1. Objet et champ d'application
La présente politique de confidentialité (ci-après la « Politique ») décrit la manière dont la société GJMP SAS, éditrice de la plateforme Boatlib (ci-après « Boatlib » ou la « Société »), collecte, utilise, conserve et protège les données à caractère personnel des Utilisateurs de la Plateforme, dans le respect du règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée (ci-après la « Loi Informatique et Libertés »).
Elle s'applique à tous les Utilisateurs de la Plateforme, qu'ils soient Propriétaires, Prestataires, Techniciens rattachés à un Prestataire, ou simples visiteurs. Les termes employés avec une majuscule ont la signification qui leur est donnée par les Conditions Générales d'Utilisation (CGU), dont la Politique constitue un complément.
La Plateforme est actuellement en phase bêta. Pendant cette phase, l'ensemble des fonctionnalités est mis à disposition sans contrepartie financière. Les traitements décrits ci-après reflètent l'état actuel des fonctionnalités déployées ; toute évolution sera reflétée dans une mise à jour de la présente Politique.
2. Identité du responsable de traitement
Le responsable de traitement des données collectées via la Plateforme est :
- GJMP, société par actions simplifiée (SAS) au capital de 42 500 euros ;
- Siège social : 549 avenue des Courcettes, 06220 Vallauris, France ;
- N° SIREN : 104 608 823 ;
- N° SIRET (siège / établissement principal) : 104 608 823 00019 ;
- RCS : Antibes 104 608 823 ;
- Code APE/NAF : 6312Z ;
- Date d'immatriculation : 18 mai 2026 ;
- N° TVA intracommunautaire : FR53104608823 ;
- Représentée par son Président, Monsieur Gautier Jean Marcel Philippon ;
- Contact dédié à la protection des données : contact@boatlib.com.
3. Référent à la protection des données
La désignation d'un délégué à la protection des données (DPO) n'est pas rendue obligatoire par l'article 37 du RGPD au regard de la nature et de la volumétrie des traitements mis en œuvre par la Société à ce stade. Un référent RGPD interne a néanmoins été désigné. Toute demande relative à la protection des données peut lui être adressée à contact@boatlib.com ou par courrier postal au siège social de la Société.
4. Données collectées
La Société collecte des données directement auprès des Utilisateurs (lors de l'inscription, de l'utilisation des Services, des échanges avec le support) et, dans certains cas, indirectement (journaux techniques, prestataires de paiement et de stockage).
4.1. Données communes à tous les Utilisateurs
- Données d'identification : nom, prénom, adresse électronique, numéro de téléphone ;
- Données d'authentification : identifiants de connexion, mot de passe (stocké sous forme hachée et salée — l'algorithme bcrypt est utilisé) ;
- Données de navigation : adresse IP, identifiants de session, journaux de connexion, type de navigateur et de terminal ;
- Messages échangés via la messagerie interne de la Plateforme (conversations liées aux Demandes et tickets support), y compris les photographies qui y sont jointes ;
- Historique des échanges avec le support.
4.2. Données complémentaires propres au Propriétaire
- Adresse postale : numéro, rue, complément d'adresse, code postal, ville, pays ;
- Informations relatives au(x) bateau(x) enregistré(s) : caractéristiques techniques, motorisation, équipements, photographies, port d'attache, coordonnées géographiques ;
- Historique des Demandes et, le cas échéant, des Devis, Rendez-vous, Rapports d'intervention liés à ces bateaux ;
- Données de localisation du navire : dernière position connue (latitude, longitude, horodatage) et données de navigation associées diffusées par le navire (vitesse, cap, statut de navigation, destination et heure d'arrivée déclarées par l'équipage), obtenues auprès d'un fournisseur de données AIS à partir du MMSI déclaré, uniquement lorsque le bateau est confié à un Gestionnaire de flotte mandaté.
4.3. Données complémentaires propres au Prestataire
- Dénomination sociale et, le cas échéant, numéro SIRET et forme juridique ;
- Adresse et coordonnées géographiques (latitude / longitude) de l'atelier principal, renseignées via le module de géolocalisation Mapbox ;
- Rayon d'Intervention exprimé en kilomètres et catégories de services proposés ;
- Coordonnées du gérant et du responsable d'atelier (nom, prénom, courriel, téléphone) ;
- Le cas échéant, attestations d'assurance professionnelle et qualifications.
4.4. Données complémentaires propres au Technicien
Les Techniciens sont créés par un Prestataire depuis son espace personnel. À ce titre, sont collectées : nom, prénom, courriel, téléphone, spécialités, planning, indisponibilités, ainsi que le rattachement au Compte du Prestataire concerné.
4.5. Données de paiement et de facturation
Les paiements réalisés sur la Plateforme (abonnements et, lorsqu'elle est proposée, fonctionnalité de paiement en ligne des Interventions) sont opérés par le prestataire de services de paiement Stripe Payments Europe Ltd., certifié PCI-DSS. Les données relatives aux moyens de paiement (numéro de carte, date d'expiration, cryptogramme, coordonnées bancaires) ne sont jamais collectées ni stockées par la Société : elles sont traitées directement par Stripe, qui transmet à la Société un identifiant pseudonymisé ainsi que le statut des transactions.
Pour les Prestataires qui activent l'encaissement en ligne, la collecte des informations d'identité et de compte bancaire nécessaires aux reversements est opérée directement par Stripe (service « Stripe Connect »), agissant en qualité d'établissement de paiement agréé.
Les devis et factures émis via la Plateforme par un Prestataire (identité et adresse du client, désignation et montant des prestations) sont conservés pendant les durées légales applicables aux pièces comptables. Lorsque le Prestataire a connecté son compte Pennylane, ces documents sont également transmis à ce sous-traitant pour les besoins de sa comptabilité (cf. article 6.3).
4.6. Suivi des communications e-mail
Afin de mesurer l'engagement et de veiller à la bonne délivrabilité de nos e-mails transactionnels (notifications de devis, de rendez-vous, relances, etc.), la Société enregistre les clics sur les liens contenus dans ces e-mails : lorsqu'un destinataire clique un lien, celui-ci transite par une redirection Boatlib qui consigne la date du clic et l'adresse concernée, avant de rediriger vers la page demandée. Ce traitement, fondé sur l'intérêt légitime de la Société (article 6.1.f du RGPD) à améliorer la qualité et le suivi de son service, est réservé à un usage interne (accès administrateur) ; les e-mails de sécurité (vérification de compte, réinitialisation de mot de passe, liens d'accès à usage unique) en sont exclus. À des fins de contrôle qualité et d'assistance, le contenu des e-mails transactionnels envoyés peut par ailleurs être conservé pendant une durée maximale de quatorze (14) jours, puis supprimé automatiquement. Vous pouvez vous opposer à ce suivi et exercer vos droits à tout moment (cf. articles 8 et suivants).
5. Finalités des traitements et bases légales
Les finalités effectivement poursuivies, leur base légale au sens de l'article 6 du RGPD et les durées de conservation associées sont les suivantes :
- Gestion des Comptes et fourniture des Services (mise en relation, Demandes, Devis, Rendez-vous, Rapports d'intervention, coffre-fort documentaire, cartographie interne (géocodage d'adresses)) — exécution du contrat (art. 6.1.b) — durée de vie du Compte, puis archivage limité à 5 ans (prescription de droit commun) ;
- Gestion des abonnements, des paiements et de la facturation — exécution du contrat (art. 6.1.b) et obligations légales comptables et fiscales (art. 6.1.c) — 10 ans pour les pièces comptables (article L. 123-22 du Code de commerce) ;
- Messagerie interne (échanges entre Propriétaires, Prestataires et Techniciens dans le cadre d'une Demande, tickets de support avec la Société ; messages texte et photographies jointes, stockées sur l'espace de stockage objet OVH) — exécution du contrat (art. 6.1.b) — durée de vie du Compte ; à la suppression du Compte, les messages envoyés par son titulaire et leurs photographies sont effacés (cf. article 6.2) ;
- Notifications et relances automatiques par courriel (confirmations, rappels de paiement, alertes d'expiration de documents, récapitulatifs, relances de messages non lus) — exécution du contrat et intérêt légitime de la Société au bon fonctionnement du service (art. 6.1.b et 6.1.f) — durée de vie du Compte ;
- Sécurité, supervision technique et journalisation (journaux de connexion, suivi des erreurs applicatives, contrôle de l'état de la Plateforme) — intérêt légitime (art. 6.1.f) — 12 mois maximum pour les journaux ;
- Sauvegardes de la base de données — intérêt légitime tenant à la continuité du service (art. 6.1.f) — 30 jours glissants, suppression automatique ;
- Prospection et information sur l'évolution de la Plateforme — consentement ou intérêt légitime selon les cas (cf. article 11) — 3 ans après le dernier contact ;
- Suivi de la position AIS des bateaux en gestion de flotte (dernière position connue du navire et données de navigation associées, obtenues auprès d'un fournisseur de données AIS, affichées au Gestionnaire mandaté et au Propriétaire dans leur espace) — intérêt légitime du Gestionnaire dans le cadre de son mandat de gestion (art. 6.1.f) — seules les dernières valeurs sont conservées, écrasées à chaque mise à jour (aucun historique) ; le Propriétaire peut s'opposer à tout moment au suivi de son navire (désactivation par bateau, les données en cache sont alors immédiatement supprimées).
À l'expiration des durées indiquées, les données sont soit supprimées, soit anonymisées de manière irréversible à des fins statistiques. Elles peuvent être conservées au-delà si la loi l'exige ou si leur conservation est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice, dans la limite de la prescription applicable.
6. Destinataires des données et sous-traitance
6.1. Accès interne
Les données sont accessibles, dans la limite de leurs attributions et sous obligation de confidentialité, aux collaborateurs de la Société en charge des fonctions support, administrative et technique.
6.2. Mise en relation entre Utilisateurs
Par la nature même de la Plateforme, certaines données sont mises à disposition d'autres Utilisateurs dans le cadre de la mise en relation :
- les informations publiques du profil Prestataire (dénomination, photographie, zone d'intervention, catégories de services) sont visibles par les Propriétaires inscrits et, le cas échéant, par les visiteurs du moteur de recherche ;
- les Demandes émises par un Propriétaire et les caractéristiques du bateau concerné sont transmises au Prestataire concerné et, lorsqu'il existe, au Technicien désigné ;
- les avis qu'un Propriétaire dépose à l'issue d'une Intervention, dès lors que cette fonctionnalité sera activée, seront publiés de manière associée au profil du Prestataire concerné ;
- les messages et photographies échangés via la messagerie interne sont visibles des participants à la conversation (Propriétaire, Prestataire concerné et, le cas échéant, Technicien désigné) ; ils peuvent en outre être consultés par les administrateurs de la Société à des fins de supervision et de modération (cf. CGU). À la suppression d'un Compte, les messages envoyés par son titulaire et leurs photographies sont effacés ; les conversations restent visibles pour les autres participants, l'auteur étant alors affiché « Utilisateur supprimé ».
6.3. Sous-traitants et partenaires techniques
La Société fait appel à des sous-traitants techniques qui agissent sur ses instructions documentées et dans le cadre d'un contrat de sous-traitance conforme à l'article 28 du RGPD. À la date de la présente version, les sous-traitants sont :
- OVH SAS (France) — hébergement de la Plateforme et de la base de données, stockage objet des fichiers (photographies, y compris celles jointes aux messages de la messagerie interne, documents du coffre-fort, sauvegardes) et acheminement des courriels transactionnels (SMTP) ;
- Stripe Payments Europe Ltd. (Irlande) et Stripe, Inc. (États-Unis) — traitement des paiements (abonnements, paiement en ligne des Interventions) et, pour les Prestataires ayant activé l'encaissement en ligne, reversements via Stripe Connect ;
- Pennylane (France) — synchronisation comptable des devis, factures et fiches clients, uniquement pour les Prestataires ayant volontairement connecté leur compte Pennylane ;
- Mapbox, Inc. (États-Unis) — géocodage des adresses et affichage cartographique (localisation des ports, ateliers et zones d'intervention) ;
- API Adresse — Base Adresse Nationale (DINUM/IGN) (France) — géocodage des adresses des propriétaires pour la cartographie interne d'administration (service public, hébergé en France) ;
- Functional Software, Inc. (« Sentry ») (États-Unis) — supervision des erreurs applicatives en production, lorsque cette supervision est activée. Les données transmises comprennent des données techniques (type de navigateur et de terminal, version de l'application, trace de l'erreur), les identifiants de session et, pour un utilisateur connecté, son identifiant de compte, son adresse e-mail et son type de compte (afin de rattacher une erreur à un compte) — à l'exclusion des mots de passe. L'enregistrement des sessions (« session replay ») n'est pas activé.
Cette liste est mise à jour à chaque évolution de la Plateforme. Toute précision complémentaire peut être obtenue à l'adresse contact@boatlib.com.
6.4. Autorités et tiers autorisés
La Société peut être amenée à communiquer des données à caractère personnel aux autorités administratives ou judiciaires, en réponse à une demande légalement fondée, ou pour répondre à ses obligations en matière de modération (règlement DSA).
7. Transferts hors Union européenne
Certains sous-traitants opèrent partiellement en dehors de l'Espace Économique Européen. C'est le cas, à des degrés divers, de Stripe (États-Unis), de Mapbox (États-Unis) et, lorsque la supervision des erreurs est activée, de Sentry (États-Unis). Dans ces hypothèses, la Société encadre les transferts conformément au chapitre V du RGPD au moyen :
- des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne le 4 juin 2021 ;
- le cas échéant, de mesures techniques supplémentaires (chiffrement au repos et en transit, minimisation des données transférées, pseudonymisation).
La liste des transferts et les garanties associées peuvent être communiquées sur demande à l'adresse contact@boatlib.com.
8. Sécurité et confidentialité
La Société met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité, la confidentialité et l'intégrité des données, adaptées à la sensibilité des traitements et à l'état de l'art, notamment :
- chiffrement des communications (TLS) et stockage des mots de passe sous forme hachée et salée (bcrypt) ;
- contrôle des accès fondé sur l'authentification, la séparation des rôles et le principe du moindre privilège ;
- cloisonnement des environnements de production, de pré-production et de développement ;
- journalisation des accès et des actions sensibles ;
- sauvegardes quotidiennes chiffrées de la base de données, conservées trente (30) jours puis supprimées automatiquement, et tests de restauration ;
- engagements contractuels de confidentialité auprès des collaborateurs et sous-traitants ;
- procédure documentée de gestion des violations de données, conforme à l'article 33 du RGPD (notification à la CNIL dans un délai de 72 heures et, le cas échéant, aux personnes concernées).
9. Cookies et traceurs
La Plateforme dépose et lit, sur le terminal de l'Utilisateur, certaines informations sous forme de cookies ou technologies équivalentes.
9.1. Cookies strictement nécessaires
Les cookies strictement nécessaires au fonctionnement de la Plateforme (authentification de l'Utilisateur connecté, sécurité, équilibrage de charge) sont déposés sans consentement préalable, conformément aux lignes directrices de la CNIL.
9.2. Cookies tiers déposés par Stripe
Le module de paiement Stripe (Stripe.js) est chargé sur certaines pages de la Plateforme afin de préparer la mise en service ultérieure des paiements. Ce module est susceptible de déposer un cookie tiers à finalité de prévention de la fraude (notamment un cookie nommé « m » sur le domaine m.stripe.com), avant tout paiement effectif. Conformément à l'article 82 de la Loi Informatique et Libertés et à la position de la CNIL, ces cookies font l'objet d'une information et d'un recueil du consentement de l'Utilisateur via le bandeau de gestion des consentements affiché lors de la première visite.
9.3. Mesure d'audience et autres traceurs
La Plateforme met en œuvre une mesure d'audience de première partie, hébergée par Boatlib : aucun outil tiers, aucune publicité ciblée, aucun réseau social, aucun suivi entre sites. Elle mesure la fréquentation de façon agrégée — nombre de visites, pages consultées, temps passé et progression dans le parcours d'inscription — dans le seul but d'améliorer le service et d'en suivre l'usage.
L'adresse IP est anonymisée (tronquée puis hachée) avant tout enregistrement : l'adresse IP complète n'est jamais conservée. L'identifiant de mesure déposé sur le terminal a une durée de vie limitée à 13 mois et n'est pas prorogé automatiquement. Les données de mesure sont conservées 24 mois au maximum. Aucune donnée n'est transmise à un tiers ni recoupée avec un autre traitement.
La mesure d'audience agrégée relève de l'exemption de consentement prévue par la CNIL pour la mesure d'audience (finalité strictement limitée, pour le compte exclusif de Boatlib, adresse IP anonymisée, absence de recoupement). Les statistiques d'usage des comptes connectés, accessibles uniquement à l'administration de Boatlib à des fins de supervision et d'amélioration du service, reposent sur l'intérêt légitime du responsable de traitement. L'Utilisateur peut s'y opposer à tout moment depuis le module de gestion des consentements accessible en pied de page, ou en contactant Boatlib (section 15).
9.4. Gestion des consentements
L'Utilisateur peut accepter, refuser ou retirer à tout moment son consentement aux cookies non strictement nécessaires depuis le module de gestion des consentements accessible depuis le pied de page de la Plateforme.
10. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, chaque Utilisateur dispose des droits suivants à l'égard de ses données :
- droit d'accès et droit d'obtenir une copie des données ;
- droit de rectification des données inexactes ou incomplètes ;
- droit à l'effacement (« droit à l'oubli »), dans les conditions prévues par l'article 17 du RGPD ;
- droit à la limitation du traitement ;
- droit d'opposition au traitement pour des motifs tenant à sa situation particulière, ainsi qu'à tout traitement à des fins de prospection commerciale ;
- droit à la portabilité des données ;
- droit de retirer son consentement à tout moment, sans que ce retrait ne remette en cause la licéité du traitement effectué antérieurement ;
- droit de définir des directives relatives au sort de ses données après son décès (article 85 de la Loi Informatique et Libertés).
Ces droits peuvent être exercés à l'adresse contact@boatlib.com ou par courrier postal au siège social de la Société. Afin de garantir la sécurité du traitement, la Société pourra demander à l'Utilisateur de justifier de son identité. Une réponse est apportée dans un délai d'un mois à compter de la réception de la demande, ce délai pouvant être prolongé de deux mois en cas de demande complexe ou de volumétrie importante, l'Utilisateur étant alors informé des motifs de la prolongation.
L'Utilisateur dispose également du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — ou de toute autre autorité de contrôle compétente.
11. Prospection commerciale
Les Utilisateurs peuvent recevoir, par voie électronique, des communications relatives à l'évolution de la Plateforme (notamment annonce du passage à la version commerciale et préavis tarifaire) ainsi qu'à des services analogues. Le consentement est recueilli pour les prospects n'ayant pas de relation contractuelle avec la Société. Les Utilisateurs existants peuvent recevoir, au titre de l'intérêt légitime de la Société, des communications relatives à des services analogues, avec faculté de s'opposer à chaque envoi.
Chaque communication commerciale comporte un lien de désinscription. L'Utilisateur peut également s'opposer à toute prospection à l'adresse contact@boatlib.com.
12. Traitements automatisés et profilage
La Plateforme peut mettre en œuvre des traitements partiellement automatisés, notamment pour proposer aux Propriétaires les Prestataires les plus pertinents en fonction du lieu de l'Intervention, du Rayon d'Intervention et de la catégorie de services. Des traitements programmés adressent par ailleurs des notifications et relances automatiques (rappels de paiement, alertes d'expiration de documents, récapitulatifs d'activité). Aucune décision produisant des effets juridiques ou affectant significativement l'Utilisateur n'est prise sur la seule base d'un traitement automatisé au sens de l'article 22 du RGPD.
13. Mineurs
La Plateforme est exclusivement destinée aux personnes majeures et aux personnes morales. La Société ne collecte pas sciemment de données concernant des mineurs. Si une telle collecte était portée à la connaissance de la Société, celle-ci procéderait à la suppression des données concernées sans délai.
14. Modification de la Politique
La présente Politique peut être modifiée à tout moment, notamment pour tenir compte du déploiement de nouvelles fonctionnalités, des évolutions réglementaires, des décisions de l'autorité de contrôle ou de l'évolution technique de la Plateforme. La version applicable est celle en vigueur à la date de collecte des données. Les Utilisateurs sont informés de toute modification substantielle par tout moyen approprié, au moins trente (30) jours avant son entrée en vigueur.
15. Contact
Pour toute question relative à la présente Politique ou au traitement de ses données, l'Utilisateur peut contacter la Société :
- par courriel : contact@boatlib.com ;
- par courrier : GJMP SAS — Référent RGPD, 549 avenue des Courcettes, 06220 Vallauris, France.
— Fin du document —