Politique de Confidentialité
1. Responsable de traitement
Le responsable du traitement des données personnelles collectées via la Plateforme Pikoli est la société Pikoli SARL, dont les coordonnées figurent dans les Mentions légales.
Toute demande relative à vos données peut être adressée au délégué à la protection des données à dpo@pikoli.fr.
2. Données collectées
Pikoli collecte les catégories de données suivantes :
2.1. Données d'identification
- Nom complet, adresse email, numéro de téléphone.
- Pour les Livreurs et Relais : pièce d'identité, justificatif de domicile, photo de profil.
- Mot de passe (stocké de manière irréversible via argon2id).
2.2. Données de localisation
- Position GPS du Livreur pendant une course active (pour le suivi temps réel).
- Adresses de retrait et de livraison saisies par le Client.
- Quartier rattaché au compte (déclaration utilisateur).
2.3. Données transactionnelles
- Historique des commandes, montants, modes de paiement, preuves de livraison.
- Soldes wallet, dépôts cash, retenue COD, factures partenaires.
2.4. Données techniques
- Adresse IP, type d'appareil, système d'exploitation, identifiant FCM (notifications push).
- Logs d'accès et logs applicatifs anonymisés.
3. Finalités & bases légales
| Finalité | Base légale | Durée |
|---|---|---|
| Création et gestion du compte | Exécution du contrat | Durée du compte + 30 jours |
| Exécution des livraisons | Exécution du contrat | Durée + 5 ans (preuve) |
| Facturation, comptabilité | Obligation légale | 10 ans |
| Lutte anti-fraude | Intérêt légitime | 3 ans après dernier événement |
| Notifications push transactionnelles | Exécution du contrat | Tant que le token FCM est valide |
| Newsletters / promotions | Consentement | Jusqu'au retrait du consentement |
| Statistiques anonymisées | Intérêt légitime | Pas de limite (données agrégées) |
4. Destinataires
Vos données sont accessibles aux équipes Pikoli (support, opérations, comptabilité) strictement habilitées. Elles peuvent être transmises à des sous-traitants techniques :
- Stripe (paiement diaspora) — données minimales (montant, devise, e-mail acheteur).
- Brevo (ex-Sendinblue) — e-mails transactionnels et reset de mot de passe.
- Firebase Cloud Messaging — notifications push.
- MinIO / hébergeur — stockage des preuves de livraison et documents.
Pikoli ne vend jamais les données personnelles à des tiers et ne partage aucun fichier client à des fins publicitaires externes.
5. Transferts hors UE
L'infrastructure principale est hébergée en Europe (VPS, base de données, MinIO). Certains sous-traitants (Stripe, Firebase) peuvent traiter des données aux États-Unis, dans le cadre de garanties appropriées (clauses contractuelles types validées par la Commission européenne).
6. Vos droits
Conformément à la réglementation applicable, vous disposez des droits suivants :
- Droit d'accès : connaître les données détenues sur vous.
- Droit de rectification : corriger une donnée inexacte.
- Droit à l'effacement : supprimer votre compte et anonymiser vos données (sous réserve des obligations légales).
- Droit à la portabilité : recevoir vos données dans un format structuré (JSON).
- Droit d'opposition : refuser certains traitements basés sur l'intérêt légitime.
- Droit de retrait du consentement : à tout moment, pour les traitements basés sur le consentement.
Ces droits s'exercent depuis votre espace utilisateur (paramètres > mes données) ou par email à dpo@pikoli.fr. Une réponse vous sera apportée sous 30 jours.
En cas de désaccord persistant, vous pouvez introduire une réclamation auprès de l'autorité compétente (CNIL en France, ANRSI au Tchad).
7. Cookies
Le site pikoli.fr n'utilise aucun cookie tiers à ce jour. Seuls des cookies strictement techniques (préférence de langue, session) peuvent être déposés. Aucun consentement préalable n'est requis pour ces cookies fonctionnels.
Si à l'avenir nous intégrons un outil d'analytics ou de marketing, une bannière de consentement sera affichée et vous pourrez ajuster vos choix à tout moment.
8. Sécurité
Pikoli met en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données : chiffrement TLS de bout en bout (Let's Encrypt), hashage des mots de passe (argon2id), tokens JWT à durée de vie courte (15 min) avec rotation des refresh tokens, journalisation des accès admin, sauvegardes chiffrées, principe du moindre privilège côté équipes.
En cas de violation de données susceptible d'engendrer un risque pour vos droits, vous serez notifié dans les 72 heures, conformément aux exigences applicables.
9. Modifications
La présente politique peut être modifiée pour refléter des évolutions techniques ou réglementaires. La date de dernière mise à jour est affichée en tête. En cas de modification substantielle, vous serez informé par email et/ou notification dans l'application.