Politique de confidentialité
Dernière mise à jour : [JJ/MM/AAAA] — Version 1.0
La présente politique explique quelles données personnelles sont collectées sur [adresse du site] (« le Site »), pourquoi, sur quelle base légale, combien de temps elles sont conservées, avec qui elles sont partagées, et quels sont vos droits. Elle est conforme au Règlement (UE) 2016/679 (« RGPD ») et à la loi « Informatique et Libertés » modifiée. Elle s'applique aux visiteurs et aux clients du Site.
1. Responsable du traitement
| Responsable | [Namwhan — Nom complet] |
| Statut | [Entrepreneur individuel / micro-entreprise] |
| Adresse | [adresse postale] |
| SIRET | [numéro SIRET] |
| Contact / exercice des droits | [email] |
| Délégué à la protection des données (DPO) | [le cas échéant — sinon « non désigné ; contact ci-dessus »] |
Valeurs à confirmer / mettre à jour.
2. Données que nous collectons
Nous appliquons le principe de minimisation : nous ne collectons que les données nécessaires aux finalités décrites ci-dessous, que vous nous fournissez ou qui sont générées par votre utilisation du Site :
- Compte : adresse e-mail, nom / pseudonyme d'affichage, mot de passe (stocké uniquement sous forme chiffrée (haché), jamais en clair), statut de vérification de l'e-mail, et le cas échéant les paramètres de double authentification (2FA).
- Coordonnées : adresses de facturation et de livraison que vous renseignez (nom du destinataire, adresse postale, éventuellement téléphone).
- Commandes (commissions) : contenu de vos demandes, devis, messages échangés dans la discussion, fichiers que vous transmettez, brouillons et livrables, historique des étapes.
- Paiements : montants, dates, moyen de paiement et références de transaction. En cas de paiement par carte, le règlement est opéré par notre prestataire ; nous ne stockons jamais le numéro de votre carte bancaire.
- Données techniques et de preuve : adresse IP et horodatage lors d'actions engageantes (acceptation de devis, validation d'un avenant ou d'un livrable, versements, consentement aux cookies) à titre de preuve, accompagnées d'une empreinte d'intégrité ; ainsi que des journaux techniques (connexions, envois d'e-mails, journal d'administration).
- Cookies : voir notre politique de gestion des cookies.
Nous ne collectons pas de données sensibles et ne procédons à aucune prise de décision entièrement automatisée produisant des effets juridiques à votre égard, ni à aucun profilage publicitaire (article 22 du RGPD).
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Créer et gérer votre compte, vous authentifier, vérifier votre adresse e-mail. | Exécution du contrat / mesures précontractuelles (art. 6.1.b). |
| Établir les devis, réaliser et suivre les commandes (brouillons, validations, livraison). | Exécution du contrat (art. 6.1.b). |
| Encaisser les paiements, établir factures et justificatifs. | Obligation légale comptable (art. 6.1.c) + exécution du contrat. |
| Vous notifier par e-mail (devis, brouillon à valider, paiement, expédition…). | Exécution du contrat (art. 6.1.b). |
| Sécuriser le Site et les formulaires (anti-robot, anti-CSRF, preuves d'IP, journal d'administration). | Intérêt légitime (art. 6.1.f) / obligation légale. |
| Conserver la preuve de vos consentements et de vos actes engageants. | Obligation légale de responsabilité — accountability (art. 5.2 et 7.1). |
| Afficher des contenus tiers intégrés (vidéos, lecteurs audio). | Votre consentement (art. 6.1.a). |
4. Durées de conservation
Vos données sont conservées le temps strictement nécessaire à chaque finalité, selon trois phases (base active, archivage intermédiaire pour obligation légale ou défense d'un droit, puis suppression ou anonymisation) :
| Donnée | Durée de conservation |
|---|---|
| Compte (e-mail, nom, mot de passe) | Pendant la relation, puis suppression sur demande (immédiate) ou après 3 ans d'inactivité (après avertissement). |
| Carnet d'adresses | Jusqu'à la suppression du compte. |
| Paramètres de double authentification (2FA) | Jusqu'à la suppression du compte ou la désactivation de la 2FA. |
| Jetons de vérification d'e-mail | Validité 24 h ; purge sous 7 jours. |
| Jetons de réinitialisation de mot de passe | 7 jours. |
| Sessions de connexion | 7 jours glissants, 30 jours maximum. |
| Fichiers de référence et messages de discussion | 6 mois après la clôture de la commande. |
| Brouillons non validés | 24 mois après la clôture. |
| Livrables validés, messages, preuves d'actes signés (IP + empreinte) | Jusqu'à ~5 ans après la fin de la relation (défense d'un droit / preuve). |
| Commandes, factures, snapshots et paiements | 10 ans (obligation comptable, art. L.123-22 du Code de commerce), puis anonymisation. |
| Journal d'envoi d'e-mails | 90 jours. |
| Preuve de consentement aux cookies | 36 mois. |
| Journal d'administration (sécurité) | 12 mois. |
Durées de référence, configurables et susceptibles d'évoluer ; les écritures comptables sont conservées au minimum 10 ans avant anonymisation. À l'issue de ces durées, les données sont supprimées ou anonymisées de façon irréversible.
5. Destinataires et sous-traitants
Vos données ne sont ni vendues ni louées. Elles sont accessibles à l'artiste (responsable du traitement) et, pour des besoins techniques précis, à des prestataires agissant comme sous-traitants au sens de l'article 28 du RGPD, encadrés par un contrat :
| Prestataire | Rôle | Localisation |
|---|---|---|
| [Hébergeur — nom] | Hébergement du Site et de la base de données. | [Union européenne — à confirmer] |
| [Fournisseur d'e-mails / serveur SMTP] | Envoi des e-mails transactionnels. | [à confirmer] |
| Stripe (si le paiement en ligne est activé) | Traitement des paiements par carte bancaire. | UE (Stripe Payments Europe) ; transferts éventuels hors UE encadrés. |
| Cloudflare Turnstile / hCaptcha (si activé) | Protection anti-robot des formulaires. | [selon fournisseur] |
| Transporteur(s) (envoi physique) | Acheminement des colis (nom du destinataire et adresse de livraison uniquement). | [selon transporteur — ex. UE] |
Vos données peuvent par ailleurs être communiquées aux administrations ou autorités habilitées lorsque la loi l'exige.
6. Transferts hors Union européenne
Nous privilégions des prestataires situés dans l'Union européenne. Lorsqu'un transfert hors UE est susceptible d'intervenir (par exemple via certains prestataires de paiement ou anti-robot), il est encadré par les garanties appropriées prévues par le RGPD (décision d'adéquation ou clauses contractuelles types de la Commission européenne).
7. Cookies et traceurs
Le Site n'utilise que des cookies strictement nécessaires ; seuls les contenus tiers intégrés (vidéos, lecteurs audio) requièrent votre consentement. Aucun cookie publicitaire ni traceur de profilage n'est déposé. Le détail figure dans notre politique de gestion des cookies.
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants : accès, rectification, effacement (« droit à l'oubli »), portabilité, limitation, opposition, et le droit de retirer votre consentement à tout moment pour les traitements qui en dépendent (sans remettre en cause la licéité des traitements antérieurs). Vous pouvez également définir des directives relatives au sort de vos données après votre décès.
- Depuis votre espace (rubrique « Mes données ») : vous pouvez de manière autonome exporter vos données (formats JSON, CSV ou PDF) et supprimer votre compte.
- Par e-mail : pour toute autre demande, écrivez à [email]. Nous pourrons vous demander de justifier votre identité en cas de doute raisonnable, et nous répondons dans un délai d'un mois (prorogeable de deux mois pour les demandes complexes).
Certaines données sont conservées malgré une demande d'effacement lorsqu'une obligation légale l'impose (par exemple les pièces comptables, conservées 10 ans, ou les preuves d'actes engageants) : elles sont alors d'accès restreint puis anonymisées au terme du délai.
Vous pouvez introduire une réclamation auprès de la CNIL (3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07) : www.cnil.fr.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées au risque : mots de passe stockés sous forme hachée, double authentification (2FA) disponible, connexions chiffrées (HTTPS), protection des formulaires (anti-CSRF, anti-robot, en-têtes de sécurité), contrôle des fichiers téléversés, journal d'administration et conservation d'empreintes d'intégrité des actes engageants. En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits, vous en seriez informé conformément à l'article 34 du RGPD.
10. Mineurs
Le Site n'est pas destiné aux personnes de moins de 15 ans. Si vous êtes mineur, l'utilisation du Site et toute commande supposent l'accord d'un représentant légal.
11. Modification de la présente politique
Cette politique peut être mise à jour pour refléter des évolutions légales ou techniques. La date de dernière mise à jour figure en tête de page ; les modifications substantielles vous seront signalées par les moyens appropriés.
12. Contact
Pour toute question relative à vos données personnelles : [email].
Voir aussi nos mentions légales, nos conditions générales de vente, nos conditions générales d'utilisation et notre politique de gestion des cookies.