Politique de confidentialité

Conforme RGPD · Version 1.0 · En vigueur au 1er mai 2026

🛡️ Votre consentement éclairé est notre priorité. Cette politique explique exactement quelles données sont collectées, pourquoi, combien de temps, et quels sont vos droits.

1. Responsable du traitement

Esprit Pêche Chasse SARL, SIREN 487 484 008, dont le siège social est situé 12 boulevard de l'Envigne, 86100 Châtellerault, France. Représentée par son gérant, Yann David.

Contact pour toute question relative à vos données personnelles : dpo@carpspot.fr.

Esprit Pêche Chasse SARL n'est pas tenue, au regard de sa taille et de la nature de ses traitements, de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Une adresse de contact dédiée est néanmoins mise à votre disposition.

2. Données collectées

2.1 Données d'identification

• Nom, prénom.
• Adresse email et numéro de téléphone.
• Adresse postale (lors d'une réservation ou pour les Propriétaires).
• Pour les Propriétaires : pièce d'identité et RIB (collectés et stockés uniquement par Stripe dans le cadre du KYC).

2.2 Données d'utilisation

• Historique de recherches et réservations.
• Messages échangés sur la Plateforme.
• Avis laissés et reçus.
• Données de navigation (adresse IP, navigateur, pages consultées).

2.3 Données de paiement

Vos données de carte bancaire ne sont jamais stockées sur les serveurs CarpSpot. Elles sont traitées et hébergées uniquement par Stripe, agréé par la Central Bank of Ireland.

3. Finalités, bases légales et durées de conservation

• Gestion du compte utilisateur (exécution du contrat) — durée du compte, puis 3 ans après la dernière connexion.
• Traitement des réservations et paiements (exécution du contrat) — 5 ans (obligation comptable).
• KYC Propriétaires (obligation légale) — 5 ans après fin de la relation.
• Demandes d'inscription Propriétaire (intérêt légitime, suivi commercial) — 2 ans à compter de la soumission.
• Emails transactionnels (exécution du contrat) — durée de la relation.
• Lutte contre la fraude et journaux de connexion (intérêt légitime) — 1 an.

4. Destinataires et sous-traitants

CarpSpot ne vend jamais vos données. Elles peuvent être partagées avec les sous-traitants strictement nécessaires au fonctionnement du service :

• Supabase (hébergement de la base de données — Union européenne).
• Vercel ou OVH Cloud (hébergement front, à confirmer avant mise en production).
• Stripe Payments Europe Ltd (Irlande) — traitement des paiements, remboursements et KYC.
• Resend (Union européenne) — envoi des emails transactionnels.
• Anthropic (États-Unis) — fournisseur du modèle de langage utilisé par notre assistant d'aide. Seul le contenu textuel des questions est transmis ; aucune donnée personnelle identifiante n'est jointe à la requête.
• Propriétaires d'étangs — uniquement les données strictement nécessaires à l'exécution de la réservation (prénom, nombre de pêcheurs, créneau).

5. Vos droits (RGPD)

Conformément au Règlement général sur la protection des données (UE 2016/679), vous disposez des droits suivants :

• Droit d'accès — obtenir une copie de vos données.
• Droit de rectification — corriger toute donnée inexacte.
• Droit à l'effacement — supprimer votre compte et vos données.
• Droit à la limitation — geler temporairement le traitement.
• Droit à la portabilité — récupérer vos données dans un format structuré.
• Droit d'opposition — vous opposer à un traitement.

Pour exercer ces droits, vous pouvez : (i) utiliser les fonctions intégrées à votre espace personnel, ou (ii) écrire à dpo@carpspot.fr. Une réponse vous sera apportée sous 30 jours.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — cnil.fr.

6. Cookies

CarpSpot utilise uniquement des cookies essentiels au fonctionnement du service (gestion de la session de connexion, mémorisation de votre choix de consentement). Aucun cookie de mesure d'audience ou de marketing n'est actuellement déposé.

Si des cookies optionnels devaient être ajoutés à l'avenir (mesure d'audience anonyme, par exemple), votre consentement explicite serait requis via le bandeau prévu à cet effet. Vous pouvez à tout moment réviser votre choix via le lien « Gérer les cookies » en pied de page.

7. Sécurité

• Chiffrement TLS sur l'ensemble des communications.
• Chiffrement AES-256 en base pour les données sensibles (codes digicode notamment).
• Authentification renforcée disponible sur les comptes utilisateurs.
• Hébergement des données en Union européenne.
• Sauvegardes régulières chiffrées.

8. Transferts hors UE

L'essentiel de vos données est hébergé et traité dans l'Union européenne. Le seul transfert hors UE concerne l'envoi du contenu textuel des questions posées à l'assistant d'aide vers les serveurs d'Anthropic (États-Unis), encadré par les clauses contractuelles types adoptées par la Commission européenne.

9. Mineurs

La Plateforme est réservée aux personnes âgées de 18 ans et plus. Aucune donnée n'est collectée sciemment sur des mineurs.

10. Modifications de la politique

Toute modification substantielle de la présente politique sera notifiée par email aux utilisateurs disposant d'un compte au moins 30 jours avant son entrée en vigueur.