Politique de confidentialité

Dernière mise à jour : Novembre 2025

Odomeo s'engage à protéger la vie privée de ses utilisateurs et à traiter leurs données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

1. Responsable du traitement

Odomeo
6 rue d'Armaillé
75017 PARIS
Email DPO : dpo@odomeo.fr

2. Données collectées et finalités

Données Finalité Base légale Durée de conservation
Email, nom d'utilisateur, mot de passe (hashé) Création et gestion du compte utilisateur Exécution du contrat Durée du compte + 3 ans
Adresses des lieux Calcul des distances entre points Exécution du contrat Durée du compte
Coordonnées GPS (lieux) Calcul optimisé des distances (cache) Exécution du contrat 30 jours (cache)
Waypoints GPS (suivi trajet) Suivi GPS en temps reel des trajets Consentement (Art. 6.1.a) Purges apres confirmation du trajet (seuls depart/arrivee/distance conserves)
Trajets, distances, dates Génération des fiches de frais Exécution du contrat 10 ans (obligation comptable)
Informations véhicule (immatriculation, puissance fiscale) Calcul des indemnités selon barème Exécution du contrat Durée du compte
Données de paiement Facturation et gestion de l'abonnement Exécution du contrat Gérées par Stripe (10 ans)
Logs de connexion (IP, date) Sécurité et support technique Intérêt légitime 1 an
Préférences de notifications Personnalisation des alertes Consentement Durée du compte
Descriptions de trajets, images de justificatifs (fonctionnalités IA) Saisie intelligente, OCR, assistant fiscal Consentement explicite Durée du traitement uniquement (non stocké par le sous-traitant)
Flux audio (saisie vocale) Reconnaissance vocale pour la saisie de trajets Consentement explicite Durée du traitement uniquement (traitement navigateur)

3. Fonctionnalités d'intelligence artificielle (optionnelles)

Odomeo propose des fonctionnalités optionnelles utilisant l'intelligence artificielle, accessibles uniquement avec un abonnement Pro ou Entreprise et après consentement explicite de l'utilisateur :

Fonctionnalité Données transmises Données NON transmises Sous-traitant
Assistant fiscal
Réponses aux questions sur les frais kilométriques		 Questions posées en langage naturel, historique de conversation (10 messages max) Identité, email, données de compte, données financières Anthropic PBC (États-Unis)
Saisie intelligente
Création de trajets par description textuelle		 Description du trajet, noms et adresses des lieux enregistrés, trajets récurrents Identifiant utilisateur, données de paiement, historique complet des trajets Anthropic PBC (États-Unis)
Scanner OCR
Extraction de données depuis des justificatifs photographiés		 Image du justificatif (ticket, facture) Identité de l'utilisateur, métadonnées du compte, autres documents Anthropic PBC (États-Unis)
Saisie vocale
Reconnaissance vocale pour la saisie de trajets		 Flux audio de la voix de l'utilisateur Toute autre donnée du compte Google (Web Speech API) ou Apple (Safari)

Conditions d'utilisation des fonctionnalités IA :

  • Ces fonctionnalités sont désactivées par défaut et nécessitent un consentement explicite avant la première utilisation.
  • Le consentement peut être retiré à tout moment depuis les paramètres du compte, ce qui désactive immédiatement toutes les fonctionnalités IA.
  • Les données sont transmises de manière chiffrée (TLS 1.2+) et ne sont pas stockées par le sous-traitant après traitement (politique « zero data retention » d'Anthropic pour les appels API).
  • Aucune donnée transmise n'est utilisée pour l'entraînement des modèles d'IA.
  • Minimisation des données : seules les informations strictement nécessaires au traitement sont transmises. Aucun identifiant personnel (email, nom, ID) n'est envoyé.

Une analyse d'impact relative à la protection des données (AIPD) a été réalisée conformément à l'article 35 du RGPD pour ces traitements.

4. Destinataires des données

Vos données peuvent être transmises aux destinataires suivants :

  • Stripe Inc. (États-Unis) — Traitement des paiements
    Certifié PCI-DSS niveau 1. Transfert encadré par les Clauses Contractuelles Types (CCT).
  • Anthropic PBC (États-Unis) — Fonctionnalités d'intelligence artificielle (assistant fiscal, saisie intelligente, OCR)
    Uniquement si l'utilisateur a donné son consentement. Transfert encadré par les Clauses Contractuelles Types (CCT) et le Data Processing Addendum (DPA) d'Anthropic. Politique « zero data retention » sur les appels API.
  • Google / Apple — Reconnaissance vocale (Web Speech API)
    Uniquement si l'utilisateur utilise la saisie vocale. Le traitement est effectué par le navigateur via les services natifs du système d'exploitation. Odomeo ne contrôle pas ce traitement.
  • OpenRouteService (Allemagne) — Calcul des distances
    Seules les coordonnées GPS sont transmises, sans identification personnelle.
  • Notre hébergeur (France/UE) — Hébergement des données
    Données hébergées exclusivement en Union Européenne.

Aucune donnée n'est vendue, louée ou partagée à des tiers à des fins commerciales.

5. Transferts hors Union Européenne

Certains de nos sous-traitants sont basés aux États-Unis. Les transferts de données personnelles hors de l'Union Européenne sont encadrés par les mécanismes suivants :

Sous-traitant Pays Mécanisme de transfert Certifications
Stripe Inc. États-Unis Clauses Contractuelles Types (CCT) PCI-DSS niveau 1
Anthropic PBC États-Unis Clauses Contractuelles Types (CCT), Data Processing Addendum (DPA) SOC 2 Type II, zero data retention

Les autres traitements (calcul de distance, hébergement) sont effectués exclusivement au sein de l'Union Européenne.

La reconnaissance vocale (Web Speech API) est traitée par le navigateur de l'utilisateur via les services natifs de Google ou Apple. Ce traitement est hors du contrôle de Odomeo. L'utilisateur est informé avant toute activation de la saisie vocale.

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès

Obtenir une copie de l'ensemble de vos données personnelles

Droit de rectification

Corriger vos données inexactes ou incomplètes

Droit à l'effacement

Demander la suppression de vos données (sauf obligation légale de conservation)

Droit à la portabilité

Recevoir vos données dans un format structuré et réutilisable

Droit d'opposition

Vous opposer au traitement de vos données pour motif légitime

Droit à la limitation

Demander la limitation du traitement dans certains cas

Pour exercer ces droits : dpo@odomeo.fr

Vous pouvez également exporter vos données directement depuis votre compte (format PDF et Excel).

Vous disposez du droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr

7. Sécurité des données

Nous mettons en œuvre les mesures de sécurité suivantes :

  • Chiffrement en transit : HTTPS avec TLS 1.3
  • Hashage des mots de passe : Algorithme PBKDF2 avec SHA256
  • Protection CSRF : Jetons de sécurité sur tous les formulaires
  • En-têtes de sécurité : HSTS, X-Frame-Options, CSP
  • Sauvegardes : Quotidiennes, chiffrées, conservées 30 jours
  • Accès restreint : Principe du moindre privilège
  • Monitoring : Surveillance des accès et anomalies

8. Cookies

Odomeo utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

  • csrftoken : Protection contre les attaques CSRF (1 an)
  • sessionid : Identification de session utilisateur (2 semaines)

Ces cookies ne nécessitent pas votre consentement car ils sont indispensables au fonctionnement du site. Aucun cookie de tracking ou publicitaire n'est utilisé.

Voir notre Politique de cookies pour plus de détails.

9. Modifications de cette politique

Cette politique de confidentialité peut être mise à jour. En cas de modification substantielle, nous vous informerons par email et/ou notification dans l'application.

La date de dernière mise à jour est indiquée en haut de cette page.

10. Contact

Pour toute question concernant cette politique ou vos données personnelles :
Délégué à la Protection des Données (DPO)
Email : dpo@odomeo.fr

Retour à l'accueil