collectées avec consentement (marketing) | 2 ans ou jusqu’à retrait du consentement |
5.2 Chauffeurs partenaires
| Catégorie de données | Durée de conservation |
|---|---|
| Données de contrat et SIRET | 5 ans après la fin du partenariat (Art. L110-4 C. com.) |
| Données bancaires (RIB) | 3 ans après la fin du partenariat |
| Historique commissions et reversements | 5 ans (traçabilité comptable) |
| Données GPS de course (forme complète) | 12 mois |
| Données GPS de course (pseudonymisées) | 5 ans, puis suppression |
| Documents d’identité et carte VTC | Suppression à la résiliation du partenariat |
| Logs de connexion | 1 an |
Article 6 — Droits des personnes concernées
Conformément au RGPD et à la loi Informatique et Libertés, tout Utilisateur dispose des droits suivants :
- Droit d’accès (Art. 15 RGPD) : obtenir une copie des données personnelles détenues.
- Droit de rectification (Art. 16 RGPD) : corriger des données inexactes ou incomplètes.
- Droit à l’effacement (Art. 17 RGPD) : demander la suppression des données, sous réserve des obligations légales de conservation.
- Droit à la limitation du traitement (Art. 18 RGPD) : suspendre l’utilisation des données dans certains cas.
- Droit à la portabilité (Art. 20 RGPD) : recevoir ses données dans un format structuré et lisible par machine (JSON ou CSV).
- Droit d’opposition (Art. 21 RGPD) : s’opposer aux traitements fondés sur l’intérêt légitime, notamment à des fins de prospection commerciale.
- Droit de définir des directives post-mortem : définir les modalités de conservation et de communication de ses données après son décès (loi Informatique et Libertés Art. 85).
Procédure d’exercice :
Adresser une demande écrite à : dpo@wroomservice.fr ou par courrier à : 58 avenue de Wagram, 75017 Paris, France.
Joindre la nature du droit exercé et, pour les demandes d’accès, une copie d’un justificatif d’identité.
Délai de réponse : 30 jours maximum à compter de la réception de la demande complète.
Réclamation auprès de la CNIL :
Tout Utilisateur dispose du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL — 3 place de Fontenoy, 75007 Paris — cnil.fr).
Article 7 — Destinataires des données et sous-traitants
7.1 Accès interne
L’accès aux données personnelles est strictement limité aux personnes habilitées au sein de WM (SASU) dans le cadre de leurs fonctions (gestion, support client, comptabilité).
7.2 Sous-traitants techniques
| Sous-traitant | Rôle | Localisation | Encadrement transfert hors UE |
|---|---|---|---|
| Supabase, Inc. | Base de données, authentification (AWS eu-west-1) | UE (Irlande) | Pas de transfert hors UE |
| Render Services, Inc. | Hébergement de l’application | USA | Clauses Contractuelles Types (CCT) — Art. 46 RGPD |
| Stripe Payments Europe Ltd. | Traitement des paiements | UE (Irlande) | DPA signé — Art. 28 RGPD |
| Resend, Inc. | Envoi d’emails transactionnels | USA | Clauses Contractuelles Types (CCT) — Art. 46 RGPD |
| Cloudflare, Inc. | Protection anti-robots (Turnstile) — cf. Art. 10 | USA | Clauses Contractuelles Types (CCT) — Art. 46 RGPD |
7.3 Tiers institutionnels
WM (SASU) peut être amenée à communiquer des données aux autorités compétentes (police, justice, administration fiscale) sur réquisition légale ou sur injonction judiciaire.
Vérification SIRET Chauffeurs : l’API Sirene de l’INSEE est utilisée pour vérifier l’activité des numéros SIRET des Chauffeurs partenaires.
7.4 Absence de cession ou vente
WM (SASU) ne vend, ne loue et ne cède aucune donnée personnelle à des tiers à des fins commerciales ou publicitaires.
Article 8 — Sécurité des données
8.1 Mesures techniques
- Chiffrement des communications : HTTPS / TLS 1.3+ sur l’ensemble de la Plateforme.
- Chiffrement au repos : données stockées sur Supabase (AWS eu-west-1), avec chiffrement natif et sauvegardes quotidiennes.
- Hachage des mots de passe : algorithme bcrypt non réversible (géré par Supabase Auth).
- Authentification : support de l’authentification multi-facteurs (MFA) recommandé.
- Row-Level Security (RLS) : politiques d’accès aux données activées en base (Supabase).
8.2 Mesures organisationnelles
- Accès aux données personnelles limité au personnel habilité.
- Contrats de confidentialité et DPA avec les sous-traitants.
- Audit de sécurité régulier.
- Plan de gestion des incidents de sécurité.
8.3 Notification de violation
En cas de violation de données présentant un risque pour les droits et libertés des personnes concernées, WM (SASU) notifie la CNIL dans un délai de 72 heures conformément à l’Art. 33 RGPD, et les personnes concernées sans délai indu si le risque est élevé (Art. 34 RGPD).
Article 9 — Cookies et traceurs
Conforme à la délibération CNIL n°2020-091 du 17 septembre 2020.
9.1 Définition
Un cookie est un petit fichier texte déposé sur le terminal de l’Utilisateur lors de sa visite sur la Plateforme. La présente section vise également les autres traceurs assimilés (local storage, session storage, empreintes numériques) au sens de l’Art. 82 de la loi Informatique et Libertés.
9.2 Cookies strictement nécessaires (exemptés de consentement)
Ces cookies sont indispensables au fonctionnement de la Plateforme. Ils ne peuvent pas être désactivés.
| Finalité | Type | Durée |
|---|---|---|
| Authentification de session (Supabase Auth) | Cookie technique | Session + 7 jours (token de rafraîchissement) |
| Préférences de consentement aux cookies | Cookie technique | 6 mois |
| Protection contre les attaques CSRF | Cookie technique | Durée de la session |
| Routage et équilibrage de charge (Render) | Cookie technique | Durée de la session |
Base légale : intérêt légitime de WM (SASU) (RGPD Art. 6.1.f).
9.3 Cookies de mesure d’audience (soumis à consentement)
Ces cookies permettent de produire des statistiques anonymisées d’utilisation de la Plateforme.
Aucun outil de mesure d’audience actuellement actif.
Base légale : consentement de l’Utilisateur (RGPD Art. 6.1.a).
9.4 Cookies de personnalisation (soumis à consentement)
| Finalité | Type | Durée maximale |
|---|---|---|
| Mémorisation des préférences d’interface (langue, affichage) | Cookie premier niveau | 6 mois |
Base légale : consentement de l’Utilisateur (RGPD Art. 6.1.a).
9.5 Cookies publicitaires
Wroom n’utilise aucun cookie publicitaire. Aucune donnée n’est partagée à des fins de profilage marketing avec des régies publicitaires tierces.
9.6 Gestion du consentement
Lors de la première visite, un bandeau de consentement permet de :
- Accepter l’ensemble des cookies ;
- Refuser l’ensemble des cookies non essentiels (avec la même facilité que l’acceptation, conformément à la délibération CNIL n°2020-091) ;
- Personnaliser le choix par catégorie.
L’absence d’action ne vaut pas consentement. Seuls les cookies strictement nécessaires (§9.2) sont déposés en l’absence de choix.
Le consentement peut être retiré à tout moment via le lien « Gérer mes cookies » en pied de page, ou via les paramètres du navigateur. Le retrait n’affecte pas la licité du traitement antérieur.
Le consentement est conservé 6 mois maximum, au terme desquels le bandeau est à nouveau présenté.
9.7 Durée maximale des cookies soumis à consentement
Conformément à la délibération CNIL n°2020-091, durée maximale de dépôt : 13 mois. Durée maximale de conservation des informations collectées : 25 mois.
Article 10 — Cloudflare Turnstile
La Plateforme utilise Cloudflare Turnstile, un service de protection contre les robots automatisés fourni par Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, États-Unis).
Turnstile est activé en mode invisible sur les formulaires d’authentification de la Plateforme (inscription, connexion, réinitialisation de mot de passe). Il collecte et transmet à Cloudflare certaines données techniques (empreinte navigateur, adresse IP partielle, données d’interaction) afin de distinguer un utilisateur humain d’un robot automatisé, sans afficher de CAPTCHA visible.
Base légale : intérêt légitime de WM (SASU) à sécuriser la Plateforme contre les accès non autorisés et les attaques automatisées (RGPD Art. 6.1.f).
Transfert hors UE : les données transmises à Cloudflare font l’objet d’un transfert vers les États-Unis, encadré par des Clauses Contractuelles Types (CCT) conformément à l’Art. 46 RGPD.
Pour les informations détaillées sur le traitement des données personnelles par Cloudflare dans le cadre de Turnstile, consulter l’addendum dédié : cloudflare.com/cloudflare-turnstile-privacy-addendum
Article 11 — Données des mineurs
La Plateforme Wroom n’est pas destinée aux personnes mineures (moins de 18 ans). WM (SASU) ne collecte pas sciemment de données personnelles concernant des mineurs.
Si vous constatez qu’un mineur a fourni des données personnelles sur la Plateforme, contactez immédiatement : contact@wroomservice.fr. Les données seront supprimées sans délai.
Article 12 — Liens vers des sites tiers
La Plateforme peut contenir des liens vers des sites ou services tiers. WM (SASU) n’est pas responsable des pratiques en matière de confidentialité de ces tiers. L’Utilisateur est invité à consulter les politiques de confidentialité propres à chaque site visité.
Article 13 — Modifications de la présente Politique
WM (SASU) peut modifier la présente Politique à tout moment. Les modifications sont publiées sur la Plateforme avec mention de la date de mise à jour. En cas de modification substantielle affectant les droits des Utilisateurs, une notification par email sera adressée au moins 15 jours avant l’entrée en vigueur des modifications.
L’utilisation continue de la Plateforme après l’entrée en vigueur des modifications vaut acceptation de la Politique révisée.
Article 14 — Autorité de contrôle
Commission Nationale de l’Informatique et des Libertés (CNIL)
3 place de Fontenoy, TSA 80715
75334 Paris Cedex 07
Téléphone : +33 (0)1 53 73 22 22
Site : cnil.fr
Tout Utilisateur dispose du droit d’introduire une réclamation auprès de la CNIL en cas de traitement de données personnelles non conforme au RGPD ou à la loi Informatique et Libertés.
Version 1.0 — Juin 2026 — Wroom / WM (SASU)
