Conformité au RGPD
Dernière mise à jour le 3 juillet 2026
Dernière mise à jour : 1er juillet 2026
AirportFusion est exploité depuis l’Union européenne et s’engage à une conformité totale avec le Règlement (UE) 2016/679 (RGPD). Cette page résume notre dispositif de conformité. Pour une vue complète de ce que nous traitons et pourquoi, consultez notre Politique de confidentialité.
1. Notre rôle
- Pour le site web et les comptes voyageurs, AirportFusion est le responsable du traitement.
- Pour l’API publique, lorsque votre application nous transmet des données à caractère personnel de vos propres utilisateurs finaux (par exemple des adresses qu’ils saisissent), vous êtes le responsable du traitement et AirportFusion agit en qualité de sous-traitant, traitant ces données uniquement pour exécuter des recherches pour votre compte.
2. Principes de protection des données que nous appliquons
- Minimisation des données — nous ne collectons que ce dont le Service a besoin. La recherche anonyme fonctionne sans compte.
- Pseudonymisation et anonymisation — les adresses IP sont hachées de manière irréversible avant stockage ; les sessions statistiques utilisent des identifiants aléatoires ; les requêtes IA ne contiennent aucun identifiant de compte.
- Limitation de la conservation — chaque catégorie de données a une durée de conservation définie (voir § 6).
- Sécurité dès la conception — TLS en transit, secrets chiffrés au repos, hachage bcrypt des mots de passe, permissions d’administration fondées sur les rôles, journalisation d’audit des actions d’administration.
- Transparence — cette page, la Politique de confidentialité et la Politique relative aux cookies décrivent tous les traitements en langage clair.
3. Sous-traitants et sous-traitants ultérieurs
| Sous-traitant | Finalité | Localisation / mécanisme de transfert | | --- | --- | --- | | Stripe | Paiements, abonnements, facturation | États-Unis/UE — cadre de protection des données UE–États-Unis, CCT | | OpenAI | Recommandations d’itinéraires par IA (contexte de recherche pseudonymisé uniquement) | États-Unis — CCT ; données de l’API non utilisées pour l’entraînement des modèles | | Prestataire d’envoi d’e-mails | E-mails transactionnels | UE ou couvert par le DPF/les CCT | | Prestataire d’hébergement / base de données | Infrastructure applicative | UE |
Nous concluons avec chaque sous-traitant un accord de traitement des données conforme à l’article 28 et réexaminons cette liste avant tout ajout.
4. Transferts internationaux
Lorsque des données quittent l’EEE (Stripe, OpenAI), les transferts s’appuient sur des décisions d’adéquation (cadre de protection des données UE–États-Unis) et/ou sur les clauses contractuelles types, avec des mesures techniques supplémentaires (pseudonymisation, minimisation) appliquées aux données transférées.
5. Vos droits et comment les exercer
En vertu des articles 15 Ã 22 du RGPD, vous pouvez demander :
- l’accès — une copie des données à caractère personnel que nous détenons à votre sujet ;
- la rectification — la correction des données inexactes (une grande partie est modifiable directement dans votre compte) ;
- l’effacement — la suppression de votre compte et des données à caractère personnel associées ;
- la limitation — la restriction du traitement le temps qu’un différend soit résolu ;
- la portabilité — vos données de compte et de recherche dans un format lisible par machine ;
- l’opposition — aux traitements fondés sur l’intérêt légitime, y compris les statistiques ;
- le retrait du consentement — à tout moment, pour les traitements fondés sur le consentement, tels que les cookies facultatifs.
Adressez vos demandes à l’adresse e-mail d’assistance publiée sur ce site, depuis l’adresse liée à votre compte (ou avec une preuve d’identité équivalente). Nous répondons dans un délai d’un mois, prorogeable de deux mois supplémentaires pour les demandes complexes, auquel cas nous vous en expliquerons la raison.
Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle — en France, la CNIL (www.cnil.fr), ou l’autorité de votre résidence habituelle.
6. Calendrier de conservation (synthèse)
| Données | Conservation | | --- | --- | | Données de compte | Durée de vie du compte + 30 jours | | Journaux de recherche | Jusqu’à 24 mois, puis suppression ou anonymisation | | Événements statistiques | Jusqu’à 14 mois | | Enregistrements d’utilisation de l’API | Jusqu’à 36 mois (justificatifs de facturation) | | Factures | 10 ans (obligation légale) | | Journaux d’e-mails | Jusqu’à 12 mois | | Journaux d’audit | Jusqu’à 24 mois |
7. Violations de données à caractère personnel
Nous disposons d’une procédure de réponse aux incidents. Lorsqu’une violation est susceptible d’engendrer un risque pour vos droits et libertés, nous en notifions l’autorité de contrôle compétente dans les 72 heures suivant sa découverte (article 33) et informons les utilisateurs concernés dans les meilleurs délais (article 34).
8. Délégué à la protection des données
Si un DPO est désigné, ses coordonnées sont publiées ici et communiquées à l’autorité de contrôle. Dans l’intervalle, les questions relatives à la protection des données sont traitées par notre équipe dédiée, joignable à l’adresse e-mail d’assistance publiée sur ce site.