Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données est IZOFIT, éditeur de l'application Sabaï.

Pour toute question relative à la protection des données : sabai@izofit.com

2. Données collectées

Dans le cadre de votre utilisation de Sabaï, nous collectons les données suivantes :

• Données de compte : nom complet, identifiant, adresse email, mot de passe chiffré (bcrypt)
• Données de voyage : itinéraires, destinations, transports, hébergements, activités, budgets, photos, documents (PDF, billets)
• Données de localisation : coordonnées GPS des lieux saisis (latitude/longitude), obtenues par géocodage ou saisie manuelle
• Clés API tierces (si vous en fournissez) : clés AeroDataBox, Claude, Google Maps, stockées chiffrées et utilisées uniquement pour votre compte
• Consentement RGPD : horodatage de votre acceptation de la présente politique
• Données techniques : adresse IP (logs de sécurité), user-agent, tentatives de connexion

3. Services tiers utilisés

Certaines fonctionnalités transmettent des données à des services externes :

• OpenStreetMap / CartoDB / Nominatim : affichage des cartes et géocodage d'adresses (données transmises : adresses saisies)
• Google Maps / Places (optionnel) : autocomplete et coordonnées GPS (données transmises : adresses saisies)
• AeroDataBox via MagicAPI (optionnel) : statut des vols (données transmises : numéros de vol, dates)
• Anthropic Claude (optionnel) : scan intelligent de documents (données transmises : images/PDF que vous choisissez de scanner)
• SNCF Open Data : horaires des trains français (données transmises : numéros de train)

Les services optionnels ne sont activés que si vous fournissez votre propre clé API.

4. Cookies et stockage local

Sabaï utilise exclusivement des cookies et stockages strictement nécessaires au fonctionnement :

• Cookie de session : identification de votre connexion (HttpOnly, Secure, SameSite=Strict)
• Cookie « Se souvenir de moi » (30 jours, si vous le choisissez) : re-connexion automatique
• Jeton CSRF : protection contre les attaques par contrefaçon de requête
• Cache Service Worker (PWA) : mise en cache locale pour le mode hors-ligne

Aucun cookie publicitaire ni de tracking tiers. Aucun outil de mesure d'audience (pas de Google Analytics).

5. Finalités du traitement

Vos données sont utilisées pour :

• Fournir le service de planification de voyage (base légale : exécution du contrat)
• Gérer votre compte et l'authentification (base légale : exécution du contrat)
• Permettre le partage de voyages entre utilisateurs (base légale : votre consentement)
• Assurer la sécurité du service et prévenir la fraude (base légale : intérêt légitime)
• Répondre à vos demandes de support (base légale : exécution du contrat)

6. Durée de conservation

• Données de compte : conservées tant que le compte est actif, supprimées dans les 30 jours suivant votre demande de clôture
• Données de voyage : conservées tant que le compte est actif, supprimées avec le compte
• Jetons de connexion persistants : 30 jours maximum
• Logs de sécurité : 12 mois

7. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (UE 2016/679), vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données personnelles
• Droit de rectification : corriger vos données inexactes (modifiables directement dans les Paramètres)
• Droit à l'effacement : demander la suppression de vos données et la clôture de votre compte
• Droit à la portabilité : récupérer vos voyages au format JSON ou PDF (export disponible dans l'application)
• Droit d'opposition : vous opposer au traitement de vos données
• Droit à la limitation : restreindre le traitement de vos données
• Droit de retirer votre consentement à tout moment

Pour exercer vos droits, contactez-nous à sabai@izofit.com. Réponse sous 30 jours maximum.

En cas de litige, vous pouvez saisir la CNIL.

8. Sécurité

Vos données sont protégées par :

• Chiffrement HTTPS (TLS) pour toutes les communications
• Mots de passe hachés avec bcrypt (coût 12)
• Protection CSRF sur tous les formulaires
• Protection contre les attaques par force brute (limitation à 5 tentatives, verrouillage temporaire)
• Régénération régulière des identifiants de session
• Accès restreint aux données par authentification
• Headers de sécurité : CSP, X-Frame-Options, X-Content-Type-Options

9. Hébergement

Les données sont hébergées chez OVH en France, conformément au RGPD.

10. Modifications de la politique

Cette politique peut être mise à jour. Les utilisateurs seront informés des changements substantiels à leur prochaine connexion.