1. Préambule et responsable de traitement
XCAR Estimation accorde une importance particulière à la protection des données personnelles de ses utilisateurs. La présente politique décrit comment vos données sont collectées, traitées, conservées et protégées dans le respect du Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et de la loi française Informatique et Libertés modifiée.
Responsable de traitement : XCAR Estimation, Pontcharra (38530), France. Contact : contact@xcarcrm.com.
2. Données personnelles collectées
Nous collectons uniquement les données strictement nécessaires à la fourniture de nos services :
a) Données d'identification
- Nom, prénom
- Adresse email
- Numéro de téléphone
- Code postal et ville
b) Données relatives à votre véhicule
- Marque, modèle, année, version
- Kilométrage
- Carburant, transmission, état général
- Plaque d'immatriculation (uniquement à partir du moment où vous demandez un rachat ou un dépôt-vente)
- Numéro VIN (uniquement lors de la signature d'un mandat ou d'un bon de rachat)
- Photos de votre véhicule (si transmises)
c) Données de navigation
- Adresse IP (anonymisée après 13 mois)
- Type de navigateur, appareil, système d'exploitation
- Pages visitées, durée de visite, source du trafic
- Cookies (voir section dédiée)
d) Données contractuelles (uniquement clients)
- Coordonnées bancaires (RIB pour virement de rachat)
- Pièce d'identité (vérification d'identité obligation légale)
- Carte grise du véhicule
Nous ne collectons aucune donnée sensible au sens du RGPD (origine, religion, santé, opinions politiques, etc.).
3. Finalités et bases légales du traitement
| Finalité | Base légale |
|---|---|
| Estimation de votre véhicule et mise en relation avec une Agence XCAR | Exécution de mesures précontractuelles (art. 6.1.b RGPD) |
| Signature d'un bon de rachat ou d'un mandat de dépôt-vente | Exécution d'un contrat (art. 6.1.b RGPD) |
| Vérification d'identité, lutte anti-fraude | Obligation légale (art. 6.1.c RGPD) |
| Communication commerciale (relances, newsletter) | Intérêt légitime ou consentement (art. 6.1.f / 6.1.a RGPD) |
| Mesure d'audience anonymisée | Intérêt légitime ou consentement (cookies) |
| Comptabilité, gestion administrative | Obligation légale (Code de commerce) |
4. Destinataires des données
Vos données peuvent être communiquées aux destinataires suivants, exclusivement dans le cadre des finalités décrites ci-dessus :
- L'Agence XCAR sélectionnée selon votre code postal et votre demande (rachat ou dépôt-vente).
- Le service comptable et juridique de XCAR Estimation, en cas de litige ou de contrôle.
- Les autorités publiques compétentes (ANTS, Trésor public, autorités judiciaires) sur réquisition légale ou pour l'exécution de nos obligations administratives.
- Nos sous-traitants techniques listés à la section 6.
❌ Nous ne vendons JAMAIS vos données personnelles à des tiers. ❌ Nous ne les utilisons pas à des fins de profilage publicitaire externe.
5. Durée de conservation
| Type de donnée | Durée de conservation |
|---|---|
| Lead non converti (estimation sans suite) | 3 ans à compter du dernier contact |
| Client (rachat ou dépôt-vente effectif) | 5 ans (relation contractuelle) + 10 ans (comptabilité) |
| Données comptables / fiscales | 10 ans (Code de commerce L.123-22) |
| Cookies de mesure d'audience | 13 mois maximum |
| Données de navigation (logs serveur) | 12 mois |
6. Sous-traitants techniques
Pour fournir nos services, nous faisons appel aux sous-traitants suivants, tous conformes RGPD :
- Vercel Inc. (États-Unis, DPA + Clauses Contractuelles Types) — hébergement du site.
- Neon Inc. (UE — Francfort) — base de données.
- Resend Inc. (UE) — envoi d'emails transactionnels.
- Meta Platforms Ireland (UE, DPA + CCT) — Conversions API et pixel publicitaire.
- Google Ireland Ltd (UE, DPA) — Search Console et mesure d'audience le cas échéant.
- Caisse d'Épargne (France) — traitement des virements bancaires sécurisés.
Chaque sous-traitant est lié par un contrat de sous-traitance conforme à l'article 28 du RGPD. Tout transfert hors UE s'effectue sous Clauses Contractuelles Types validées par la Commission européenne.
7. Vos droits
Conformément au RGPD, vous disposez à tout moment des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) — obtenir une copie des données vous concernant.
- Droit de rectification (art. 16) — corriger des données inexactes.
- Droit à l'effacement (art. 17) — "droit à l'oubli", sous réserve de nos obligations légales.
- Droit à la limitation (art. 18) — geler le traitement temporairement.
- Droit à la portabilité (art. 20) — récupérer vos données dans un format réutilisable.
- Droit d'opposition (art. 21) — refuser un traitement basé sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment, sans affecter la légalité des traitements antérieurs.
- Droit de définir des directives post-mortem sur le sort de vos données.
Pour exercer ces droits, écrivez-nous à contact@xcarcrm.com en précisant votre demande. Nous répondons sous 30 jours maximum. Une copie de votre pièce d'identité peut vous être demandée pour vérification.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris — www.cnil.fr).
8. Cookies
Le site xcarcrm.com utilise différents types de cookies :
- Cookies techniques (obligatoires) : session de connexion, panier, préférences linguistiques. Pas de consentement requis.
- Cookies de mesure d'audience : nombre de visiteurs, pages vues. Consentement requis. Durée 13 mois.
- Cookies publicitaires (Meta Pixel) : mesure de conversion publicitaire. Consentement requis. Durée 90 jours.
Vous pouvez modifier ou retirer votre consentement à tout moment via le bandeau cookies. Vous pouvez également désactiver les cookies dans les paramètres de votre navigateur.
9. Sécurité des données
Nous mettons en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement HTTPS (TLS 1.3) sur toutes les pages du site.
- Hébergement sécurisé (Vercel, Neon) sur des infrastructures certifiées ISO 27001 / SOC 2.
- Mots de passe stockés en hash bcrypt (jamais en clair).
- Accès aux données strictement limité aux personnels autorisés (Agence XCAR concernée, équipe XCAR Estimation).
- Sauvegardes quotidiennes chiffrées.
- Notification d'une violation de données sous 72h à la CNIL si applicable (art. 33 RGPD).
10. Modifications de cette politique
La présente politique peut évoluer. Toute modification substantielle vous sera notifiée par email (si vous avez un compte) ou par bandeau visible sur le site. Nous vous invitons à la consulter régulièrement. La date de dernière mise à jour figure en haut de cette page.
11. Contact RGPD
Pour toute question relative à vos données personnelles ou pour exercer vos droits :
- Email : contact@xcarcrm.com
- Courrier : XCAR Estimation — RGPD, Pontcharra (38530), France
Voir aussi nos mentions légales et nos conditions générales de vente.