Politique de Confidentialite

Le responsable du traitement des donnees personnelles collectees via la plateforme auria-assurances.fr est :

• Raison sociale : Auria Assurances SAS
• Siege social : 12 rue de la Paix, 75002 Paris, France
• RCS : Paris B 912 345 678
• Immatriculation ORIAS : 24 000 000 (courtier en assurance)
• Email DPO : dpo@auria-assurances.fr

Dans le cadre de nos services, nous collectons les categories de donnees suivantes :

• Donnees d'identite : nom, prenom, adresse email, numero de telephone
• Donnees professionnelles : raison sociale, SIREN/SIRET, adresse du siege
• Donnees vehicules : immatriculation, numero VIN, marque, modele, valeur
• Documents : Kbis, cartes grises, permis de conduire, attestations d'assurance
• Donnees financieres : informations de paiement (traitees par Stripe, notre prestataire certifie PCI-DSS)
• Donnees de connexion : adresse IP, type de navigateur, horodatage des connexions
• Donnees de geolocalisation : uniquement en cas d'assistance sinistre (SOS), avec votre consentement explicite

Vos donnees sont traitees pour les finalites suivantes :

• Execution du contrat : gestion de votre souscription, emission des attestations, gestion des sinistres
• Obligation legale : lutte anti-blanchiment (LCB-FT), conservation des pieces justificatives, declarations ACPR
• Interet legitime : prevention de la fraude a l'assurance via notre systeme de verification documentaire (OCR + validation croisee)
• Consentement : envoi de communications commerciales, utilisation de cookies analytiques (PostHog), geolocalisation d'assistance

Chaque traitement repose sur une base legale conforme au RGPD (art. 6) :

• Art. 6.1.b : execution du contrat d'assurance et pre-contractuel (devis, souscription)
• Art. 6.1.c : obligations legales (Code des assurances, LCB-FT, ORIAS)
• Art. 6.1.f : interet legitime (anti-fraude, securite de la plateforme, amelioration du service)
• Art. 6.1.a : consentement (cookies analytiques, newsletters, geolocalisation)

Vos donnees peuvent etre transmises aux destinataires suivants :

• Compagnies d'assurance partenaires : pour l'emission et la gestion de vos contrats
• Stripe Inc. : traitement securise des paiements (certifie PCI-DSS Niveau 1)
• Mistral AI : extraction OCR des documents (traitement automatise, pas de stockage cote Mistral)
• Mapbox Inc. : affichage cartographique pour l'assistance sinistre
• PostHog : analytics de la plateforme (serveurs UE)
• Autorites competentes : en cas d'obligation legale (ACPR, TRACFIN, autorites judiciaires)

Aucune donnee n'est vendue a des tiers. Les sous-traitants sont lies par des clauses contractuelles conformes a l'article 28 du RGPD.

Certains de nos sous-traitants sont etablis aux Etats-Unis :

• Stripe : encadre par le EU-US Data Privacy Framework (decision d'adequation du 10/07/2023)
• Mapbox : clauses contractuelles types (CCT) de la Commission europeenne

Les donnees OCR traitees par Mistral AI restent sur des serveurs situes en France. Les donnees PostHog sont hebergees dans l'Union europeenne (Francfort).

Les donnees sont conservees selon les durees suivantes :

• Donnees contractuelles : duree du contrat + 5 ans (prescription civile, art. 2224 Code civil)
• Documents d'identite : duree du contrat + 5 ans (obligations LCB-FT)
• Donnees de paiement : 13 mois apres la transaction (recommandation CNIL)
• Logs de connexion : 12 mois (LCEN)
• Donnees de sinistres : duree du contrat + 10 ans (prescription en assurance)
• Cookies analytiques : 13 mois maximum
• Comptes inactifs : suppression apres 3 ans d'inactivite

Nous mettons en oeuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement : AES-256-GCM pour les donnees sensibles au repos, TLS 1.3 en transit
• Authentification : mots de passe haches (bcrypt, cout 12), sessions JWT a duree limitee (2h)
• Controle d'acces : RBAC (controle d'acces base sur les roles), isolation multi-tenant par entreprise
• Protection API : rate limiting Redis, protection CSRF, en-tetes de securite (CSP, HSTS)
• Audit : journalisation des acces aux documents et operations sensibles
• URLs signees : acces temporaire et signe aux documents (comparaison en temps constant)

Conformement au RGPD, vous disposez des droits suivants :

• Droit d'acces (art. 15) : obtenir une copie de vos donnees personnelles
• Droit de rectification (art. 16) : corriger vos donnees inexactes ou incompletes
• Droit a l'effacement (art. 17) : demander la suppression de vos donnees (sous reserve des obligations legales de conservation)
• Droit a la limitation (art. 18) : suspendre le traitement de vos donnees
• Droit a la portabilite (art. 20) : recevoir vos donnees dans un format structure (JSON/CSV)
• Droit d'opposition (art. 21) : vous opposer au traitement fonde sur l'interet legitime
• Retrait du consentement : a tout moment pour les traitements fondes sur le consentement

Pour exercer vos droits, contactez notre DPO a dpo@auria-assurances.fr ou par courrier a l'adresse du siege. Nous repondons sous 30 jours.

En cas de litige, vous pouvez introduire une reclamation aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes) — www.cnil.fr.

Notre plateforme utilise les cookies suivants :

• Cookies strictement necessaires : session d'authentification (NextAuth), preferences de theme — non soumis au consentement
• Cookies analytiques : PostHog (mesure d'audience anonymisee, serveurs UE) — soumis a votre consentement

Nous n'utilisons aucun cookie publicitaire ni de tracking tiers. Vous pouvez gerer vos preferences via le bandeau de consentement affiche lors de votre premiere visite, ou a tout moment depuis les parametres de votre navigateur.

Notre plateforme utilise l'intelligence artificielle (Mistral AI) pour :

• Extraction OCR : lecture automatisee de vos documents (Kbis, cartes grises, permis)
• Validation anti-fraude : comparaison croisee des donnees extraites par distance de Levenshtein
• Analyse de sinistres : pre-analyse des declarations et photos de sinistres

Ces traitements ne produisent aucune decision juridique automatisee au sens de l'article 22 du RGPD. Chaque document est soumis a une verification humaine avant validation definitive. Vous pouvez contester toute decision et demander une revision humaine en contactant notre support.

Nous nous reservons le droit de modifier cette politique a tout moment. En cas de modification substantielle, vous serez informe par email ou notification dans votre espace client au moins 30 jours avant l'entree en vigueur. La date de derniere mise a jour figure en haut de cette page.