Politique de Confidentialité — Vroom

1. Responsable du traitement

2. Données collectées

Par Vroom (infrastructure)

• Comptes utilisateur : adresse email, identifiant, hash mot de passe (bcrypt)
\n
• Métadonnées projet : noms de conteneurs, domaines déployés, timestamps





• Logs techniques : requêtes HTTP (timestamp, IP, endpoint, code réponse), utilisation CPU/RAM/disque
\n
• Logs d'accès : activité Keycloak (authentification, changement permissions)





Pas collectées






• Cookies de tracking
\n
• Données analytiques tiers (Google Analytics, Sentry, Datadog)





• IP géolocalisation
\n
• Profilage comportemental





3. Base légale








• Article 6(1.a) RGPD : consentement explicite à la création de compte
\n
• Article 6(1.b) RGPD : exécution du contrat (contrat de service PaaS)





• Article 6(1.c) RGPD : obligation légale (conservation fiscale)





4. Durée de conservation




















Type de donnée	Durée	Justification
Comptes actifs	Durée du contrat + 36 mois	Conformité archivage légal
Logs techniques/HTTP	24 mois	Débogage incidents, sécurité
Logs Keycloak	24 mois	Audit authentification
Données supprimées	7 jours (poubelle)	RGPD Art.17 (droit à l'oubli)




Passé ces délais, suppression définitive (shred cryptographique, destruction physique chez Scaleway).





5. Droits de l'utilisateur (RGPD Art.13-22)




Vous avez le droit de :




• Accès : obtenir copie de vos données
\n
• Rectification : corriger informations inexactes





• Suppression (droit à l'oubli) : demander effacement sauf obligations légales
\n
• Limitation : suspendre traitement en cas de contestation





• Portabilité : recevoir données structurées (JSON/CSV)
\n
• Opposition : refuser profilage automatisé





• Retrait consentement : à tout moment



Procédure : contacter le DPO à arclight [at] myarclight.fr avec preuve identité.

Délai de réponse : 30 jours maximum.



En cas de refus, droit de plainte auprès de la CNIL (Commission Nationale Informatique et Libertés, Paris).





6. Partage de données




Vroom ne partage jamais vos données à des tiers, sauf si :




• Obligation légale : ordre judiciaire, enquête fiscale (transparence : notification préalable sauf interdiction légale)
\n
• Sous-traitants : Scaleway (hébergement) seul, sous contrat de traitement (DPA signé)





• Prestataires sécurité : audit tiers occasionnel (NDA)



Aucun transfert hors EU.





7. Sécurité des données





• Chiffrement transit : TLS 1.3 obligatoire
\n
• Chiffrement repos : AES-256 pour données sensibles





• Authentification : Keycloak + MFA optionnel
\n
• Isolation : conteneurs Docker par client, pas d'accès humain aux données





• Logs sécurité : monitoring continu (détection intrusions, anomalies)



Accès aux serveurs physiques = Scaleway (responsabilité partagée, conforme SOC 2).





8. Cookies et technologies similaires




Vroom n'utilise pas :


• Cookies de tracking
\n
• Web beacons, pixels espions





• Local Storage pour données personnelles (sauf token JWT temporaire de session)



Strict nécessaire uniquement :


• session_id (Keycloak, expiration 30 min)
\n
• XSRF-TOKEN (CSRF, validé serveur)



Pas de consentement requis (Directive ePrivacy, exception technique).





9. Modifications de cette politique




Toute modification sera :





• Affichée 30 jours avant entrée en vigueur
\n
• Communiquée par email aux comptes actifs





• Versions archivées sur /legal/versions/



Continued use = acceptation.





10. Contacts





• DPO / Confidentialité : arclight@myarclight.fr
\n
• Signalement incident données : arclight@myarclight.fr (réponse < 72h, RGPD Art.33)


• CNIL complaint : https://www.cnil.fr/plaintes