Politique de Confidentialité

Dernière mise à jour : 11 mai 2026 — Version 3.2 — Conforme RGPD (UE 2016/679) & App Store

Notre engagement en résumé

✅ Vos données sont hébergées au sein de l'Union Européenne
✅ Vos diagnostics sont strictement confidentiels — jamais vendus ni partagés à des fins commerciales
✅ Nous n'utilisons pas vos données à des fins publicitaires
✅ Vous pouvez accéder, corriger et supprimer vos données à tout moment
✅ Nous respectons le RGPD et vous répondons sous 30 jours

1. Responsable de traitement

DIAGIA SAS
60 rue François 1er — 75008 Paris — France
SIREN : 800 322 265 — SIRET : 800 322 265 00011
📧 DPO / RGPD : legal@diagia.app
📧 Support : support@diagia.app
🌐 www.diagia.app

DIAGIA est un service exclusivement B2B destiné aux professionnels de l'automobile. La présente politique s'applique à toute personne utilisant l'application DIAGIA, ses services associés, ou son site web.

2. Données collectées et finalités

Nous collectons uniquement les données nécessaires au fonctionnement du service (principe de minimisation RGPD).

Catégorie	Données collectées	Finalité	Base légale
Identification	Nom, prénom, email, téléphone	Création et gestion du compte	Exécution du contrat
Professionnelles	Société, SIRET, code APE, adresse	Vérification du statut professionnel	Exécution du contrat + Obligation légale
Paiement	Identifiant client Stripe (token — pas de CB)	Facturation et abonnement	Exécution du contrat
Diagnostic	Véhicule, codes DTC, symptômes, échanges IA	Fourniture du service de diagnostic	Exécution du contrat
Connexion	Adresse IP, horodatage, type d'appareil	Sécurité, détection de fraude	Intérêt légitime
Support	Tickets, messages, pièces jointes	Service client	Exécution du contrat
Notifications	Token push appareil	Alertes service et compte	Consentement
Parrainage	Code parrain / filleul	Programme parrainage	Intérêt légitime
Immatriculation (SIV)	Numéro de plaque saisi dans le formulaire de diagnostic	Pré-saisie automatique des données véhicule (marque, modèle, motorisation, VIN) via le service SIV — mis en cache dans notre base de données UE	Intérêt légitime (amélioration de l'expérience utilisateur)
Client final	Email du propriétaire du véhicule (saisi par le professionnel)	Envoi du rapport d'intervention PDF & suivi de la réparation — uniquement sur demande du professionnel	Exécution du contrat

Email du propriétaire du véhicule : Dans le cadre de la fonctionnalité d'envoi de rapport d'intervention, le professionnel peut saisir l'adresse email du propriétaire du véhicule afin de lui transmettre le rapport PDF. Cet email est collecté uniquement pour l'envoi de ce document et le suivi de la réparation. Le professionnel engage sa responsabilité quant à l'obtention du consentement du propriétaire du véhicule pour cet envoi.

Vos données de diagnostic ne sont jamais vendues, partagées avec des tiers commerciaux ou utilisées à des fins publicitaires.

3. Intelligence artificielle et traitements automatisés

DIAGIA intègre des systèmes d'intelligence artificielle pour la fourniture de ses services :

Modèles de génération de langage (confidentiels) — génération des réponses de diagnostic
Modèles d'embeddings vectoriels (confidentiels) — vectorisation des données pour le système RAG
Système RAG propriétaire DIAGIA — recherche et récupération d'informations techniques

Ces traitements automatisés analysent les informations véhicules et symptômes transmis, et génèrent des suggestions de diagnostic. Ils ne constituent pas une prise de décision individuelle automatisée ayant des effets juridiques (art. 22 RGPD) — le professionnel reste seul décisionnaire.

Les diagnostics résolus peuvent être utilisés, après anonymisation et agrégation, pour enrichir la base de connaissances DIAGIA. Aucune donnée permettant d'identifier un utilisateur ou un véhicule client n'est utilisée dans ce cadre. DIAGIA ne vend jamais vos données à des tiers et ne les utilise pas pour entraîner des modèles IA au bénéfice de tiers.

4. Paiements — Stripe et sécurité bancaire

Les paiements sont intégralement traités par Stripe Inc., prestataire certifié PCI-DSS Niveau 1.

DIAGIA ne stocke jamais : les numéros de carte bancaire, les codes CVV, ni les dates d'expiration complètes.

DIAGIA conserve uniquement : l'identifiant client Stripe (cus_xxx), l'identifiant d'abonnement (sub_xxx), le statut de paiement, et les données de facturation légalement requises.

En cas d'échec de paiement, DIAGIA vous notifiera par email et notification push afin que vous puissiez mettre à jour vos informations de paiement.

5. Durée de conservation

Type de données	Durée de conservation
Données de compte actif	Durée de la relation contractuelle + 3 ans
Diagnostics et rapports PDF	Durée du service + 3 ans
Données de paiement et facturation	10 ans (obligation légale — art. L.123-22 C. commerce)
Logs de sécurité et d'accès	12 mois
Tickets support	3 ans après clôture
Données de parrainage	Durée de l'abonnement + 1 an

Après expiration, les données sont supprimées ou anonymisées de manière irréversible. Sur demande de suppression de compte, les données sont anonymisées dans un délai de 30 jours, sous réserve des obligations légales de conservation.

🗑️ Suppression de compte DIAGIA

Conformément au RGPD (art. 17), vous pouvez demander la suppression de votre compte et de toutes vos données personnelles à tout moment.

Procédure de suppression

Par email : envoyez votre demande à legal@diagia.app depuis l'adresse associée à votre compte DIAGIA, en indiquant en objet : "Demande de suppression de compte"
Depuis l'application : Paramètres → Mon compte → Supprimer mon compte

Données supprimées

✅ Profil et informations personnelles (nom, email, téléphone)
✅ Historique des diagnostics et rapports
✅ Données d'équipe et de collaboration
✅ Tokens de notification push

Données conservées (obligations légales)

⚠️ Données de facturation : 10 ans (art. L.123-22 Code de commerce)
⚠️ Logs de sécurité : 12 mois

Délai de traitement : vos données sont anonymisées dans un délai de 30 jours suivant votre demande.

📧 Contact suppression : legal@diagia.app
Application : DIAGIA — Assistant IA de diagnostic automobile

6. Sécurité des données

Chiffrement de toutes les communications (TLS 1.2+)
Mots de passe hachés (bcrypt) — jamais stockés en clair
Authentification JWT avec expiration courte
Row Level Security (RLS) en base — chaque utilisateur n'accède qu'à ses propres données
Rate limiting et protection anti-brute force
Secrets et clés API stockés en variables d'environnement sécurisées
Notification à la CNIL en cas de violation (72h — art. 33 RGPD)

7. Vos droits RGPD

Droit d'accès (art. 15) : obtenir une copie de vos données
Droit de rectification (art. 16) : corriger des données inexactes
Droit à l'effacement (art. 17) : « droit à l'oubli » sous conditions
Droit à la portabilité (art. 20) : recevoir vos données en format structuré
Droit d'opposition (art. 21) : s'opposer à certains traitements
Droit à la limitation (art. 18) : suspendre temporairement un traitement
Droit contre décision automatisée (art. 22)

📧 Email DPO : legal@diagia.app
📮 Courrier : DIAGIA SAS — DPO — 60 rue François 1er, 75008 Paris

Délai de réponse : 1 mois maximum (prorogeable à 3 mois pour les demandes complexes).
Un justificatif d'identité peut être demandé pour vérification.

Réclamation CNIL

Vous pouvez déposer une réclamation auprès de la CNIL : www.cnil.fr — CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

8. Sous-traitants

Vos données ne sont jamais vendues, louées ou revendues à des tiers. Elles peuvent être partagées avec les sous-traitants techniques suivants dans le strict cadre du service :

Supabase Inc. — Base de données, authentification, stockage — Hébergement UE
Railway Corp. — Hébergement API backend
Stripe Inc. — Traitement sécurisé des paiements — Certifié PCI-DSS
Fournisseur IA (confidentiel) — Traitement des requêtes de diagnostic par IA
RapidAPI / Service SIV (Ministère de l'Intérieur français) — Identification de véhicule par numéro d'immatriculation. Les numéros de plaques saisis sont transmis à ce service pour récupérer les données véhicule (marque, modèle, motorisation, VIN). Ces données sont mises en cache dans notre base UE (Supabase) et n'ont pas d'autre finalité
Google LLC — Firebase (notifications push)
Resend Inc. — Envoi d'emails transactionnels
Sentry (Functional Software Inc.) — Monitoring des erreurs (données anonymisées)
PostHog Inc. — Analytics produit (anonymisé, serveur EU)
Apple Inc. / Google LLC — Distribution App Store / Google Play
Cloudflare Inc. — Hébergement site web et CDN

Chaque sous-traitant est lié par un contrat de traitement de données (DPA) et s'engage à respecter le RGPD ou des garanties équivalentes. Pour les transferts hors UE, des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne sont en place.

9. Cookies et traceurs

Application mobile

L'application mobile n'utilise pas de cookies au sens traditionnel. Les technologies de suivi utilisées sont :

Sentry — Rapport de crashes techniques (données anonymisées — aucune donnée personnelle)
PostHog — Analytics usage produit (anonymisé, serveur EU)
Firebase — Token de notifications push (stocké de manière sécurisée)

Site web diagia.app

Cookies strictement nécessaires — fonctionnement du site (aucun consentement requis)
Plausible Analytics — analytics privacy-friendly sans cookies (aucun consentement requis)
Meta Pixel — retargeting et publicité (consentement requis)

Un bandeau de consentement est affiché lors de votre première visite. Vous pouvez retirer votre consentement à tout moment.

Permissions application mobile

Permission	Usage	Obligatoire
Appareil photo	Scan de documents (OCR) — fonctionnalité optionnelle	Non
Microphone	Mode mains-libres (dictée vocale) — fonctionnalité optionnelle	Non
Notifications push	Alertes diagnostics, informations compte	Non
Internet	Communication avec les serveurs DIAGIA	Oui

L'application ne collecte pas la géolocalisation, les contacts de l'appareil, ni les autres applications installées.

10. Modifications de la politique

Cette politique peut être mise à jour pour refléter l'évolution du service ou des exigences réglementaires. En cas de modification substantielle, vous serez informé par email au moins 30 jours avant l'entrée en vigueur. La date de dernière mise à jour est indiquée en haut de ce document.

11. Contact DPO

📧 RGPD / DPO : legal@diagia.app
📧 Support général : support@diagia.app
📮 Courrier : DIAGIA SAS — Service DPO — 60 rue François 1er, 75008 Paris
🕐 Horaires : Lundi–Vendredi, 9h–18h

Délai de réponse garanti : 1 mois maximum