Politique de confidentialité

Nous collectons uniquement les données nécessaires au fonctionnement du service :

• Données de compte : nom, adresse email, rôle (admin, mécanicien, propriétaire de bateau, etc.), mot de passe (stocké uniquement sous forme de hash bcrypt irréversible), photo de profil optionnelle.
• Données métier saisies par l'utilisateur : fiches bateaux, interventions de maintenance, pointages, congés, factures fournisseurs uploadées, documents, notes.
• Données techniques de session : adresse IP au moment de la connexion, navigateur, horodatage des dernières actions. Utilisées pour la sécurité (anti brute-force) et le rate-limiting des appels API.
• Voix et transcriptions(uniquement si vous utilisez l'assistant vocal) : votre voix est transcrite en texte par votre navigateur (Web Speech API, traitement local) ou par un service tiers, voir « Sous-traitants ». Le texte de votre question est ensuite envoyé au moteur d'IA.

• Exécution du contrat: faire fonctionner l'application, calculer les heures de travail, générer les rapports, stocker les documents.
• Intérêt légitime : prévenir les abus (anti-brute-force, détection de fraude), améliorer le service.
• Obligation légale : conservation des documents comptables pendant la durée légale, réponse aux autorités sur demande judiciaire valide.

Nous ne vendons jamais vos données. Aucun traitement à des fins publicitaires.

• Base de données principale : Neon Postgres hébergé en région UE-Ouest-2 (Londres, Royaume-Uni). Chiffrement au repos et en transit (TLS 1.3).
• Fichiers uploadés (photos, PDF, factures) : Vercel Blob Storage en région UE (lhr1 — Londres). Accès authentifié uniquement.
• Hébergement applicatif : Vercel (région UE lhr1).
• Sauvegarde : Neon effectue des point-in-time recovery sur les 7 derniers jours.

Aucune donnée n'est transférée vers les États-Unis ou d'autres pays hors UE sans garanties équivalentes (Clauses Contractuelles Type ou équivalent).

Certains traitements sont sous-traités à des partenaires spécialisés, chacun lié par un Data Processing Agreement (DPA) :

• Anthropic(USA, DPA signé) — moteur d'intelligence artificielle Claude utilisé pour l'assistant conversationnel et l'extraction automatique des factures (OCR). Les requêtes ne sont pas utilisées pour entraîner les modèles d'Anthropic.
• ElevenLabs(USA) — synthèse vocale de la réponse de l'assistant uniquement quand vous activez le mode voix. Le texte de réponse est envoyé puis le résultat audio est renvoyé. Pas de stockage long terme.
• Zoho Mail (USA / Inde, plan Free) — envoi des emails transactionnels (réinitialisation de mot de passe). Aucune donnée métier transmise.
• Vercel (USA, DPA signé, hosting en UE) — hébergement applicatif et stockage des fichiers.
• Neon (USA, hosting en UE) — base de données.
• Cloudflare Turnstile (USA) — CAPTCHA anti-bot sur la page de connexion. Anonyme.

• Compte actif : tant que vous utilisez le service.
• Compte supprimé : les données métier sont conservées 30 jours après la résiliation pour permettre une récupération, puis effacées définitivement (sauf obligation légale de conservation comptable, ex. factures fournisseurs conservées 10 ans côté tenant).
• Logs de sécurité (connexions, erreurs) : 90 jours maximum.
• Sauvegardes : 7 jours.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :

• Droit d'accès : obtenir une copie de vos données.
• Droit de rectification : corriger des données inexactes.
• Droit à l'effacement(« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation.
• Droit à la portabilité : recevoir vos données dans un format structuré (JSON / CSV).
• Droit d'opposition et droit à la limitation du traitement.
• Droit de retirer votre consentement à tout moment (sans effet sur les traitements antérieurs).

Pour exercer ces droits, contactez-nous à info@captaincrews.com en précisant l'objet de votre demande. Nous répondons sous 30 jours. Si la réponse ne vous satisfait pas, vous pouvez saisir l'autorité de contrôle compétente : la CNIL en France, le Data Protection Office à Maurice.

• Authentification par mot de passe haché en bcrypt (12 rounds).
• Double authentification (2FA) optionnelle via TOTP (Google Authenticator, Authy…).
• Sessions JWT signées HS256 avec révocation possible (kill switch global sur changement de mot de passe).
• Verrouillage automatique du compte après 5 échecs de connexion successifs (30 minutes), 10 échecs = blocage permanent (déverrouillage par administrateur).
• Rate-limiting des appels API sensibles.
• CAPTCHA anti-bot Cloudflare Turnstile sur la page de connexion après plusieurs échecs.
• Headers de sécurité HTTP standards : HSTS, X-Frame-Options DENY, Content-Security-Policy, Permissions-Policy restrictive.

Captain Crews utilise uniquement des cookies strictement nécessairesau fonctionnement de l'application :

• anm_session — cookie de session authentifiée (httpOnly, secure, sameSite=lax, durée 30 jours).
• anm_pending_2fa — cookie temporaire entre la saisie du mot de passe et la validation 2FA (durée 5 minutes).

Aucun cookie publicitaire, aucun cookie de tracking, aucune intégration tierce de type Google Analytics ou Meta Pixel.

Captain Crews est un outil professionnel B2B destiné à des sociétés. Aucun accès n'est prévu pour les personnes de moins de 16 ans. Si nous apprenions qu'un compte a été créé pour un mineur, nous le supprimerions immédiatement.

Cette politique peut être modifiée pour refléter une évolution technique ou réglementaire. La date de mise à jour est indiquée en haut de page. Les modifications substantielles vous seront notifiées par email au moins 14 jours avant leur entrée en vigueur.

Toute question, demande d'exercice de droit, signalement d'incident de sécurité :

Assistance Nautic Ltd
Avenue Shebeck, Albion 91001, Maurice
BRN : C18153647
Email : info@captaincrews.com