Politique de Confidentialité

MALOC SASU | SIREN 985054923 | RCS Paris | Version 2.0 | 22 mars 2026

POLITIQUE DE CONFIDENTIALITÉ — MALOC

Version : 2.0 — Dernière mise à jour : 22 mars 2026
Date d'entrée en vigueur : 22 mars 2026

MALOC SASU — SIREN 985054923 — RCS Paris — Capital 1 000 € — Siège : 15 quai aux fleurs, 75004 Paris
Email : contact@maloc.life — DPO : dpo@maloc.life — Site : https://maloc.fr / https://maloc.fr

PRÉAMBULE

La société MALOC SASU, société par actions simplifiée unipersonnelle au capital de 1 000 euros, immatriculée au Registre du Commerce et des Sociétés de Paris sous le numéro SIREN 985054923, dont le siège social est situé 15 quai aux fleurs, 75004 Paris (ci-après « Maloc ») s'engage à traiter les données à caractère personnel de ses Utilisateurs avec la plus grande rigueur, dans le respect du cadre légal européen et français applicable.

La présente Politique de Confidentialité (ci-après la « Politique ») est rédigée conformément :

  • aux articles 12 à 14 du Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après le « RGPD ») ;
  • à la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2018-493 du 20 juin 2018 et l'ordonnance n° 2018-1125 du 12 décembre 2018 ;
  • à la Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive « ePrivacy »), transposée à l'article 82 de la loi Informatique et Libertés ;
  • aux lignes directrices de la CNIL du 17 septembre 2020 sur les cookies et traceurs et à la délibération CNIL n° 2020-091 ;
  • aux recommandations du Comité Européen de la Protection des Données (CEPD).

La Plateforme Maloc s'adresse à deux catégories d'Utilisateurs aux statuts juridiques distincts au regard du RGPD :

  • Les Loueurs : exclusivement des personnes morales (sociétés françaises) ou des professionnels indépendants immatriculés (ci-après les « Loueurs »). Les données traitées à leur égard incluent des données relatives à la personne morale (données d'entreprise) et des données à caractère personnel concernant leurs représentants légaux et dirigeants. Ces dernières relèvent de la protection du RGPD.

  • Les Locataires : des personnes physiques majeures agissant à titre non commercial (ci-après les « Locataires »). Ces personnes bénéficient de la pleine protection du RGPD en qualité de consommateurs.

La présente Politique décrit de manière transparente et exhaustive : les données collectées selon le profil de l'Utilisateur, les finalités et bases légales de chaque traitement, les durées de conservation, les destinataires et sous-traitants, les transferts hors Union Européenne, ainsi que les droits dont disposent les personnes concernées et les modalités de leur exercice.

Article 1 — IDENTITÉ DU RESPONSABLE DU TRAITEMENT

1.1. Responsable du traitement :

MALOC SASU
Société par actions simplifiée unipersonnelle
Capital social : 1 000 euros
SIREN : 985054923 — SIRET : 98505492300026
RCS Paris
Siège social : 15 quai aux fleurs, 75004 Paris
Email général : contact@maloc.life
Site web : https://maloc.fr / https://maloc.fr

1.2. Délégué à la Protection des Données (DPO) :

Maloc a désigné un Délégué à la Protection des Données (DPO) conformément à l'article 37 du RGPD :

Délégué à la Protection des Données — MALOC SASU
Email : dpo@maloc.life
Adresse postale : MALOC SASU, 15 quai aux fleurs, 75004 Paris
(Courrier : « À l'attention du DPO — Confidentiel »)

Le DPO est le point de contact privilégié pour toute question relative à la protection des données personnelles et pour l'exercice des droits des personnes concernées. Le DPO est indépendant dans l'exercice de ses fonctions et ne peut faire l'objet d'aucune instruction concernant ses missions de protection des données.

Article 2 — PÉRIMÈTRE D'APPLICATION ET DISTINCTION B2B / B2C

2.1. Données des Locataires (personnes physiques — B2C)

Les Locataires sont des consommateurs particuliers au sens du Code de la consommation. Ils bénéficient de la pleine protection du RGPD en qualité de personnes physiques concernées. Toutes les dispositions de la présente Politique leur sont applicables sans restriction.

2.2. Données des Loueurs — personnes morales (B2B)

Les Loueurs sont des personnes morales. Les données relatives à la société en tant que telle (dénomination sociale, SIRET, numéro de TVA, adresse du siège) ne constituent pas des données à caractère personnel au sens du RGPD.

En revanche, les données à caractère personnel des représentants légaux, dirigeants et salariés des sociétés Loueurs (nom, prénom, pièce d'identité, signature) sont des données personnelles protégées par le RGPD. La présente Politique s'applique à ces données.

Base légale spécifique : Le traitement des données personnelles des dirigeants de sociétés Loueurs repose sur deux fondements cumulatifs :

  • L'exécution du contrat B2B conclu entre Maloc et la société Loueur (art. 6(1)(b) RGPD), le dirigeant étant le représentant légal de la partie contractante ;
  • L'obligation légale découlant des obligations KYC issues de la réglementation LBC/FT (Lutte contre le Blanchiment de Capitaux et le Financement du Terrorisme), notamment l'ordonnance n° 2016-1635 du 1er décembre 2016 (art. 6(1)(c) RGPD).

2.3. Double qualité de Maloc

Pour certains traitements, Maloc agit simultanément en deux qualités distinctes :

  • Responsable de traitement pour les données traitées pour ses propres finalités (gestion de la plateforme, facturation, sécurité) ;
  • Sous-traitant des Loueurs pour les traitements effectués pour le compte de ces derniers via les outils de la plateforme (messagerie, état des lieux, gestion des réservations), conformément à l'article 28 du RGPD.

Article 3 — DONNÉES PERSONNELLES COLLECTÉES

3.1. Données collectées pour les Locataires (B2C)

3.1.1. Données d'identité et de contact

  • Nom et prénom
  • Date de naissance (vérification majorité)
  • Adresse postale complète
  • Numéro de téléphone mobile
  • Adresse email
  • Photographie de profil (optionnelle, téléversée par l'Utilisateur)

3.1.2. Données de vérification d'identité (KYC Locataire)

  • Copie de pièce d'identité officielle (carte nationale d'identité ou passeport) : recto/verso
  • Copie du permis de conduire (recto/verso) : catégorie(s), date de délivrance, pays de délivrance, numéro
  • Code OTP reçu par email ou SMS pour l'authentification lors de chaque connexion et réservation

3.1.3. Données de paiement

  • Références de transactions Stripe (identifiants de PaymentIntent, SetupIntent, Customer Stripe)
  • Historique des transactions (montants, dates, statuts, remboursements)
  • Maloc ne stocke en aucun cas les numéros de carte bancaire, dates d'expiration ni cryptogrammes ; ces données sont traitées exclusivement par Stripe Technology Europe, Limited.

3.1.4. Données de réservation et d'utilisation

  • Dates et heures de réservation, de check-in et de check-out
  • Lieu de prise en charge et de restitution du Véhicule (adresse statique fournie à la réservation)
  • Montants des transactions (prix de location, frais de service, caution autorisée)
  • Statuts des réservations (en attente, confirmée, en cours, terminée, annulée, litige)
  • Avis et notations publiés sur la Plateforme
  • Historique des réservations

3.1.5. Données de l'état des lieux numérique (check-in/check-out)

  • Photographies horodatées du Véhicule (jusqu'à 12 angles : extérieur, intérieur, détails, jantes, vitres, toiture)
  • Métadonnées des photographies : horodatage précis (UTC), coordonnées GPS de la localisation de la prise de vue (soit l'emplacement du Véhicule au moment du check-in ou check-out)
  • Note importante : Ces photographies ont vocation à documenter l'état du Véhicule. Toute présence fortuite d'une personne physique identifiable dans ces photographies constitue une donnée personnelle. Maloc recommande aux Loueurs et Locataires de ne pas photographier des tiers identifiables lors de l'état des lieux. En cas de présence d'une personne identifiable, les dispositions applicables aux données personnelles des articles 5 à 17 RGPD s'appliquent à ces images.
  • La géolocalisation issue des photos de l'état des lieux correspond exclusivement à l'adresse statique du Véhicule lors de la remise/restitution. Maloc ne procède à aucun tracking GPS continu du Véhicule pendant la période de location.

3.1.6. Données de communication

  • Messages échangés via la messagerie interne de la Plateforme
  • Emails transactionnels (confirmations, rappels, alertes de réservation)
  • Demandes adressées au service client et historique des échanges

3.1.7. Données techniques de connexion

  • Adresse IP de connexion
  • Type et version du navigateur (user-agent), système d'exploitation
  • Logs de connexion (date, heure, durée, pages visitées, actions)
  • Identifiant de session
  • Données de performance et d'erreurs techniques

3.2. Données collectées pour les Loueurs (B2B — personnes morales et leurs dirigeants)

3.2.1. Données relatives à la personne morale (non personnelles au sens RGPD)

  • Dénomination sociale, forme juridique
  • Numéro SIREN/SIRET, numéro de TVA intracommunautaire
  • Adresse du siège social et adresse d'exploitation
  • Coordonnées professionnelles génériques (email société, téléphone société)
  • Extrait Kbis ou document d'immatriculation équivalent (document de la société)

3.2.2. Données personnelles des représentants légaux et dirigeants (RGPD applicable)

  • Nom, prénom, fonction au sein de la société
  • Copie de la pièce d'identité officielle du représentant légal (carte nationale d'identité ou passeport) : recto/verso — collectée dans le cadre des obligations KYC/LBC/FT
  • Date de naissance du dirigeant (vérification identité KYC)
  • Signature électronique du représentant légal
  • Adresse email professionnelle personnelle (si distincte de l'email société)
  • Numéro de téléphone professionnel personnel (si distinct du téléphone société)

3.2.3. Documents professionnels liés aux véhicules

  • Attestations d'assurance automobile pour chaque Véhicule (document de la société, mais peut mentionner des noms)
  • Attestation d'assurance responsabilité civile professionnelle
  • Cartes grises des Véhicules (certificat d'immatriculation)
  • Documents de mandat de gestion (pour les Conciergeries)

3.2.4. Données relatives aux Véhicules

  • Photographies du Véhicule (extérieur, intérieur)
  • Caractéristiques techniques (marque, modèle, version, année, kilométrage, couleur)
  • Numéro d'immatriculation, numéro de VIN
  • Tarifs de location configurés par le Loueur
  • Adresse(s) de mise à disposition du Véhicule (adresse statique, géocodée via HERE.com)
  • Historique des locations du Véhicule

3.2.5. Données financières du Loueur

  • Coordonnées bancaires (IBAN) pour les versements via Stripe Connect
  • Historique des versements reçus (dates, montants, références)
  • Données de facturation des abonnements Plan Pro

3.2.6. Données de scoring et de performance

  • Nombre et ancienneté des réservations réalisées
  • Note moyenne reçue des Locataires
  • Taux de ponctualité (respect des horaires de check-in et check-out)
  • Taux d'annulation par le Loueur
  • Réactivité aux demandes de réservation
  • Qualité et exhaustivité du profil et des Annonces

Article 4 — REGISTRE SIMPLIFIÉ DES TRAITEMENTS

Conformément à l'article 30 du RGPD, le tableau suivant présente de manière exhaustive l'ensemble des traitements effectués par Maloc :

| # | Traitement | Données concernées | Personnes concernées | Base légale (art. 6 RGPD) | Durée de conservation | Destinataires | |---|---|---|---|---|---|---| | T01 | Création et gestion du compte Utilisateur | Identité, email, téléphone, mot de passe (haché) | Loueurs (dirigeants) + Locataires | Exécution du contrat — art. 6(1)(b) | Durée de la relation contractuelle + 3 ans | Maloc, Supabase | | T02 | Authentification OTP (email/SMS) | Email ou téléphone, code OTP | Loueurs (dirigeants) + Locataires | Exécution du contrat — art. 6(1)(b) | Durée de la session (OTP expiré après 10 min) | Maloc, Supabase, Resend, opérateur SMS | | T03 | KYC Locataires — pièce d'identité + permis | CNI/passeport, permis de conduire | Locataires | Exécution du contrat + intérêt légitime (sécurité, anti-fraude) — art. 6(1)(b)(f) | 30 jours après vérification (sauf litige actif) | Maloc, Supabase | | T04 | KYC Loueurs — pièce d'identité dirigeant | CNI/passeport du représentant légal | Dirigeants des sociétés Loueurs | Exécution du contrat B2B + obligation légale LBC/FT — art. 6(1)(b)(c) | 5 ans après la fin de la relation commerciale (art. L561-12 CMF) | Maloc, Supabase | | T05 | KYC Loueurs — KBIS | Extrait Kbis (données de la société) | Personnes morales (non RGPD pour la société) | Obligation légale LBC/FT — art. 6(1)(c) | 5 ans après la fin de la relation commerciale | Maloc, Supabase | | T06 | KYC Loueurs — attestations d'assurance | Attestations assurance (société + RC Pro) | Sociétés Loueurs | Exécution du contrat + intérêt légitime — art. 6(1)(b)(f) | Durée du contrat + 5 ans (prescription quinquennale de droit commun) | Maloc, Supabase | | T07 | Réservation et gestion de la location | Identité, permis, véhicule, dates, lieu, montants | Loueurs (dirigeants) + Locataires | Exécution du contrat — art. 6(1)(b) | 5 ans après la dernière location (prescription art. 2224 C. civ.) | Maloc, Supabase, Stripe, contrepartie (Loueur/Locataire) | | T08 | Traitement des paiements | Références Stripe, historique transactions | Locataires (paiements), Loueurs (reversements) | Exécution du contrat — art. 6(1)(b) | 13 mois après la transaction (DSP2) + 10 ans (comptabilité) | Maloc, Stripe | | T09 | Gestion de la caution (pré-autorisation) | Montant autorisé, référence Stripe, statut | Locataires | Exécution du contrat — art. 6(1)(b) | 7 jours après le check-out (puis libération) + durée du litige éventuel | Maloc, Stripe | | T10 | Facturation et comptabilité | Factures, montants, identité des parties | Loueurs (dirigeants) + Locataires | Obligation légale — art. 6(1)(c) (art. L123-22 Code commerce) | 10 ans à compter de l'émission | Maloc, expert-comptable | | T11 | État des lieux numérique (check-in/check-out) | Photos horodatées (12 angles), GPS du lieu de remise, signatures électroniques | Loueurs (dirigeants) + Locataires (+ tiers si visibles sur photos) | Exécution du contrat + intérêt légitime (preuve) — art. 6(1)(b)(f) | 5 ans à compter du check-out | Maloc, Supabase, Cloudflare R2 | | T12 | Géolocalisation de l'adresse du Véhicule | Adresse statique du lieu de mise à disposition (géocodée) | Loueurs | Exécution du contrat — art. 6(1)(b) | Durée de publication de l'Annonce | Maloc, HERE.com (geocoding) | | T13 | Messagerie interne | Contenu des messages, identité des parties | Loueurs (dirigeants) + Locataires | Exécution du contrat — art. 6(1)(b) | 5 ans après la dernière utilisation | Maloc, Supabase | | T14 | Emails transactionnels | Adresse email, contenu des emails transactionnels | Loueurs (dirigeants) + Locataires | Exécution du contrat — art. 6(1)(b) | 3 ans après la fin de la relation contractuelle | Maloc, Resend | | T15 | Gestion des avis et notations | Texte de l'avis, note, identité de l'auteur | Loueurs (dirigeants) + Locataires | Intérêt légitime (amélioration de la confiance) — art. 6(1)(f) | Durée de publication (max 5 ans) sauf demande de suppression | Maloc, Supabase | | T16 | Scoring des Loueurs | Données de performance (voir §3.2.6), score calculé | Loueurs (personnes morales + dirigeants) | Intérêt légitime — art. 6(1)(f) | Durée du compte + 1 an | Maloc (traitement interne) | | T17 | Gestion des litiges | Tous éléments pertinents au litige (réservation, photos, messages, identité) | Loueurs (dirigeants) + Locataires | Intérêt légitime + obligation légale — art. 6(1)(c)(f) | 5 ans à compter de la clôture définitive du litige (art. 2224 C. civ.) | Maloc, avocats, assureurs, juridictions | | T18 | Signalement des contraventions routières | Identité du conducteur, infraction, véhicule | Loueurs (en qualité de responsables), Locataires | Obligation légale (art. L121-6 Code de la route) — art. 6(1)(c) | 5 ans à compter de la contravention | Maloc, autorités publiques | | T19 | Obligations DAC7 (déclarations fiscales) | Identité Loueur, montants des transactions | Loueurs | Obligation légale (Directive (UE) 2021/514) — art. 6(1)(c) | 10 ans | Maloc, administration fiscale (DGFIP) | | T20 | Logs de connexion et sécurité | Adresse IP, user-agent, horodatage, actions | Loueurs (dirigeants) + Locataires | Obligation légale (art. 6 III LCEN) + intérêt légitime — art. 6(1)(c)(f) | 1 an | Maloc, Supabase, Hetzner | | T21 | Statistiques d'utilisation anonymisées | Données agrégées et anonymisées (non personnelles) | — (anonymisées) | Intérêt légitime — art. 6(1)(f) | Indéfinie (données anonymisées, hors champ RGPD) | Maloc | | T22 | Newsletter et communications marketing | Email, préférences | Loueurs (dirigeants) + Locataires (si consentement) | Consentement — art. 6(1)(a) | Jusqu'au retrait du consentement, puis suppression sous 3 ans | Maloc, Resend | | T23 | Cookies analytiques | Identifiant de session, pages visitées, comportement de navigation | Visiteurs, Loueurs, Locataires (si consentement) | Consentement — art. 6(1)(a) | 13 mois maximum (recommandation CNIL) | Maloc, outil analytics | | T24 | Meta Pixel (publicité ciblée) | Identifiant navigateur, événements de navigation | Visiteurs, Loueurs, Locataires (si consentement) | Consentement — art. 6(1)(a) | 13 mois maximum | Maloc, Meta Platforms, Inc. | | T25 | Synthèse vocale TTS (accessibilité) | Données textuelles soumises au service TTS (aucune donnée identifiante transmise) | Utilisateurs (indirectement) | Intérêt légitime (accessibilité) — art. 6(1)(f) | Aucune conservation (traitement en temps réel, non stocké) | Maloc, ElevenLabs, Inc. (si activé) | | T26 | Registre des violations de données | Nature de la violation, données affectées, mesures prises | Personnes concernées par la violation | Obligation légale (art. 33 RGPD) — art. 6(1)(c) | 5 ans | Maloc (registre interne), CNIL | | T27 | Exercice des droits RGPD | Identité du demandeur, nature de la demande, réponse apportée | Loueurs (dirigeants) + Locataires | Obligation légale (art. 12 RGPD) — art. 6(1)(c) | 3 ans (preuve de conformité) | Maloc (DPO) |

Article 5 — DURÉES DE CONSERVATION DÉTAILLÉES

5.1. Données des Locataires (B2C)

| Catégorie de données | Durée de conservation | Justification | |---|---|---| | Données du compte (identité, email) | Durée de la relation contractuelle + 3 ans | Prospection commerciale post-contrat (art. L223-1 CPCE) | | Pièce d'identité (CNI/passeport) | 30 jours après vérification KYC | Minimisation des données (art. 5(1)(e) RGPD) — sauf litige actif | | Permis de conduire | 30 jours après vérification KYC — sauf réservation en cours ou litige | Minimisation des données | | Données de réservation | 5 ans après la dernière location | Prescription de droit commun (art. 2224 Code civil) | | Données de paiement (références Stripe) | 13 mois après la transaction | Conformité DSP2 (Directive (UE) 2015/2366) | | Factures (pièces comptables) | 10 ans à compter de l'émission | Art. L123-22 Code de commerce | | Photos check-in/check-out | 5 ans à compter du check-out | Preuve en cas de litige sur l'état du véhicule | | Messages internes | 5 ans après la dernière utilisation | Preuve contractuelle | | Logs de connexion | 1 an | Art. 6 III LCEN | | Cookies et traceurs | 13 mois maximum | Recommandation CNIL du 17 septembre 2020 | | Données de litige | 5 ans après clôture définitive | Art. 2224 Code civil |

5.2. Données des dirigeants de Loueurs (B2B — personnes physiques)

| Catégorie de données | Durée de conservation | Justification | |---|---|---| | Données d'identification du dirigeant | Durée de la relation commerciale + 5 ans | Prescription commerciale (art. L110-4 Code de commerce) | | Pièce d'identité du représentant légal | 5 ans après la fin de la relation commerciale | Obligation LBC/FT (art. L561-12 Code monétaire et financier) | | Extrait Kbis | 5 ans après la fin de la relation commerciale | Obligation LBC/FT | | Attestations d'assurance (véhicules + RC Pro) | Durée du contrat d'assurance + 5 ans | Prescription quinquennale de droit commun | | IBAN et données bancaires du Loueur | Durée de la relation commerciale + 5 ans | Prescription commerciale | | Données de scoring | Durée du compte + 1 an | Intérêt légitime (historique de performance) | | Données de réservation / transactions | 5 ans après la dernière transaction | Prescription commerciale (art. L110-4 Code de commerce) | | Factures (abonnements, commissions) | 10 ans à compter de l'émission | Art. L123-22 Code de commerce | | Données DAC7 | 10 ans | Directive (UE) 2021/514 |

5.3. Données en fin de relation contractuelle

À la suppression du compte par l'Utilisateur ou à la résiliation de la relation contractuelle :

  1. Les données sont anonymisées dans un délai de trente (30) jours pour les données non soumises à obligation légale de conservation ;
  2. Les données soumises à obligation légale sont archivées en accès restreint (DPO uniquement) pour la durée légale applicable ;
  3. Les logs de connexion sont supprimés à l'expiration du délai légal d'un (1) an ;
  4. Les données nécessaires à la défense des droits de Maloc dans un litige en cours sont conservées jusqu'à la résolution définitive dudit litige.

Article 6 — DESTINATAIRES DES DONNÉES PERSONNELLES

6.1. Partage entre parties à la transaction

Dans le cadre de chaque réservation, Maloc communique à chaque partie les informations strictement nécessaires à l'exécution du Contrat de location, conformément au principe de minimisation (art. 5(1)(c) RGPD) :

Le Locataire reçoit :

  • Dénomination sociale du Loueur et nom du référent opérationnel
  • Informations et photographies du Véhicule
  • Attestation d'assurance du Véhicule (version tronquée)
  • Adresse de prise en charge du Véhicule
  • Numéro de téléphone professionnel du Loueur

Le Loueur reçoit :

  • Nom et prénom du Locataire
  • Numéro de téléphone mobile du Locataire
  • Numéro du permis de conduire (catégorie, date de délivrance) — non la copie intégrale
  • Statut de vérification KYC (validé / en attente / refusé) — sans accès aux documents bruts

6.2. Sous-traitants techniques (art. 28 RGPD)

L'ensemble des sous-traitants techniques de Maloc est lié par un Accord de Traitement des Données (DPA — Data Processing Agreement) conforme à l'article 28 du RGPD :

| Sous-traitant | Rôle | Siège social | Localisation effective des données | Mécanisme de transfert hors UE | |---|---|---|---|---| | Supabase Inc. | Base de données principale, authentification, stockage structuré | San Francisco, USA | Francfort, Allemagne (UE) — région eu-central-1 | Données stockées en UE — pas de transfert hors UE pour les données Maloc | | Hetzner Online GmbH | Hébergement des serveurs applicatifs | Gunzenhausen, Allemagne (UE) | Allemagne (UE) | Transfert intra-UE — aucun mécanisme requis | | Cloudflare, Inc. | CDN, stockage de fichiers statiques (R2), protection DDoS, WAF | San Francisco, USA | UE (pour R2 Europe) + USA (réseau CDN mondial) | SCC (décision 2021/914) + DPF (décision d'adéquation UE-USA, 10 juillet 2023) | | Stripe Technology Europe, Limited | Traitement des paiements, vérification identité financière, Stripe Connect | Dublin, Irlande (UE) | UE + Stripe, Inc. (USA) pour certains traitements | SCC + DPF — Stripe certifié DPF | | Resend, Inc. | Envoi d'emails transactionnels | San Francisco, USA | USA | SCC (décision 2021/914) | | Meta Platforms Ireland Limited | Meta Pixel — publicité ciblée (si consentement) | Dublin, Irlande (UE) | UE + Meta, Inc. USA | SCC + DPF — Meta certifié DPF | | HERE Global B.V. | Géocodage des adresses des véhicules (conversion adresse ↔ coordonnées GPS) | Eindhoven, Pays-Bas (UE) | UE | Transfert intra-UE — aucun mécanisme requis | | ElevenLabs, Inc. (si fonctionnalité TTS activée) | Synthèse vocale (Text-to-Speech) pour accessibilité | New York, USA | USA | SCC (décision 2021/914) — données textuelles non identifiantes |

Précision HERE.com : Le service de géocodage HERE est utilisé exclusivement pour convertir les adresses statiques de mise à disposition des Véhicules en coordonnées GPS, afin d'afficher ces Véhicules sur la carte de la Plateforme. Aucune donnée personnelle des Locataires ou des dirigeants de Loueurs n'est transmise à HERE.com.

Précision ElevenLabs : La fonctionnalité de synthèse vocale, lorsqu'elle est activée, reçoit uniquement des données textuelles relatives aux descriptions de véhicules et aux informations de service. Aucune donnée personnelle identifiante (nom, prénom, coordonnées) n'est transmise à ElevenLabs.

6.3. Autorités publiques

Maloc peut être amenée à communiquer des données personnelles aux autorités compétentes sur réquisition légale ou judiciaire :

  • Services de police ou de gendarmerie dans le cadre d'une enquête judiciaire ;
  • Administration fiscale (DGFIP) dans le cadre des obligations DAC7 ;
  • CNIL dans le cadre de ses missions de contrôle (art. 47 loi Informatique et Libertés) ;
  • Juridictions judiciaires dans le cadre de procédures contentieuses.

Maloc s'engage à n'effectuer de telles communications que dans le strict cadre légal requis, et à en informer l'Utilisateur concerné dans la mesure du possible et du légalement permis.

6.4. Pas de vente de données

Maloc s'engage formellement et irrévocablement à ne jamais vendre, louer, céder à titre onéreux ou échanger les données personnelles de ses Utilisateurs avec des tiers à des fins commerciales.

Article 7 — TRANSFERTS DE DONNÉES HORS DE L'UNION EUROPÉENNE

7.1. Principe de localisation en Union Européenne

Maloc s'efforce de maintenir les données personnelles de ses Utilisateurs au sein de l'Union Européenne :

  • La base de données principale (Supabase) est hébergée à Francfort, Allemagne ;
  • Les serveurs applicatifs (Hetzner) sont hébergés en Allemagne ;
  • Le géocodage (HERE.com) est traité aux Pays-Bas (UE).

7.2. Transferts vers les États-Unis

Certains sous-traitants sont établis ou opèrent partiellement aux États-Unis. Ces transferts sont encadrés conformément aux articles 44 à 49 du RGPD par les mécanismes suivants :

a) Data Privacy Framework (DPF) — Décision d'adéquation de la Commission européenne du 10 juillet 2023 (C(2023) 4745) :

  • Stripe, Inc. — certifié DPF
  • Cloudflare, Inc. — certifié DPF
  • Meta Platforms, Inc. — certifié DPF

b) Clauses Contractuelles Types (SCC) — Décision d'exécution (UE) 2021/914 du 4 juin 2021 :

  • Resend, Inc.
  • ElevenLabs, Inc.
  • Cloudflare, Inc. (SCC complémentaires aux DPF)

7.3. Mesures complémentaires de protection

Conformément aux recommandations du CEPD (Guidelines 05/2021 on transfers of personal data under the GDPR), Maloc met en œuvre les mesures complémentaires suivantes :

  • Chiffrement des données en transit via TLS 1.3 (minimum TLS 1.2) pour toutes les communications ;
  • Chiffrement des données au repos pour les données sensibles (pièces d'identité, données KYC) ;
  • Pseudonymisation des données dans les environnements de développement et de test ;
  • Principe de minimisation : seules les données strictement nécessaires sont transmises aux sous-traitants hors UE.

7.4. Registre des transferts internationaux

Maloc maintient un registre des transferts internationaux de données conformément à l'article 30(1)(e) du RGPD. Ce registre est disponible sur demande motivée adressée à dpo@maloc.life.

Article 8 — DROITS DES PERSONNES CONCERNÉES

Conformément aux articles 15 à 22 du RGPD, toute personne concernée — y compris les dirigeants de sociétés Loueurs en ce qui concerne leurs données personnelles — dispose des droits suivants :

8.1. Droit d'accès (art. 15 RGPD)

Toute personne concernée peut obtenir la confirmation que des données la concernant sont traitées par Maloc, et accéder à l'ensemble de ces données, aux informations sur les finalités, les destinataires, les durées de conservation et les droits disponibles. Une copie des données peut être fournie dans un format lisible.

8.2. Droit de rectification (art. 16 RGPD)

Les données inexactes peuvent être rectifiées directement depuis l'espace personnel ou par demande au DPO. Pour les données KYC (pièces d'identité périmées, changement de dirigeant), l'Utilisateur est invité à soumettre les documents mis à jour via la Plateforme.

8.3. Droit à l'effacement — « Droit à l'oubli » (art. 17 RGPD)

Toute personne concernée peut demander l'effacement de ses données lorsque :

  • Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • Le consentement est retiré et il n'existe pas d'autre base légale ;
  • Une opposition valide a été exercée (art. 21 RGPD) ;
  • Les données ont fait l'objet d'un traitement illicite.

Limites de ce droit : L'effacement ne peut être accordé lorsque le traitement est nécessaire à l'exécution d'une obligation légale de conservation (données comptables, LBC/FT), à la constatation ou la défense de droits en justice, ou à des fins d'archivage dans l'intérêt public.

8.4. Droit à la portabilité des données (art. 20 RGPD)

Les données traitées sur la base du contrat ou du consentement peuvent être récupérées dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV). Ce droit s'applique aux Locataires et aux dirigeants de Loueurs pour leurs données personnelles.

8.5. Droit d'opposition (art. 21 RGPD)

Toute personne concernée peut s'opposer à tout moment :

  • Au traitement fondé sur l'intérêt légitime de Maloc, pour des raisons tenant à sa situation particulière — Maloc doit alors démontrer des motifs légitimes impérieux prévalant sur les intérêts de la personne concernée ;
  • À la prospection commerciale (opposition absolue, sans justification requise) ;
  • À l'inclusion dans le système de scoring des Loueurs (voir Article 11).

L'opposition à la prospection commerciale peut être exercée directement depuis les paramètres de notification du compte ou en écrivant à dpo@maloc.life.

8.6. Droit à la limitation du traitement (art. 18 RGPD)

La limitation du traitement peut être demandée notamment :

  • En cas de contestation de l'exactitude des données, pendant la durée de vérification par Maloc ;
  • Si le traitement est illicite et que la personne s'oppose à l'effacement ;
  • Si Maloc n'a plus besoin des données mais que la personne en a besoin pour la constatation de droits en justice.

8.7. Droit de retrait du consentement (art. 7(3) RGPD)

Le retrait du consentement (cookies, marketing) peut être exercé à tout moment, sans remettre en cause la licéité des traitements antérieurs. Le retrait s'effectue via le bandeau de gestion des cookies ou par email à dpo@maloc.life. Le retrait est effectif dans un délai maximum de 72 heures.

8.8. Droit d'introduire une réclamation auprès de la CNIL (art. 77 RGPD)

Toute personne concernée peut introduire une réclamation auprès de l'autorité de contrôle compétente :

CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Téléphone : +33 (0)1 53 73 22 22
Site web : https://www.cnil.fr
Formulaire en ligne : https://www.cnil.fr/fr/plaintes

8.9. Modalités pratiques d'exercice des droits

Comment exercer vos droits :

  • Par email : dpo@maloc.life (objet : « Exercice de droits RGPD — [Nature du droit] »)
  • Par courrier : MALOC SASU, 15 quai aux fleurs, 75004 Paris — À l'attention du DPO (confidentiel)
  • Via l'espace personnel sur la Plateforme pour les droits directement accessibles (rectification, opposition marketing)

Délai de réponse : Maloc s'engage à répondre dans un délai de trente (30) jours calendaires à compter de la réception de la demande (art. 12(3) RGPD). Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de complexité ou de nombre important de demandes, avec notification motivée dans le délai initial de trente jours.

Vérification d'identité : Une copie d'un document d'identité peut être demandée pour traiter les demandes sensibles, afin de prévenir les accès frauduleux. Ce document est supprimé dès le traitement de la demande.

Gratuité : L'exercice des droits est gratuit. En cas de demandes manifestement infondées ou excessives (fréquence abusive), Maloc peut facturer des frais raisonnables ou refuser de donner suite, avec notification motivée (art. 12(5) RGPD).

Article 9 — PROFILAGE ET DÉCISIONS AUTOMATISÉES

9.1. Système de scoring des Loueurs

Maloc utilise un système de scoring automatisé pour évaluer la qualité de service des Loueurs sur la Plateforme. Ce score est calculé sur la base de critères objectifs de performance :

| Critère | Pondération indicative | |---|---| | Note moyenne reçue des Locataires | Significative | | Taux de ponctualité (check-in/check-out) | Significative | | Taux d'annulation par le Loueur | Significative | | Réactivité aux demandes de réservation | Modérée | | Qualité et exhaustivité du profil et des Annonces | Modérée | | Nombre et ancienneté des réservations | Modérée | | Taux de litige résolu en faveur du Locataire | Significative |

Base légale : Intérêt légitime de Maloc (art. 6(1)(f) RGPD) — amélioration de la qualité du service et protection des Locataires. Maloc a procédé à un test de mise en balance confirmant que cet intérêt prévaut sur les intérêts des Loueurs, eu égard à la nature professionnelle de ces derniers et aux effets limités du scoring.

Effets du scoring :

  • Influence sur le classement des Annonces dans les résultats de recherche ;
  • Un score insuffisant peut déclencher une procédure de vérification ou de mise en garde ;
  • Le score n'entraîne pas de résiliation automatique de compte (voir §9.3).

9.2. Droit d'opt-out du scoring

Tout Loueur peut s'opposer à l'inclusion de ses données dans le système de scoring en adressant une demande à dpo@maloc.life. En cas d'opposition valide, le Loueur sera exclu du système de classement basé sur le score, ce qui peut entraîner une visibilité réduite de ses Annonces dans les résultats de recherche. Maloc informera le Loueur des conséquences pratiques de son opposition avant de la mettre en œuvre.

9.3. Absence de décision entièrement automatisée produisant des effets juridiques

Conformément à l'article 22 du RGPD, Maloc s'engage à ne prendre aucune décision produisant des effets juridiques significatifs — notamment résiliation de compte, suspension permanente, interdiction d'accès — sur la seule base d'un traitement entièrement automatisé, sans intervention humaine. Toute décision de suspension ou de bannissement de compte fait l'objet d'un examen humain préalable par l'équipe Trust & Safety de Maloc.

9.4. Droit à l'explication et droit de contestation

Tout Utilisateur affecté par une décision impliquant un traitement automatisé dispose :

  • Du droit d'obtenir une explication sur la logique du traitement et les critères utilisés (art. 22(3) RGPD) ;
  • Du droit de contester la décision auprès d'un interlocuteur humain de Maloc ;
  • Du droit de faire valoir son point de vue avant que la décision ne soit rendue définitive.

Ces droits s'exercent en adressant une demande à dpo@maloc.life ou via la procédure de recours interne prévue dans les CGU.

Article 10 — SÉCURITÉ DES DONNÉES

10.1. Mesures techniques et organisationnelles (art. 32 RGPD)

Maloc met en œuvre les mesures de sécurité appropriées au regard des risques identifiés lors de l'analyse d'impact sur la protection des données (AIPD) :

Mesures techniques :

  • Chiffrement en transit : TLS 1.3 (minimum TLS 1.2) pour toutes les communications entre les Utilisateurs et la Plateforme (HTTPS obligatoire) ;
  • Chiffrement au repos : Chiffrement AES-256 des données sensibles (pièces d'identité, données KYC) dans les bases de données ;
  • Authentification forte : Authentification OTP (code à usage unique par email ou SMS) pour chaque connexion et action sensible ;
  • Hachage des mots de passe : Stockage sous forme hachée avec bcrypt (coût ≥ 12) ;
  • Isolation des environnements : Séparation stricte des environnements de production, de staging et de développement ;
  • Pseudonymisation : Utilisation de données pseudonymisées dans les environnements de test.

Mesures organisationnelles :

  • Contrôle d'accès : Principe du moindre privilège — accès aux données personnelles strictement limité aux personnes habilitées en fonction de leur rôle ;
  • Journalisation : Logs d'accès aux données sensibles, conservés pendant un (1) an, permettant la détection d'accès non autorisés ;
  • Sauvegardes : Sauvegardes chiffrées régulières (quotidiennes), stockées dans des environnements sécurisés géographiquement distincts de la production ;
  • Formation : Formation annuelle des équipes Maloc aux bonnes pratiques de protection des données ;
  • Revue des accès : Revue trimestrielle des habilitations d'accès aux données.

10.2. Violation de données — Procédure (art. 33-34 RGPD)

En cas de violation de données à caractère personnel (accès non autorisé, destruction, perte, altération, divulgation non autorisée), Maloc applique la procédure suivante :

Étape 1 — Détection et qualification (H+0 à H+4) :

  • Identification de la nature de la violation et des données affectées ;
  • Évaluation de la probabilité de risque pour les droits et libertés des personnes concernées ;
  • Activation de la cellule de crise interne.

Étape 2 — Notification à la CNIL (dans les 72 heures) :

  • Conformément à l'article 33 du RGPD, Maloc notifie la CNIL dans un délai de soixante-douze (72) heures après avoir pris connaissance d'une violation susceptible d'engendrer un risque pour les droits et libertés des personnes concernées ;
  • La notification comprend : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les données affectées, les conséquences probables, les mesures prises ou envisagées ;
  • Si la notification ne peut être complète dans le délai de 72 heures, une notification initiale est envoyée et complétée sans délai injustifié.

Étape 3 — Notification aux personnes concernées (si risque élevé) :

  • Conformément à l'article 34 du RGPD, Maloc informe sans délai injustifié les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (ex. : vol d'identité, discrimination, préjudice financier) ;
  • La communication décrit en termes clairs la nature de la violation, les données affectées, les conséquences probables et les mesures prises pour y remédier ;
  • La communication est effectuée via l'email associé au compte de l'Utilisateur et, si applicable, via notification in-app.

Étape 4 — Journalisation :

  • Toute violation de données est documentée dans le registre interne des violations (art. 33(5) RGPD), conservé cinq (5) ans, qu'elle ait ou non été notifiée à la CNIL.

Article 11 — GÉOLOCALISATION ET PHOTOGRAPHIES

11.1. Géolocalisation des Véhicules — Adresse statique uniquement

La Plateforme Maloc utilise des données de géolocalisation dans les contextes suivants :

  • Affichage cartographique des Annonces : L'adresse de mise à disposition du Véhicule, renseignée par le Loueur, est géocodée via le service HERE.com (conversion adresse → coordonnées GPS) pour afficher le Véhicule sur la carte de recherche. Il s'agit d'une adresse statique choisie par le Loueur, non d'une position temps réel.

  • Métadonnées GPS des photos d'état des lieux : Les coordonnées GPS extraites des photographies check-in/check-out correspondent à la position géographique du lieu de remise ou de restitution du Véhicule au moment de la prise de vue. Ces coordonnées servent à horodater et géolocaliser l'état des lieux pour valeur probatoire.

Maloc ne procède en aucun cas à :

  • Un tracking GPS continu ou périodique du Véhicule pendant la durée de la location ;
  • Une collecte de la position géographique en temps réel du Locataire ou du Loueur via la Plateforme ;
  • Toute forme de surveillance de la mobilité des Utilisateurs.

11.2. Photographies de l'état des lieux — Traitement des données potentiellement sensibles

Les photographies d'état des lieux (check-in/check-out) ont pour objet exclusif de documenter l'état du Véhicule. Ces photographies peuvent, fortuitement, capturer des personnes physiques identifiables (passants, autres personnes présentes lors de l'état des lieux).

Mesures applicables :

  • Maloc recommande expressément aux parties de ne pas photographier des tiers identifiables lors de l'état des lieux ;
  • En cas de présence d'une personne identifiable dans une photographie, cette image constitue une donnée personnelle au sens du RGPD et est soumise aux protections correspondantes ;
  • Les personnes identifiables apparaissant fortuitement sur ces photographies peuvent exercer leur droit d'accès et de suppression auprès du DPO (dpo@maloc.life), sous réserve des obligations de conservation probatoire ;
  • L'accès aux photographies est strictement limité : les parties à la transaction (Loueur et Locataire) y ont accès, ainsi que Maloc et, le cas échéant, les autorités compétentes dans le cadre d'un litige.

Durée de conservation : 5 ans à compter du check-out (valeur probatoire en cas de litige sur l'état du Véhicule).

Article 12 — COOKIES ET TRACEURS

12.1. Cadre réglementaire applicable

La gestion des cookies et traceurs est encadrée par :

  • La Directive 2002/58/CE concernant la vie privée dans les communications électroniques (ePrivacy) ;
  • L'article 82 de la loi Informatique et Libertés (transposition française de la directive ePrivacy) ;
  • Les recommandations de la CNIL du 17 septembre 2020 sur les cookies et traceurs (délibération n° 2020-091) ;
  • Les lignes directrices du CEPD sur le consentement (Guidelines 05/2020).

12.2. Principe de consentement préalable

Conformément à l'article 82 de la loi Informatique et Libertés, seuls les cookies strictement nécessaires au fonctionnement de la Plateforme peuvent être déposés sans le consentement préalable de l'Utilisateur. Tous les autres cookies requièrent un consentement libre, spécifique, éclairé et univoque (art. 4(11) RGPD).

12.3. Absence de cookie wall — Accès libre sans consentement aux cookies non essentiels

Conformément aux lignes directrices de la CNIL et à la jurisprudence du CEPD, le refus des cookies non essentiels ne peut conditionner l'accès à la Plateforme. Tout Utilisateur peut accéder et utiliser l'ensemble des fonctionnalités de la Plateforme Maloc sans accepter les cookies analytiques ou marketing. L'absence de cookie wall est une garantie fondamentale de la liberté du consentement.

12.4. Symétrie du consentement et du refus

Conformément aux lignes directrices CNIL 2020, refuser les cookies doit être aussi simple qu'accepter. L'interface de gestion des cookies de la Plateforme offre :

  • Un bouton « Tout accepter » et un bouton « Tout refuser » de présentation et d'accessibilité équivalentes ;
  • La possibilité d'un paramétrage granulaire par catégorie de cookies ;
  • Aucune contrainte de navigation supplémentaire pour accéder au bouton de refus.

12.5. Tableau des cookies utilisés

a) Cookies strictement nécessaires — Exemptés de consentement (art. 82 LIL)

| Nom / Identifiant | Éditeur | Finalité | Durée de vie | |---|---|---|---| | sb-[project]-auth-token | Maloc (Supabase) | Maintien de la session authentifiée de l'Utilisateur | Durée de la session | | csrf_token | Maloc | Protection contre les attaques Cross-Site Request Forgery (CSRF) | Durée de la session | | user_prefs | Maloc | Mémorisation des préférences d'affichage (langue, fuseau horaire) | 13 mois |

Ces cookies sont indispensables au fonctionnement technique de la Plateforme. Leur désactivation rendrait la Plateforme inutilisable ou non sécurisée. Ils ne collectent pas de données à des fins de suivi comportemental.

b) Cookies analytiques — Consentement requis

| Outil | Éditeur | Finalité | Durée de vie | Base légale | |---|---|---|---|---| | Outil analytics (à préciser lors du déploiement) | À préciser | Mesure d'audience anonymisée : pages visitées, durée des sessions, taux de rebond — données agrégées et anonymisées | 13 mois maximum | Consentement — art. 6(1)(a) RGPD + art. 82 LIL |

Si les données collectées sont strictement agrégées et anonymisées, Maloc pourra le cas échéant solliciter une exemption de consentement auprès de la CNIL conformément à sa délibération n° 2022-253 du 19 juillet 2022 (cookies analytiques de mesure d'audience exemptés).

c) Cookies marketing et publicitaires — Consentement requis

| Outil | Éditeur | ID / Identifiant | Finalité | Durée de vie | Base légale | |---|---|---|---|---|---| | Meta Pixel | Meta Platforms Ireland Limited | ID Pixel : 1605202037392588 | Mesure de l'efficacité des campagnes publicitaires Meta (Facebook, Instagram), retargeting publicitaire, création d'audiences similaires | 13 mois maximum | Consentement — art. 6(1)(a) RGPD + art. 82 LIL |

Le Meta Pixel est inactif par défaut. Il n'est chargé et ne dépose de cookies qu'après recueil du consentement explicite de l'Utilisateur. En cas de refus ou d'absence de choix, aucun cookie Meta n'est déposé et aucun identifiant de suivi n'est transmis à Meta Platforms.

12.6. Interface de gestion des cookies (Consent Management Platform)

Un bandeau de gestion des cookies conforme aux recommandations CNIL est affiché à chaque première visite sur la Plateforme et lors de toute modification substantielle des cookies utilisés. L'Utilisateur peut à tout moment modifier ses préférences via le lien « Gérer mes cookies » disponible en pied de chaque page de la Plateforme.

12.7. Durée de validité du consentement

Le consentement est valable pour une durée maximale de treize (13) mois. À l'expiration de ce délai, le bandeau est à nouveau présenté à l'Utilisateur pour renouvellement. En l'absence de renouvellement, les cookies non essentiels sont automatiquement désactivés.

12.8. Cookies tiers

Certains cookies peuvent être déposés directement par des tiers (Meta Platforms) sur le terminal de l'Utilisateur. Maloc n'a pas de contrôle direct sur ces cookies tiers une fois le consentement accordé. Les Utilisateurs sont invités à consulter les politiques de confidentialité des tiers concernés :

  • Meta Platforms : https://www.facebook.com/privacy/policy/

Article 13 — MINEURS

13.1. La Plateforme Maloc est réservée exclusivement aux personnes physiques âgées d'au moins dix-huit (18) ans. Maloc ne collecte pas sciemment des données personnelles relatives à des mineurs.

13.2. L'Utilisateur qui crée un compte sur la Plateforme certifie être majeur. En cas de découverte que des données d'un mineur ont été collectées, Maloc procède à la suppression de ces données dans les meilleurs délais et sans délai injustifié.

13.3. Les parents ou tuteurs légaux d'un mineur dont les données auraient été collectées peuvent en demander la suppression immédiate en contactant le DPO à dpo@maloc.life.

Article 14 — RÔLES RESPECTIFS LOUEUR / MALOC (ART. 26-28 RGPD)

14.1. Maloc en qualité de responsable de traitement

Maloc est responsable de traitement pour l'ensemble des traitements effectués pour ses propres finalités : gestion de la plateforme, facturation, sécurité, scoring des Loueurs, obligations légales.

14.2. Maloc en qualité de sous-traitant des Loueurs

Pour les traitements effectués pour le compte des Loueurs via les outils de la Plateforme (messagerie interne, gestion des états des lieux, stockage des contrats de location), Maloc agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Dans ce cadre :

  • Un accord de traitement des données (DPA) entre Maloc et chaque Loueur formalise les obligations respectives ;
  • Maloc traite ces données uniquement sur instruction documentée du Loueur ;
  • Maloc ne sous-traite ces données à des tiers que dans le cadre des sous-traitants listés à l'Article 6.2.

14.3. Obligations des Loueurs en qualité de responsables de traitement

Les Loueurs professionnels, en tant que responsables de traitement pour leurs propres activités de location, sont tenus de :

  • Informer leurs clients (Locataires) de leurs propres traitements de données conformément aux articles 13 et 14 du RGPD ;
  • Disposer d'une base légale valide pour chaque traitement de données personnelles qu'ils effectuent ;
  • Respecter les durées de conservation applicables à leurs propres traitements ;
  • Garantir les droits des personnes concernées pour les traitements dont ils sont responsables.

Article 15 — ANALYSE D'IMPACT RELATIVE À LA PROTECTION DES DONNÉES (AIPD)

Conformément à l'article 35 du RGPD, Maloc a procédé ou procédera à une Analyse d'Impact relative à la Protection des Données (AIPD) pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes, notamment :

  • Le traitement des pièces d'identité et données KYC (grande échelle, données sensibles) ;
  • Le système de scoring des Loueurs (profilage) ;
  • Les photographies d'état des lieux avec données GPS.

Les conclusions de ces AIPD sont documentées et conservées par le DPO. Elles peuvent être transmises à la CNIL sur demande.

Article 16 — REGISTRE DES ACTIVITÉS DE TRAITEMENT (ART. 30 RGPD)

16.1. Conformément à l'article 30 du RGPD, Maloc tient et maintient à jour un registre des activités de traitement. Ce registre, tenu par le DPO, documente :

  • Le nom et les coordonnées du responsable de traitement et du DPO ;
  • Les finalités des traitements ;
  • Les catégories de personnes concernées et de données ;
  • Les catégories de destinataires ;
  • Les transferts vers des pays tiers et les garanties applicables ;
  • Les délais de conservation ;
  • Une description générale des mesures de sécurité.

16.2. Ce registre est disponible sur demande motivée adressée à dpo@maloc.life, dans les conditions prévues par la CNIL, notamment dans le cadre d'une demande de la CNIL ou d'une personne concernée souhaitant en vérifier l'existence.

Article 17 — MODIFICATION DE LA POLITIQUE DE CONFIDENTIALITÉ

17.1. Maloc se réserve le droit de modifier la présente Politique à tout moment, notamment pour s'adapter aux évolutions légales, réglementaires (nouvelles recommandations CNIL, CEPD), ou à de nouvelles pratiques de traitement des données.

17.2. En cas de modification substantielle (nouvelles finalités, nouveaux sous-traitants, changement de base légale, nouveaux transferts hors UE), Maloc notifie les Utilisateurs par email à l'adresse associée à leur compte, au moins trente (30) jours avant la date d'entrée en vigueur des modifications.

17.3. Si les modifications nécessitent un nouveau consentement (ex. : nouveau traitement fondé sur le consentement), Maloc recueille ce consentement préalablement à la mise en œuvre du nouveau traitement.

17.4. En cas de refus des modifications impliquant une évolution du contrat, l'Utilisateur peut exercer son droit à la suppression de son compte. Maloc traitera alors les données restantes conformément aux obligations légales de conservation.

17.5. Les versions successives de la présente Politique sont archivées par le DPO et accessibles sur demande à dpo@maloc.life. Un historique des versions est également consultable en bas de la page de la Politique sur la Plateforme.

Article 18 — CONTACT ET EXERCICE DES DROITS

Pour toute question relative à la présente Politique ou pour exercer vos droits en matière de protection des données :

Délégué à la Protection des Données (DPO)

MALOC SASU — À l'attention du DPO
15 quai aux fleurs, 75004 Paris
Email : dpo@maloc.life
(Objet recommandé : « Exercice de droits RGPD — [Nature de votre demande] »)

Service client général

Email : contact@maloc.life

Autorité de contrôle compétente

CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Téléphone : +33 (0)1 53 73 22 22
Site web : https://www.cnil.fr
Réclamation en ligne : https://www.cnil.fr/fr/plaintes

ANNEXE A — GLOSSAIRE

| Terme | Définition | |---|---| | RGPD | Règlement (UE) n° 2016/679 du 27 avril 2016 — Règlement Général sur la Protection des Données | | LIL | Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée | | ePrivacy | Directive 2002/58/CE concernant le traitement des données et la protection de la vie privée dans les communications électroniques | | CNIL | Commission Nationale de l'Informatique et des Libertés — autorité de contrôle française | | CEPD | Comité Européen de la Protection des Données — instance européenne de coordination | | DPO | Délégué à la Protection des Données (Data Protection Officer) | | KYC | Know Your Customer — processus de vérification d'identité et de conformité | | LBC/FT | Lutte contre le Blanchiment de Capitaux et le Financement du Terrorisme | | SCC | Standard Contractual Clauses — Clauses Contractuelles Types adoptées par la Commission européenne | | DPF | Data Privacy Framework — cadre de protection des données UE-USA (décision d'adéquation 2023) | | DPA | Data Processing Agreement — accord de traitement des données (art. 28 RGPD) | | AIPD | Analyse d'Impact relative à la Protection des Données (art. 35 RGPD) | | OTP | One-Time Password — code à usage unique pour l'authentification | | DAC7 | Directive (UE) 2021/514 — obligation déclarative des plateformes numériques aux autorités fiscales | | DSP2 | Directive (UE) 2015/2366 — services de paiement dans le marché intérieur | | CDN | Content Delivery Network — réseau de diffusion de contenu | | TLS | Transport Layer Security — protocole de chiffrement des communications (HTTPS) | | WAF | Web Application Firewall — pare-feu applicatif |

ANNEXE B — RÉFÉRENTIEL LÉGAL

La présente Politique s'appuie sur les textes suivants :

Union européenne :

  • Règlement (UE) n° 2016/679 du 27 avril 2016 (RGPD)
  • Directive 2002/58/CE du 12 juillet 2002 (ePrivacy)
  • Règlement (UE) 2022/2065 du 19 octobre 2022 (DSA — Digital Services Act)
  • Directive (UE) 2015/2366 du 25 novembre 2015 (DSP2)
  • Directive (UE) 2021/514 du 22 mars 2021 (DAC7)
  • Décision d'exécution (UE) 2021/914 du 4 juin 2021 (SCC)
  • Décision d'adéquation C(2023) 4745 du 10 juillet 2023 (DPF UE-USA)

France :

  • Loi n° 78-17 du 6 janvier 1978 (Informatique et Libertés) modifiée
  • Ordonnance n° 2018-1125 du 12 décembre 2018
  • Loi n° 2004-575 du 21 juin 2004 (LCEN)
  • Ordonnance n° 2016-1635 du 1er décembre 2016 (LBC/FT)
  • Article L561-12 du Code monétaire et financier (conservation LBC/FT)
  • Article L123-22 du Code de commerce (conservation comptable)
  • Article 2224 du Code civil (prescription quinquennale de droit commun)
  • Article L110-4 du Code de commerce (prescription commerciale)
  • Article L121-6 du Code de la route (désignation du conducteur)
  • Article L111-7 du Code de la consommation (opérateur de plateforme)

Recommandations et lignes directrices :

  • Délibération CNIL n° 2020-091 du 17 septembre 2020 (cookies et traceurs)
  • Délibération CNIL n° 2022-253 du 19 juillet 2022 (exemption cookies analytiques)
  • CEPD Guidelines 05/2020 sur le consentement (version révisée du 4 mai 2020)
  • CEPD Guidelines 05/2021 sur les transferts de données personnelles
  • CEPD Guidelines 01/2022 sur les droits des personnes concernées

MALOC SASU — Politique de Confidentialité — Version 2.0 — 22 mars 2026
Responsable de la rédaction : DPO Maloc (dpo@maloc.life)
Prochaine révision planifiée : mars 2027