Politique de Confidentialité

PRÉAMBULE

La présente Politique de Confidentialité a pour objet d'informer les utilisateurs de la plateforme FlixBag (ci-après « la Plateforme ») des conditions dans lesquelles leurs données personnelles sont collectées, traitées, utilisées, conservées et, le cas échéant, transférées par la société FlixBag, SASU au capital de 1.000 euros, immatriculée au Registre du Commerce et des Sociétés de Bourg-la-Reine sous le numéro [RCS], dont le siège social est situé au 53 rue Hoffmann, 92340 Bourg-la-Reine (ci-après « FlixBag » ou « le Responsable de traitement »).

FlixBag est une plateforme digitale mettant en relation des voyageurs disposant de kilos excédentaires dans leurs bagages avec des envoyeurs souhaitant expédier des colis à l'international à des tarifs compétitifs. Cette activité implique le traitement de données personnelles sensibles, notamment des données d'identité, de paiement et de localisation.

FlixBag s'engage à respecter scrupuleusement la réglementation applicable en matière de protection des données personnelles, en particulier le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD), la Loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, ainsi que toute législation locale applicable dans les pays d'exploitation de la Plateforme (Union Européenne, pays francophones d'Afrique, Canada, États-Unis, Chine, Inde, Pakistan).

ARTICLE 1 — DÉFINITIONS

Au sens de la présente Politique, les termes suivants ont la signification ci-après :

  • « Données personnelles » : Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement.
  • « Traitement » : Toute opération ou ensemble d'opérations effectuées sur des données personnelles (collecte, enregistrement, conservation, modification, extraction, consultation, utilisation, communication, suppression).
  • « Utilisateur » : Toute personne physique utilisant la Plateforme FlixBag en qualité de Voyageur, d'Envoyeur ou de Réceptionnaire.
  • « Voyageur » : Utilisateur mettant à disposition ses kilos de bagages excédentaires pour le transport de colis.
  • « Envoyeur » : Utilisateur souhaitant envoyer un colis via la Plateforme.
  • « Réceptionnaire » : Personne désignée par l'Envoyeur pour réceptionner le colis à destination.
  • « Responsable de traitement » : FlixBag, SASU, qui détermine les finalités et les moyens du traitement des données personnelles.
  • « DPO » : Délégué à la Protection des Données, personne chargée de veiller à la conformité des traitements.

ARTICLE 2 — RESPONSABLE DU TRAITEMENT

Le responsable du traitement des données personnelles collectées via la Plateforme est :

Raison socialeFlixBag
Forme juridiqueSociété par Actions Simplifiée Unipersonnelle (SASU)
Capital social1.000 euros
Siège social53 rue Hoffmann, 92340 Bourg-la-Reine
RCSBourg-la-Reine [Numéro]
Représentant légalARNAUD KINTOHOU
Email DPOdpo@flixbag.com
Téléphone+33 7 46 55 02 99

ARTICLE 3 — DONNÉES COLLECTÉES

3.1 Données fournies directement par l'Utilisateur

Lors de l'inscription, de l'utilisation de la Plateforme et de la réalisation de transactions, FlixBag collecte les catégories de données suivantes :

a) Données d'identification et de vérification

  • • Nom, prénom, date de naissance, nationalité
  • • Adresse e-mail, numéro de téléphone
  • • Copie du passeport ou pièce d'identité (scan obligatoire pour les Voyageurs)
  • • Photographie d'identité (badge de vérification)
  • • Adresse postale complète

b) Données de vol et de transport

  • • Billet électronique (copie numérisée)
  • • Référence de réservation (PNR — Passenger Name Record)
  • • Itinéraire complet (origine, destination, escales, horaires)
  • • Date d'achat du billet, date du vol, prix du billet
  • • Nombre de valises autorisées et kilos disponibles

c) Données transactionnelles et financières

  • • Coordonnées bancaires et moyens de paiement (CB, Apple Pay, Google Pay, KKiaPay, FedaPay, PayDunya, CinetPay)
  • • Historique des transactions (montants, dates, statuts)
  • • Informations relatives aux séquestres de paiement
  • • Données relatives aux remboursements, pénalités et frais d'annulation

d) Données relatives aux colis

  • • Type de colis et catégorie (Standard, Premium)
  • • Poids déclaré, poids vérifié
  • • Description du contenu, lieu d'expédition et destination

3.2 Données collectées automatiquement

  • Données de connexion : adresse IP, type de navigateur, système d'exploitation, identifiants d'appareil
  • Données de géolocalisation : position GPS pour la mise en relation des parties et la vérification du dépôt en point relais
  • Cookies et traceurs : données de navigation, préférences, statistiques d'utilisation
  • Données de suivi de vol : informations en temps réel via les API Flightradar24 et FlightAware
  • Données d'évaluation : notes étoilées, classement (1 à 5), statut « Habitué(e) »

ARTICLE 4 — FINALITÉS ET BASES LÉGALES DU TRAITEMENT

Les données personnelles sont traitées pour les finalités suivantes :

FinalitéDescriptionBase légale
Création et gestion des comptes utilisateursInscription, vérification d'identité, gestion du profilExécution du contrat (Art. 6.1.b RGPD)
Mise en relation Voyageurs / EnvoyeursAlgorithme de matching, affichage des propositionsExécution du contrat (Art. 6.1.b RGPD)
Tarification dynamique (Smart-Pricing)Calcul automatisé du prix via extraction PNR/OCRIntérêt légitime (Art. 6.1.f RGPD)
Gestion des paiements et séquestresSéquestration, libération, remboursementsExécution du contrat (Art. 6.1.b RGPD)
Suivi des vols et notificationsTracking en temps réel, alertes automatiquesExécution du contrat (Art. 6.1.b RGPD)
Gestion des litiges et contentieuxMédiation, preuve, désactivation de profilsIntérêt légitime (Art. 6.1.f RGPD)
Notation et classementSystème étoilé, statut Habitué, classement 1-5Intérêt légitime (Art. 6.1.f RGPD)
Amélioration de la PlateformeStatistiques, analyse comportementale, optimisationConsentement (Art. 6.1.a RGPD)
Communication commercialeNewsletters, offres promotionnellesConsentement (Art. 6.1.a RGPD)
Obligations légalesFiscalité, lutte anti-blanchiment, réquisitionsObligation légale (Art. 6.1.c RGPD)

ARTICLE 5 — DESTINATAIRES DES DONNÉES

Les données personnelles peuvent être communiquées aux catégories de destinataires suivantes, dans la stricte limite de ce qui est nécessaire à l'accomplissement des finalités décrites ci-dessus :

5.1 Destinataires internes

Les personnels habilités de FlixBag (service client, équipe technique, direction) dans la limite de leurs attributions respectives.

5.2 Sous-traitants et partenaires techniques

  • • Prestataires de paiement : Stripe, Apple Pay, Google Pay, KKiaPay, FedaPay, PayDunya, CinetPay
  • • Prestataires de vérification d'identité (KYC)
  • • Fournisseurs d'API de suivi de vols : Flightradar24, FlightAware
  • • Services d'hébergement et d'infrastructure cloud
  • • Transporteurs partenaires : Colissimo, UPS, DHL

5.3 Tiers autorisés

  • • Autorités judiciaires, administratives ou réglementaires sur réquisition légale
  • • Autres Utilisateurs de la Plateforme dans le cadre strict d'une transaction (informations nécessaires à la livraison)

ARTICLE 6 — TRANSFERTS INTERNATIONAUX DE DONNÉES

FlixBag opérant à l'échelle internationale (Union Européenne, Afrique francophone, Canada, États-Unis, Chine, Inde, Pakistan), des transferts de données personnelles vers des pays tiers sont susceptibles d'intervenir.

Ces transferts sont encadrés par les garanties suivantes, conformément au Chapitre V du RGPD :

  • • Décisions d'adéquation de la Commission européenne pour les pays reconnus comme offrant un niveau de protection adéquat (Canada via la LPRPDE).
  • • Clauses Contractuelles Types (CCT) approuvées par la Commission européenne pour les transferts vers les États-Unis, la Chine, l'Inde et le Pakistan.
  • • Règles d'Entreprise Contraignantes (BCR) lorsque les sous-traitants en disposent.
  • • EU-US Data Privacy Framework pour les prestataires américains certifiés.

Pour les pays d'Afrique francophone, FlixBag s'assure de la conformité avec les réglementations locales en matière de protection des données, notamment la Convention de l'Union Africaine sur la cybersécurité et la protection des données personnelles (Convention de Malabo) et les lois nationales applicables.

ARTICLE 7 — DURÉE DE CONSERVATION

Les données personnelles sont conservées pour une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont traitées :

Catégorie de donnéesDurée de conservation
Données de compte utilisateurDurée de la relation contractuelle + 3 ans après la dernière activité
Données d'identité (KYC)5 ans après la clôture du compte (obligations anti-blanchiment)
Données de transaction10 ans (obligations comptables et fiscales)
Données de vol et PNRDurée de la transaction + 1 an
Données de suivi et géolocalisation6 mois après la livraison effective
Données de litiges5 ans après la résolution définitive
Données de notation/classementDurée de la relation contractuelle
Cookies et traceurs13 mois maximum
Données de prospection commerciale3 ans après le dernier contact

Au terme de ces durées, les données sont définitivement supprimées ou anonymisées de manière irréversible à des fins statistiques.

ARTICLE 8 — SÉCURITÉ DES DONNÉES

FlixBag met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD :

8.1 Mesures techniques

  • • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
  • • Chiffrement spécifique des données PNR et des billets téléchargés conformément aux normes RGPD
  • • Authentification multi-facteurs (MFA) pour les accès administrateurs
  • • Pseudonymisation et anonymisation des données lorsque possible
  • • Pare-feu, systèmes de détection et de prévention des intrusions (IDS/IPS)
  • • Tests de pénétration réguliers et audits de sécurité
  • • Sauvegardes chiffrées et plans de reprise d'activité (PRA/PCA)

8.2 Mesures organisationnelles

Politique de gestion des accès basée sur le principe du moindre privilège, formation régulière du personnel à la protection des données, procédures de notification des violations de données conformément aux articles 33 et 34 du RGPD (notification à la CNIL sous 72 heures et information des personnes concernées en cas de risque élevé).

ARTICLE 9 — DROITS DES UTILISATEURS

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la Loi Informatique et Libertés modifiée, chaque Utilisateur dispose des droits suivants :

  • Droit d'accès (Art. 15 RGPD) : Obtenir la confirmation que ses données sont traitées et en recevoir une copie.
  • Droit de rectification (Art. 16 RGPD) : Faire corriger les données inexactes ou incomplètes.
  • Droit à l'effacement (Art. 17 RGPD) : Obtenir la suppression de ses données dans les cas prévus par le RGPD, sous réserve des obligations légales de conservation.
  • Droit à la limitation du traitement (Art. 18 RGPD) : Obtenir la limitation du traitement dans certaines circonstances.
  • Droit à la portabilité (Art. 20 RGPD) : Recevoir ses données dans un format structuré, couramment utilisé et lisible par machine.
  • Droit d'opposition (Art. 21 RGPD) : S'opposer au traitement de ses données fondé sur l'intérêt légitime ou à des fins de prospection commerciale.
  • Droit de retrait du consentement : Retirer à tout moment le consentement donné, sans rétroactivité.
  • Droit de définir des directives post-mortem : Définir des directives relatives au sort de ses données après son décès (droit français).
  • Droit relatif à la décision automatisée (Art. 22 RGPD) : Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou similaires. L'Utilisateur peut demander une intervention humaine concernant l'algorithme Smart-Pricing.

Ces droits peuvent être exercés par courrier électronique à l'adresse dpo@flixbag.com ou par courrier postal au siège social de FlixBag, accompagné d'une copie d'un justificatif d'identité. FlixBag s'engage à répondre dans un délai d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires compte tenu de la complexité et du nombre de demandes.

En cas de difficulté dans l'exercice de ses droits, l'Utilisateur peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07, ou auprès de l'autorité de contrôle compétente de son pays de résidence.

ARTICLE 10 — COOKIES ET TRACEURS

FlixBag utilise des cookies et technologies similaires pour assurer le bon fonctionnement de la Plateforme, mesurer l'audience et personnaliser l'expérience utilisateur. Les catégories de cookies utilisées sont :

  • Cookies strictement nécessaires : Indispensables au fonctionnement de la Plateforme (authentification, sécurité, panier). Aucun consentement requis.
  • Cookies de performance : Mesure d'audience et analyse statistique (ex : Google Analytics). Soumis au consentement.
  • Cookies de fonctionnalité : Mémorisation des préférences (langue, devise). Soumis au consentement.
  • Cookies de ciblage publicitaire : Diffusion de publicités personnalisées. Soumis au consentement.

L'Utilisateur peut gérer ses préférences de cookies à tout moment via le bandeau de gestion des cookies intégré à la Plateforme ou via les paramètres de son navigateur. Le refus de cookies non essentiels n'affecte pas l'accès aux fonctionnalités de base de la Plateforme.

ARTICLE 11 — TRAITEMENT AUTOMATISÉ ET PROFILAGE

FlixBag met en œuvre des traitements automatisés, notamment :

  • Algorithme Smart-Pricing : Calcul automatisé du prix au kilogramme en fonction des données de vol, du facteur d'anticipation et de la catégorie de produit. Ce traitement ne produit pas de décision affectant significativement l'Utilisateur mais détermine le prix de la transaction.
  • Algorithme de classement : Attribution automatique d'un score et d'un classement (1 à 5) basés sur l'historique d'utilisation, les annulations et les évaluations. Ce classement influence l'ordre d'affichage des Voyageurs proposés aux Envoyeurs.
  • Détection de fraude : Analyse automatisée des comportements pour détecter les activités suspectes.

Conformément à l'article 22 du RGPD, l'Utilisateur a le droit de demander une intervention humaine, d'exprimer son point de vue et de contester la décision auprès du service client FlixBag.

ARTICLE 12 — PROTECTION DES MINEURS

La Plateforme FlixBag est destinée exclusivement aux personnes majeures (18 ans révolus ou âge de la majorité dans le pays de résidence). FlixBag ne collecte pas sciemment de données personnelles auprès de mineurs. Si FlixBag découvre que des données d'un mineur ont été collectées, elles seront immédiatement supprimées.

ARTICLE 13 — MODIFICATION DE LA POLITIQUE

FlixBag se réserve le droit de modifier la présente Politique de Confidentialité à tout moment, notamment pour tenir compte de l'évolution législative, réglementaire ou technique. Toute modification substantielle sera notifiée aux Utilisateurs par e-mail et/ou par notification in-app au moins trente (30) jours avant son entrée en vigueur.

La poursuite de l'utilisation de la Plateforme après l'entrée en vigueur de la version modifiée vaut acceptation de la nouvelle Politique.

ARTICLE 14 — CONTACT

Pour toute question relative à la présente Politique ou pour exercer vos droits, vous pouvez contacter :

Délégué à la Protection des Données (DPO)Judicael AHYI
Emaildpo@flixbag.com
Adresse postaleFlixBag — DPO, 53 rue Hoffmann 92340 Bourg-la-Reine, France
Téléphone+33 7 46 55 02 99

Fait à Bourg-la-Reine, le 05/02/2026

Pour la société FlixBag

ARNAUD KINTOHOU, Président

ekuba