La présente politique de confidentialité (ci-après « la Politique ») décrit la manière dont WaySee collecte, utilise, conserve et protège les données à caractère personnel des utilisateurs de son site internet waysee.fr et de son application mobile GPS (ci-après « l'Application »).
Elle est établie en conformité avec : le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données personnelles (RGPD) ; la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés » ; et la directive 2002/58/CE dite « e-Privacy » (cookies et traceurs).
Nous vous encourageons à lire attentivement ce document. Si vous avez des questions, vous pouvez nous écrire à contact@waysee.fr.
1. Responsable du traitement
Le responsable du traitement des données à caractère personnel au sens de l'article 4.7 du RGPD est :
WaySee — projet en cours de structuration juridique (SAS en formation)
Représenté par Rémi DESJARDINS, fondateur
Adresse électronique : contact@waysee.fr
Site internet : https://waysee.fr
Les mentions légales relatives à l'éditeur du site et à l'hébergeur sont disponibles sur la page Mentions légales.
En l'absence de délégué à la protection des données (DPO) formellement désigné, toute demande relative à la protection des données est traitée directement par le responsable du traitement à l'adresse indiquée ci-dessus. La désignation d'un DPO interviendra en fonction de l'évolution des traitements et des recommandations de la CNIL.
2. Données à caractère personnel collectées
2.1 Site internet (waysee.fr)
a) Formulaire de contact
Lorsque vous utilisez notre formulaire de contact, vous saisissez votre prénom, nom, adresse électronique et un message libre. Ces données sont exclusivement traitées via votre propre client de messagerie (protocole mailto:) et transmises à contact@waysee.fr à l'initiative de votre action. Aucune donnée n'est transmise aux serveurs de WaySee lors de la saisie ; elles ne transitent par nos systèmes qu'à réception de l'email dans notre boîte mail.
b) Formulaire d'inscription à la bêta
Le formulaire disponible à l'adresse /beta-signup.html collecte les informations suivantes : prénom, nom, adresse électronique, âge, modèle de smartphone, système d'exploitation, votre statut de personne déficiente visuelle ou non (voir article 4), votre relation avec la déficience visuelle si applicable, et vos motivations (champ optionnel). Ces données sont transmises via le service EmailJS à l'adresse contact@waysee.fr.
c) Données de navigation et traceurs
Lors de votre visite sur le site, des outils d'analyse collectent automatiquement des données techniques (adresse IP anonymisée, type de navigateur, système d'exploitation, pages consultées, durée de visite, profondeur de défilement). Voir l'article 8 pour le détail des cookies et traceurs utilisés.
2.2 Application mobile WaySee
| Catégorie | Données exactes collectées | Moment de la collecte |
|---|---|---|
| Compte utilisateur | Email, nom (optionnel), identifiant Apple (sub), statut d'abonnement, préférences | Création de compte / connexion |
| Authentification | Jeton Apple Sign-In (identityToken), jeton JWT WaySee | Connexion |
| Géolocalisation | Coordonnées GPS (latitude, longitude, précision, cap, altitude) | Navigation active, y compris en arrière-plan |
| Images (caméra) | Photographies prises par l'utilisateur, transmises en base64 pour analyse IA | Fonctionnalité d'analyse de scène |
| Audio / voix | Commandes vocales traitées en local (on-device) pour la détection du mot de réveil « Waysee » | Assistant vocal activé |
| Capteurs de mouvement | Accéléromètre, gyroscope (détection du mode de déplacement) | Navigation active |
| Abonnements | Plan souscrit, dates, identifiant transaction Apple IAP, reçu d'achat | Achat ou restauration d'abonnement |
| Usage de l'IA | Nombre de tokens consommés, type de requête, latence, coût estimé (sans contenu des échanges) | Chaque appel aux services d'intelligence artificielle |
| Feedbacks | Note, catégorie, description, version de l'application, modèle d'appareil, paramètres d'accessibilité activés | Envoi d'un feedback utilisateur |
| Identifiant appareil | IDFV iOS (identifiant fabricant, non publicitaire) ou Android ID | Lancement de l'application |
| Analytics | Événements d'usage anonymisés (ex. navigation démarrée, analyse d'image, réglages modifiés) | Avec votre consentement |
Données non collectées : WaySee ne collecte pas l'identifiant publicitaire IDFA, vos contacts, ni aucune donnée de navigation hors de l'application. La reconnaissance vocale du mot de réveil est traitée exclusivement sur votre appareil et aucun enregistrement audio n'est transmis à nos serveurs.
3. Finalités des traitements et bases légales
| Finalité du traitement | Base légale (art. 6 RGPD) | Données concernées |
|---|---|---|
| Répondre à vos demandes de contact et à vos questions | Intérêt légitime (art. 6.1.f) | Prénom, nom, email, message |
| Gérer les inscriptions au programme bêta et sélectionner les testeurs | Consentement explicite (art. 6.1.a) + art. 9.2.a pour la donnée de santé | Données du formulaire bêta, dont statut de déficience visuelle |
| Créer et gérer votre compte utilisateur | Exécution d'un contrat (art. 6.1.b) | Email, nom, mot de passe chiffré, identifiant Apple |
| Fournir le service de navigation GPS accessible | Exécution d'un contrat (art. 6.1.b) + Consentement pour la localisation en arrière-plan | Coordonnées GPS, données de mouvement |
| Fournir les fonctionnalités d'analyse visuelle par intelligence artificielle | Exécution d'un contrat (art. 6.1.b) | Images transmises par l'utilisateur |
| Gérer les abonnements et les paiements via Apple | Exécution d'un contrat / obligation légale (art. 6.1.b et 6.1.c) | Plan, dates, transactions, reçus Apple IAP |
| Contrôler les quotas d'usage des services IA et prévenir les abus | Intérêt légitime (art. 6.1.f) | Compteurs d'usage (tokens, appels), métriques de latence |
| Améliorer le service sur la base de vos retours | Intérêt légitime (art. 6.1.f) | Feedbacks, notes, catégories d'usage |
| Mesure d'audience et amélioration du site et de l'application | Consentement (art. 6.1.a) — traceurs non essentiels | Données de navigation, événements d'usage analytiques |
| Sécurité des systèmes et prévention des intrusions | Intérêt légitime (art. 6.1.f) | Logs serveur, tentatives d'authentification |
| Exercice du droit d'accès et des autres droits RGPD | Obligation légale (art. 6.1.c) | Toutes données du compte |
4. Traitement de données sensibles — statut de déficience visuelle
Information importante. Conformément à l'article 9 du RGPD et à la position de la CNIL, toute donnée révélant un handicap ou une déficience constitue une donnée de santé, soumise à un régime de protection renforcée. Son traitement est en principe interdit, sauf exception légale.
Dans le cadre du programme bêta, nous vous demandons d'indiquer si vous êtes une personne déficiente visuelle. Cette information est strictement nécessaire à la finalité du programme : l'application WaySee est conçue pour les personnes déficientes visuelles et malvoyantes, et la sélection des testeurs requiert de connaître leurs profils d'usage réels.
La base légale du traitement de cette donnée sensible est le consentement explicite de la personne concernée (article 9.2.a du RGPD), recueilli lors de la soumission du formulaire d'inscription à la bêta. Ce consentement est :
- Libre : l'inscription à la bêta n'est pas une condition d'accès au service principal ;
- Spécifique : il porte précisément sur la collecte du statut de déficience visuelle aux fins de sélection des testeurs ;
- Éclairé : la présente politique vous informe de la nature sensible de cette donnée et de son traitement ;
- Univoque : il résulte d'un acte positif et délibéré (soumission du formulaire) ;
- Révocable : vous pouvez à tout moment retirer votre consentement en nous écrivant à contact@waysee.fr, sans que cela ne remette en cause la licéité du traitement effectué antérieurement.
Cette donnée est utilisée exclusivement par l'équipe WaySee aux fins de sélection et de suivi du programme bêta. Elle n'est jamais communiquée à des tiers à des fins commerciales et n'est pas intégrée à des profils publicitaires.
5. Destinataires des données
5.1 Personnel interne
Vos données sont accessibles aux membres de l'équipe WaySee dans la stricte limite de leurs attributions (développement, support utilisateur, gestion du programme bêta).
5.2 Sous-traitants techniques
WaySee fait appel aux prestataires techniques suivants, avec lesquels des accords de traitement des données ont été conclus ou sont en cours de formalisation :
| Prestataire | Rôle | Données transmises | Localisation |
|---|---|---|---|
| Vercel Inc. | Hébergement du site web | Logs de connexion, fichiers statiques | États-Unis / UE |
| MongoDB Atlas / auto-hébergé | Base de données applicative | Comptes utilisateurs, abonnements, usage IA | Variable selon configuration |
| OpenAI LLC | Analyse d'images et assistance conversationnelle (via proxy WaySee) | Images en base64, messages de conversation | États-Unis |
| Google LLC (Maps, Places, Routes) | Navigation, géocodage, calcul d'itinéraires | Coordonnées GPS, adresses recherchées | États-Unis |
| Google LLC (Analytics / Firebase) | Mesure d'audience (site et application) | Données de navigation anonymisées, événements d'usage | États-Unis |
| Microsoft Corp. (Clarity) | Analyse comportementale du site web (heatmaps, sessions) | Interactions sur le site, données techniques | États-Unis |
| EmailJS Inc. | Acheminement des formulaires d'inscription bêta | Données complètes du formulaire bêta | États-Unis |
| Apple Inc. | Authentification (Sign in with Apple), paiements in-app | Identifiant Apple, reçus d'achat | États-Unis |
| Île-de-France Mobilités (PRIM) | Horaires et arrêts de transport en commun | Requêtes de position pour horaires | France |
| OpenStreetMap / Overpass API | Données d'accessibilité urbaine | Requêtes géographiques | Allemagne (openstreetmap.org) |
Ces prestataires agissent en qualité de sous-traitants au sens de l'article 28 du RGPD et sont tenus de traiter vos données exclusivement selon nos instructions et dans le respect des règles applicables.
5.3 Autorités et tiers légaux
WaySee peut être amenée à communiquer vos données aux autorités compétentes (judiciaires, administratives, fiscales) dans les cas où la loi l'exige, ou en réponse à une réquisition légale dûment justifiée.
6. Transferts de données hors de l'Union européenne
Plusieurs de nos prestataires sont établis aux États-Unis. Ces transferts sont encadrés par des garanties appropriées conformément au chapitre V du RGPD.
WaySee recourt à des prestataires dont les serveurs sont situés aux États-Unis (Google, Microsoft, OpenAI, Apple, EmailJS). Ces transferts sont réalisés dans le cadre des garanties suivantes :
- Cadre de protection des données UE-États-Unis (Data Privacy Framework, DPF) : Google, Microsoft et Apple sont certifiés sous ce cadre reconnu par la Commission européenne comme assurant un niveau de protection adéquat (décision d'adéquation du 10 juillet 2023) ;
- Clauses contractuelles types (CCT) adoptées par la Commission européenne : pour les prestataires non couverts par le DPF (notamment EmailJS et OpenAI), les transferts reposent sur les clauses types en vigueur, qui imposent des obligations contractuelles de protection équivalentes à celles du RGPD ;
- Traitement anonymisé ou pseudonymisé : dans la mesure du possible, les données transmises à des prestataires tiers sont agrégées ou pseudonymisées avant le transfert (ex. : adresse IP anonymisée pour Google Analytics).
Vous pouvez obtenir une copie des garanties applicables en en faisant la demande à contact@waysee.fr.
7. Durées de conservation
Vos données ne sont conservées que le temps strictement nécessaire aux finalités pour lesquelles elles ont été collectées, conformément au principe de limitation de la durée de conservation (art. 5.1.e du RGPD).
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Compte utilisateur (email, nom, mot de passe haché) | Durée du compte + 1 an après suppression | Gestion des litiges, obligations comptables |
| Données de connexion Apple (appleId) | Durée du compte | Nécessaire à la connexion |
| Abonnements et transactions Apple IAP | 5 ans à compter de la date de transaction | Obligation comptable et fiscale (art. L. 123-22 C. com.) |
| Données de programme bêta (formulaire) | Durée du programme bêta + 6 mois | Suivi des testeurs et analyse du programme |
| Données de contact (email, message) | 3 ans à compter de la dernière interaction | Prescription de droit commun (art. 2224 C. civ.) |
| Événements d'usage IA (tokens, latence) | 180 jours (suppression automatique via TTL MongoDB) | Contrôle des quotas et détection d'abus |
| Compteurs d'usage agrégés (quota mensuel/journalier) | Durée du compte | Gestion des plans d'abonnement |
| Feedbacks utilisateurs | 3 ans | Amélioration du produit et analyses statistiques |
| Tokens temporaires (authentification) | 15 minutes (invalidation automatique) | Sécurité des flux d'authentification |
| Données analytiques (GA4, Firebase, Clarity) | Selon les politiques des prestataires concernés (généralement 14 mois pour GA4) | Mesure d'audience avec consentement |
| Données locales sur votre appareil (favoris, cache, préférences) | Jusqu'à désinstallation de l'application ou suppression manuelle | Personnalisation du service |
À l'expiration des durées de conservation, vos données sont supprimées de manière définitive ou, lorsque la suppression immédiate n'est pas techniquement possible, rendues inaccessibles puis supprimées dans les meilleurs délais.
8. Cookies et traceurs
8.1 Principes généraux
Conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL, les traceurs non strictement nécessaires au fonctionnement du site ne peuvent être déposés qu'avec votre consentement préalable. Ce consentement est libre, spécifique, éclairé et révocable à tout moment.
8.2 Traceurs utilisés
| Traceur | Éditeur | Finalité | Durée maximale | Consentement requis |
|---|---|---|---|---|
_ga, _ga_*, _gid |
Google (Analytics 4) | Mesure d'audience, analyse de la navigation | 2 ans | Oui |
_clck, _clsk |
Microsoft (Clarity) | Enregistrement de sessions, heatmaps | 1 an | Oui |
| Firebase SDK (localStorage) | Google (Firebase) | Suivi des événements analytiques dans l'application | Session | Oui (dans l'app) |
Nous travaillons à la mise en place d'un gestionnaire de consentement aux cookies (CMP) sur le site waysee.fr. Dans l'intervalle, si vous souhaitez vous opposer aux traceurs analytiques, vous pouvez utiliser l'extension navigateur Google Analytics Opt-out, ou activer l'option « Ne pas me pister » de votre navigateur.
8.3 Paramétrage
Vous pouvez à tout moment configurer votre navigateur pour refuser les cookies ou être alerté lors de leur dépôt. Cette configuration est accessible dans les paramètres de votre navigateur (rubrique « Vie privée », « Sécurité » ou « Cookies »). Notez que le refus de certains cookies peut affecter la qualité de votre navigation.
9. Géolocalisation
L'application WaySee repose sur la géolocalisation pour fournir son service de navigation accessible. Nous collectons votre position GPS avec votre autorisation explicite, selon les modalités suivantes :
9.1 Localisation en avant-plan
Votre position est collectée lorsque vous utilisez activement l'application pour calculer votre itinéraire, afficher votre position sur la carte et générer les instructions vocales de navigation. Cette permission est demandée lors de l'installation de l'application.
9.2 Localisation en arrière-plan
Pour que la navigation vocale continue de fonctionner lorsque votre écran est verrouillé, l'application demande l'accès à votre position en arrière-plan. Cette permission complémentaire vous est présentée séparément, avec une explication claire de son usage. Vous pouvez la révoquer à tout moment dans les réglages de votre appareil (Réglages → Confidentialité → Service de localisation → WaySee).
9.3 Transmission à des tiers
Vos coordonnées GPS peuvent être transmises dans les situations suivantes, toujours dans le strict cadre du service :
- Google Maps / Google Routes : votre position et votre destination pour calculer les itinéraires piétons et en transport en commun ;
- Serveurs WaySee (IA) : votre position approchée (arrondie à 4 décimales, soit environ 11 m de précision) est transmise au serveur lors de l'utilisation de l'assistant conversationnel pour contextualiser les réponses ;
- Île-de-France Mobilités (PRIM) : votre position pour l'affichage des horaires de transport en commun à proximité.
Votre trajectoire complète n'est pas transmise en continu aux serveurs WaySee. Le traitement de navigation s'effectue principalement sur votre appareil.
10. Intelligence artificielle et analyse d'images
WaySee propose des fonctionnalités d'analyse visuelle permettant aux personnes déficientes visuelles de comprendre leur environnement. Pour ce faire, les images prises par votre caméra sont transmises à nos serveurs, puis traitées via l'API OpenAI (Vision).
Ces images sont :
- Transmises de manière chiffrée (HTTPS/TLS) à nos serveurs ;
- Traitées par l'API OpenAI pour générer une description textuelle ou vocale de la scène ;
- Non conservées sur nos serveurs après traitement — seules les métriques d'usage (nombre de tokens, type de requête) sont enregistrées à des fins de contrôle des quotas ;
- Traitées dans le respect de la politique de confidentialité d'OpenAI.
WaySee n'utilise pas vos images pour entraîner ses propres modèles d'intelligence artificielle. Aucun profilage automatisé produisant des effets juridiques à votre égard n'est effectué.
11. Sécurité des données
WaySee met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre la perte, l'accès non autorisé, la modification ou la divulgation non autorisée, conformément à l'article 32 du RGPD. Ces mesures comprennent notamment :
- Chiffrement des communications via le protocole TLS 1.3 ;
- Hachage des mots de passe avec l'algorithme bcrypt (facteur de coût 10) ;
- Stockage des jetons d'authentification dans le trousseau sécurisé de l'appareil (SecureStore iOS / Keystore Android) ;
- Jetons d'authentification à durée limitée (JWT : 7 jours ; tokens temporaires : 15 minutes) ;
- Politique de limitation des tentatives de connexion (blocage après 3 échecs) ;
- Protection des en-têtes HTTP (Helmet) ;
- Limitation du débit des requêtes API (rate limiting) ;
- Accès aux données restreint au personnel ayant besoin d'y accéder dans le cadre de ses fonctions.
En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, WaySee s'engage à vous notifier dans les meilleurs délais, conformément à l'article 34 du RGPD.
12. Vos droits
Conformément aux articles 15 à 22 du RGPD et aux articles 48 et suivants de la loi Informatique et Libertés, vous disposez des droits suivants :
Obtenir la confirmation que vos données sont traitées et en recevoir une copie (art. 15 RGPD).
Faire corriger vos données inexactes ou incomplètes (art. 16 RGPD).
Obtenir la suppression de vos données dans les cas prévus par le RGPD (art. 17). Disponible directement depuis l'application.
Obtenir la limitation du traitement de vos données dans certaines circonstances (art. 18 RGPD).
Recevoir vos données dans un format structuré et lisible par machine (art. 20 RGPD). Export disponible depuis l'application.
Vous opposer à un traitement fondé sur l'intérêt légitime (art. 21 RGPD), notamment aux fins de prospection.
Retirer à tout moment votre consentement pour les traitements qui en dépendent, sans effet rétroactif (art. 7.3 RGPD).
Formuler des directives relatives au sort de vos données après votre décès (art. 85 loi I&L).
12.1 Comment exercer vos droits
Depuis l'application : les fonctionnalités d'export et de suppression de compte sont disponibles directement dans les réglages de l'application (Réglages → Confidentialité et données). L'export génère un fichier .json contenant l'ensemble de vos données.
Par email : adressez votre demande à contact@waysee.fr en indiquant clairement le droit que vous souhaitez exercer et les données concernées. Pour les demandes nécessitant une vérification d'identité, nous pourrons vous demander une pièce justificative. Nous nous engageons à vous répondre dans un délai d'un mois (prorogeable à trois mois en cas de complexité, avec information préalable).
13. Modifications de la politique
WaySee se réserve le droit de modifier la présente politique à tout moment, notamment pour se conformer à de nouvelles obligations légales ou réglementaires, ou pour refléter l'évolution de ses services. En cas de modification substantielle, vous serez informé par tout moyen approprié (notification dans l'application, email si vous disposez d'un compte, bannière sur le site). La version en vigueur est celle accessible à l'adresse waysee.fr/politique-confidentialite.html, portant la date de dernière mise à jour indiquée en haut de ce document.
14. Contact et droit de réclamation
Pour toute question relative à la présente politique ou à la protection de vos données personnelles, vous pouvez contacter WaySee à : contact@waysee.fr
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD ou de la loi Informatique et Libertés, et après avoir tenté de résoudre la situation directement avec WaySee, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3, place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Téléphone : +33 (0)1 53 73 22 22
www.cnil.fr — Déposer une plainte en ligne