Politique de confidentialité

Dernière mise à jour : 24 avril 2026 · Version 2.0

La présente politique décrit, en application des articles 12 à 14 du Règlement (UE) 2016/679 (RGPD) et de la loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés), les traitements de données personnelles mis en œuvre sur le site palac.fr.

1. Responsable du traitement

Anthony Cardia — EI (Entrepreneur individuel)
Nom commercial : MBS Média Z
SIREN : 907 917 322
Régime fiscal : micro-entrepreneur
Directeur de la publication : Anthony Cardia
Courriel : anthony.cardia@gmail.com

Conformément à l'article 37 du RGPD, l'éditeur n'a pas l'obligation de désigner un Délégué à la Protection des Données (DPO) — l'activité principale ne consiste pas en un traitement à grande échelle de données sensibles ou en un suivi systématique à grande échelle. Les demandes relatives à la protection des données sont traitées directement par Anthony Cardia à l'adresse ci-dessus.

2. Principe : collecte minimale

PALAC est conçu dans une logique de minimisation des données (art. 5.1.c RGPD) et de Privacy by Design (art. 25 RGPD). Le service fonctionne sans compte utilisateur, sans inscription et sans collecte systématique d'informations personnelles. Vous pouvez consulter les prix de carburants, les bornes de recharge et les outils de comparaison de manière entièrement anonyme.

3. Catégories de données traitées, finalités et bases légales

3.1 Données de connexion et de navigation

Données collectées : adresse IP, date/heure de connexion, URL de la page, user-agent du navigateur, code de réponse HTTP, volume de données transférées, référent HTTP.

  • Finalités : sécurité du service, détection d'abus, diagnostic d'incidents, mesure agrégée de fréquentation.
  • Base légale : intérêt légitime du responsable de traitement (art. 6.1.f RGPD) à assurer la sécurité et le bon fonctionnement du service.
  • Durée de conservation : 13 mois maximum, conformément à la recommandation CNIL.
  • Destinataires : l'éditeur (Anthony Cardia EI) et l'hébergeur (o2switch) à des fins techniques exclusivement.

3.2 Données de géolocalisation

Données collectées : coordonnées GPS (latitude, longitude) obtenues uniquement après votre autorisation explicite via l'API de géolocalisation du navigateur.

  • Finalité : calcul des stations-service ou bornes de recharge les plus proches de votre position, sur la page « Autour de moi ».
  • Base légale : consentement de la personne concernée (art. 6.1.a RGPD), exprimé au moment où votre navigateur affiche la demande d'autorisation de géolocalisation.
  • Durée de conservation : aucune. Les coordonnées sont utilisées uniquement le temps du calcul puis immédiatement oubliées. Elles ne sont ni stockées en base de données ni recoupées avec d'autres informations.
  • Retrait : vous pouvez retirer l'autorisation à tout moment via les paramètres de votre navigateur.

3.3 Recherches récentes (stockage local)

Données concernées : les 5 dernières recherches de villes ou codes postaux effectuées.

  • Lieu de stockage : localStorage de votre navigateur uniquement. Ces données ne sont jamais transmises à nos serveurs.
  • Finalité : confort d'usage (accès rapide à vos dernières recherches).
  • Base légale : exemption de consentement au titre du confort d'usage (traceur strictement nécessaire, art. 82 LIL).
  • Suppression : vous pouvez les effacer via le bouton « × » associé à chaque recherche, ou en effaçant les données du site dans votre navigateur.

3.4 Consentement cookies

Cookie nommé palac_consent.

  • Finalité : mémoriser votre choix de consentement aux cookies non essentiels.
  • Base légale : intérêt légitime (obligation légale de conserver la preuve du consentement, art. 7.1 RGPD).
  • Durée : 6 mois maximum (conformément aux lignes directrices CNIL 2020).

3.5 Mesure d'audience (Google Analytics 4 — si activé)

Si et seulement si vous y consentez via le bandeau cookies, Google Analytics 4 peut être chargé avec anonymisation IP activée.

  • Finalité : mesure statistique d'audience agrégée.
  • Base légale : consentement (art. 6.1.a RGPD et art. 82 LIL).
  • Durée : 14 mois maximum.
  • Sous-traitant : Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irlande). Transferts possibles vers Google LLC (USA) — voir section 6.

3.6 Publicité (Google AdSense)

Si et seulement si vous y consentez via le bandeau cookies, des publicités peuvent être affichées via Google AdSense.

  • Finalité : financement du service par affichage publicitaire.
  • Base légale : consentement (art. 6.1.a RGPD).
  • Données traitées par Google : voir la politique Google pour les sites partenaires.
  • Sous-traitant : Google Ireland Limited. Transferts possibles vers Google LLC (USA).

3.7 Courrier électronique reçu

Si vous nous contactez par courriel, nous traitons : votre adresse e-mail, votre nom (si communiqué), le contenu de votre message.

  • Finalité : réponse à votre demande.
  • Base légale : exécution d'une demande précontractuelle ou intérêt légitime (art. 6.1.b et 6.1.f RGPD).
  • Durée : 3 ans après le dernier échange pour prescription civile, puis archivage ou suppression.

4. Aucune prise de décision automatisée

PALAC n'effectue aucun profilage ni aucune prise de décision automatisée produisant des effets juridiques à votre égard, au sens de l'article 22 du RGPD. Aucune catégorie particulière de données (santé, opinions, orientation, etc.) n'est collectée.

5. Destinataires et sous-traitants

Vos données peuvent être communiquées aux sous-traitants techniques suivants, liés par des accords conformes à l'article 28 du RGPD :

  • o2switch (France) — hébergement du site, traitement des logs serveur. Voir politique RGPD o2switch.
  • Google Ireland Limited / Google LLC — Analytics 4 et AdSense (uniquement si vous y consentez). Voir politique Google.
  • CARTO et OpenStreetMap Foundation — fourniture des tuiles cartographiques uniquement (aucun tracking personnel).
  • Cloudflare (le cas échéant) — pare-feu applicatif (WAF) et CDN.

Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.

6. Transferts hors Union européenne

Certains sous-traitants (Google notamment) peuvent transférer des données vers les États-Unis. Ces transferts sont encadrés par :

  • le Data Privacy Framework UE-USA (décision d'adéquation de la Commission européenne du 10 juillet 2023) ;
  • des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ;
  • des mesures techniques supplémentaires (chiffrement en transit et au repos, anonymisation IP).

Vous pouvez à tout moment retirer votre consentement aux services tiers entraînant ce type de transfert via le bouton « Gérer mes cookies » en pied de page.

7. Sécurité des données

L'éditeur met en œuvre des mesures techniques et organisationnelles appropriées (art. 32 RGPD) pour protéger les données contre la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé :

  • chiffrement TLS 1.2+ obligatoire (HTTPS, HSTS preload) ;
  • Content Security Policy (CSP) stricte ;
  • rate-limiting applicatif ;
  • Permissions-Policy minimale (camera, micro, USB, etc. bloqués) ;
  • Subresource Integrity (SRI) sur toutes les ressources tierces ;
  • mises à jour régulières des dépendances et audits de sécurité.

Fichier de contact sécurité conforme RFC 9116 : /.well-known/security.txt.

8. Notification de violation de données

Conformément à l'article 33 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, l'éditeur s'engage à notifier la CNIL dans les 72 heures. Si le risque est élevé, les personnes concernées seront également informées conformément à l'article 34 du RGPD.

9. Vos droits

Conformément aux articles 15 à 22 du RGPD et aux articles 38 et suivants de la loi Informatique et Libertés, vous disposez des droits suivants :

  • Droit d'accès (art. 15) — obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.
  • Droit de rectification (art. 16) — faire corriger des données inexactes ou incomplètes.
  • Droit à l'effacement / droit à l'oubli (art. 17) — obtenir la suppression de vos données.
  • Droit à la limitation (art. 18) — demander la suspension d'un traitement.
  • Droit à la portabilité (art. 20) — récupérer vos données dans un format structuré et lisible par machine.
  • Droit d'opposition (art. 21) — vous opposer à un traitement fondé sur l'intérêt légitime.
  • Droit de retirer votre consentement (art. 7.3) — sans affecter la licéité du traitement antérieur.
  • Directives post-mortem (art. 85 LIL) — définir le sort de vos données après votre décès.

Exercer vos droits : courriel à anthony.cardia@gmail.com. Un justificatif d'identité pourra vous être demandé en cas de doute raisonnable sur votre identité. Réponse sous un mois (prorogeable de deux mois en cas de demande complexe, art. 12.3 RGPD).

10. Droit de réclamation CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL — 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
Téléphone : +33 1 53 73 22 22
Site : www.cnil.fr/fr/plaintes

11. Cookies et traceurs

Pour le détail complet des cookies, leurs finalités, leurs durées et les tiers concernés, consultez la politique cookies dédiée. Vous pouvez modifier vos préférences à tout moment via le bouton « Gérer mes cookies » en bas de chaque page.

12. Protection des mineurs

PALAC ne s'adresse pas spécifiquement aux mineurs et ne collecte pas sciemment des données concernant des enfants de moins de 15 ans. Si vous estimez qu'un mineur nous a communiqué des données sans autorisation parentale, merci de nous en informer à anthony.cardia@gmail.com pour suppression immédiate.

13. Modification de la politique

L'éditeur se réserve le droit de modifier la présente politique à tout moment pour refléter les évolutions techniques, légales ou fonctionnelles du service. La date de dernière mise à jour figure en haut du document. En cas de modification substantielle, les utilisateurs seront informés par tout moyen approprié.