1. Responsable du traitement
Bastien Rodrigues de Souza Meireles, micro-entrepreneur opérant sous le nom commercial Lyvenia.
Contact : contact@lyvenia.fr
2. Données collectées et finalités
| Donnée | Finalité | Base légale | Durée |
|---|
| Adresse email |
Création de compte, authentification, emails transactionnels |
Exécution du contrat |
Durée de l'abonnement + 3 ans |
| Raison sociale, SIRET, adresse de facturation |
Identification du client B2B, émission de factures conformes (mention SIRET obligatoire en France) |
Obligation légale (CGI, art. 242 nonies A) |
10 ans (obligation comptable) |
| Téléphone, type d'activité (facultatifs) |
Support technique personnalisé, statistiques internes |
Consentement |
Durée de l'abonnement |
| Empreinte machine (hash SHA-256 anonymisé) |
Verrouillage de la licence à un poste (1 licence = 1 machine) |
Intérêt légitime (protection anti-fraude) |
Durée de l'abonnement |
| Adresse IP |
Journaux de sécurité (détection d'intrusions, audits) |
Intérêt légitime (sécurité) |
90 jours |
| Logs d'utilisation (connexions, analyses IA) |
Support technique, amélioration du service, facturation |
Exécution du contrat |
12 mois glissants |
| Données de paiement |
Traitement de l'abonnement (traitées par Stripe — non stockées par Lyvenia) |
Exécution du contrat |
Non stockées par Lyvenia |
Données NON collectées : Lyvenia ne collecte pas les données de diagnostic OBD2 (codes DTC, données véhicule, kilométrage). Ces données restent sur le poste du client et ne transitent par nos serveurs que sous forme anonymisée lors des analyses IA (codes DTC + freeze frame, sans identification du véhicule).
2 bis. Base de reconnaissance véhicules partagée (privacy by design)
Pour améliorer l'identification automatique des véhicules diagnostiqués via RODIA, Lyvenia propose à ses utilisateurs de contribuer à une base partagée d'identification de modèles de véhicules. Cette base permet à tout utilisateur RODIA de reconnaître automatiquement le modèle, la marque et l'année d'un véhicule dès la lecture du VIN par l'adaptateur OBD2.
Principe de minimisation des données (RGPD art. 5.1.c) : Lyvenia ne stocke jamais le VIN complet (17 caractères). Seules les 11 premières positions sont enregistrées, qui correspondent au modèle, à l'année et à l'usine de production — informations communes à tous les véhicules du même type. Les positions 12 à 17, qui constituent le numéro de série unique identifiant un véhicule individuel, ne sont jamais transmises ni stockées sur nos serveurs.
- Données partagées : préfixe VIN (11 premières positions — sans identifiant unique), marque, modèle, année, motorisation, carburant, type de boîte.
- Données NON partagées : VIN complet (les 6 derniers chiffres identifiant le véhicule individuel restent sur votre poste), identité du contributeur, identifiant du compte, codes DTC, kilométrage, données de diagnostic, notes privées, informations sur le propriétaire du véhicule.
- Anonymisation du contributeur : chaque contribution est associée à un identifiant haché à sens unique (SHA-256) du compte utilisateur. Cet identifiant n'est jamais exposé en API et sert uniquement à la lutte anti-spam et au droit d'opposition.
- Consentement : la contribution est opt-in — une demande explicite vous est faite après chaque diagnostic. Vous pouvez refuser à tout moment sans conséquence sur l'usage de RODIA.
- Droit d'opposition (art. 17 RGPD) : vous pouvez à tout moment demander la suppression de l'intégralité de vos contributions en écrivant à contact@lyvenia.fr ou via le bouton dédié dans les paramètres de RODIA.
- Base de données : hébergée chez Railway (Amsterdam, UE), même infrastructure que les comptes utilisateurs.
Base légale : intérêt légitime du responsable de traitement (amélioration du service par effet réseau, principe de minimisation des données) combiné au consentement explicite de l'utilisateur contributeur.
2 bis bis. Extraction par photo de carte grise (option facultative)
Pour accélérer la saisie, RODIA propose une fonctionnalité optionnelle permettant d'extraire automatiquement les caractéristiques techniques du véhicule depuis une photo de votre carte grise (Certificat d'Immatriculation).
- Fonctionnement : la photo est transmise en temps réel à Claude (Anthropic), qui extrait uniquement les champs techniques (VIN, marque, modèle, année, motorisation, carburant). L'IA est instruite par un prompt strict d'ignorer tout champ contenant des données personnelles (nom du propriétaire C.1, adresse C.3, numéro d'immatriculation A).
- Non-conservation : la photo n'est ni stockée par Lyvenia (traitement en flux, jamais sur disque), ni utilisée pour entraîner Claude (l'API Anthropic respecte une politique de rétention zéro par défaut pour les requêtes commerciales — voir politique Anthropic).
- Consentement double : à chaque utilisation, une confirmation explicite vous est demandée avant l'envoi de la photo.
- Alternative manuelle : vous pouvez à tout moment saisir les données manuellement sans utiliser la photo.
- Responsabilité tiers : si vous photographiez la carte grise d'un véhicule qui ne vous appartient pas (cas d'un mécanicien sur un véhicule client), vous garantissez avoir obtenu le consentement du propriétaire.
Base légale : consentement explicite de l'utilisateur (RGPD art. 6.1.a) avant chaque envoi, combiné à un traitement en flux sans stockage.
3. Sous-traitants et transferts
Lyvenia fait appel aux sous-traitants suivants. La majorité sont hébergés en Union Européenne. Pour les sous-traitants hors UE, les transferts sont encadrés par des garanties appropriées (clauses contractuelles types, décisions d'adéquation Commission européenne).
🇪🇺 Sous-traitants situés en Union Européenne :
- Railway Corp. (hébergement API + base de données) — Société américaine, mais infrastructure physique située à Amsterdam (Pays-Bas, UE). Les données utilisateurs sont stockées et traitées uniquement sur des serveurs européens. — Politique de confidentialité
- Stripe Payments Europe, Ltd. (paiements et abonnements) — Dublin, Irlande, UE — Filiale européenne de Stripe responsable du traitement des paiements pour les clients européens. — Politique de confidentialité
- Abby SAS (facturation conforme 2026 et déclarations comptables) — Société française, hébergement en UE. — Politique de confidentialité
- INSEE (vérification SIRET via API Sirene) — Autorité publique française. Aucun transfert de données personnelles — l'API renvoie uniquement des informations publiques sur les entreprises.
- OVHcloud (hébergement du site lyvenia.fr et emails) — Roubaix, France, UE. — Politique de confidentialité
🌍 Sous-traitants hors UE :
- Resend, Inc. (envoi d'emails transactionnels) — Delaware, USA — Utilisé uniquement pour les emails d'inscription, identifiants et notifications de service. Aucune donnée de diagnostic. — Politique de confidentialité
- Anthropic, PBC (analyse IA des codes DTC via Claude) — San Francisco, USA — Les requêtes envoyées contiennent uniquement des codes DTC, freeze frame et données techniques anonymisées. Aucun identifiant utilisateur ni VIN n'est transmis. — Politique de confidentialité
- GitHub, Inc. (distribution de l'installateur RODIA) — San Francisco, USA — Utilisé exclusivement pour héberger le fichier d'installation public. Aucune donnée utilisateur n'est transmise. — Politique de confidentialité
Les transferts vers les États-Unis sont encadrés par les clauses contractuelles types de la Commission européenne (décision 2021/914) et par le cadre Data Privacy Framework pour les sous-traitants certifiés.
4. Sécurité des données
- Les mots de passe sont hashés avec bcrypt (irréversible).
- L'empreinte machine est un hash SHA-256 anonymisé — impossible de retrouver la machine d'origine.
- Les communications sont chiffrées en HTTPS/TLS.
- La clé API Anthropic est stockée exclusivement côté serveur et n'est jamais transmise au poste client.
- Les tokens JWT ont une durée de validité de 5 jours.
5. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : demander la suppression de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime
- Droit à la limitation : demander la suspension temporaire d'un traitement
Pour exercer vos droits : contact@lyvenia.fr — Réponse sous 30 jours.
Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr
6. Cookies
Le site lyvenia.fr n'utilise aucun cookie publicitaire, analytique ou de tracking tiers. Aucun bandeau de consentement n'est donc requis.
Le logiciel RODIA stocke localement sur le poste client un fichier de configuration (config.json) contenant les préférences utilisateur et le token d'authentification. Ce fichier n'est pas partagé avec Lyvenia.
7. Contact
Pour toute question relative à la protection de vos données personnelles :
contact@lyvenia.fr