Données personnelles
Politique de confidentialité.
Dernière mise à jour : 9 mai 2026 (rév. Voice AI)
1. Responsable de traitement
ZOOT SAS (exploitant la plateforme ZOOT), société par actions simplifiée dont le siège social est situé 9 Rue Pierre Marinier, ZAE la Mare, 97438 Sainte-Marie (La Réunion), est responsable du traitement de vos données personnelles au sens du Règlement (UE) 2016/679 (RGPD) et de la Loi Informatique et Libertés modifiée.
ZOOT SAS est immatriculée au RCS de Saint-Denis de La Réunion sous le numéro 106 250 160 (SIREN 106 250 160) · TVA intracommunautaire FR53106250160.
Contact et exercice des droits (point de contact « protection des données ») : contact@zoot.re.
2. Données collectées
Côté client (passager) : prénom, nom, email, téléphone, adresse de départ et de destination, date/heure de la course, mode de paiement, historique de courses, messages échangés avec le chauffeur, notes et commentaires laissés après la course, position GPS pendant la course (uniquement si l'application est ouverte et la géolocalisation autorisée).
Côté chauffeur :état civil complet, date de naissance, photo, IBAN, SIRET, carte VTC, attestation d'assurance, carte grise, photo du véhicule, position GPS en ligne, données de course (temps de conduite, courses acceptées, notes reçues).
Données techniques :adresse IP, agent utilisateur, identifiants de session, logs d'erreurs (Sentry, anonymisés). Aucun cookie de tracking publicitaire ni d'analytics tiers.
3. Finalités et bases légales
Les données sont traitées pour les finalités suivantes :
- Exécution du service (organisation de la course, mise en relation client/chauffeur, paiement, facturation) — base légale : exécution du contrat (art. 6.1.b RGPD).
- Sécurité et lutte contre la fraude(audit logs, MFA admin, rate limiting, détection d'anomalies) — base légale : intérêt légitime (art. 6.1.f RGPD).
- Obligations légales (conservation comptable des factures, vérification carte VTC chauffeurs, déclarations fiscales et URSSAF) — base légale : obligation légale (art. 6.1.c RGPD).
- Communication transactionnelle (rappels de course, codes de vérification, factures par email) — base légale : exécution du contrat.
Aucune donnée n'est utilisée à des fins de marketing direct sans votre consentement explicite.
4. Destinataires et sous-traitants
Vos données ne sont jamais revendues. Elles peuvent être partagées avec les sous-traitants suivants, sélectionnés pour leur conformité RGPD :
- Supabase (Inc.) — base de données et authentification, hébergée en Union Européenne (région
eu-west-1, Irlande). - Vercel Inc.— hébergement de l'application et CDN. Sous-traitant non-UE (USA, Data Privacy Framework EU-US).
- Stripe Payments Europe Ltd — traitement des paiements en ligne (Irlande, UE). Aucune donnée de carte bancaire n'est stockée par ZOOT.
- Twilio Inc. — envoi de SMS de vérification + transit des appels téléphoniques entrants vers les chauffeurs (USA, Data Privacy Framework).
- Vapi Inc. — assistante téléphonique IA qui répond aux appels VTC, transcrit la demande et la transmet au chauffeur via Zoot. Sous-processors : OpenAI (LLM), Deepgram (transcription), ElevenLabs (synthèse vocale) (USA, Data Privacy Framework).
- Google LLC— affichage des cartes et calcul d'itinéraires (Google Maps Platform, USA, Data Privacy Framework).
- Sentry (Functional Software, Inc.)— collecte d'erreurs applicatives. Toutes les données personnelles sont scrubbed (anonymisées) avant envoi.
- Resend Inc. — envoi des emails transactionnels (USA, Data Privacy Framework).
Pour les transferts hors UE, ZOOTs'assure que le destinataire est certifié Data Privacy Framework (équivalent reconnu par la Commission européenne) ou couvert par des clauses contractuelles types.
4 bis. Localisation en arrière-plan (chauffeurs)
L'application Zoot Driver (réservée aux chauffeurs partenaires) demande la permission d'accéder à votre localisation GPS, y compris quand l'application est en arrière-plan. Cette section détaille précisément cette collecte, conformément aux exigences de la politique Google Play (Background Location 2020+) et de l'Apple App Store.
Quelles données :uniquement la latitude, la longitude et l'horodatage de la position (timestamp). Aucune autre donnée capteur (accéléromètre, altimètre, etc.) n'est collectée en arrière-plan.
Quand : uniquement pendant une course active (statut in_progressen base de données) ou quand le chauffeur s'est explicitement marqué disponibledans l'application. Dès qu'une course est terminée ou que le chauffeur passe en mode pause, la collecte de position en arrière-plan s'arrête automatiquement (le foreground service Android est tué, le watch iOS est libéré).
À quoi ça sert :
- Matchmaking de course : identifier le chauffeur le plus proche d'un client qui réserve, pour minimiser le temps d'attente.
- Suivi en direct par le passager : afficher la progression du chauffeur sur la carte du passager pendant sa course active (page de suivi privée, accessible uniquement via lien personnel partagé).
- Assistance et sécurité : en cas d'incident signalé via le bouton SOS, localisation du véhicule au moment du signalement.
Avec qui c'est partagé : uniquement le passager de la course en cours (et l'équipe Zoot pour les incidents). Aucun partage avec des annonceurs, data brokers ou tiers commerciaux. Aucun usage publicitaire.
Conservation :30 jours après la fin de la course (besoins d'assistance et de résolution de litiges), puis suppression automatique via une tâche cron journalière. L'historique des positions n'est jamais conservé au-delà.
Contrôle utilisateur :à tout moment, le chauffeur peut révoquer la permission depuis les réglages système de son appareil (Réglages → Confidentialité → Localisation → Zoot Driver). Sans cette permission, l'application reste utilisable mais le chauffeur ne pourra pas recevoir de course (la finalité essentielle est désactivée).
Note importante : cette section ne concerne PAS l'application passager Zoot, qui demande uniquement la localisation au premier plan (When in Use / Foreground only) pour calculer le trajet au moment de la réservation. Aucune position passager n'est collectée en arrière-plan.
5. Durées de conservation
- Compte actif :tant que le compte n'est pas supprimé.
- Historique de courses (anonymisé) : 10 ans pour des raisons comptables et fiscales (Code de commerce français, art. L.123-22).
- Logs techniques (Sentry, audit) : 90 jours.
- Données KYC chauffeur : durée de la relation contractuelle + 5 ans après cessation d'activité (obligations URSSAF).
- Position GPS en cours de course : 30 jours, puis suppression automatique.
- Appels téléphoniques traités par l'assistante IA (Voice AI receptionist) : transcripts et enregistrements conservés 30 jours puis purgés automatiquement. Drafts de course non validés : expirés à 30 minutes puis purgés. Une annonce d'enregistrement vous est jouée en début d'appel (obligation légale française).
- Demandes de suppression : traitées sous 30 jours maximum.
6. Vos droits
Conformément au RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès (art. 15) — obtenir une copie de vos données.
- Droit de rectification (art. 16) — corriger des données inexactes.
- Droit à l'effacement (art. 17) — supprimer votre compte. Une partie de l'historique de courses sera conservée anonymisée pour les obligations comptables.
- Droit à la portabilité (art. 20) — récupérer vos données en format structuré (JSON).
- Droit d'opposition (art. 21) — vous opposer au traitement pour motifs légitimes.
- Droit à la limitation (art. 18).
Pour exercer ces droits :
- Depuis votre compte client : /client/donnees (export et suppression en libre-service).
- Par email : contact@zoot.re avec objet « Demande RGPD ».
Délai de réponse : 30 jours maximum (sauf demande complexe → 60 jours avec notification).
7. Sécurité
ZOOT applique des mesures techniques et organisationnelles adaptées :
- Chiffrement TLS 1.3 sur toutes les communications.
- HSTS, CSP, X-Frame-Options et autres headers de sécurité.
- Authentification à deux facteurs (TOTP) obligatoire pour les administrateurs.
- Row-Level Security (RLS) sur toutes les tables de la base de données — chaque utilisateur ne voit que ses propres données.
- Rate-limiting applicatif sur les endpoints sensibles (authentification, OTP, géocodage).
- Sauvegardes quotidiennes + journalisation des accès administratifs (audit logs).
- Scrubbing automatique des données personnelles avant envoi à Sentry (logs d'erreurs).
8. Cookies et stockage local
Le site utilise uniquement des cookies strictement nécessaires :
sb-*— session Supabase Auth (httpOnly, sameSite=lax, durée 1 an).zoot.lang— préférence de langue (1 an).
Aucun cookie publicitaire, aucun pixel de tracking tiers, aucun Google Analytics.
9. Réclamation CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
cnil.fr/fr/plaintes
10. Modifications
Cette politique peut être mise à jour. Toute modification substantielle sera notifiée par email aux utilisateurs actifs au moins 30 jours avant son entrée en vigueur.
Pour les informations légales générales (éditeur, hébergeur, conditions d'utilisation), voir la page dédiée.