Politique de confidentialité (RGPD)

Le responsable de traitement est Raphaël Lepors, auto-entrepreneur, SIREN 878 690 338, éditeur de la Plateforme. Ses coordonnées complètes figurent dans les Mentions légales.

Point de contact pour la protection des données  : contact@siteartisan-bretagne.bzh. L'Éditeur n'est pas tenu de désigner un DPO au sens légal (structure sous les seuils) mais traite directement les demandes RGPD à cette adresse.

Lors de l'inscription et de l'utilisation du service :

• Données d'identification : adresse email, mot de passe (stocké de façon chiffrée via le service Supabase Auth), nom du dirigeant (optionnel).
• Données professionnelles: nom de l'entreprise, métier principal, ville d'activité, éventuellement SIREN/SIRET, numéro de TVA, forme juridique, adresse, téléphone, email de contact professionnel, horaires.
• Données de contenu: textes, photos et autres éléments déposés par l'Abonné dans le cadre de son utilisation du service (site web, galerie, avis clients, base contacts, etc.).
• Données de paiement : gérées exclusivement par notre prestataire Stripe — nous conservons uniquement un identifiant client Stripe (stripe_customer_id). Les numéros de carte ne transitent jamais par nos serveurs.
• Données d'usage: historique des actions effectuées sur la Plateforme (logs d'audit immuables), coûts API des interactions avec l'IA conversationnelle.
• Cookies techniques : voir la Politique cookies.

Les données sont traitées pour les finalités suivantes :

• Fourniture du service: création du compte, fonctionnement du site publié, stockage des contenus, interaction avec l'IA.
• Facturation : gestion des abonnements, édition des factures, recouvrement des impayés.
• Communication transactionnelle : emails de bienvenue, confirmations de paiement, alertes techniques, notifications produit essentielles.
• Sécurité: détection et prévention d'usages frauduleux, sauvegardes.
• Obligations légales : conservation des factures, respect des obligations fiscales.
• Amélioration du service : analyse agrégée et anonyme des usages, sans profilage individuel.

Chaque traitement repose sur une base légale du RGPD :

• Exécution du contrat (art. 6.1.b RGPD) — création du compte, fourniture des packs, facturation.
• Obligation légale (art. 6.1.c) — conservation des factures pendant 10 ans (Code de commerce).
• Intérêt légitime (art. 6.1.f) — sécurité du service, prévention de la fraude, amélioration produit agrégée.
• Consentement (art. 6.1.a) — éventuelles communications marketing optionnelles futures (aucune à ce jour).

Les données sont traitées exclusivement par l'Éditeur et par les sous-traitants techniques suivants, chacun encadré par un contrat de sous-traitance conforme à l'article 28 du RGPD :

• Supabase Inc.— hébergement de la base de données (PostgreSQL) et de l'authentification. Données stockées dans la région AWS eu-west-3 (Paris, France).
• Stripe, Inc.— traitement des paiements par carte bancaire et gestion des abonnements. Serveurs principalement aux États-Unis ; transferts encadrés par les clauses contractuelles types adoptées par la Commission européenne.
• Resend, Inc.— envoi des emails transactionnels (bienvenue, confirmations). Serveurs principalement aux États-Unis ; clauses contractuelles types.
• Anthropic, PBC— moteur d'intelligence artificielle utilisé pour les interactions conversationnelles. Serveurs principalement aux États-Unis ; clauses contractuelles types. Anthropic s'engage contractuellement à ne pas entraîner ses modèles sur les données des clients API.
• Vercel Inc. — hébergement et exécution du code applicatif. Serveurs principalement aux États-Unis, instances serverless exécutées en Europe ; clauses contractuelles types.

Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales.

Certains sous-traitants listés ci-dessus sont établis aux États-Unis. Les transferts de données correspondants sont encadrés par les clauses contractuelles types adoptées par la Commission européenne, et le cas échéant par le cadre de protection des données UE–États-Unis (DPF). Ces mesures garantissent un niveau de protection équivalent à celui de l'Union européenne.

Les données sont conservées pour les durées suivantes :

• Données de compte et contenus— pendant toute la durée de l'abonnement et jusqu'à 90 jours après sa résiliation (période permettant une éventuelle réactivation ou l'export des données).
• Factures et justificatifs comptables— 10 ans à compter de la clôture de l'exercice (obligation Code de commerce).
• Logs d'audit (action_logs,llm_usage) — 3 ans glissants pour la traçabilité, ensuite purge automatique par tâche programmée.
• Cookies techniques — durée de vie maximale de la session utilisateur (cf Politique cookies).

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès — obtenir une copie des données détenues à votre sujet.
• Droit de rectification — faire corriger des données inexactes ou incomplètes.
• Droit à l'effacement(« droit à l'oubli ») — obtenir la suppression de vos données, sous réserve des obligations de conservation légales.
• Droit à la limitation du traitement.
• Droit à la portabilité — recevoir vos données dans un format structuré et lisible par machine (export CSV/JSON fourni sur demande).
• Droit d'opposition au traitement, pour des motifs tenant à votre situation particulière.
• Droit de retirer votre consentement à tout moment, pour les traitements qui en dépendent.
• Droit de définir des directives relatives au sort de vos données après votre décès.

Comment exercer vos droits  : envoyez un email à contact@siteartisan-bretagne.bzh en précisant la nature de votre demande et en joignant une copie d'un justificatif d'identité si nécessaire. Nous nous engageons à répondre dans un délai maximum d'un mois.

L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données :

• Chiffrement en transit (HTTPS/TLS 1.2+) systématique.
• Chiffrement au repos des mots de passe (Supabase Auth) et des bases de données (AWS EBS).
• Row Level Security (RLS) PostgreSQL garantissant qu'un Abonné ne peut accéder qu'à ses propres données.
• Sauvegardes automatiques quotidiennes et hebdomadaires.
• Journalisation immuable des actions sensibles (action_logs,subscription_events).

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• Site web : https://www.cnil.fr
• Adresse : 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
• Téléphone : 01 53 73 22 22