Ce que nous collectons, pourquoi, pour combien de temps, et comment vous gardez le contrôle sur vos données.
Le wallet de votre véhicule est on-chain XRPL · pseudonymisé, exportable, vous appartient à vie. Le score sportif vérifié n'est partagé avec un assureur que sur votre consentement explicite, révocable. Pas de cookies marketing, pas de Google Analytics, pas de tracking publicitaire. Aucune revente de données à des tiers.
Le responsable du traitement des données personnelles est l'Association CARNET, association loi 1901, dont le siège social est à confirmer post-statuts révisés Q3 2026, représentée par son Président Sylvain Chaillout.
Le Délégué à la Protection des Données (DPD) sera désigné et déclaré à la CNIL au troisième trimestre 2026. Dans l'attente, toute demande relative aux données personnelles peut être adressée à privacy@carnet.life.
| Catégorie | Données | Source |
|---|---|---|
| Connexion technique | Adresse IP, user-agent, horodatage | Automatique (logs serveur) |
| Préférences | Cookie de session, langue préférée | Cookie strictement nécessaire |
| Catégorie | Données | Source |
|---|---|---|
| Identité minimale | Nom, prénom, courriel, mot de passe haché | Inscription membre |
| Wallet XRPL | Adresse publique (pseudonymisée) | Création via Xaman ou import |
| Profil archétype | Choix Discover (Collectionneur, Track Rat, etc.) | Onboarding volontaire |
| Véhicules | VIN, marque, modèle, année, photos, Records | Inscription volontaire par le membre |
| Activités | Track days, rallyes, concours déclarés | Saisie volontaire |
| Communauté | Tribus rejointes, traces laissées | Actions volontaires |
| Catégorie | Données | Source |
|---|---|---|
| Licence ASN | Numéro de licence, grade, validité | Verifiable Credential W3C signé ASN |
| Palmarès | Saisons actives, événements complétés, podiums | VC signé ASN |
| Incidents 2 ans | Présence ou absence d'incidents en compétition | VC signé ASN |
| Coaching | Écoles certifiées, heures documentées | VC signé ASN |
| Finalité | Base légale | Articles RGPD |
|---|---|---|
| Gestion de l'adhésion à l'Association | Exécution du contrat d'adhésion | Art. 6(1)(b) |
| Inscription du véhicule dans le registre on-chain | Intérêt légitime (mission patrimoniale) | Art. 6(1)(f) |
| Transmission du score sportif vérifié à un assureur | Consentement explicite, granulaire, révocable | Art. 6(1)(a) |
| Notifications opérationnelles (renouvellement, événements) | Exécution du contrat d'adhésion | Art. 6(1)(b) |
| Obligation comptable et fiscale | Obligation légale | Art. 6(1)(c) |
Aucune finalité commerciale ou publicitaire n'est poursuivie. Les données ne sont pas utilisées pour profiler le membre à des fins de ciblage marketing, ne sont pas vendues ni cédées à des courtiers de données, ne sont pas exploitées pour entraîner des modèles d'intelligence artificielle externes à l'Association.
| Donnée | Durée de conservation |
|---|---|
| Identité membre | Tant que l'adhésion est active + 3 ans après désinscription |
| NFT Vehicle Certificate (on-chain) | Perpétuelle · le registre XRPL est immuable · le membre garde son wallet à vie |
| Score sportif vérifié (snapshot daté) | Perpétuel pour audit · révocable de la liste des accès par le membre à tout moment |
| Données comptables et fiscales | 10 ans · obligation légale française |
| Logs serveur | 13 mois maximum · recommandation CNIL |
| Cookies de session | Suppression à la fermeture du navigateur |
Note importante sur la blockchain XRPL. Le NFT Vehicle Certificate est inscrit dans un ledger distribué public · cette inscription est par nature immuable. Le membre peut révoquer son consentement et stopper toute mise à jour du NFT, mais l'inscription historique demeure on-chain (avec marqueur « consent revoked »). Cette caractéristique technique est explicitement présentée au membre lors de son inscription.
Aucun partenaire commercial, courtier de données, plateforme publicitaire, ou tiers commercial n'a accès aux données des membres.
L'infrastructure CARNET privilégie les serveurs européens (Supabase Francfort, Cloudflare et Vercel Europe). Néanmoins, certains transferts hors Union Européenne peuvent survenir dans deux cas précis :
1. Ledger XRPL public. Le réseau XRP Ledger est par nature distribué mondialement. Les données inscrites on-chain (pseudonymisées) sont par conséquent répliquées sur des validateurs situés dans plusieurs pays, dont certains hors UE. Cette caractéristique technique est inhérente au protocole et acceptée par le membre lors de son inscription.
2. Hébergeur Vercel et Cloudflare. Bien que les serveurs utilisés soient en Europe, ces sociétés sont juridiquement de droit américain. L'Association utilise les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne pour encadrer ces relations contractuelles.
Vous pouvez demander une copie de toutes les données vous concernant détenues par l'Association.
RGPD · article 15Vous pouvez demander la correction de toute donnée inexacte ou incomplète.
RGPD · article 16Vous pouvez demander l'effacement de vos données (dans la limite du ledger XRPL immuable, voir section IV).
RGPD · article 17Vous pouvez demander la suspension temporaire d'un traitement, par exemple le temps d'instruire une contestation.
RGPD · article 18Vous pouvez récupérer vos données dans un format structuré standard, exportable vers un autre service. Le wallet XRPL facilite naturellement cette portabilité.
RGPD · article 20Vous pouvez vous opposer à un traitement fondé sur l'intérêt légitime, à tout moment.
RGPD · article 21Vous pouvez retirer à tout moment votre consentement pour un traitement précis (par exemple, le partage du score sportif avec un assureur), sans rétroactivité.
RGPD · article 7Vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) en cas de désaccord persistant.
CNIL · cnil.frToute demande d'exercice de vos droits doit être adressée à cette adresse, en précisant la nature de votre demande et en joignant une copie de votre pièce d'identité (pour vérification d'authenticité).
L'Association s'engage à répondre dans un délai d'un mois à compter de la réception de la demande, prolongeable de deux mois en cas de complexité avérée (article 12 RGPD).
En cas de désaccord persistant après échange avec l'Association, vous pouvez introduire une réclamation auprès de la CNIL · cnil.fr/fr/plaintes.
L'Association se réserve le droit de modifier cette politique de confidentialité, notamment pour tenir compte d'évolutions techniques, juridiques ou de l'élargissement de ses missions.
Toute modification substantielle sera notifiée aux membres par courriel et publiée sur cette page avec mise à jour de la date de version, au minimum quinze (15) jours avant son entrée en vigueur.
L'historique des versions est conservé pour audit · sur demande à privacy@carnet.life.