Politique de confidentialité et protection des données personnelles

Version 3.0 · Dernière mise à jour : 17 avril 2026 · Entrée en vigueur : 01 juin 2026

1. Préambule et dates

La présente Politique de confidentialité (ci-après « Politique ») décrit la manière dont la société Global SAR Hub SAS, exploitant la marque ResQRent, collecte, utilise, conserve et protège les données à caractère personnel qui lui sont confiées à l'occasion de l'utilisation du site resqrent.com, de la souscription à ses services et de l'exécution des contrats de location de Balises de détresse.

Elle complète les CGL Particuliers, les CGV Pro, les CGU du site et la Politique cookies.

Dernière mise à jour : 17 avril 2026. Entrée en vigueur : 01 juin 2026. Toute version antérieure demeure consultable sur simple demande à rgpd@resqrent.com.

2. Responsable de traitement et DPO

Responsable de traitement :
Global SAR Hub SAS — marque ResQRent
42 Quai Cronstadt, 83000 Toulon, France
Président : M. Arthur Barbier
RCS : [RCS Toulon B XXX XXX XXX] — SIRET : [SIRET] — TVA : [FR XX XXX XXX XXX]
Courriel général : contact@resqrent.com

Référent protection des données (DPO) : en l'attente de la désignation d'un Délégué à la protection des données externe, les fonctions de référent DPO interne sont assumées, à titre transitoire, par M. Arthur Barbier, Président. Le point de contact dédié à l'exercice des droits et à toute demande RGPD est : rgpd@resqrent.com.

Un DPO externe sera désigné dès que les seuils ou circonstances de l'article 37 du RGPD le rendront obligatoire, ou que l'activité le justifiera eu égard à la sensibilité particulière des données SAR.

3. Principes RGPD appliqués

Global SAR Hub SAS conduit l'ensemble de ses traitements dans le respect des principes posés à l'article 5 du RGPD :

Licéité, loyauté, transparence : les traitements reposent sur une base légale identifiée, sont transparents et loyaux envers les personnes concernées ;
Limitation des finalités : chaque donnée n'est collectée que pour des finalités déterminées, explicites et légitimes ;
Minimisation : seules les données strictement nécessaires aux finalités poursuivies sont collectées ;
Exactitude : les données sont tenues à jour ; les personnes concernées disposent d'outils permettant de corriger elles-mêmes leurs informations ;
Limitation de la conservation : les données ne sont conservées que le temps nécessaire à l'accomplissement des finalités ou au respect d'une obligation légale (voir section 6) ;
Intégrité et confidentialité : les données sont protégées par des mesures techniques et organisationnelles adaptées (voir section 12) ;
Responsabilité (accountability) : la conformité est documentée ; un registre des traitements est tenu à jour au sens de l'article 30 du RGPD et mis à disposition de l'autorité de contrôle sur demande.

4. Finalités et bases légales

Le tableau ci-après présente, pour chaque finalité, la base légale applicable et l'origine de la collecte.

Exécution du contrat de location	Identité, coordonnées, paiement, suivi logistique. Base légale : article 6-1-b (exécution d'un contrat auquel la personne concernée est partie).
Formulaire SAR et transmission aux autorités	Identité, itinéraire, contact d'urgence, éventuelles données médicales utiles. Bases légales : article 6-1-d (sauvegarde des intérêts vitaux) et article 6-1-c (respect d'une obligation légale, en lien avec les obligations de coopération avec les autorités SAR).
Conservation comptable et fiscale	Factures, contrats, registres. Base légale : article 6-1-c (obligations légales, notamment article L.123-22 du Code de commerce).
Newsletter et communications marketing	Adresse électronique. Base légale : article 6-1-a (consentement libre, spécifique, éclairé et univoque, révocable à tout moment).
Lutte contre la fraude	Logs de paiement, empreintes de connexion, signaux d'anomalie. Base légale : article 6-1-f (intérêt légitime du responsable à prévenir la fraude, équilibré avec les intérêts et droits fondamentaux des personnes).
Vérification SIRET et crédit client B2B	Données d'immatriculation publiques, éléments de solvabilité. Bases légales : article 6-1-b et 6-1-f.
Vidéoprotection (entrepôt, si applicable)	Image dans les zones de stockage du Matériel. Base légale : article 6-1-f (sécurité des biens). Durée : 30 jours maximum, sauf enregistrement lié à un incident.
Signature électronique eIDAS	Hash du contrat, IP, User-Agent, horodatage. Bases légales : article 6-1-b (exécution) et 6-1-c (obligations légales en matière de preuve).
Support et gestion des réclamations	Courriels, tickets, enregistrements éventuels. Base légale : article 6-1-b et 6-1-f.
Amélioration du service	Logs techniques agrégés anonymes. Base légale : article 6-1-f.

Lorsque la base légale est le consentement, celui-ci peut être retiré à tout moment, sans que cela n'affecte la licéité du traitement réalisé avant le retrait (article 7 §3 du RGPD).

5. Catégories de données collectées

Identité	Nom, prénom, date de naissance (B2C), civilité.
Contact	Courriel, téléphone mobile, adresse postale de livraison et de facturation.
Paiement	Empreinte de carte bancaire et identifiant client Stripe ; aucune donnée de carte en clair n'est stockée sur les serveurs ResQRent.
Pièce d'identité (si requis)	Recto uniquement, chiffré AES-256, destiné à la vérification en cas de livraison en point relais ou de soupçon de fraude.
Données SAR	Itinéraire, activité, embarcation, nombre de personnes, contact d'urgence, conditions médicales particulières éventuellement pertinentes pour une intervention.
Signature	Courriel vérifié, IP, User-Agent, horodatage UTC, hash SHA-256 du contrat.
B2B	Raison sociale, SIRET, TVA, représentant légal, RIB, attestation RC Pro, K-bis.
Technique	Logs d'accès, journaux d'audit, identifiants de session, cookies techniques.
Communications	Courriels, tickets de support, fil d'échange avec l'assistance.

6. Durées de conservation

Les durées ci-dessous s'entendent à compter de la fin de la relation contractuelle ou de la dernière action significative de la personne concernée. Des durées légales de prescription ou de conservation peuvent s'ajouter.

Compte client actif	Durée du compte, avec purge automatique après 3 ans d'inactivité, précédée d'une notification courriel avec délai de réponse de 30 jours.
Contrat signé et procès-verbal de signature électronique	10 ans (article L.123-22 du Code de commerce et article 1366 du Code civil).
Formulaire SAR — pas de sinistre	30 jours après retour effectif de la Balise, puis purge automatique.
Formulaire SAR — sinistre ou déclenchement	5 ans, aux fins de preuve et d'instruction éventuelle par les autorités ou les assureurs.
Pièce d'identité	90 jours après la fin de la location, puis chiffrement renforcé et purge.
Logs techniques (accès serveur, API, WAF)	12 mois glissants.
Journaux d'audit (actions admin, accès pros SAR)	5 ans.
Cookies techniques	12 mois maximum ; se reporter à la Politique cookies.
Abonnés newsletter	3 ans à compter du dernier contact significatif ou de la désinscription.
Facturation, bons de commande, comptabilité	10 ans.
Tickets support	3 ans après clôture du dossier.
Vidéoprotection (si applicable)	30 jours hors incident.

7. Destinataires

Les données personnelles sont traitées exclusivement par :

Le personnel habilité de Global SAR Hub SAS, dans la limite de son besoin d'en connaître, soumis à une obligation contractuelle de confidentialité ;
Les sous-traitants techniques listés à la section 8, agissant sur instruction documentée et soumis à un accord de sous-traitance conforme à l'article 28 du RGPD ;
Les autorités publiques compétentes (CROSS, MRCC, JRCC, PGHM, police, gendarmerie, douanes), en cas de déclenchement de la Balise ou de réquisition légale dûment motivée ;
Les éventuels experts, conseils juridiques, assureurs et huissiers, dans le cadre de la défense ou de la gestion d'un sinistre ;
Pour les clients B2B, l'organisme de contrôle fiscal et social compétent dans les cas prévus par la loi.

Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins publicitaires ou commerciales.

8. Liste exhaustive des sous-traitants

Stripe Payments Europe, Ltd	Dublin, Irlande — traitement des paiements, conformité PCI-DSS niveau 1, authentification 3-D Secure, empreintes de moyens de paiement. DPA et SCC signés.
Brevo SA (ex-Sendinblue)	Paris, France — envoi des courriels transactionnels et marketing, gestion des désabonnements. Hébergement en UE.
LWS — Ligne Web Services SARL	Paris, France — hébergement mutualisé et dédié. Sauvegardes chiffrées.
Cloudflare, Inc.	San Francisco, USA — CDN, pare-feu applicatif (WAF), mitigation DDoS. Certifié EU-US Data Privacy Framework (DPF) ; DPA + clauses contractuelles types (SCC) signés ; trafic majoritairement traité dans les points de présence européens.
Google LLC	USA — fourniture des polices Google Fonts uniquement, chargées sous CSP stricte, sans dépôt de cookies tiers et sans tracking côté navigateur.
Mondial Relay SAS	Hem, France — livraison en point relais.
La Poste — Colissimo / Chronopost	Paris / Levallois-Perret, France — livraison à domicile ou en bureau de poste, suivi, étiquettes de retour.
INSEE — Base Sirene	Paris, France — validation du numéro SIRET des Clients Pro. Autorité publique ; traitement limité à la vérification d'éligibilité.
[Prestataire SMS à désigner]	Envoi de SMS de relance en cas de retard de retour. DPA à signer avant activation.

Cette liste est tenue à jour. Toute modification substantielle est notifiée à l'avance par publication sur cette page et, pour les Clients Pro, conformément à l'Annexe 2 des CGV Pro.

9. Transferts hors Union européenne

Les principaux sous-traitants sont établis au sein de l'Espace économique européen. Certains flux peuvent néanmoins impliquer un transfert de données vers des pays tiers, encadré par les garanties suivantes :

Stripe : responsable de traitement indépendant établi en Irlande. Les éventuels transferts vers les États-Unis sont encadrés par les clauses contractuelles types (SCC) adoptées par la Commission européenne et, le cas échéant, par l'adhésion au DPF ;
Cloudflare : certifié DPF, signataire des clauses contractuelles types ; DPA couvrant les transferts et garanties supplémentaires ;
Google Fonts : chargement technique sans collecte d'identifiants utilisateurs côté ResQRent ; SCC couvrant les transferts éventuels.

Aucun autre transfert hors UE n'est opéré. Toute évolution à ce titre sera notifiée par une mise à jour de la présente Politique.

10. Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez sur vos données personnelles des droits suivants :

Droit d'accès (article 15) : obtenir la confirmation du traitement et une copie des données ;
Droit de rectification (article 16) : corriger des données inexactes ou incomplètes ;
Droit à l'effacement (article 17), dit « droit à l'oubli », dans les limites des obligations légales ;
Droit à la limitation (article 18) du traitement dans les cas prévus ;
Droit à la portabilité (article 20) : recevoir les données dans un format structuré, couramment utilisé et lisible par machine ;
Droit d'opposition (article 21) : s'opposer pour motifs légitimes à un traitement fondé sur l'intérêt légitime ;
Droit de retirer le consentement à tout moment pour les traitements qui en dépendent ;
Directives post-mortem (article 85 de la LIL) : organiser le sort des données après le décès.

Procédure d'exercice : adresser une demande à rgpd@resqrent.com, en précisant le droit invoqué et en joignant un justificatif d'identité dès lors qu'un doute raisonnable existe sur l'identité du demandeur. Une réponse motivée est adressée dans un délai d'un (1) mois, prolongeable à trois (3) mois en cas de complexité particulière (article 12 §3 du RGPD). L'exercice de ces droits est gratuit, sauf demande manifestement infondée ou excessive.

Réclamation : toute personne concernée peut introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 Place de Fontenoy, 75007 Paris, www.cnil.fr.

11. Cookies

ResQRent utilise uniquement des cookies strictement nécessaires au fonctionnement du service et, à titre accessoire, des cookies de mesure d'audience exemptés de consentement. Le détail complet figure dans la Politique cookies. Aucun cookie publicitaire ni traceur tiers n'est déposé.

12. Mesures de sécurité techniques et organisationnelles

Conformément à l'article 32 du RGPD, Global SAR Hub SAS met en œuvre les mesures suivantes, ajustées à la nature des données et aux risques :

Transport chiffré : TLS 1.3, HSTS preload, CAA DNS ;
Chiffrement au repos : AES-256-GCM sur les champs sensibles (pièces d'identité, conditions médicales) ;
Mots de passe : hash bcrypt cost 12, politique de robustesse, détection d'utilisation de mots de passe compromis ;
Sessions : cookies HttpOnly, Secure, SameSite Lax ou Strict selon les contextes, rotation des identifiants, expiration courte pour les actions sensibles ;
Rate-limiting multi-actions (connexion, mot de passe oublié, API) ;
Durcissement : Content Security Policy stricte, X-Frame-Options DENY, Referrer-Policy, Permissions-Policy, sandbox sur les intégrations tierces ;
Journal d'audit détaillé sur les actions sensibles, conservé cinq (5) ans ;
Sauvegardes chiffrées quotidiennes sur LWS et copies off-site, tests de restauration périodiques ;
Accès administration : moindre privilège, 2FA TOTP obligatoire (feuille de route), revues trimestrielles des habilitations ;
Revue trimestrielle des sous-traitants et de leurs engagements ;
Plan de continuité et de reprise d'activité (PCA/PRA) documenté ; exercices annuels ;
Formation du personnel à la protection des données et à la sécurité de l'information.

13. Notification en cas de violation de données

En application des articles 33 et 34 du RGPD, toute violation de données à caractère personnel fait l'objet :

D'une notification à la CNIL dans un délai de 72 heures après en avoir pris connaissance, lorsqu'elle est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées ;
D'une information aux personnes concernées, dans les meilleurs délais, lorsque la violation est susceptible d'engendrer un risque élevé ;
D'une publication d'informations techniques sur la page de statut status.resqrent.com lorsque cela est pertinent pour l'information générale, dans le respect des règles de sécurité.

Un registre interne des violations est tenu à jour par le DPO.

14. Mineurs

Les services de ResQRent ne sont pas destinés aux personnes âgées de moins de dix-huit (18) ans. Le processus de commande intègre une déclaration de majorité, contrôlée indirectement par la signature électronique et, le cas échéant, par la vérification d'une pièce d'identité. Aucune donnée n'est collectée sciemment auprès d'un mineur. Toute donnée qui serait collectée par erreur est supprimée dès découverte, sur simple signalement à rgpd@resqrent.com.

15. Profilage et décisions automatisées

ResQRent ne met pas en œuvre de profilage algorithmique à finalité commerciale ni de scoring comportemental des utilisateurs.

Dans le cadre B2B, la vérification du numéro SIRET et le pré-scoring d'éligibilité peuvent reposer sur des contrôles automatisés (article 22 §2-a du RGPD : décision nécessaire à la conclusion du contrat). Toute décision défavorable fait l'objet, sur demande du Client Pro, d'une revue humaine et d'une explication des motifs.

16. Modifications de la Politique

La présente Politique est susceptible d'être modifiée. Toute modification significative est notifiée aux comptes actifs par courriel et publiée sur le Site, avec un préavis de trente (30) jours avant entrée en vigueur. La version applicable est celle en vigueur à la date de l'action concernée.

17. Contact DPO et formulaire de demande

Pour toute question, réclamation ou demande d'exercice de droits : rgpd@resqrent.com. Un formulaire simple est accessible depuis l'Espace personnel pour formaliser une demande d'accès, de rectification, d'effacement ou de portabilité.

Le formulaire type invite la personne concernée à préciser : le droit invoqué, les traitements visés, un justificatif d'identité (lorsque nécessaire), un mode de réponse préféré (courriel ou courrier postal).