Politique de Confidentialité

Dernière mise à jour : 26 mai 2026 · Conforme RGPD (Règlement UE 2016/679) et loi Informatique et Libertés.

1. Définitions clés

Pour faciliter la lecture, voici les termes utilisés dans le présent document :

• Utilisateur — toute personne physique qui visite le site ezdrive.fr, utilise l'application mobile EZdrive ou souscrit à l'un de nos services.
• Données personnelles — toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4 du RGPD.
• Traitement — toute opération effectuée sur des données personnelles (collecte, enregistrement, conservation, consultation, transmission, effacement, etc.).
• Responsable du traitement — SAS Suraya, qui détermine les finalités et les moyens du traitement.
• Sous-traitant — entité qui traite des données pour le compte de Suraya (par exemple un hébergeur ou un CRM).
• Consentement — manifestation de volonté libre, spécifique, éclairée et univoque par laquelle l'utilisateur accepte un traitement.
• DPO — Délégué à la Protection des Données, joignable à dsi@suraya.fr.

2. Données collectées

Nous collectons uniquement les données nécessaires à l'exécution de nos services. Aucune donnée sensible au sens de l'article 9 RGPD (santé, opinions, religion, biométrie, orientation sexuelle, etc.) n'est collectée.

2.1 Données d'identification

• Civilité, nom, prénom
• Adresse email, numéro de téléphone mobile
• Adresse postale (livraison badge RFID)
• Date de naissance (vérification éligibilité — collectée uniquement pour la souscription Pass Membre)

2.2 Données de facturation

• Coordonnées bancaires (carte bancaire chiffrée, non stockée en clair côté Suraya — traitement délégué à notre prestataire de paiement PCI-DSS)
• Historique des transactions (sessions de recharge, montant, date, borne, badge utilisé)
• Identifiants de facturation entreprise (SIREN, raison sociale, TVA) — clients B2B uniquement

2.3 Données techniques & d'usage

• Adresses IP, type d'appareil, navigateur, système d'exploitation (collecte automatique via les logs serveur Vercel)
• Pages consultées, durée de session, parcours (cookies de mesure d'audience, après consentement)
• Géolocalisation approximative (basée sur l'adresse IP, niveau ville)
• Géolocalisation précise GPS : collectée uniquement par l'application mobile, avec consentement explicite au démarrage, pour proposer les bornes à proximité

2.4 Données conversationnelles (chat IA Léa)

Le site héberge un assistant conversationnel (Léa, propulsé par Anthropic Claude). Les échanges sont temporairement enregistrés pour assurer la continuité de la conversation, traiter votre demande, et améliorer la qualité du service. Voir la section dédiée IA ci-dessous.

3. Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

1. Exécution du service de recharge — création de compte, livraison badge, identification borne, démarrage et clôture session, facturation, support.
2. Gestion de la relation client — réponses à vos demandes (devis, contact, chat Léa), pré-RDV, génération de propositions commerciales B2B.
3. Communications commerciales — emails et SMS de promotion, newsletter, invitations événementielles. Uniquement après opt-in explicite.
4. Mesure d'audience & amélioration produit — statistiques anonymisées (Vercel Analytics et, sous réserve de consentement, Google Analytics).
5. Prévention de la fraude et sécurité — détection de comportements anormaux (multi-comptes, paiement frauduleux, abus du chat), respect des obligations légales anti-blanchiment.
6. Obligations légales et comptables — conservation des factures et registres conformément au Code de commerce et au Code général des impôts.
7. Recherche et développement produit — analyses statistiques anonymisées, A/B tests sur des cohortes pseudonymisées.

4. Bases légales RGPD

Chaque traitement est rattaché à une base légale conformément à l'article 6 du RGPD :

| Finalité | Base légale | |---|---| | Création compte + recharge | Exécution du contrat (art. 6.1.b) | | Facturation + obligations comptables | Obligation légale (art. 6.1.c) | | Emails / SMS promotionnels | Consentement (art. 6.1.a) — opt-in | | Mesure d'audience analytique | Consentement (art. 6.1.a) — bannière Cookiebot | | Prévention de la fraude | Intérêt légitime (art. 6.1.f) | | Amélioration produit (données anonymisées) | Intérêt légitime (art. 6.1.f) | | Chat IA Léa | Exécution du contrat précontractuel (art. 6.1.b) |

Vous pouvez retirer votre consentement à tout moment pour les traitements qui en dépendent — section « Vos droits RGPD » ci-dessous.

5. Sous-traitants & destinataires

Nous travaillons avec des prestataires techniques conformes RGPD, sélectionnés pour leur niveau de sécurité, audités régulièrement, et liés contractuellement par un accord de sous-traitance (DPA).

| Prestataire | Rôle | Localisation données | |---|---|---| | Vercel Inc. | Hébergement du site ezdrive.fr (Edge + serverless) | EU (Frankfurt) — DPA actif | | Supabase Inc. | Base de données + logs conversation Léa | EU (Frankfurt) — DPA actif | | Zoho Corp. | CRM clients & leads | EU (Pays-Bas) — DPA actif | | Anthropic PBC | Modèles IA Claude (chat Léa, scoring, briefs) | États-Unis — clauses contractuelles types (CCT) | | Cookiebot (Cybot A/S) | Gestion consentements cookies | EU (Danemark) — DPA actif | | Resend Inc. | Envoi d'emails transactionnels | EU (Frankfurt) — DPA actif | | Stripe Payments Europe | Encaissement carte bancaire | EU + PCI-DSS niveau 1 | | Infomaniak Network SA | Sauvegardes secondaires & emails entreprise | Suisse (équivalence RGPD reconnue) | | Google Analytics 4 | Mesure d'audience (sous consentement) | EU + CCT pour fallback US | | Vercel Analytics | Mesure d'audience (sans cookies, anonymisée) | EU (Frankfurt) |

Aucune donnée n'est vendue ni louée à des tiers. Les seuls partages avec d'autres entités du groupe Suraya (notamment EZsolar pour les leads multi-énergie) sont soumis à votre consentement préalable et à des conventions intra-groupe respectant le RGPD.

6. Hébergement & transferts hors UE

Hébergement principal — Union Européenne. Le site, la base de données et le CRM sont hébergés en Allemagne (Francfort) ou aux Pays-Bas, dans des datacenters certifiés ISO 27001 et SOC 2.

Transferts hors UE — limités et encadrés. Deux flux concernent des prestataires hors UE :

• Anthropic PBC (États-Unis) — appels API Claude pour le chat Léa, le lead scoring et la génération de briefs. Aucun stockage long terme côté Anthropic (politique « zero retention » activable, et durée de log API ≤ 30 jours). Encadré par des Clauses Contractuelles Types approuvées par la Commission européenne (décision 2021/914).
• Infomaniak (Suisse) — la Suisse bénéficie d'une décision d'adéquation de la Commission européenne (2000/518/CE) : niveau de protection équivalent au RGPD.

Si un nouveau prestataire hors UE devait être introduit, vous en seriez informé via cette page et, le cas échéant, par email.

7. Durées de conservation

Nous appliquons des durées de conservation strictement proportionnées à chaque finalité.

| Type de donnée | Durée de conservation | |---|---| | Compte EZdrive actif | Pendant la relation contractuelle | | Compte EZdrive inactif (sans connexion ni recharge) | Suppression automatique après 24 mois d'inactivité, sauf obligation légale | | Données de facturation et transactions | 10 ans (art. L.123-22 du Code de commerce) | | Logs serveur techniques | 6 mois | | Cookies et préférences de consentement | 12 mois (renouvellement bannière Cookiebot) | | Historique chat Léa identifié | 12 mois glissants, puis anonymisation ou suppression | | Données prospects (leads non convertis) | 3 ans à compter du dernier contact | | Emails marketing après désinscription | Effacement immédiat de la liste, conservation de la trace de désinscription pendant 3 ans | | Données candidats (RH) | 2 ans après dernier contact | | Backups (sauvegardes techniques) | Rotation 30 jours |

Au terme de chaque durée, les données sont supprimées définitivement ou anonymisées de manière irréversible.

8. Cookies & traceurs

Notre site utilise des cookies et traceurs, gérés via la bannière de consentement Cookiebot (CMP IAB TCF v2.2 conforme).

Catégories de cookies utilisées :

• Essentiels — sécurité de session, panier souscription, mémorisation du consentement. Pas de consentement requis (art. 82 loi I&L : strictement nécessaires).
• Mesure d'audience anonymisée — Vercel Analytics, sans cookies, agrégats anonymes. Activée par défaut (intérêt légitime, sans donnée identifiante).
• Mesure d'audience nominative — Google Analytics 4 avec consentement préalable. Désactivée par défaut.
• Personnalisation & marketing — pixels publicitaires (Meta, LinkedIn, Google Ads). Désactivés par défaut, activables via la bannière.

Vous pouvez modifier vos préférences cookies à tout moment en cliquant sur le bouton « Préférences cookies » au pied de page ou en réinitialisant la bannière Cookiebot.

Durée de vie des cookies : limitée à 12 mois maximum pour les cookies de mesure d'audience, conformément aux recommandations CNIL 2020.

9. Vos droits RGPD

Vous disposez de 7 droits fondamentaux sur vos données personnelles :

1. Droit d'accès (art. 15 RGPD) — obtenir une copie de l'ensemble des données que nous détenons sur vous.
2. Droit de rectification (art. 16) — corriger une donnée inexacte ou incomplète.
3. Droit à l'effacement (art. 17) — demander la suppression de vos données (« droit à l'oubli »), sous réserve des obligations légales de conservation.
4. Droit à la limitation du traitement (art. 18) — geler temporairement le traitement, par exemple pendant une contestation.
5. Droit à la portabilité (art. 20) — récupérer vos données dans un format structuré, lisible par machine (JSON/CSV).
6. Droit d'opposition (art. 21) — vous opposer à un traitement fondé sur l'intérêt légitime (notamment marketing direct et profilage).
7. Droit de retrait du consentement — révoquer à tout moment un consentement précédemment donné, sans effet rétroactif.

Vous pouvez également définir des directives relatives au sort de vos données après votre décès (art. 85 loi I&L).

10. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles pour garantir la protection de vos données :

Mesures techniques :

• Chiffrement TLS 1.3 (HTTPS) pour tous les échanges site ↔ navigateur
• Chiffrement au repos AES-256 sur les bases de données (Supabase, Vercel KV)
• Pseudonymisation des identifiants utilisateurs dans les logs applicatifs
• Sauvegardes automatiques journalières (rotation 30 jours, datacenter distinct)
• Audit de sécurité indépendant au moins annuel
• Tests d'intrusion ponctuels sur les composants critiques (chat IA, API devis)

Mesures organisationnelles :

• Accès aux données strictement limité aux collaborateurs habilités, sur principe du moindre privilège
• Authentification forte (MFA) sur tous les outils internes
• Charte interne signée par tous les collaborateurs
• Procédure formalisée de gestion des incidents de sécurité

En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous notifions la CNIL sous 72 heures (art. 33 RGPD) et, si le risque est élevé, vous en informons directement (art. 34 RGPD).

11. Mineurs

Les services EZdrive sont destinés à des utilisateurs majeurs ou mineurs de plus de 15 ans (art. 7.1 loi I&L). Pour les mineurs de moins de 15 ans, le consentement explicite d'un titulaire de l'autorité parentale est requis lors de toute inscription.

Toute inscription identifiée comme provenant d'un mineur de moins de 15 ans sans accord parental sera supprimée sans délai.

12. Profilage et décisions automatisées (IA)

EZdrive utilise des modèles d'intelligence artificielle (notamment Anthropic Claude) pour plusieurs traitements à fort enjeu :

• Chat conversationnel Léa — réponse à vos questions, présentation des produits, prise de coordonnées (avec votre accord).
• Lead scoring — évaluation automatique de la qualité d'un prospect B2B sur la base d'informations publiques d'entreprise et de signaux comportementaux du site.
• Génération de briefs commerciaux — préparation d'un dossier pour le conseiller avant un appel ou un RDV.
• Génération de propositions commerciales — première version d'un devis à partir des paramètres saisis (toujours relu par un humain avant envoi).
• Suggestion d'articles éditoriaux — propositions de sujets pour notre blog.

Garanties RGPD pour les traitements automatisés :

• Aucune décision produisant un effet juridique ou similairement significatif n'est prise de manière entièrement automatisée (art. 22 RGPD). Un collaborateur humain valide systématiquement toute proposition envoyée à un client.
• Vous pouvez à tout moment demander une intervention humaine, exprimer votre point de vue, ou contester une suggestion algorithmique en écrivant à dsi@suraya.fr.
• Les conversations chat Léa sont anonymisées après 12 mois ou sur demande.
• Les modèles IA utilisés ne sont pas entraînés sur vos données personnelles — Anthropic applique la politique « no training on customer data » sur les appels API contractuels.

13. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés malgré nos efforts, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle française :

Nous vous encourageons toutefois à nous contacter en premier lieu à dsi@suraya.fr : la grande majorité des situations se résolvent rapidement par échange direct.

14. Mise à jour de la politique

La présente politique est révisée au moins une fois par an ainsi qu'à chaque évolution significative de nos traitements ou du cadre légal applicable. La date de la dernière mise à jour figure en haut de cette page.

Modifications substantielles (nouvelles finalités, nouveaux sous-traitants, allongement des durées de conservation, etc.) : nous vous en informons par email ou par une bannière sur le site au moins 30 jours avant l'entrée en vigueur, conformément aux recommandations CNIL.

Modifications mineures (correction typographique, mise à jour d'un lien, précision rédactionnelle) : appliquées sans notification, traçabilité conservée en interne.

Pour toute question relative à cette politique de confidentialité ou à l'exercice de vos droits, contactez notre DPO Anthony Malartre à dsi@suraya.fr.

Document juridique opposable. Version applicable à compter du 26 mai 2026.