Politique de Confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées sur ce site est :

2. Données collectées

Dans le cadre de notre activité d'accompagnement pour l'obtention de la carte OCI, nous collectons les données suivantes :

• Données d'identification : nom, prénom, adresse email, numéro de téléphone, mot de passe (stocké sous forme chiffrée)
• Données familiales et généalogiques : noms, dates et lieux de naissance et de décès de vos ascendants, informations sur le conjoint et les enfants, arbre généalogique au format GEDCOM
• Données de profil : adresse postale (facultative), date d'inscription, date de dernière connexion
• Avis clients : nom, ville, note, commentaire, adresse IP et navigateur (à des fins de modération)
• Données de navigation : adresse IP, type de navigateur, journaux de connexion et d'activité
• Questionnaire de satisfaction : adresse email (facultative), source de découverte du site

3. Finalités du traitement

• Création et gestion de votre compte utilisateur
• Constitution de votre arbre généalogique et génération du fichier GEDCOM
• Suivi de l'avancement de votre demande d'accompagnement OCI
• Envoi d'emails liés à votre compte (vérification, réinitialisation de mot de passe, confirmation)
• Publication et modération des avis clients
• Sécurité du site (détection des abus, limitation des requêtes, journalisation)
• Amélioration de nos services via le questionnaire de satisfaction

4. Base légale des traitements

• Exécution d'un contrat : traitement de votre dossier OCI
• Consentement : communications marketing, cookies non essentiels
• Intérêt légitime : amélioration des services, sécurité du site
• Obligation légale : conservation des factures, lutte contre la fraude

5. Durée de conservation

• Compte utilisateur : pendant toute la durée d'activité du compte. Suppression possible après 3 ans d'inactivité
• Données de demande OCI : 5 ans à compter de la fin de la prestation
• Données généalogiques : conservées tant que le compte est actif et la demande en cours
• Avis clients : conservés tant qu'ils sont publiés, sauf demande de suppression
• Journaux de sécurité et d'activité : 12 mois glissants
• Session de connexion : 1 heure d'inactivité maximum

6. Destinataires des données

• Notre personnel habilité (chargés de dossiers, service administratif)
• Notre hébergeur de base de données (OVH, Union Européenne)
• Google LLC (stockage des fichiers généalogiques via Google Drive, et envoi d'emails via Gmail SMTP)
• Les autorités indiennes compétentes (dans le cadre de votre demande OCI)
• Les administrations françaises (pour l'obtention d'actes d'état civil)

Important : Dans le cadre de votre demande de carte OCI, certaines de vos données seront nécessairement transmises aux autorités indiennes (Consulat, Ministère des Affaires étrangères indien). Ce transfert est indispensable à la réalisation de la prestation.

7. Transferts hors Union Européenne

• Google LLC (États-Unis) : stockage des fichiers généalogiques sur Google Drive et envoi d'emails via Gmail. Google est certifié au titre du Data Privacy Framework UE-États-Unis.
• Autorités indiennes : dans le cadre de votre demande de carte OCI. Ce transfert est nécessaire à l'exécution du contrat.

Pour les autres transferts éventuels hors UE, nous nous assurons que des garanties appropriées sont mises en place (clauses contractuelles types, décision d'adéquation).

8. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès : obtenir la confirmation que vos données sont traitées et en obtenir une copie
• Droit de rectification : demander la correction de données inexactes ou incomplètes
• Droit à l'effacement : demander la suppression de vos données dans certains cas
• Droit à la limitation : demander la suspension du traitement dans certains cas
• Droit à la portabilité : recevoir vos données dans un format structuré et les transmettre à un autre responsable
• Droit d'opposition : vous opposer au traitement pour des motifs légitimes
• Droit de retirer votre consentement : à tout moment, sans affecter la licéité du traitement antérieur
• Droit de définir des directives : relatives au sort de vos données après votre décès

Pour exercer vos droits :

• Par email : dpo@ociexpress.re
• Par courrier : 48 rue Monthyon, 97400 Saint-Denis, La Réunion, France
• Via le formulaire ci-dessous

Nous nous engageons à répondre dans un délai d'un mois (prolongeable de deux mois en cas de demande complexe).

9. Réclamation

Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous pouvez introduire une réclamation auprès de la CNIL :

10. Sécurité des données

Nous mettons en oeuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données :

• Chiffrement des mots de passe (algorithme bcrypt)
• Connexion sécurisée obligatoire (HTTPS avec HSTS)
• Protection CSRF, validation des entrées, requêtes préparées contre les injections SQL
• Limitation des tentatives de connexion et blocage des adresses IP abusives
• Sessions sécurisées (cookie HttpOnly, Secure, SameSite) avec expiration automatique
• Vérification de l'adresse email par code à 6 chiffres

11. Services Tiers

Hébergement et base de données

La base de données est hébergée par OVH sur des serveurs situés dans l'Union Européenne.

Google Drive

Les fichiers généalogiques GEDCOM sont stockés sur Google Drive via l'API Google Apps Script. Google LLC est certifié au titre du Data Privacy Framework UE-États-Unis.

Service d'envoi d'emails

Les emails transactionnels sont envoyés via Gmail (Google LLC). Seuls les emails nécessaires au fonctionnement du service sont envoyés. Aucun email publicitaire n'est envoyé.

Ressources externes (CDN)

Le site charge les bibliothèques techniques suivantes depuis des CDN :

• html2canvas et jsPDF (jsdelivr.net) : génération de fichiers PDF côté navigateur, chargés uniquement sur la page du formulaire généalogique
• Google Fonts (fonts.googleapis.com) : polices de caractères, conditionné à votre consentement

Images (Unsplash)

Certaines images proviennent d'Unsplash mais sont hébergées localement sur notre serveur. Aucune donnée n'est transmise à Unsplash.

Google Maps

La page de contact propose une carte Google Maps chargée uniquement après votre clic sur le bouton dédié. Avant cela, aucune donnée n'est transmise à Google. Politique de confidentialité Google.

12. Exercer Vos Droits RGPD

Utilisez ce formulaire pour exercer vos droits (accès, rectification, suppression, opposition, portabilité). Nous vous répondrons sous un mois.

Documents complémentaires

• Mentions Légales
• Politique de Cookies
• Conditions Générales d'Utilisation