Cadre rédactionnel — à valider par un avocat

Ce document est un cadre rédactionnel produit pour les besoins de transparence du site GA Flight. Il doit être revu et validé par un avocat compétent en droit du numérique avant toute utilisation commerciale. Les valeurs entre crochets [...] sont à compléter par l'éditeur après immatriculation.

Confidentialité

Politique de confidentialité

GA Flight traite des données personnelles dans le respect du RGPD. Cette politique explique quelles données nous collectons, pourquoi, combien de temps nous les conservons, et quels droits vous pouvez exercer.

Responsable du traitement

Le responsable du traitement des données personnelles est GA Flight, dont les coordonnées figurent dans les mentions légales. Contact général : support@gaflight.com.

Délégué à la protection des données (DPO)

Délégué à la protection des données en cours de désignation. Pour toute demande relative à vos données personnelles, contactez support@gaflight.com.

Données collectées

Nous collectons les données strictement nécessaires aux finalités décrites ci-dessous. Aucune donnée n'est collectée à votre insu.

Catégories de données

  • Identité et contact : nom, prénom, adresse e-mail, fonction, organisation. Collectées via les formulaires (démo, contact, inscription à l'essai).
  • Données de compte : identifiant utilisateur, mot de passe haché (Argon2id, jamais stocké en clair), préférences, jetons de session.
  • Données opérationnelles d'aviation : registres de vol, qualifications, dates de validité médicale, heures d'instruction. Saisies par les écoles et leurs élèves dans le cadre de leur exploitation.
  • Données de facturation : identifiants Stripe, factures, paiements, statut d'abonnement. Les données de carte bancaire ne transitent jamais par nos serveurs (PCI DSS via Stripe).
  • Données techniques : adresse IP (hachée pour les logs publics), agent utilisateur, horodatages, identifiant de requête. Utilisées pour la sécurité et la prévention des abus.

Finalités et bases légales

Les traitements reposent sur l'une des bases légales suivantes du RGPD article 6.

  • Exécution du contrat : fourniture du service, facturation, support — base : article 6.1.b.
  • Intérêt légitime : sécurité du service, prévention des fraudes, statistiques internes — base : article 6.1.f.
  • Obligation légale : conservation des écritures comptables, lutte contre le blanchiment — base : article 6.1.c.
  • Consentement : envoi de communications marketing, cookies non essentiels — base : article 6.1.a. Vous pouvez retirer votre consentement à tout moment.

Durée de conservation

Les données sont conservées pour la durée strictement nécessaire à la finalité.

  • Compte actif : pendant toute la durée de l'abonnement + 30 jours après résiliation pour permettre l'export des données.
  • Comptabilité et facturation : 10 ans à compter de la clôture de l'exercice (article L123-22 du Code de commerce, article L102B du Livre des procédures fiscales).
  • Journaux d'audit signés (chaîne d'audit Ed25519) : conservés selon le palier d'abonnement (Foundation 30 jours, Operations 365 jours, Network 7 ans). Ces journaux ne contiennent pas de données personnelles : ils tracent les actions sur les ressources.
  • Journaux techniques : 90 jours maximum pour les données contenant une adresse IP non hachée.
  • Prospection commerciale : 3 ans après le dernier contact.

Vos droits (RGPD chapitre III)

Vous disposez des droits suivants concernant vos données personnelles. Pour les exercer, écrivez à support@gaflight.com. Une réponse est apportée sous un mois maximum.

  • Droit d'accès  (article 15)
  • Droit de rectification  (article 16)
  • Droit à l'effacement  (article 17)
  • Droit à la limitation du traitement  (article 18)
  • Droit à la portabilité des données  (article 20)
  • Droit d'opposition  (article 21)

Vous disposez également du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) : www.cnil.fr.

Sous-traitants

GA Flight fait appel aux sous-traitants suivants. Tous sont liés par des accords de traitement de données (DPA) garantissant le respect du RGPD. Les transferts hors UE sont encadrés par les clauses contractuelles types de la Commission européenne (article 46 RGPD).

  • Stripe Payments Europe Ltd. — traitement des paiements (Irlande, UE). Données : identifiants client, factures, paiements.
  • Resend — envoi d'e-mails transactionnels (UE/US, clauses contractuelles types). Données : adresse e-mail, contenu des notifications.
  • Upstash — limitation de débit (Redis, UE). Données : adresses IP hachées, compteurs de requêtes.
  • IONOS SARL — hébergement web (France).
  • Sentry (Functional Software, Inc.) : monitoring d'erreurs (US, clauses contractuelles types). Configuration anti-PII : les mots de passe, jetons et numéros de carte sont filtrés avant envoi.

Transferts hors UE

Les données sont hébergées en Union européenne (France et Irlande). Certains sous-traitants techniques (Sentry, Resend selon configuration) peuvent traiter des métadonnées aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914).

Sécurité

Mesures techniques et organisationnelles : TLS 1.3 en transit, AES-256 au repos pour les secrets, hachage des mots de passe via Argon2id, isolation multi-locataire stricte, journalisation d'audit cryptographiquement signée (Ed25519), rotation systématique des jetons d'accès, détection de réutilisation de jetons de rafraîchissement.

For a full technical breakdown of our security engineering controls, see the Security Whitepaper.

Cookies

Voir la politique cookies dédiée.

Dernière mise à jour : April 2026.

Légal et confiance

Mentions légalesConditions généralesPolitique cookiesContact