Application Miission
TROTTOPS — SASU au capital de 100 €
Dernière mise à jour : 9 mars 2026
1. Introduction
La société TROTTOPS, SASU au capital de 100 €, immatriculée au RCS de Paris sous le numéro 943 627 711, dont le siège social est situé au 1 Rue Marguerin, 75014 Paris (ci-après « TROTTOPS » ou « nous »), édite l'application mobile « Miission » (ci-après « l'Application »).
TROTTOPS s'engage à protéger la vie privée de ses utilisateurs (ci-après « les Opératifs ») conformément au Règlement Général sur la Protection des Données (UE) 2016/679 (« RGPD »), à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés ») et à toute réglementation applicable en matière de protection des données personnelles.
La présente Politique de Confidentialité décrit les données personnelles collectées, les finalités de traitement, les bases légales, les durées de conservation et les droits dont disposent les Opératifs.
2. Responsable du traitement
Le responsable du traitement des données personnelles est :
TROTTOPS
1 Rue Marguerin, 75014 Paris
SIREN : 943 627 711
E-mail : privacy@getmiission.com
Représentant légal : M. Trésor LUVINGILA, Président
3. Données personnelles collectées
3.1 Données d'identité et de contact
| Catégorie | Données | Finalité |
|---|---|---|
| Identité | Nom, prénom, date de naissance, nationalité, photo de profil (avatar) | Création de compte, identification, conformité KYC |
| Contact | Adresse e-mail, numéro de téléphone | Communication, authentification (OTP) |
| Adresse personnelle | Adresse complète (rue, code postal, ville, pays) | Gestion du compte, facturation, zone d'intervention |
3.2 Données professionnelles et documents
| Catégorie | Données | Finalité |
|---|---|---|
| Entreprise | Numéro SIRET, forme juridique, raison sociale, adresse du siège | Vérification du statut professionnel, facturation |
| Documents KYC | Carte nationale d'identité, passeport, extrait KBIS, attestation RC Pro, attestation URSSAF, RIB, justificatif de domicile | Vérification d'identité, conformité réglementaire (KYC/KYB), lutte anti-blanchiment |
Les documents KYC sont stockés dans un bucket de stockage privé et sécurisé (Supabase Storage) avec un accès restreint. Ils sont conservés uniquement pendant la durée nécessaire à la vérification et à la relation contractuelle.
3.3 Données financières et de paiement
| Catégorie | Données | Finalité |
|---|---|---|
| Bancaire | IBAN, BIC, identifiant Stripe Connect | Versement des rémunérations |
| Wallet | Solde du porte-monnaie électronique, historique complet des transactions (crédits, retraits, ajustements) | Gestion financière, transparence, traçabilité |
Les données bancaires sensibles (IBAN, BIC) sont traitées via notre prestataire de paiement Stripe, Inc. (Stripe Connect). TROTTOPS stocke l'IBAN à des fins de référence mais les flux financiers transitent exclusivement par Stripe, certifié PCI-DSS niveau 1.
3.4 Données de géolocalisation
| Catégorie | Données | Finalité |
|---|---|---|
| GPS ponctuel | Coordonnées GPS précises enregistrées à chaque étape clé d'une Mission (départ, arrivée, scan, dépôt) | Audit trail, preuve de réalisation, vérification de présence |
| GPS continu | Streaming de position en temps réel pendant les Missions actives | Navigation, suivi logistique en temps réel, calcul de distance |
La géolocalisation est collectée uniquement pendant l'utilisation active de l'Application et lors de Missions en cours. Aucun suivi de position n'est effectué en dehors de ces contextes.
3.5 Données de missions et d'activité
| Catégorie | Données | Finalité |
|---|---|---|
| Missions | Type de mission, statut, lieux (départ/arrivée), distance parcourue, étapes complétées, horodatages complets | Suivi opérationnel, historique, rémunération |
| QR Codes | Résultats de validation des scans QR, horodatages, identifiant du partenaire associé | Vérification des opérations terrain |
| Photos | Preuves photographiques de travail réalisé | Contrôle qualité, résolution de litiges |
| Scores | Score de performance opérateur, historique journalier des scores | Évaluation qualité, attribution des Missions |
| SLA | Données de ponctualité, retards éventuels, raisons des retards | Suivi de la qualité de service |
Les photos sont stockées dans un bucket privé (Supabase Storage) avec un accès restreint et ne sont jamais partagées publiquement.
3.6 Données techniques et de sécurité
| Catégorie | Données | Finalité |
|---|---|---|
| Appareil | Token FCM (Firebase Cloud Messaging), plateforme (iOS/Android), langue (locale), informations de l'appareil (modèle, version OS) | Notifications push, compatibilité, support technique |
| Multi-device | Identifiants de plusieurs appareils associés au même compte | Flexibilité d'utilisation, synchronisation |
| Bluetooth | Données de connexion BLE aux trottinettes (credentials chiffrés) | Exécution des Missions (verrouillage/déverrouillage) |
| Authentification | Tokens JWT, hash de mot de passe (bcrypt) | Sécurité du compte, authentification |
| Connexion | Adresse IP, logs de connexion, horodatages | Sécurité, détection de fraude, obligation LCEN |
| Monitoring (Sentry) | Rapports de crash, stack traces, breadcrumbs (fil d'Ariane technique) | Détection et correction des bugs, stabilité de l'Application |
| Notifications | Historique complet des notifications push envoyées | Traçabilité des communications, support |
Précisions sur Sentry : Les données de monitoring sont hébergées dans l'Union Européenne et ne contiennent pas de données personnelles identifiantes au-delà des identifiants techniques d'appareil.
4. Finalités et bases légales du traitement
| Finalité | Base légale (art. 6 RGPD) | Données concernées |
|---|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) | Identité, contact, adresse, avatar |
| Vérification de l'identité et du statut professionnel (KYC/KYB) | Obligation légale (art. 6.1.c) — LCB-FT, réglementation paiement | Documents KYC, données entreprise, SIRET |
| Attribution, suivi et complétion des Missions | Exécution du contrat (art. 6.1.b) | Missions, QR codes, étapes, timestamps |
| Géolocalisation (navigation, affichage des Missions à proximité) | Exécution du contrat (art. 6.1.b) | GPS ponctuel et continu |
| Vérification de la présence sur le lieu de Mission (audit trail) | Intérêt légitime (art. 6.1.f) — sécurité des opérations | GPS ponctuel à chaque étape |
| Collecte de preuves photographiques de travail | Exécution du contrat (art. 6.1.b) | Photos |
| Gestion du Wallet, des transactions et des retraits (Stripe) | Exécution du contrat (art. 6.1.b) | Données bancaires, wallet, transactions |
| Envoi de notifications push relatives aux Missions | Exécution du contrat (art. 6.1.b) | Token FCM, historique notifications |
| Envoi de communications commerciales | Consentement (art. 6.1.a) | Contact (e-mail) |
| Calcul du score opérateur et suivi de performance | Intérêt légitime (art. 6.1.f) — qualité du service | Scores, SLA, historique missions |
| Monitoring des erreurs et amélioration technique (Sentry) | Intérêt légitime (art. 6.1.f) — bon fonctionnement | Crashes, stack traces, breadcrumbs |
| Connexion Bluetooth aux trottinettes | Exécution du contrat (art. 6.1.b) | Credentials BLE (chiffrés) |
| Prévention de la fraude et sécurité du compte | Intérêt légitime (art. 6.1.f) | Auth (JWT, hash mot de passe), IP, logs |
| Support multi-appareils | Exécution du contrat (art. 6.1.b) | Identifiants appareils, tokens FCM |
| Respect des obligations légales, fiscales et comptables | Obligation légale (art. 6.1.c) | Transactions, factures, données entreprise |
5. Destinataires des données
Les données personnelles peuvent être communiquées aux catégories de destinataires suivantes :
| Destinataire | Rôle | Données partagées |
|---|---|---|
| Supabase, Inc. (États-Unis) | Hébergement base de données, authentification | Identité, contact, données d'usage |
| Stripe, Inc. (États-Unis) | Gestion des paiements | Identité, IBAN, montants des transactions |
| Mapbox, Inc. (États-Unis) | Cartographie et itinéraires | Données de géolocalisation |
| Google Firebase (États-Unis) | Notifications push | Token FCM, identifiant appareil |
| Sentry (Functional Software, Inc.) (États-Unis) | Monitoring des erreurs | Données techniques (appareil, erreurs app) |
| Railway (États-Unis) | Hébergement serveur API | Données traitées par l'API |
TROTTOPS ne vend en aucun cas les données personnelles de ses Opératifs à des tiers.
6. Transferts internationaux de données
Certains de nos sous-traitants sont établis aux États-Unis. Les transferts de données vers les États-Unis sont encadrés par :
- le Data Privacy Framework (DPF) UE-États-Unis pour les prestataires certifiés ;
- des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne ;
- des mesures techniques complémentaires (chiffrement en transit et au repos).
L'Opératif peut obtenir une copie des garanties appropriées en contactant : privacy@getmiission.com.
7. Durée de conservation
| Données | Durée de conservation |
|---|---|
| Données de compte (identité, contact, adresse) | Durée de la relation contractuelle + 3 ans après la suppression du compte |
| Données entreprise (SIRET, forme juridique) | Durée de la relation contractuelle + 5 ans (obligations fiscales) |
| Documents KYC (CNI, passeport, KBIS, etc.) | Durée de la vérification + 5 ans après la fin de la relation (obligation LCB-FT — art. L.561-12 CMF) |
| Données de géolocalisation (GPS ponctuel et continu) | 12 mois glissants |
| Données de Missions (historique, étapes, QR) | Durée de la relation contractuelle + 5 ans (obligations légales) |
| Photos (preuves de travail) | Durée de la relation contractuelle + 2 ans (prescription litiges) |
| Scores et données SLA | Durée de la relation contractuelle + 1 an |
| Données de paiement et transactions (Wallet) | 10 ans (obligations comptables — art. L.123-22 Code de commerce) |
| Données bancaires (IBAN, BIC) | Durée de la relation contractuelle + 13 mois après le dernier retrait (recommandation CNIL) |
| Logs de connexion (IP, horodatages) | 12 mois (obligation légale — LCEN) |
| Données d'authentification (hash mots de passe) | Durée de la relation contractuelle — supprimées à la clôture du compte |
| Tokens JWT | Durée de validité du token (courte durée, renouvellement automatique) |
| Données de monitoring technique (Sentry) | 90 jours |
| Tokens FCM et données appareil | Durée de la relation contractuelle |
| Historique des notifications | 12 mois glissants |
| Credentials BLE (chiffrés) | Durée de la session de Mission uniquement (non persistés après mission) |
À l'expiration des durées de conservation, les données sont supprimées ou anonymisées de manière irréversible.
8. Sécurité des données
TROTTOPS met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles, notamment :
- chiffrement des données en transit (TLS/HTTPS) et au repos ;
- authentification par token JWT avec renouvellement automatique ;
- stockage sécurisé des identifiants Bluetooth (chiffrement via FlutterSecureStorage) ;
- contrôle d'accès strict aux bases de données (Row Level Security — Supabase) ;
- monitoring des erreurs et alertes en temps réel ;
- hébergement sur des infrastructures certifiées (SOC 2, ISO 27001).
9. Droits des personnes concernées
Conformément au RGPD et à la Loi Informatique et Libertés, l'Opératif dispose des droits suivants :
| Droit | Description |
|---|---|
| Accès (art. 15) | Obtenir la confirmation que ses données sont traitées et en recevoir une copie |
| Rectification (art. 16) | Faire corriger des données inexactes ou incomplètes |
| Effacement (art. 17) | Demander la suppression de ses données (« droit à l'oubli ») |
| Limitation (art. 18) | Demander la limitation du traitement dans certains cas |
| Portabilité (art. 20) | Recevoir ses données dans un format structuré et lisible par machine |
| Opposition (art. 21) | S'opposer au traitement fondé sur l'intérêt légitime |
| Retrait du consentement | Retirer son consentement à tout moment (sans affecter la licéité du traitement antérieur) |
Comment exercer vos droits
Adresser une demande à : privacy@getmiission.com, en précisant votre identité (nom, prénom, e-mail associé au compte). Une réponse sera apportée dans un délai maximum de 30 jours.
Réclamation auprès de la CNIL
En cas d'insatisfaction, l'Opératif peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr
- Par courrier : CNIL, 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
10. Cookies et traceurs
L'Application mobile ne dépose pas de cookies au sens traditionnel du terme. Toutefois, des identifiants techniques (token d'authentification, token FCM, préférences locales) sont stockés localement sur l'appareil de l'Opératif pour le bon fonctionnement de l'Application.
11. Données des mineurs
L'Application n'est pas destinée aux personnes de moins de 18 ans. TROTTOPS ne collecte pas sciemment de données personnelles relatives à des mineurs. Si nous découvrons que des données d'un mineur ont été collectées, elles seront supprimées dans les meilleurs délais.
12. Modifications de la Politique de Confidentialité
TROTTOPS se réserve le droit de modifier la présente Politique de Confidentialité à tout moment. Toute modification substantielle sera notifiée aux Opératifs via l'Application. La date de dernière mise à jour figure en en-tête de ce document.
13. Contact
Pour toute question relative à la présente Politique de Confidentialité ou à la protection de vos données personnelles :
- E-mail : privacy@getmiission.com
- Adresse postale : TROTTOPS — Protection des données, 1 Rue Marguerin, 75014 Paris