Politique de confidentialité
Dernière mise à jour : 26 mai 2026
1. Éditeur et responsable du traitement
Le service PVReactive (ci-après « le Service ») est édité et exploité par Trikaya Communication, responsable du traitement au sens du Règlement général sur la protection des données (RGPD).
Toute demande relative aux données personnelles peut être adressée à : contact@pvreactive.com.
2. Champ d'application
La présente politique s'applique à l'ensemble du Service PVReactive : interface web d'administration, application mobile Android et iOS, ainsi qu'aux interfaces de programmation (API) associées.
3. Données personnelles traitées
3.1. Données de compte utilisateur
- Nom, prénom et adresse électronique
- Numéro de téléphone (facultatif)
- Mot de passe stocké sous forme hachée (bcrypt) — jamais en clair
- Rôle attribué (administrateur, technicien de maintenance, etc.)
- Identifiants de comptes externes liés (identifiant interne Google ou Apple), uniquement si l'utilisateur active la connexion via un de ces fournisseurs
3.2. Données techniques et journaux d'audit
- Adresse IP de connexion, agent utilisateur du navigateur ou de l'application
- Horodatage des actions sensibles (connexion, modification de configuration, accès aux données)
- Identifiant de jeton de notification mobile (Firebase Cloud Messaging pour Android, Apple Push Notification service pour iOS)
3.3. Données collectées par l'application mobile
- Photos et médias : prises depuis l'appareil photo ou choisis dans la galerie, uniquement lorsque l'utilisateur les joint volontairement à un rapport d'intervention. Aucune capture automatique.
- Notes d'intervention rédigées par l'utilisateur.
- Aucune donnée de géolocalisation de l'appareil n'est collectée. La carte des interventions affiche uniquement la position des centrales solaires gérées, qui est saisie dans la configuration de la centrale.
3.4. Données métier extraites des portails de supervision solaire
Lorsque vous connectez votre compte fournisseur via le protocole OAuth, le Service récupère, en lecture seule :
- Les métadonnées des installations (nom, localisation, puissance crête)
- Les informations matérielles (onduleurs, références séries, état)
- Les mesures de production (puissance instantanée, énergie produite, données horaires)
- Les notifications et alarmes Ă©mises par le fournisseur
Les jetons d'accès OAuth et les jetons de rafraîchissement sont chiffrés au repos (AES-256) et ne sont jamais exposés à l'utilisateur final.
4. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat |
| Supervision des installations photovoltaïques, détection d'anomalies et génération d'alertes | Exécution du contrat |
| Envoi de notifications mobiles (push) lors d'alertes | Consentement (paramétrable au niveau du système d'exploitation) |
| Connexion via Google ou Apple | Consentement |
| Journalisation des connexions et actions sensibles à des fins de sécurité | Intérêt légitime (sécurité du Service) |
| Facturation et obligations comptables | Obligation légale |
5. Destinataires des données
Les données sont accessibles uniquement aux personnes habilitées de Trikaya Communication et, le cas échéant, aux sous-traitants techniques suivants, agissant sur instruction du responsable de traitement :
- Hébergeur : prestataire d'hébergement situé dans l'Union européenne
- Google Firebase Cloud Messaging (Google LLC) : transmission des notifications push vers les terminaux Android
- Apple Push Notification service (Apple Inc.) : transmission des notifications push vers les terminaux iOS
- Fournisseurs OAuth solaires : lecture des données de supervision des installations connectées par l'utilisateur (flux entrant uniquement)
- OpenStreetMap : fourniture des tuiles cartographiques affichées dans l'application. Aucune donnée personnelle n'est transmise à OpenStreetMap au-delà des requêtes techniques de chargement des tuiles.
Aucune donnée personnelle n'est cédée, vendue ni louée à des tiers à des fins commerciales.
6. Transferts hors Union européenne
L'utilisation de Google Firebase Cloud Messaging et d'Apple Push Notification service peut entraîner un transfert technique de l'identifiant de jeton de notification vers les États-Unis. Ces transferts sont encadrés par les clauses contractuelles types approuvées par la Commission européenne.
Aucune autre donnée personnelle n'est transférée en dehors de l'Espace économique européen.
7. Durée de conservation
- Compte utilisateur : pendant toute la durée du contrat, puis 12 mois après la résiliation pour répondre à d'éventuelles réclamations
- Journaux d'audit : 12 mois glissants
- Jetons OAuth fournisseurs : supprimés immédiatement en cas de révocation ou de suppression du compte
- Données de production solaire : conservées tant que la centrale est active, supprimées dans les 30 jours suivant la résiliation
- Photos d'intervention : conservées avec le rapport d'intervention associé, supprimées avec celui-ci
- Données comptables : 10 ans (obligation légale)
8. Sécurité
- Communications chiffrées de bout en bout via HTTPS (TLS 1.2 minimum)
- Mots de passe stockés au format haché et salé (bcrypt)
- Jetons OAuth chiffrés au repos (AES-256)
- Cloisonnement strict des données entre clients (isolation logique)
- Accès aux données personnelles limité aux personnes habilitées
- Journaux d'audit pour les actions sensibles
9. Cookies et traceurs (interface web)
L'interface web utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (session, jeton de protection contre les attaques inter-sites). Aucun cookie publicitaire ni traceur de mesure d'audience tiers n'est déposé. L'application mobile n'utilise pas de cookies.
10. Vos droits
Conformément au RGPD et à la loi « Informatique et Libertés » modifiée, vous disposez des droits suivants :
- Droit d'accès : obtenir la copie de vos données personnelles
- Droit de rectification : corriger des données inexactes
- Droit d'effacement (« droit à l'oubli ») : demander la suppression de vos données
- Droit Ă la limitation : restreindre le traitement
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition : vous opposer au traitement pour des motifs tenant à votre situation particulière
- Droit de retirer votre consentement à tout moment, pour les traitements fondés sur celui-ci (notifications, connexion sociale)
- Droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, 75007 Paris
Pour exercer vos droits, contactez-nous à contact@pvreactive.com. Une réponse vous sera apportée dans un délai maximal d'un mois.
11. Suppression de votre compte
Vous pouvez demander la suppression complète de votre compte à tout moment en écrivant à contact@pvreactive.com. La suppression entraîne l'effacement irréversible de vos données personnelles et des données associées dans les délais indiqués à l'article 7, sous réserve des obligations légales de conservation.
12. Modifications de la politique
Cette politique peut être amenée à évoluer. Toute modification substantielle vous sera notifiée, par courrier électronique ou par message dans le Service, avant son entrée en vigueur. La date de dernière mise à jour figure en tête du présent document.