Privacy Policy

1. Preamble

PREYA, as a data controller within the meaning of the GDPR and amended Law No. 78-17 of January 6, 1978, attaches fundamental importance to the protection of the privacy and personal data of individuals who interact with its services.

This Policy constitutes the information document required by Articles 12, 13, and 14 of the GDPR.

2. Definitions

• Personal Data: any information relating to an identified or identifiable natural person.
• Processing: any operation performed on personal data.
• Data Controller: the person who determines the purposes and means of processing.
• Processor: the person who processes personal data on behalf of the data controller.
• Platform: preya.fr website, PREYA mobile application, B2B portal.

3. Identity of the data controller

PREYA — SAS with a capital of €1,052 — RCS Paris 952 019 370 — SIRET 952 019 370 00024
Registered office: 29 rue Tronchet, 75008 Paris, France
Legal representative: Mr. Rémykaël Geoffrey Cetout, President
Publication Director: Mr. Thomas Louis Bruneau, General Manager
Phone: +33 1 89 70 39 33

PREYA is registered with the private hire vehicle operators' registry under number EVTC094250834.

4. Data Protection Officer

• Email: privacy@preya.fr
• Postal address: PREYA, 29 rue Tronchet, 75008 Paris, France, Attn: Data Protection Officer.

5. Scope and commitments

This Policy applies to all processing carried out by PREYA in connection with the use of the Website and applications, the provision of transport services, B2B contractual relationships, recruitment, and commercial prospecting.

PREYA commits to processing data in accordance with GDPR principles: lawfulness, fairness, transparency, data minimization, accuracy, storage limitation, integrity, and confidentiality.

6. Data collected, purposes, legal bases, and retention

6.1. Website visitors and application users

Data collected: IP address, browser type, language, operating system, pages viewed, visit duration, traffic source, session identifiers, data from cookies.

Legal bases: legitimate interest (Article 6.1.f GDPR) for security and technical operation; consent (Article 6.1.a GDPR) for non-strictly necessary cookies.

Retention period: maximum 13 months for data from trackers.

6.2. Passengers and service users

Data collected: title, last name, first name, email, phone, addresses, dates and times, vehicle type, flight number, ride history, ratings, customer service interactions.

Legal bases: contract performance (6.1.b), legal obligation (6.1.c), legitimate interest (6.1.f), consent (6.1.a).

Retention periods:

• Account and history data: duration of the relationship + 5 years.
• Accounting and tax data: 10 years.
• Geolocation during the ride: duration of the ride + 13 months max.
• Telephone recordings: 6 months max.
• Prospecting data: 3 years from the last active contact.

6.3. B2B Client Representatives

Data collected: name, first name, position, professional email and phone, company, B2B identifiers, order history, contractual exchanges.

Legal bases: contract performance (6.1.b), legitimate interest (6.1.f).

Retention period: duration of the relationship + 5 years.

6.4. Partner Drivers

Processing concerning Partner Drivers is described in the Driver Privacy Policy. Geolocation strictly during the execution of an accepted mission. Retention: contract duration + 5 years.

6.5. Candidates

Data collected: name, first name, contact details, CV, cover letter, professional references, interview notes.

Legal bases: pre-contractual measures (6.1.b); consent (6.1.a) for retention in a talent pool.

Retention period: 2 years from the last contact.

6.6. Prospects and Communication Recipients

Legal bases: consent (6.1.a) for individuals; legitimate interest (6.1.f) for B2B prospecting.

Retention period: 3 years from the last active contact.

7. Mobile Application Specific Features

7.1. Device Technical Data

Identifiants techniques, version de l'application, langue, fuseau horaire, identifiants publicitaires sous réserve de consentement. Bases légales : exécution du contrat (6.1.b), intérêt légitime (6.1.f).

7.2. Notifications push

Les applications peuvent adresser des notifications push uniquement si vous y avez consenti dans les paramètres de votre appareil. Vous pouvez retirer ce consentement à tout moment.

7.3. Géolocalisation

La géolocalisation est sollicitée uniquement lorsque c'est strictement nécessaire à la fourniture du service. PREYA n'accède pas à votre position en arrière-plan en dehors d'une course ou mission active.

8. Paiement et prévention de la fraude

8.1. Paiement

Les paiements sont traités via CAB9, certifié PCI DSS. PREYA ne conserve que les quatre derniers chiffres de la carte. Les paiements sont sécurisés par l'authentification forte (3D Secure, PSD2). Base légale : exécution du contrat (6.1.b RGPD).

8.2. Prévention de la fraude

PREYA met en œuvre des contrôles automatisés portant sur l'adresse IP, l'adresse électronique, les caractéristiques de la carte et les comportements atypiques. Base légale : intérêt légitime (6.1.f RGPD).

9. Évaluations et avis

Après chaque course, passager et Conducteur peuvent s'évaluer mutuellement. Les notes sont conservées 3 ans à compter de leur émission. Base légale : intérêt légitime (6.1.f RGPD).

10. Destinataires des données

• Services internes habilités de PREYA ;
• Conducteurs partenaires affectés à une mission ;
• Passagers (prénom, photo, marque, modèle et immatriculation du véhicule du Conducteur) ;
• Clients Professionnels (données de mission et reporting) ;
• Sous-traitants techniques dans le respect de l'article 28 RGPD ;
• Autorités administratives et judiciaires sur réquisition légale ;
• Conseils et auditeurs externes sous accord de confidentialité.

PREYA ne vend ni ne loue les données personnelles à des tiers à des fins commerciales.

11. Sous-traitants

Les principaux sous-traitants de PREYA sont les suivants :

• Hostinger (Chypre) : hébergement du Site preya.fr.
• Google Ireland Ltd. / Google LLC (Irlande / États-Unis) : messagerie, suite bureautique, stockage.
• CAB9 (Royaume-Uni) : module de réservation et de paiement.
• Tally B.V. (Pays-Bas) : hébergement des formulaires.
• YouSign SAS (France) : signature électronique des contrats.
• WhatsApp Ireland Ltd. (Meta) (Irlande / États-Unis) : communication opérationnelle.
• Google Ireland Ltd. (Analytics) (Irlande / États-Unis) : mesure d'audience (Google Analytics 4).
• Tiime (France) : comptabilité.
• Apple Inc. / Google LLC (États-Unis) : distribution des applications mobiles.

La liste exhaustive est disponible sur demande à privacy@preya.fr.

12. Transferts hors Union européenne

Les transferts vers des pays tiers sont encadrés par les mécanismes prévus aux articles 44 et suivants du RGPD :

• décision d'adéquation Royaume-Uni du 28 juin 2021 ;
• Data Privacy Framework du 10 juillet 2023 pour les sous-traitants américains certifiés ;
• clauses contractuelles types adoptées par la Commission européenne.

13. Décisions automatisées et profilage

La technologie NAMI.AI optimise le dispatch des missions. Ces traitements ne produisent pas de décision affectant significativement les passagers. Pour les Conducteurs, toute décision contestée donne lieu à une intervention humaine garantie, conformément à l'article 22.3 du RGPD.

14. Sécurité des données

• chiffrement des communications (HTTPS / TLS) ;
• chiffrement des données sensibles au repos ;
• contrôle d'accès strict basé sur le principe du moindre privilège ;
• authentification multi-facteurs pour les accès sensibles ;
• sauvegardes régulières et plan de continuité d'activité ;
• procédure formalisée de gestion des incidents et violations.

15. Notification des violations de données

En cas de violation, PREYA notifie la CNIL dans un délai de 72 heures. En cas de risque élevé, les personnes concernées sont également informées. Signalement à privacy@preya.fr.

16. Cookies et traceurs

Les informations relatives aux cookies sont détaillées dans la Politique de gestion des cookies, qui fait partie intégrante de la présente Politique.

17. Mineurs

Les services de PREYA ne sont pas destinés aux mineurs non accompagnés. PREYA ne collecte pas sciemment de données auprès de mineurs sans consentement parental. Signalement à privacy@preya.fr.

18. Vos droits

• Droit d'accès (article 15) : obtenir confirmation et copie des données vous concernant.
• Droit de rectification (article 16) : corriger les données inexactes ou incomplètes.
• Droit à l'effacement (article 17) : dit droit à l'oubli, sous réserve des obligations légales.
• Droit à la limitation du traitement (article 18).
• Droit à la portabilité (article 20) : recevoir vos données dans un format structuré.
• Droit d'opposition (article 21), notamment à la prospection commerciale.
• Droit de retirer votre consentement à tout moment.
• Droit relatif aux décisions automatisées (article 22).
• Droit de définir des directives post-mortem (article 85 LIL).

19. Modalités d'exercice des droits

• Courriel : privacy@preya.fr
• Courrier postal : PREYA, 29 rue Tronchet, 75008 Paris, à l'attention du Référent données personnelles.

PREYA répond dans un délai d'un mois, prolongeable de deux mois supplémentaires pour les demandes complexes.

20. Réclamation auprès de la CNIL

• Adresse : CNIL, 3 place de Fontenoy — TSA 80715, 75334 Paris Cedex 07
• Téléphone : 01 53 73 22 22
• Site web : www.cnil.fr

21. Modifications de la Politique

PREYA se réserve le droit de modifier la présente Politique à tout moment. Toute modification substantielle sera portée à la connaissance des personnes concernées par tout moyen approprié.

22. Contact

• Courriel données personnelles : privacy@preya.fr
• Courriel général : contact@preya.fr
• Téléphone : +33 1 89 70 39 33
• Courrier postal : PREYA, 29 rue Tronchet, 75008 Paris, à l'attention du Référent données personnelles.

PREYA | SAS au capital de 1 052 € | RCS Paris 952 019 370 | SIRET 952 019 370 00024 | APE 4932Z | TVA FR16 952 019 370

‍