Politique de confidentialité
Date d’entrée en vigueur : 2026-05-14 Dernière mise à jour : 2026-05-14 Version : 3.1
Responsable du traitement : Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Pays-Bas (KvK 92122167). Contact en matière de confidentialité : privacy@carsu.com
1. À qui s’applique la présente politique
Carsu B.V. (« Carsu », « nous ») exploite une plateforme SaaS destinée au marché de la rechange automobile. La présente politique explique comment nous traitons les données personnelles, conformément au RGPD, au RGPD britannique, à la directive vie privée et communications électroniques (« ePrivacy ») ainsi qu’au droit national applicable en matière de protection des données. Elle s’applique :
- aux utilisateurs de la plateforme (propriétaires d’ateliers et leur personnel) ;
- aux clients finaux de ces ateliers dont les données sont traitées via notre plateforme ;
- aux visiteurs du site web sur www.carsu.com et app.carsu.com.
Toute filiale, société affiliée ou société du groupe de Carsu B.V. qui traite des données personnelles dans le cadre de nos services se conforme à la présente politique.
2. Notre rôle
| Activité | Rôle de Carsu | Base juridique |
|---|---|---|
| Compte de la plateforme, facturation, paiements | Responsable du traitement | Contrat (art. 6, §1, point b) |
| Données des consommateurs finaux traitées via la plateforme | Sous-traitant (l’atelier est responsable du traitement) | Base juridique de l’atelier |
| Messages envoyés aux consommateurs finaux (WhatsApp, SMS, Viber) | Sous-traitant | Base juridique de l’atelier |
| Données Google Calendar synchronisées via OAuth, à votre choix | Responsable du traitement | Consentement (art. 6, §1, point a) et contrat (art. 6, §1, point b) |
| Statistiques du site web et cookies | Responsable du traitement | Consentement / intérêt légitime |
Lorsque Carsu agit en qualité de sous-traitant, l’atelier demeure responsable de la licéité de son traitement, y compris de l’obtention des consentements requis.
3. Données que nous traitons
De votre part ou de celle de l’atelier : nom, e-mail, téléphone, raison sociale, numéro de TVA, adresse de facturation, plaque d’immatriculation, informations sur le véhicule, historique d’entretien, rendez-vous, messages, identifiants de paiement (les données de carte sont transmises directement à Stripe — nous ne les conservons pas).
Depuis les API Google, avec votre consentement OAuth (synchronisation de calendrier facultative) : les événements de calendrier que vous choisissez d’importer depuis votre Google Calendar, y compris le titre de l’événement, les heures de début et de fin, le lieu, la description, les adresses e-mail des participants et les modèles de récurrence. Nous accédons à ces données uniquement via l’API de Google en utilisant la portée calendar.events.readonly. Nous ne recevons jamais votre mot de passe Google et nous n’écrivons jamais d’événements dans votre Google Calendar. Vous pouvez déconnecter l’intégration à tout moment (voir §8 et §11).
Collectées automatiquement : adresse IP, données relatives à l’appareil et au navigateur, pages visitées, utilisation des fonctionnalités, durée des sessions, cookies (voir §10).
4. Bases juridiques
Nous nous fondons sur le contrat (art. 6, §1, point b) pour fournir le service, sur l’intérêt légitime (art. 6, §1, point f) pour la sécurité, la prévention de la fraude, l’amélioration du produit et les communications relatives au service, sur le consentement (art. 6, §1, point a) pour le marketing, les cookies non essentiels et les intégrations facultatives de tiers telles que la synchronisation avec Google Calendar, et sur l’obligation légale (art. 6, §1, point c) pour les demandes fiscales, comptables et émanant des autorités répressives.
5. Comment nous utilisons les données
Pour exploiter et améliorer la plateforme ; pour traiter les paiements ; pour envoyer des messages pour le compte des ateliers ; pour synchroniser et afficher vos événements Google Calendar sur la page calendrier de Carsu (lorsque vous l’avez autorisé) ; pour fournir une assistance (y compris la traduction assistée par IA via Intercom — Intercom n’utilise pas vos données pour entraîner ses modèles) ; pour générer des informations agrégées et anonymisées (§7.4) ; pour assurer la sécurité et prévenir la fraude ; pour respecter les obligations légales ; et — uniquement avec votre consentement — à des fins de marketing.
Utilisation de l’IA. Nos fonctionnalités d’IA (traduction Intercom ; Anthropic pour un usage opérationnel dé-identifié) ne produisent pas d’effets juridiques ou similairement significatifs à votre égard, et ne constituent pas une prise de décision automatisée au sens de l’art. 22 du RGPD. Nous classons notre utilisation de l’IA comme étant à risque minimal au sens du règlement européen sur l’IA (AI Act). Vous pouvez refuser la traduction assistée par IA en écrivant à support@carsu.com. Les données obtenues à partir des API Google sont exclues de tout traitement par IA et par apprentissage automatique (voir §5a).
5a. Politique relative aux données utilisateur des services d’API Google — Utilisation limitée
L’utilisation et le transfert par Carsu, vers toute autre application, des informations reçues des API Google sont conformes à la Politique relative aux données utilisateur des services d’API Google, y compris aux exigences relatives à l’Utilisation limitée. Plus précisément, nous utilisons les données de Google Calendar uniquement pour fournir et améliorer la fonctionnalité de synchronisation de calendrier qui vous est visible dans la plateforme Carsu. Nous ne procédons pas aux opérations suivantes :
- Transférer des données utilisateur Google à des tiers, sauf si cela est nécessaire pour fournir ou améliorer des fonctionnalités destinées à l’utilisateur, pour se conformer au droit applicable, ou dans le cadre d’une fusion, acquisition ou cession d’actifs moyennant un avis préalable ;
- Utiliser des données utilisateur Google à des fins de diffusion de publicités, y compris le reciblage, la publicité personnalisée ou la publicité ciblée par centres d’intérêt ;
- Vendre des données utilisateur Google à des tiers, des courtiers en données ou des revendeurs d’informations ;
- Utiliser des données utilisateur Google pour développer, améliorer ou entraîner des modèles d’intelligence artificielle ou d’apprentissage automatique généralisés ou non personnalisés.
L’accès humain aux données utilisateur Google est limité (a) aux cas où nous avons obtenu votre consentement spécifique pour consulter des messages, fichiers ou événements précis ; (b) lorsque cela est nécessaire pour des enquêtes de sécurité, la prévention des abus, ou pour se conformer au droit applicable ; (c) lorsque les données ont été agrégées et anonymisées pour des opérations internes conformément à la présente politique ; ou (d) lorsque cela est nécessaire pour fournir une assistance client à votre demande explicite.
6. Communications
Les messages relatifs au service (alertes de sécurité, facturation, modifications des conditions) sont envoyés sur la base du contrat ou de l’intérêt légitime et ne peuvent faire l’objet d’un refus. Les communications marketing ne sont envoyées qu’avec votre consentement et peuvent être retirées à tout moment via le lien de désinscription ou en écrivant à privacy@carsu.com.
7. Partage des données
7.1 Sous-traitants ultérieurs
Nous faisons appel aux sous-traitants ultérieurs suivants dans le cadre d’accords de traitement des données conformes à l’art. 28 du RGPD :
| Prestataire | Finalité | Localisation |
|---|---|---|
| Microsoft Azure | Infrastructure cloud | UE (Europe de l’Ouest) |
| Stripe | Paiements | UE / É.-U. (CCT) |
| WhatsApp Business API (Meta) | Messagerie | UE / É.-U. (CCT) |
| Viber (Rakuten) | Messagerie | UE / International (CCT) |
| Twilio | Passerelle SMS | UE / É.-U. (CCT) |
| Intercom | Assistance et traduction par IA | É.-U. (CCT) |
| Anthropic | Services d’IA (données dé-identifiées) | É.-U. (CCT) |
| Mixpanel | Analytique produit intégrée à l’application | É.-U. (CCT) |
| Cloudflare | CDN, atténuation des bots | UE / Périphérie mondiale (CCT) |
| Google Ireland Ltd. | Statistiques du site web (GA4, GTM) | UE / É.-U. (CCT) |
| Microsoft Ireland Operations Ltd. | Statistiques UX du site web (Clarity) | UE / É.-U. (CCT) |
| Meta Platforms Ireland Ltd. | Mesure publicitaire (Meta Pixel) | UE / É.-U. (CCT) |
| LinkedIn Ireland Unlimited Company | Mesure publicitaire (LinkedIn Insight Tag) | UE / É.-U. (CCT) |
Google LLC est également une source de données en amont (et non un sous-traitant ultérieur) lorsque vous autorisez l’intégration facultative de Google Calendar. Les données circulent de Google vers Carsu sous votre consentement OAuth et sont régies par les §3, §5 et §5a de la présente politique. Les données de calendrier ne sont transférées à aucun des sous-traitants ultérieurs énumérés ci-dessus.
7.2 Modification des sous-traitants ultérieurs
Nous informons les utilisateurs de la plateforme au moins 30 jours avant de faire appel à un nouveau sous-traitant ultérieur ou d’en remplacer un. Les droits d’opposition sont énoncés dans l’accord de traitement des données figurant dans nos Conditions générales (Annexe A, §A5).
7.3 Autres destinataires
Nous pouvons partager des données personnelles avec des conseillers professionnels soumis à des obligations de confidentialité, avec les autorités répressives lorsque la loi l’exige, et dans le cadre d’une fusion ou acquisition (moyennant un avis préalable).
7.4 Informations anonymisées
Nous pouvons partager des informations agrégées et irréversiblement anonymisées avec des partenaires du secteur. Il est contractuellement interdit aux destinataires de tenter une ré-identification. Ces données étant hors du champ d’application du RGPD (considérant 26), il ne s’agit pas d’un transfert de données personnelles. Les données obtenues à partir des API Google sont exclues des informations anonymisées au titre de notre engagement d’Utilisation limitée (§5a).
Nous ne vendons pas de données personnelles.
8. Vos droits
Vous disposez des droits d’accès, de rectification, d’effacement, de limitation, de portabilité, d’opposition, ainsi que du droit de retirer votre consentement à tout moment — sans que cela ne porte atteinte à la licéité du traitement antérieur. Écrivez à privacy@carsu.com pour les exercer. Nous vérifierons votre identité et répondrons sous 30 jours (délai prorogeable de deux mois pour les demandes complexes).
Si un atelier traite vos données via notre plateforme, votre interlocuteur principal est l’atelier (en qualité de responsable du traitement). Nous l’assisterons dans le traitement de votre demande.
Intégration Google Calendar — révocation et suppression. Vous pouvez révoquer l’accès de Carsu à votre compte Google à tout moment, soit (a) en déconnectant l’intégration depuis les paramètres de votre compte Carsu, soit (b) en supprimant l’application Carsu de votre compte Google sur myaccount.google.com/permissions. La révocation interrompt immédiatement toute synchronisation ultérieure. Les données d’événements de calendrier déjà mises en cache sur nos serveurs sont supprimées dans les 30 jours suivant la déconnexion (voir §11). Pour demander une suppression immédiate, écrivez à privacy@carsu.com.
9. Transferts internationaux
Notre infrastructure principale est située dans l’EEE. Lorsque des données sont transférées en dehors de l’EEE ou du Royaume-Uni, nous nous fondons sur les clauses contractuelles types (décision 2021/914) ou sur l’IDTA / addendum britannique, complétés par le chiffrement (TLS 1.2+ en transit, AES-256 au repos) et par des évaluations d’impact des transferts. Les transferts UE–Royaume-Uni reposent sur la décision d’adéquation du Royaume-Uni (renouvelée en juillet 2025). Vous pouvez demander une copie des CCT applicables à privacy@carsu.com.
10. Cookies
Site web. Les cookies présents sur www.carsu.com sont décrits dans notre Politique relative aux cookies.
Dans l’application. Lorsque vous êtes connecté à la plateforme Carsu, nous utilisons un cookie de session, un cookie de protection CSRF et une préférence de langue (tous strictement nécessaires). Nous utilisons Mixpanel pour l’analytique produit sur la base de l’intérêt légitime (art. 6, §1, point f) ; vous pouvez vous y opposer en écrivant à privacy@carsu.com, et nous cesserons la collecte d’événements et supprimerons les enregistrements associés dans les 30 jours. Un bouton de désactivation intégré à l’application est prévu dans notre feuille de route.
11. Conservation
| Données | Durée de conservation | Motif |
|---|---|---|
| Données de compte et de profil | Abonnement + 12 mois | Fourniture du service et fenêtre d’exportation |
| Facturation et factures | 7 ans | Droit fiscal néerlandais / italien |
| Données relatives au véhicule et à l’entretien | Abonnement + 12 mois | Fourniture du service |
| Journaux de communication | 24 mois | Fourniture du service, litiges |
| Tickets d’assistance | 36 mois | Assurance qualité |
| Événements Google Calendar synchronisés | Durée de la synchronisation active + 30 jours après la déconnexion ou la suppression du compte | Fourniture du service ; conformité à l’Utilisation limitée |
| Jetons Google OAuth | Jusqu’à ce que vous déconnectiez l’intégration ou révoquiez l’accès sur myaccount.google.com | Nécessaires au maintien de la synchronisation que vous avez autorisée |
| Cookies analytiques | Jusqu’à 13 mois | Amélioration du site web |
| Cookies marketing | Jusqu’à 12 mois | Mesure publicitaire |
| Enregistrements de consentement marketing | Consentement + 3 ans | Preuve du consentement |
À l’issue de la période de conservation, nous supprimons ou anonymisons irréversiblement les données. Les données issues des API Google sont supprimées, et non anonymisées, conformément à notre engagement d’Utilisation limitée.
12. Sécurité
Nous appliquons des mesures techniques et organisationnelles conformes à l’art. 32 du RGPD, notamment le chiffrement en transit et au repos, le contrôle d’accès basé sur les rôles selon le principe du moindre privilège, l’authentification multifacteur (MFA) pour tous les accès administrateur et plateforme, des évaluations régulières des vulnérabilités, la journalisation des accès et une réponse documentée aux incidents. Nous travaillons à l’obtention des certifications SOC 2 Type II et ISO 27001. Divulgation responsable des vulnérabilités : security.txt ou security@carsu.com.
Les jetons OAuth permettant l’accès à l’API Google sont stockés chiffrés au repos et ne sont accessibles qu’aux composants de la plateforme qui effectuent la synchronisation du calendrier.
13. Violations de données
Lorsqu’une violation est susceptible d’engendrer un risque pour vos droits, nous en informons l’autorité de contrôle dans les 72 heures (art. 33) et, lorsque le risque est élevé, nous vous en informons directement et sans retard injustifié (art. 34). Lorsque Carsu agit en qualité de sous-traitant, nous en informons le responsable du traitement (l’atelier) sans retard injustifié.
14. Résidents du Royaume-Uni
Les résidents du Royaume-Uni disposent des mêmes droits que ceux décrits au §8. Les transferts entre l’UE et le Royaume-Uni reposent sur la décision d’adéquation de l’UE pour le Royaume-Uni (renouvelée en juillet 2025, valable jusqu’en 2031). En cas de conflit entre le droit britannique de la protection des données et la présente politique pour les résidents du Royaume-Uni, le droit britannique prévaut.
15. Enfants
Nos services sont destinés aux entreprises (B2B) et ne s’adressent pas aux enfants. Nous ne collectons pas sciemment de données concernant des personnes âgées de moins de 16 ans (ou de moins de 14 ans en Italie, en vertu du D.Lgs. 101/2018). Si nous découvrons de telles données, nous les supprimons sans délai.
16. Modifications
Nous mettons à jour la présente politique lorsque nos pratiques, notre technologie ou nos obligations légales évoluent. Les modifications substantielles sont notifiées par e-mail ou au sein de la plateforme au moins 30 jours à l’avance.
17. Réclamations
Vous pouvez introduire une réclamation auprès de l’Autoriteit Persoonsgegevens néerlandaise (autoriteitpersoonsgegevens.nl) — notre autorité de contrôle chef de file dans le cadre du guichet unique du RGPD — ou auprès de l’autorité de protection des données de votre pays de résidence dans l’UE. Nous préférerions que vous nous contactiez d’abord à privacy@carsu.com afin que nous puissions tenter de résoudre directement votre préoccupation.
18. Documents connexes
La présente politique doit être lue conjointement avec nos Conditions générales (y compris l’accord de traitement des données figurant à l’Annexe A) et notre Politique relative aux cookies.
19. Contact
Confidentialité : privacy@carsu.com Questions juridiques : legal@carsu.com Sécurité : security@carsu.com Questions générales : hello@carsu.com Adresse postale : Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Pays-Bas