| Société | TrackMyBag SASU |
| Responsable du traitement | Fikret ONAL — Fondateur et Président |
| Adresse | 16 rue Jean Moulin, 28500 Luray, France |
| Contact RGPD | trackmybag@trackmybag.org |
| Téléphone | +33 7 68 85 29 58 |
| Site web | www.trackmybag.org |
| Marque INPI | N° 5244799 — 03/04/2026 — Classes 9, 39, 42 |
| eSoleau | N° DSO2026012273 — Valide jusqu'au 03/04/2031 |
Ce document décrit comment TrackMyBag SASU collecte, utilise et protège vos données personnelles dans le cadre de l'utilisation de l'application mobile TrackMyBag et du site www.trackmybag.org. Il est rédigé conformément aux obligations de l'article 13 du RGPD (information lors de la collecte).
En utilisant nos services, vous reconnaissez avoir pris connaissance de cette politique.
Le responsable du traitement de vos données personnelles est :
| Dénomination | TrackMyBag SASU |
| Représentant légal | Fikret ONAL — Fondateur et Président |
| Adresse | 16 rue Jean Moulin, 28500 Luray, France |
| Email RGPD | trackmybag@trackmybag.org |
| Téléphone | +33 7 68 85 29 58 |
| Site web | www.trackmybag.org |
Délégué à la protection des données (DPO) : TrackMyBag SASU n'a pas l'obligation légale de désigner un DPO au sens de l'art. 37 du RGPD (absence de traitement à grande échelle de données sensibles et absence de suivi systématique des personnes concernées). Les demandes relatives à la protection des données sont traitées directement par le responsable du traitement, Fikret Onal, via l'adresse trackmybag@trackmybag.org.
TrackMyBag collecte uniquement les données strictement nécessaires à la fourniture du service, conformément au principe de minimisation (art. 5.1.c du RGPD) :
| Catégorie | Données collectées | Obligatoire | Base légale |
|---|---|---|---|
| Identification | Adresse email, prénom | Oui | Art. 6.1.b — Contrat |
| Compte social | Identifiant Google (si connexion OAuth) | Non | Art. 6.1.b — Contrat |
| Voyage | Numéro de vol, dates, aéroports départ/arrivée | Oui | Art. 6.1.b — Contrat |
| Bagage | Référence étiquette IATA (scannée par l'utilisateur) | Oui | Art. 6.1.b — Contrat |
| Scan caméra | Accès ponctuel à la caméra pour lecture locale de code-barres IATA (aucune image n'est transmise ni stockée) | Ponctuel | Art. 6.1.b — Contrat |
| Technique | Version OS, version app, logs d'erreur pseudonymisés | Non | Art. 6.1.f — Intérêt légitime |
| Analytics | Données d'usage pseudonymisées (identifiant d'instance Firebase) | Non | Art. 6.1.a — Consentement |
| Diagnostic | Rapports de plantage Firebase Crashlytics (pseudonymisés) | Non | Art. 6.1.f — Intérêt légitime |
- Localisation GPS ou géolocalisation (aucune permission de localisation n'est demandée par l'application)
- Données biométriques (empreintes, reconnaissance faciale)
- Contenu des communications privées
- Données bancaires directes (aucun service de paiement dans la version actuelle)
- Données de santé ou données sensibles au sens de l'art. 9 RGPD
- Numéro de passeport ou document d'identité
- Photos ou vidéos (la caméra est utilisée uniquement pour le scan local de code-barres IATA)
Vos données sont utilisées exclusivement pour les finalités suivantes :
| Finalité | Description | Base légale |
|---|---|---|
| Service principal | Affichage du statut de votre bagage en temps réel | Art. 6.1.b — Contrat |
| Compte utilisateur | Création, gestion et authentification sécurisée | Art. 6.1.b — Contrat |
| Support client | Traitement des demandes d'assistance et réclamations | Art. 6.1.b — Contrat |
| Sécurité | Détection des accès frauduleux et protection du compte | Art. 6.1.f — Intérêt légitime |
| Amélioration | Analyse pseudonymisée de l'usage pour améliorer le service | Art. 6.1.a — Consentement |
| Obligations légales | Respect des obligations comptables et fiscales | Art. 6.1.c — Obligation légale |
Vos données sont conservées uniquement le temps nécessaire aux finalités pour lesquelles elles ont été collectées, conformément à l'art. 5.1.e du RGPD :
| Catégorie | Durée | Motif |
|---|---|---|
| Compte utilisateur (email, prénom) | 3 ans après la dernière connexion | Prescription civile |
| Données de voyage et bagage | 12 mois après la date du vol | Pertinence opérationnelle |
| Logs techniques (pseudonymisés) | 12 mois glissants | Sécurité et diagnostic |
| Analytics (pseudonymisés) | 13 mois maximum | Recommandation CNIL |
| Rapports Crashlytics | 90 jours | Diagnostic de stabilité |
| Correspondances support | 3 ans après clôture du dossier | Prescription civile |
| Données comptables et fiscales | 10 ans (obligation légale) | Art. L.123-22 Code de commerce |
À l'expiration de ces délais, vos données sont supprimées de manière sécurisée ou anonymisées de façon irréversible.
Vos données personnelles peuvent être transmises aux destinataires suivants, dans le strict cadre des finalités définies ci-dessus :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Google Ireland / Google LLC (Firebase) | Hébergement, authentification, Analytics, Crashlytics | europe-west1 (Belgique, UE) | DPA Google + DPF + SCC 2021 |
| Google Play (Google LLC) | Distribution de l'application Android | États-Unis | EU-US DPF + SCC 2021 |
| Apple Inc. | Distribution de l'application iOS | États-Unis | EU-US DPF + SCC 2021 |
| Autorités compétentes | CNIL, autorités judiciaires (si obligation légale) | France | Art. 6.1.c RGPD |
Des partenaires d'infrastructure aéroportuaire (fournisseurs de données bagages) pourront être ajoutés à cette liste dans une version ultérieure, dès signature formelle d'un accord de sous-traitance au sens de l'art. 28 du RGPD. Vous serez informé par notification in-app avant tout transfert effectif de données.
TrackMyBag SASU ne vend, ne loue et ne cède vos données personnelles à aucun tiers à des fins commerciales. Vos données ne sont jamais utilisées à des fins publicitaires sans votre consentement explicite. TrackMyBag ne réalise aucun profilage commercial ni décision automatisée ayant un impact juridique à votre égard.
Certains de nos sous-traitants (notamment Google LLC et Apple Inc.) sont établis aux États-Unis. Ces transferts sont encadrés par :
- Le EU-US Data Privacy Framework (DPF), adopté par la Commission européenne le 10 juillet 2023 par décision d'adéquation, auquel Google LLC et Apple Inc. sont tous deux certifiés (vérifiable sur dataprivacyframework.gov).
- Les Clauses Contractuelles Types (CCT / SCC) version 2021 approuvées par la Commission européenne, au titre de l'art. 46.2.c du RGPD, comme garantie complémentaire.
- Les certifications ISO 27001 et SOC 2 Type II de Google Cloud et de l'infrastructure Firebase.
Hébergement principal : Firebase Realtime Database — région europe-west1 (Belgique) — Union européenne. Chiffrement TLS 1.3 en transit et AES-256 au repos.
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Article | Description | Délai |
|---|---|---|---|
| Accès | Art. 15 | Obtenir une copie de toutes vos données personnelles | 1 mois |
| Rectification | Art. 16 | Corriger vos données inexactes ou incomplètes | 1 mois |
| Effacement | Art. 17 | Droit à l'oubli (sous réserve d'obligations légales) | 1 mois |
| Limitation | Art. 18 | Suspendre temporairement le traitement | 1 mois |
| Portabilité | Art. 20 | Recevoir vos données en format structuré (JSON) | 1 mois |
| Opposition | Art. 21 | Vous opposer au traitement sur intérêt légitime | 1 mois |
| Retrait du consentement | Art. 7.3 | Retirer votre consentement à tout moment | Immédiat |
| Réclamation CNIL | Art. 77 | Déposer plainte auprès de la CNIL | Selon CNIL |
Par email : trackmybag@trackmybag.org
Objet : « Exercice droit RGPD — [Nom du droit] — [Votre nom] »
Par courrier : Fikret ONAL — TrackMyBag SASU — 16 rue Jean Moulin — 28500 Luray — France
Nous répondons dans un délai maximum d'un mois. Une pièce justificative d'identité pourra être demandée pour les demandes d'accès et d'effacement.
TrackMyBag met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données (art. 32 du RGPD) :
| Mesure | Description |
|---|---|
| Chiffrement en transit | TLS 1.3 — toutes les communications entre l'app et nos serveurs sont chiffrées |
| Chiffrement au repos | AES-256 — vos données stockées sont chiffrées sur Firebase (Google Cloud europe-west1) |
| Authentification | Firebase Authentication — mots de passe hachés, connexion Google OAuth 2.0 |
| Accès minimal | Principe du moindre privilège — seul le responsable du traitement accède aux données de production |
| Protection applicative | Firebase App Check activé pour bloquer les requêtes d'applications non légitimes |
| Clés d'API | Clés Firebase restreintes par empreinte de signature (SHA) et identifiant de package. Aucun secret serveur dans le code client. |
| Sauvegarde | Sauvegardes automatiques Firebase avec redondance multi-zones en région européenne |
| Revue de sécurité | Revues de code régulières et veille de sécurité continue sur les dépendances tierces |
L'application mobile TrackMyBag utilise des technologies de traçage dans le strict respect de la recommandation CNIL sur les cookies (janvier 2022) et de la directive ePrivacy 2002/58/CE :
| Type | Fournisseur | Finalité | Durée | Consentement |
|---|---|---|---|---|
| Strictement nécessaires | Firebase Auth Session | Maintien de la session utilisateur | Session | Non requis |
| Fonctionnels | Préférences locales | Mémorisation des préférences (langue, thème) | 12 mois | Non requis |
| Analytics | Firebase Analytics | Mesure d'audience agrégée (pseudonymisée) | 13 mois max. | Requis |
| Diagnostic | Firebase Crashlytics | Détection et analyse des plantages | 90 jours | Requis |
Vous pouvez gérer vos préférences de traceurs depuis les paramètres de l'application : Paramètres → Confidentialité → Traceurs. Le refus des traceurs strictement nécessaires peut affecter le fonctionnement du service.
L'application TrackMyBag est destinée aux personnes âgées de 15 ans et plus. Conformément à l'art. 8 du RGPD et à l'art. 7-1 de la loi n° 78-17 modifiée (Loi pour une République numérique du 7 octobre 2016), en France, le traitement des données personnelles d'un mineur de moins de 15 ans nécessite le consentement conjoint du mineur et du ou des titulaires de l'autorité parentale.
Si vous êtes parent ou tuteur légal et que vous pensez que votre enfant de moins de 15 ans nous a transmis des données personnelles sans votre consentement, contactez-nous immédiatement à trackmybag@trackmybag.org afin que nous procédions à leur suppression dans les meilleurs délais.
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, TrackMyBag SASU s'engage à :
- Notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation (art. 33 RGPD).
- Vous informer individuellement dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé (art. 34 RGPD).
- Documenter toute violation dans un registre interne conformément à l'art. 33.5 du RGPD.
- Mettre en œuvre immédiatement les mesures correctives nécessaires.
Contact CNIL : notifications.cnil.fr — 01 53 73 22 22 — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
TrackMyBag SASU se réserve le droit de modifier la présente politique de confidentialité à tout moment pour l'adapter aux évolutions légales, réglementaires ou techniques.
En cas de modification substantielle, vous serez informé :
- Par un affichage visible dans l'application lors de votre prochaine connexion.
- Par email à l'adresse enregistrée dans votre compte utilisateur.
- Par une mise à jour de la date et du numéro de version en tête de document.
La poursuite de l'utilisation du service après notification vaut acceptation de la nouvelle version.
La présente politique de confidentialité est régie par le droit français et le Règlement européen RGPD (UE) 2016/679.
En cas de litige relatif à la protection de vos données personnelles, vous pouvez :
- Contacter TrackMyBag directement : trackmybag@trackmybag.org
- Saisir la CNIL : cnil.fr — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Saisir le tribunal judiciaire compétent, conformément à l'art. 79 du RGPD.
Récapitulatif — Vos droits en un coup d'œil
Marque INPI n° 5244799 — « TrackMyBag » — 03/04/2026 — Classes 9, 39, 42
eSoleau n° DSO2026012273 — Protection du code source et du concept (valide jusqu'au 03/04/2031)
Version 1.1 — Entrée en vigueur : avril 2026 (remplace la version 1.0)
Your bag. Your peace of mind.