Politique de confidentialité

1. Responsable du traitement des données

Le responsable du traitement de vos données personnelles est PIKAP2 EOOD, exerçant sous le nom commercial PickUp2, situé à Stara Planina 1, 7900 Omurtag, Municipalité d'Omurtag, Région de Targovishte, Bulgarie, numéro de TVA : BG207937426. Pour plus d'informations, veuillez consulter nos Mentions légales.

2. Délégué à la protection des données

Notre Délégué à la Protection des Données (DPD) désigné est Dobromir Ivanov. Le DPD veille au respect des réglementations en matière de protection des données et est disponible pour répondre à toute question concernant vos données personnelles. Vous pouvez contacter notre DPD à :

1. E-mail : [email protected]
2. Adresse : str. Stara Planina 1, Omurtag, 7900, Municipalité d'Omurtag, Région de Targovishte, Bulgarie

3. Données personnelles que nous collectons

Nous collectons les catégories suivantes de données personnelles en fonction de la manière dont vous interagissez avec notre Plateforme : (a) Données d'inscription au compte : adresse e-mail, mot de passe (stocké uniquement sous forme de hachage bcrypt — nous ne stockons jamais les mots de passe en clair), prénom, nom, numéro de téléphone, civilité, type d'utilisateur (expéditeur, transporteur ou transitaire) et date d'acceptation de nos conditions. (b) Données d'entreprise : nom de l'entreprise, numéro de TVA, pays, adresse postale, code postal, ville, numéro de téléphone et type d'activité de l'entreprise. (c) Données de vérification : résultats de validation de TVA (via EU VIES et, pour les entreprises britanniques, UK Companies House), documents téléchargés (certificats d'immatriculation, certificats de TVA, licences de transport, certificats d'assurance), nom du dirigeant et résultats de l'analyse documentaire assistée par IA. Un paiement de vérification unique de 1 EUR est traité via Stripe. (d) Données d'utilisation du service : commandes de fret (lieux de chargement/livraison y compris coordonnées GPS, dates, heures, descriptions des marchandises, poids, dimensions, exigences véhicules, tarification, personnes de contact), offres de flotte, enchères et offres, dossiers de transactions et immatriculations de véhicules (y compris les numéros de plaque d'immatriculation). (e) Données de communication : messages de chat échangés entre utilisateurs, pièces jointes, offres de prix, accusés de lecture et indicateurs de saisie. (f) Données d'évaluation et d'avis : notes (1-5 étoiles), commentaires et évaluations du statut de paiement. Les évaluations sont visibles par tous les utilisateurs inscrits. (g) Données de paiement et de transaction : statut d'abonnement, nom du forfait, historique des transactions, montants des paiements, devise, type de moyen de paiement et références de factures Stripe. Nous ne stockons pas les numéros de carte de crédit ni les détails des cartes de paiement — tout le traitement des cartes est géré par Stripe. (h) Données techniques : adresses IP, type et version du navigateur, système d'exploitation, type d'appareil, plateforme (web, iOS ou Android), horodatages de connexion et localisation géographique approximative basée sur l'adresse IP. (i) Données des employés et de l'équipe : lorsque les propriétaires d'entreprise invitent des employés — adresse e-mail, rôle attribué, poste et paramètres d'autorisations. (j) Données de retour d'information : type de retour, texte du message, e-mail de contact facultatif et captures d'écran facultatives. (k) Données biométriques (mobile uniquement) : si vous activez la connexion biométrique (Face ID ou Touch ID) sur un appareil mobile compatible, l'authentification biométrique est traitée entièrement sur votre appareil à l'aide de l'enclave sécurisée de l'appareil. Nous ne recevons, transmettons ni stockons aucun modèle biométrique. (l) Données de newsletter : adresse e-mail, date d'abonnement, horodatage du consentement et préférence linguistique.

4. Prestataires de services tiers

Nous faisons appel aux prestataires de services tiers suivants qui traitent des données personnelles en notre nom dans le cadre d'Accords de Traitement des Données : (a) Stripe (stripe.com) — Traitement des paiements. Stripe traite vos données de carte de paiement de manière sécurisée. Nous ne recevons que des confirmations de transaction et ne stockons pas les détails de carte. Confidentialité : https://stripe.com/privacy (b) Amazon Web Services (AWS) — Infrastructure cloud, stockage de fichiers (S3) et envoi d'e-mails (SES). Les données sont stockées dans les régions de l'UE (eu-north-1, Stockholm). Confidentialité : https://aws.amazon.com/privacy (c) Sentry (sentry.io) — Surveillance des erreurs et suivi des performances. La relecture de session n'est activée qu'après votre consentement aux cookies Statistiques. Confidentialité : https://sentry.io/privacy (d) Google Analytics — Analyse du site web (uniquement après consentement Statistiques via Cookiebot). Nous utilisons Google Analytics 4 avec Google Consent Mode v2. Les adresses IP sont anonymisées. Confidentialité : https://policies.google.com/privacy (e) Meta Pixel (Facebook) — Suivi des conversions (uniquement après consentement Marketing). Confidentialité : https://www.facebook.com/privacy (f) Cookiebot (Cybot A/S) — Gestion du consentement aux cookies conformément au RGPD. Confidentialité : https://www.cookiebot.com/en/privacy-policy (g) OpenAI Inc. — Analyse documentaire assistée par IA pour la vérification des entreprises. Le texte extrait des documents (nom de l'entreprise, adresse, numéro de TVA, noms des dirigeants) est traité pour vérifier les immatriculations commerciales. Confidentialité : https://openai.com/privacy (h) DeepL SE — Traduction automatique du contenu généré par les utilisateurs (commandes de fret, offres de flotte, enchères, messages, évaluations) pour soutenir notre plateforme multilingue. Données traitées en Allemagne (UE). Confidentialité : https://www.deepl.com/privacy (i) IPInfo Inc. — Géolocalisation IP pour fournir du contenu localisé et la détection de la langue. Confidentialité : https://ipinfo.io/privacy (j) Google Maps (Google LLC) — Autocomplétion d'adresses et géocodage pour la recherche de lieux. Confidentialité : https://policies.google.com/privacy (k) Apple Push Notification Service (APNs) — Notifications push pour l'application mobile iOS. (l) Cloudflare Inc. — CDN, protection DDoS et services DNS. Confidentialité : https://www.cloudflare.com/privacypolicy/ (m) Google Firebase Storage — Diffusion de contenu vidéo sur notre site web. Confidentialité : https://firebase.google.com/support/privacy

5. Collecte automatique de données

Lorsque vous visitez notre site web ou utilisez nos applications, nous collectons automatiquement : (a) Informations techniques : adresse IP, type/version du navigateur, système d'exploitation, type d'appareil, résolution d'écran et préférences linguistiques. (b) Données d'utilisation : pages visitées, temps passé sur les pages, schémas de clics et sources de référence. (c) Données de localisation : localisation géographique approximative basée sur l'adresse IP (via le service IPInfo) pour fournir du contenu localisé. Ces données sont collectées dans le cadre d'intérêts légitimes, notamment pour assurer la sécurité du site web, prévenir la fraude, améliorer l'expérience utilisateur et maintenir la qualité du service. La base juridique de ce traitement est l'article 6(1)(f) du RGPD.

6. Formulaires de contact et demandes de service

Lorsque vous utilisez notre formulaire de contact, notre formulaire de demande de transport ou que vous vous abonnez à notre newsletter, nous collectons : (a) Formulaire de contact : nom, e-mail, téléphone (facultatif), type de demande et contenu du message. Ces données sont traitées pour répondre à votre demande (base juridique : article 6(1)(b) du RGPD — mesures précontractuelles). (b) Formulaire de demande de transport : nom complet, e-mail, téléphone, pays, lieux de chargement/déchargement, description des marchandises, poids, dimensions et dates souhaitées. Ces données sont utilisées pour vous fournir des devis de transport et vous mettre en relation avec des transporteurs ou transitaires adaptés. (c) Newsletter : adresse e-mail et préférence linguistique. Nous envoyons des newsletters uniquement avec votre consentement explicite (article 6(1)(a) du RGPD). Vous pouvez vous désabonner à tout moment en utilisant le lien présent dans chaque e-mail de newsletter.

7. Partage de données avec les utilisateurs de la plateforme

En tant que place de marché de logistique de fret, certaines données sont partagées entre les utilisateurs pour permettre le fonctionnement du service : (a) Lorsque vous publiez une commande de fret ou une offre de flotte, le nom de votre entreprise, le nom de la personne de contact et les détails de l'annonce sont visibles par les autres utilisateurs inscrits. (b) Lorsque vous soumettez une offre de prix via le chat, les détails de votre entreprise et les conditions de l'offre sont partagés avec le destinataire. (c) Les messages de chat ne sont visibles que par les participants à la conversation. (d) Les évaluations et les avis sont visibles par tous les utilisateurs inscrits. (e) Le statut de vérification de l'entreprise (vérifié/non vérifié) est affiché aux autres utilisateurs. Nous ne vendons pas de données personnelles à des tiers. Le partage de données avec d'autres utilisateurs est essentiel au fonctionnement principal de la plateforme (base juridique : article 6(1)(b) du RGPD — exécution du contrat).

8. Invitation d'employés et gestion d'équipe

Les propriétaires et administrateurs d'entreprise peuvent inviter des employés à rejoindre leur compte d'entreprise sur PickUp2. Lors de l'invitation d'un employé, nous collectons : adresse e-mail, rôle attribué, poste et paramètres d'autorisations. Les e-mails d'invitation contiennent des jetons sécurisés à durée limitée. Les comptes employés sont liés au compte de l'entreprise, et les administrateurs de l'entreprise peuvent gérer les autorisations des employés pour accéder aux commandes de fret, aux offres de flotte, aux transactions, au chat, aux évaluations et à la gestion de flotte. Si un employé quitte l'entreprise, son compte peut être désactivé par l'administrateur de l'entreprise.

9. Cookies et technologies de suivi

Nous utilisons des cookies et des technologies similaires conformément à vos préférences de consentement. Catégories de cookies : (a) Cookies strictement nécessaires : Essentiels au fonctionnement du site web, y compris les jetons d'authentification (JWT dans un cookie HTTP-only), les préférences linguistiques (i18n_redirected), l'état du consentement Cookiebot et les fonctionnalités de sécurité. Ceux-ci ne nécessitent pas de consentement. (b) Cookies de préférences : Stockent vos paramètres comme le mode d'affichage (sombre/clair) et les filtres de recherche enregistrés. Activés avec votre consentement Préférences. (c) Cookies statistiques : Suivi Google Analytics et relecture de session Sentry pour comprendre le comportement des utilisateurs et améliorer nos services. Activés uniquement avec votre consentement Statistiques via Cookiebot. (d) Cookies marketing : Meta Pixel pour la mesure publicitaire. Activés uniquement avec votre consentement Marketing. Nous implémentons Google Consent Mode v2, ce qui signifie que tout suivi analytique et marketing est bloqué par défaut jusqu'à ce que vous donniez votre consentement. Vous pouvez gérer vos préférences en matière de cookies à tout moment en cliquant sur le lien des paramètres de cookies dans notre pied de page. Nous utilisons également le localStorage du navigateur à des fins fonctionnelles : préférence linguistique, paramètre de thème et mémoire des filtres de recherche. Ceux-ci ne vous suivent pas entre les sites web.

10. Newsletter et communications marketing

Lorsque vous vous abonnez à notre newsletter, nous stockons votre adresse e-mail, la date d'abonnement, l'horodatage du consentement et votre préférence linguistique. Nous utilisons ces données pour vous envoyer des mises à jour sur nos services, des actualités du secteur et des fonctionnalités de la plateforme. Base juridique : Votre consentement explicite (article 6(1)(a) du RGPD). Vous pouvez retirer votre consentement et vous désabonner à tout moment en : (1) cliquant sur le lien de désabonnement dans tout e-mail de newsletter, (2) nous contactant à [email protected], ou (3) gérant vos préférences dans les paramètres de votre compte. Après la désinscription, nous conservons un enregistrement de votre adresse e-mail dans notre liste de suppression pour nous assurer de ne plus vous contacter, sauf si vous vous réabonnez.

11. Analyse et surveillance des erreurs

Nous utilisons les outils d'analyse et de surveillance suivants : (a) Google Analytics 4 : Suit l'utilisation du site web, y compris les pages vues, les parcours utilisateurs et les événements de conversion. Nous avons implémenté Google Consent Mode v2, ce qui signifie que le suivi ne commence qu'après que vous avez donné votre consentement Statistiques. Les adresses IP sont anonymisées. Les données sont conservées pendant 14 mois. (b) Sentry : Surveille les erreurs d'application et les problèmes de performance. Pour le suivi des erreurs (essentiel à la stabilité du service), nous nous appuyons sur l'intérêt légitime. Pour la relecture de session (enregistrement des interactions utilisateur pour comprendre les bugs), nous requérons votre consentement Statistiques. Les données sensibles (mots de passe, jetons, détails de paiement) sont automatiquement filtrées avant l'envoi de toute donnée à Sentry. (c) Meta Pixel : Suit les événements de conversion pour l'optimisation publicitaire. Activé uniquement après consentement Marketing. Vous pouvez vous désinscrire à tout moment en retirant votre consentement via les paramètres de cookies.

12. Intégration des réseaux sociaux

Nous maintenons des profils sur LinkedIn, Facebook, Instagram et X (Twitter). Lorsque vous interagissez avec nous via ces plateformes : (a) Liens vers les réseaux sociaux : Cliquer sur les liens vers nos profils de réseaux sociaux peut transférer votre adresse IP à la plateforme. (b) Fonctions de partage : L'utilisation des boutons de partage sur les articles du blog crée une connexion avec la plateforme respective. (c) Confidentialité des plateformes : Chaque plateforme a sa propre politique de confidentialité. Nous vous recommandons de consulter : Facebook (https://www.facebook.com/privacy), LinkedIn (https://www.linkedin.com/legal/privacy-policy), Instagram (https://help.instagram.com/519522125107875), X/Twitter (https://twitter.com/en/privacy).

13. Vos droits en matière de protection des données

En vertu du RGPD, du UK GDPR et de la LPD suisse, vous disposez des droits suivants concernant vos données personnelles :

1. Droit d'accès (Article 15 du RGPD) : Demander une copie des données personnelles que nous détenons à votre sujet
2. Droit de rectification (Article 16) : Demander la correction de données inexactes ou incomplètes. Vous pouvez mettre à jour la plupart des données directement dans les paramètres de votre compte
3. Droit à l'effacement (Article 17) : Demander la suppression de vos données. Vous pouvez supprimer votre compte depuis Paramètres > Zone de danger, ce qui déclenche un délai de grâce de 30 jours suivi d'une suppression définitive
4. Droit à la limitation du traitement (Article 18) : Demander que nous limitions la manière dont nous traitons vos données dans certaines circonstances
5. Droit à la portabilité des données (Article 20) : Demander vos données dans un format structuré et lisible par machine
6. Droit d'opposition (Article 21) : S'opposer au traitement basé sur des intérêts légitimes ou à des fins de marketing direct. Vous pouvez vous désabonner des newsletters à tout moment

Pour exercer ces droits, veuillez nous contacter à [email protected]. Nous répondrons dans un délai de 30 jours. Vous avez également le droit de déposer une plainte auprès de votre autorité locale de protection des données. Pour la Bulgarie : Commission pour la Protection des Données Personnelles (CPDP) — https://www.cpdp.bg. Pour le Royaume-Uni : Information Commissioner's Office (ICO) — https://ico.org.uk. Pour la Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT) — https://www.edoeb.admin.ch. [email protected]

14. Mesures de sécurité des données

Nous mettons en œuvre les mesures de sécurité suivantes pour protéger vos données : (a) Chiffrement en transit : Toutes les données transmises entre votre appareil et nos serveurs utilisent le chiffrement TLS/SSL (HTTPS). (b) Sécurité des mots de passe : Les mots de passe sont hachés à l'aide de bcrypt avec 10 tours de salage avant stockage. Nous ne stockons jamais les mots de passe en clair. (c) Contrôle d'accès : Autorisations basées sur les rôles avec quatre niveaux prédéfinis plus des configurations personnalisées. (d) Authentification : Jetons d'accès JWT à courte durée de vie (30 minutes) avec des cookies de jetons de rafraîchissement HTTP-only, secure, SameSite=strict (7 jours). Les jetons de rafraîchissement peuvent être révoqués individuellement. (e) Sécurité OTP : Les mots de passe à usage unique pour la vérification par e-mail et la réinitialisation du mot de passe sont hachés et expirent après 15 minutes avec un maximum de 3 tentatives. (f) Sécurité des fichiers : Les documents téléchargés sont stockés dans AWS S3 avec des contrôles d'accès privés et des URL présignées à durée limitée. Les documents de vérification sont filigranés. (g) Sécurité des paiements : Nous sommes conformes à la norme PCI-DSS via Stripe — nous ne stockons, traitons ni transmettons jamais de données de carte de crédit sur nos serveurs. (h) Sécurité mobile : Sur les appareils iOS, les identifiants sensibles sont stockés dans le trousseau sécurisé iOS Keychain. (i) Détection des abus : Surveillance automatisée des tentatives de connexion par force brute, des schémas d'accès suspects et limitation de débit sur plusieurs niveaux. (j) Verrouillage de connexion : Durées de verrouillage progressives après des tentatives de connexion échouées.

15. Conservation des données

Nous conservons vos données pendant les périodes suivantes : (a) Données de compte : Conservées pendant la durée de votre compte. Après une demande de suppression, votre compte entre dans un délai de grâce de récupération de 30 jours, après quoi vos données sont définitivement supprimées. (b) Registres de transactions : Les registres de paiement sont conservés pendant 7 ans à des fins fiscales et comptables, conformément à la loi. (c) Messages de chat : Conservés pendant la durée de votre compte. Les messages supprimés sont marqués comme supprimés (suppression douce — conservés pour la résolution des litiges pendant la durée de vie du compte). (d) Évaluations : Conservées pendant la durée de votre compte. Supprimées lorsque votre compte est définitivement supprimé. (e) Journaux serveur : Les journaux techniques sont conservés jusqu'à 90 jours pour la surveillance de la sécurité. (f) Données de session : Les jetons de rafraîchissement expirent après 7 jours. Les sessions sont supprimées lors de la déconnexion ou de l'expiration du jeton. (g) Abonnement à la newsletter : L'adresse e-mail est conservée jusqu'à votre désabonnement, puis déplacée vers la liste de suppression. (h) Soumissions de formulaires de contact : Conservées jusqu'à 2 ans, puis supprimées. (i) Documents de vérification : Conservés pendant la durée de votre compte. (j) Enregistrements de consentement aux cookies : 12 mois (gérés par Cookiebot). Après le délai de grâce de 30 jours suivant la suppression du compte, la suppression définitive s'étend à : profil utilisateur, sessions, messages, évaluations, commandes de fret, offres de flotte, enchères, salons de discussion, documents d'entreprise, données de vérification d'entreprise et véhicules. Les registres de paiement et l'historique des transactions sont conservés pour la conformité légale.

16. Transferts internationaux de données

Vos données peuvent être transférées et traitées dans des pays situés en dehors de l'Espace économique européen (EEE), du Royaume-Uni ou de la Suisse. Nous assurons des garanties appropriées par : (a) EU-US Data Privacy Framework : Stripe. (b) Clauses Contractuelles Types (CCT) : Google (Analytics, Maps, Firebase), Meta, OpenAI, IPInfo, Apple (APNs), Cloudflare. (c) Traitement dans l'UE (aucun transfert requis) : AWS (eu-north-1, Stockholm), Sentry (de.sentry.io, Allemagne), DeepL (Allemagne), Cookiebot (Danemark). Nous avons conclu des Accords de Traitement des Données (ATD) avec tous les sous-traitants énumérés à la Section 4.

16.1 Prise de décision automatisée

Notre processus de vérification d'entreprise utilise une analyse documentaire assistée par IA (alimentée par OpenAI) pour extraire et comparer les informations des documents de vérification téléchargés avec vos données d'inscription. Cette analyse automatisée produit une évaluation de correspondance qui influence votre statut de vérification. Cependant, aucune décision entièrement automatisée n'entraîne le rejet d'un compte sans examen humain. Notre équipe examine toutes les soumissions de vérification. Vous avez le droit de demander un examen humain de toute évaluation automatisée, d'exprimer votre point de vue et de contester la décision en nous contactant à [email protected].

16.2 Politiques de confidentialité des tiers

Pour des informations détaillées sur la manière dont nos prestataires de services gèrent vos données, veuillez consulter leurs politiques de confidentialité :

1. Facebook: https://www.facebook.com/about/privacy
2. Instagram: https://help.instagram.com/519522125107875
3. X (Twitter): https://twitter.com/en/privacy
4. YouTube: https://policies.google.com/privacy
5. LinkedIn: https://www.linkedin.com/legal/privacy-policy

17. Données des enfants et modifications de cette politique

Notre Plateforme est un service B2B destiné aux entreprises du secteur de la logistique de fret. Nous ne collectons pas sciemment de données personnelles de personnes âgées de moins de 18 ans. Si nous apprenons que nous avons collecté des données personnelles d'une personne de moins de 18 ans, nous les supprimerons rapidement. Nous pouvons mettre à jour cette Politique de confidentialité pour refléter les changements dans nos pratiques, les exigences légales ou nos services. Pour les modifications importantes, nous : (1) mettrons à jour la date de « Dernière mise à jour » en haut de cette politique ; (2) notifierons les utilisateurs inscrits par e-mail pour les changements significatifs ; (3) afficherons un avis visible sur notre site web. Votre utilisation continue de la Plateforme après l'entrée en vigueur des modifications constitue l'acceptation de la politique mise à jour.

Si vous avez des questions concernant cette Politique de confidentialité ou nos pratiques en matière de données, veuillez nous contacter à [email protected] ou écrire à : PIKAP2 EOOD, Stara Planina 1, 7900 Omurtag, Bulgarie.