Politique de confidentialité

CoTrain est une application développée et opérée par Cactus Codex, entité commerciale de Teddy Clement (auto-entrepreneur, SIRET disponible sur demande).

L'application est utilisée à titre expérimental au Technicentre Paris-Austerlitz par des agents de SNCF Voyageurs dans le cadre de leurs activités de coordination opérationnelle. Cette utilisation ne confère à SNCF Voyageurs aucun droit de propriété sur l'application, son code source, sa marque ou ses fonctionnalités.

Cette politique explique quelles données te concernant sont traitées par l'application, pourquoi, combien de temps, et avec qui elles sont partagées.

Responsable du traitement

Le responsable du traitement des données au sens du RGPD est Cactus Codex (Teddy Clement), porteur du projet CoTrain.

Contact : t.clement@cactus-codex.com

Pour toute demande relative à l'exercice de tes droits (accès, rectification, effacement, portabilité, opposition), tu peux écrire à cette adresse.

Données collectées

• Identité : nom, prénom, email professionnel SNCF
• Rôle attribué (GEOPS, COSITE, COMAN, COPT, ENCADRANT, etc.)
• Activité opérationnelle : actions sur les RDRF, déclarations de réformes, rapports quotidiens, notifications consultées
• Préférences personnelles : thème jour/nuit

Finalité du traitement

• Coordination opérationnelle des trains au TNC Paris-Austerlitz
• Audit trail des actions (table timeline_events)
• Statistiques d'usage anonymisées (analytics météo) pour le pilotage opérationnel

Base légale

Intérêt légitime de l'employeur (article 6.1.f RGPD) + cadre du contrat de travail.

Conservation

• Données opérationnelles : durée de la session + sauvegardes journalières 7 jours
• Audit trail : non borné (cohérent avec les exigences ANSSI)
• Comptes désactivés : 6 mois puis suppression définitive

Tes droits

Tu disposes des droits suivants en application du RGPD :

• Accès aux données te concernant
• Rectification des informations erronées
• Effacement (droit à l'oubli)
• Limitation du traitement
• Portabilité de tes données

Pour exercer tes droits, écris à t.clement@cactus-codex.com. Tu peux aussi prévenir ton manager pour qu'il soit informé de ta démarche.

Sous-traitants

• Vercel (hébergement, États-Unis avec garanties RGPD via SCC)
• Supabase (base de données, États-Unis avec garanties RGPD via SCC)
• Mistral AI (France) — IA conversationnelle principale de CorAIl, données restant en Europe
• Anthropic (États-Unis) — IA de secours technique en cas d'indisponibilité Mistral, avec garanties RGPD via SCC
• Météo-France (vigilance officielle météo)
• Open-Meteo (données météo de secours)
• Resend (envoi d'emails de récupération de mot de passe)

Sécurité

CoTrain met en œuvre les mesures techniques et organisationnelles suivantes pour protéger tes données :

• Chiffrement TLS sur l'ensemble des échanges réseau (HTTPS)
• Authentification déléguée à Supabase Auth via cookies httpOnly
• Verrouillage automatique de la session après 10 minutes d'inactivité
• Politiques d'accès Row Level Security (RLS) au niveau de la base de données
• Mots de passe stockés sous forme de hash bcrypt (jamais en clair)
• Aucun secret applicatif transmis au navigateur

Notification d'incident

En cas de violation de données personnelles présentant un risque pour tes droits et libertés, Cactus Codex s'engage à :

• Notifier la CNIL dans les 72 heuressuivant la découverte de l'incident (article 33 du RGPD)
• T'informer sans délai injustifié si l'incident est susceptible d'engendrer un risque élevé pour tes droits
• Documenter l'incident selon la procédure interne définie dans dsi_kit/SECURITY_INCIDENT_PLAYBOOK.md

Cookies

• cotrain_role : usage interne (routage et affichage selon ton rôle), jeton signé et httpOnly, durée de vie 8 h
• sb-access-token / sb-refresh-token : authentification Supabase (httpOnly)
• cotrain_* en localStorage : préférences locales (thème, user actif)

Contact

Pour toute question liée à cette politique, contacte le responsable du traitement : Cactus Codex (Teddy Clement) — t.clement@cactus-codex.com.

Voir aussi : CGU