Politique de confidentialité
Dernière mise à jour : mai 2025 · Application CrewiGO
🏢 Responsable du traitement
CrewiGO est une application de gestion de voyages en groupe. Le responsable du traitement
est l'exploitant de l'instance sur laquelle vous accédez à cette application.
Pour toute question relative à vos données personnelles :
utilisez le formulaire de contact disponible dans l'application ou adressez-vous
directement à l'administrateur de votre instance.
📋 Données collectées
Nous collectons uniquement les données nécessaires au bon fonctionnement de l'application :
- Compte Adresse e-mail, nom d'affichage, mot de passe hashé (bcrypt)
- Voyage Nom du voyage, destination, dates, statut
- Participants Prénom, couleur d'avatar, PIN optionnel (hashé)
- Contenu Réservations, agenda, dépenses, bagages, commentaires, photos, documents
- Messages Messages privés entre l'organisateur et les participants
- Géolocalisation Position GPS en temps réel — uniquement si vous activez le partage de position et pour la durée de la session
- Technique Tokens d'authentification JWT (durée 30 jours), adresse IP (logs de sécurité, rate-limiting)
⚖️ Bases légales du traitement
- Exécution du contrat (art. 6.1.b RGPD) — données nécessaires à la fourniture du service (compte, voyage, participants)
- Consentement (art. 6.1.a RGPD) — partage de position GPS, notifications push, envoi de l'e-mail de souvenir
- Intérêt légitime (art. 6.1.f RGPD) — journalisation de sécurité, protection contre les abus (rate-limiting)
La géolocalisation en temps réel ne s'active que sur votre demande explicite et peut être
arrêtée à tout moment en fermant la page ou en révoquant la permission dans votre navigateur.
⏱️ Durée de conservation
- Données de compte — conservées jusqu'à la suppression du compte
- Données de voyage — conservées jusqu'à la suppression du voyage ou du compte
- Magic links — expiration automatique 15 minutes après création
- Tokens JWT — expiration automatique après 30 jours d'inactivité
- Géolocalisation — non persistée au-delà de la session active
- Logs serveur — rotation selon la politique de l'hébergeur (Railway)
🔒 Sécurité des données
- Mots de passe hashés avec bcrypt (coût 12)
- PINs participants hashés avec bcrypt (coût 10)
- Authentification par JWT signé (secret obligatoire en production)
- Contrôle d'accès par ownership sur toutes les ressources
- Uploads limités aux types MIME autorisés
- Rate-limiting sur les endpoints d'authentification et de PIN
- Transport chiffré HTTPS (en production)
🌍 Transferts hors UE
L'application peut être hébergée sur Railway (infrastructure AWS/GCP).
Ces hébergeurs offrent des garanties de conformité RGPD (clauses contractuelles types).
Aucune donnée n'est partagée avec des tiers à des fins commerciales.
✅ Vos droits (RGPD art. 15–22)
Conformément au RGPD, vous disposez des droits suivants :
- Accès (art. 15) — obtenir une copie de vos données
- Rectification (art. 16) — corriger des données inexactes
- Effacement (art. 17) — supprimer votre compte et vos données
- Portabilité (art. 20) — exporter vos données dans un format structuré
- Opposition (art. 21) — vous opposer à un traitement basé sur l'intérêt légitime
- Limitation (art. 18) — demander la suspension du traitement
Pour exercer vos droits, contactez l'administrateur de l'application.
Vous disposez également du droit d'introduire une réclamation auprès de l'autorité de contrôle
de votre pays (
APD Belgique,
CNIL France…).
🍪 Cookies et stockage local
CrewiGO n'utilise pas de cookies tiers ni de traceurs publicitaires.
Nous utilisons uniquement :
- localStorage / sessionStorage — token d'authentification, préférences d'affichage, identité participant (supprimés à la déconnexion)
- IndexedDB — cache applicatif pour le mode hors-ligne (Service Worker)
Ces données restent sur votre appareil et ne sont pas transmises à des tiers.