Politique de
confidentialité

La présente Politique de confidentialité explique comment CURSORIO, société par actions simplifiée à associé unique (SASU) immatriculée au RCS de Cannes sous le numéro 913 138 640, dont le siège social est situé 21 rue des Muriers, 06110 Le Cannet, France (« Cursorio », « nous »), collecte et traite les données personnelles via l'application mobile et la plateforme web Cursorio (app.cursorio.com) (le « Service »).

Nous nous conformons au Règlement Général sur la Protection des Données (RGPD) et à la loi française Informatique et Libertés.

1. Responsable de traitement et sous-traitant — distinction importante

• — Lorsque nous agissons en tant que responsable de traitement : pour les données relatives à la création de compte, à l'authentification et à nos propres communications avec vous, nous déterminons les finalités et les moyens du traitement et agissons en qualité de responsable de traitement.
• — Lorsque nous agissons en tant que sous-traitant : lorsqu'une organisation (par ex. une société de gestion ou un propriétaire de navire) utilise le Service pour gérer son équipage et ses navires, cette organisation est en principe le responsable de traitement des données qu'elle saisit, et nous agissons comme sous-traitant pour son compte, dans le cadre d'un accord de sous-traitance distinct. Dans ce cas, la propre politique de confidentialité de l'organisation régit l'usage de ces données, et certaines demandes doivent lui être adressées directement.

1 bis. Information lorsque vos données nous sont communiquées par votre employeur ou par l'organisation qui gère le navire

Lorsqu'une organisation cliente (gestionnaire, propriétaire, agence de placement) crée un compte à votre nom, vos données d'identification professionnelle nous sont transmises par cette organisation. Conformément à l'article 14 du RGPD, nous vous communiquons les informations suivantes :

• —Source des données : votre employeur, le gestionnaire du navire ou l'agence vous ayant enrôlé.
• —Catégories de données collectées via cette source : nom, prénom, e-mail professionnel, rôle à bord, navire d'affectation, identifiants nécessaires à l'enrôlement (numéro de seafarer's book, nationalité — facultatifs).
• —Vous êtes informé(e) de la création de votre compte par un e-mail d'onboarding incluant un lien vers la présente politique.
• —Dans ce contexte, Cursorio agit comme sous-traitant de l'organisation responsable. Vos demandes relatives à vos données (accès, rectification, effacement) doivent en principe être adressées en premier lieu à cette organisation, qui détermine les finalités du traitement. Nous pouvons vous assister en transmettant votre demande.

2. Données que nous collectons

a) Données de compte et de profil

Adresse e-mail, nom, mot de passe (stocké de manière hachée/chiffrée), rôle (Propriétaire / Manager / Capitaine / Collaborateur), photo de profil / avatar, et préférences de langue et de format d'heure.

b) Heures de repos (HoR) et données de travail

Heures de repos et de travail, activités et événements à bord/à terre, plannings, profils/modèles de travail, et informations d'audit (qui a créé, modifié, écrasé ou supprimé une saisie — conservées dans un historique signé et immuable). Ces données peuvent être liées à la conformité au travail maritime (MLC 2006).

c) Données financières et de maintenance

Informations financières relatives au yacht que vous saisissez manuellement (dépenses, budgets, rapports mensuels), saisies de maintenance planifiée, certificats, documents administratifs et de sécurité que vous choisissez de stocker dans le Service.

d) Données techniques et d'usage

Identifiants d'appareil, version de l'application, adresse IP, données de journalisation, jetons de notifications push, et — lorsqu'elles sont activées — données d'analytics et de rapports de plantage, utilisées pour exploiter, sécuriser et améliorer le Service.

Nous ne traitons pas de catégories particulières de données au sens de l'article 9 du RGPD (notamment données de santé, opinions philosophiques, religieuses ou syndicales, données biométriques ou génétiques).

Nous attirons votre attention sur le fait de ne pas saisir de telles données dans les champs libres (commentaires sur les heures de repos, notes de maintenance, descriptions d'incidents). Si une catégorie particulière de données vous était strictement nécessaire (par exemple, un certificat médical pour justifier une absence), elle doit faire l'objet d'un traitement séparé et reposer sur une base juridique spécifique (art. 9.2 RGPD).

3. Finalités et bases légales (art. 6 RGPD)

4. Intelligence artificielle et traitement de documents

Certaines fonctions utilisent un traitement automatisé/IA (par ex. analyse de budget, détection d'anomalies, prévisions, suggestions de récupération de TVA, commentaires de rapports automatisés) basé sur les données que vous saisissez. Nous utilisons également la reconnaissance optique de caractères (OCR) pour extraire le texte des documents et certificats que vous téléversez, afin de les classer et de les rendre recherchables. Ces fonctions vous assistent mais ne prennent pas de décision produisant des effets juridiques ou financiers à votre égard sans intervention humaine. Les traitements IA et OCR sont réalisés avec Anthropic et OpenRouter, Inc en qualité de sous-traitants, sous garanties contractuelles. Les résultats automatisés peuvent être inexacts et doivent être vérifiés.

Engagement de non-réutilisation. Les données que vous soumettez aux fonctions d'IA et d'OCR ne sont pas utilisées par nos sous-traitants pour entraîner, ré-entraîner ou améliorer leurs modèles, ni pour alimenter des ensembles d'entraînement partagés. Cette restriction est contractualisée :

• —avec Anthropic, par le Data Processing Addendum et les paramètres de l'API garantissant la non-rétention des données soumises au-delà du traitement immédiat ;
• —avec OpenRouter, par les conditions de service exigeant le routage exclusif vers des modèles dont les fournisseurs garantissent la non-réutilisation des données.

Les sorties IA sont des suggestions à valeur indicative et ne sont pas conservées par les sous-traitants au-delà du temps strictement nécessaire au calcul.

Droits liés aux suggestions automatisées. Pour les fonctions susceptibles d'avoir un impact financier (détection d'anomalies, suggestions de récupération de TVA, commentaires automatisés sur les rapports), vous disposez des droits suivants :

• —obtenir une intervention humaine de la part de Cursorio pour examiner la suggestion ;
• —exprimer votre point de vue sur la suggestion automatisée ;
• —contester la suggestion et demander son réexamen.

Ces demandes peuvent être adressées à [email protected].

5. Notifications push

Nous utilisons des notifications push pour vous rappeler de saisir vos heures, vous alerter de l'expiration des certificats et pour des messages opérationnels. Les notifications sont délivrées via Expo (et les services de notification sous-jacents d'Apple/Google). Vous pouvez les désactiver à tout moment dans les réglages de votre appareil.

6. Partage et tiers

Nous ne vendons pas vos données personnelles. Nous les partageons uniquement avec :

• — Des prestataires (sous-traitants) agissant pour notre compte :
  • ·Supabase — hébergement, base de données et authentification ;
  • ·Anthropic — traitement IA des données que vous soumettez aux fonctions d'IA ;
  • ·OpenRouter, Inc (États-Unis) — passerelle technique vers les modèles d'OCR. Cursorio restreint contractuellement le routage à un sous-ensemble de modèles dont les fournisseurs garantissent : (i) la non-réutilisation des données soumises pour l'entraînement, et (ii) une politique de rétention conforme au RGPD. La liste à jour des modèles utilisés est disponible sur demande à [email protected] ;
  • ·Expo — délivrance des notifications push ;
  • ·Google Firebase — analytics et rapports de plantage.
• —L'organisation qui gère votre compte (par ex. votre employeur, société de gestion ou opérateur de flotte), selon votre rôle.
• —Les autorités ou des tiers lorsque la loi l'exige, ou pour protéger des droits, la sécurité et l'intégrité du Service.

Tous les sous-traitants sont liés par des contrats imposant une confidentialité et une sécurité appropriées.

7. Transferts internationaux

Notre prestataire d'hébergement et de base de données (Supabase) est configuré pour stocker vos données dans l'Union européenne. Certains autres sous-traitants sont situés hors de l'Espace économique européen et peuvent traiter certaines données aux États-Unis — en particulier Anthropic (IA), OpenRouter, Inc (OCR), Google Firebase (analytics/plantages) et Expo (notifications push). Ces transferts sont encadrés par des garanties appropriées, notamment les Clauses Contractuelles Types de la Commission européenne.

8. Durées de conservation

Nous conservons les données personnelles uniquement le temps nécessaire aux finalités ci-dessus :

• —Données de compte/profil : pendant la durée de vie de votre compte, puis effacées ou anonymisées après fermeture (sous réserve des obligations légales de conservation).
• —Heures de repos / données de travail : conservées 2 ans, conformément aux exigences de l'État du pavillon applicable.
• —Données financières et comptables : conservées selon les obligations comptables/fiscales françaises (généralement jusqu'à 10 ans).
• —Journaux techniques : conservés pour une durée limitée à des fins de sécurité et de diagnostic.

Lorsque nous agissons comme sous-traitant, la conservation suit les instructions de l'organisation responsable.

9. Vos droits (RGPD)

Sous réserve de la loi applicable, vous disposez des droits suivants : accès à vos données ; rectification des données inexactes ; effacement (« droit à l'oubli ») ; limitation ou opposition au traitement ; portabilité ; et retrait du consentement à tout moment. Lorsque nous agissons comme sous-traitant, nous transmettrons votre demande au responsable concerné ou l'assisterons dans sa réponse.

Pour exercer vos droits, contactez notre référent protection des données à [email protected]. Nous répondons dans un délai d'un mois. Vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle française, la CNIL (cnil.fr). Si vous résidez dans un autre État membre de l'Union européenne ou de l'Espace économique européen, vous pouvez également saisir l'autorité de contrôle de votre pays de résidence. La liste des autorités est disponible sur edpb.europa.eu.

10. Suppression du compte et des données

Vous pouvez supprimer votre compte directement dans l'application (Réglages → Compte → Supprimer le compte) ou en écrivant à [email protected]. En cas de suppression, nous effaçons ou anonymisons vos données personnelles, à l'exception des registres que nous sommes légalement tenus de conserver (par ex. les pièces comptables). Lorsque votre compte est géré par une organisation, la suppression peut également dépendre des instructions et obligations légales de celle-ci.

11. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données, notamment le chiffrement en transit (HTTPS), des mots de passe hachés, des contrôles d'accès par rôles, un historique d'audit signé/immuable, et un accès restreint aux systèmes de production. Aucune méthode de transmission ou de stockage n'est totalement sûre, mais nous nous efforçons de protéger vos données et de notifier les utilisateurs concernés et la CNIL de toute violation conformément à la loi.

11 bis. Cookies et stockage local

L'application web (app.cursorio.com) utilise les mécanismes de stockage suivants, strictement nécessaires à son fonctionnement :

• —Cookies / localStorage d'authentification : jetons Supabase permettant de maintenir votre session ouverte. Durée : jusqu'à déconnexion ou expiration (typiquement 7 jours).
• —localStorage de préférences : langue, format d'heure, préférences d'affichage (sombre/clair). Durée illimitée ou jusqu'à effacement par vos soins.
• —Cookies Cloudflare (sécurité) : __cf_bm, cf_clearance. Voir politique site cursorio.com/confidentialite.

Aucun cookie publicitaire, aucun cookie de tracking tiers, aucun cookie de marketing n'est déposé. Les rapports de plantage et l'analytics produit (Google Firebase) utilisent des identifiants techniques distincts des cookies web ; ils peuvent être désactivés via les réglages de l'application.

12. Mineurs

Le Service est destiné à des utilisateurs professionnels adultes et ne s'adresse pas aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données concernant des mineurs.

13. Modifications de la présente Politique

Nous pouvons mettre à jour la présente Politique de confidentialité. Nous publierons la nouvelle version avec une date de « Dernière mise à jour » actualisée et, en cas de modification substantielle, prendrons des mesures raisonnables pour vous en informer.

14. Contact

CURSORIO (SASU)
21 rue des Muriers, 06110 Le Cannet, France
RCS Cannes 913 138 640
Contact général / compte : [email protected] — Tél : +33 7 89 25 83 77
Référent protection des données : [email protected]
Autorité de contrôle : CNIL — cnil.fr

Cursorio n'a pas désigné de Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD, la désignation n'étant pas obligatoire au regard de notre taille et de la nature de nos activités. Le référent protection des données indiqué ci-dessus est votre point de contact unique pour toute question liée à vos données.