Politique de Confidentialité
Dernière mise à jour :
Préambule
EI Alexy Duhamel, « responsable de traitement » au sens de l'article 4(7) du Règlement Général sur la Protection des Données (RGPD — UE 2016/679), exploite le site cupote.fr.
La présente politique a pour objet de vous informer, en conformité avec les articles 12 à 22 du RGPD et la loi française Informatique et Libertés (modifiée 2018), sur la nature des données collectées, leur finalité, leur durée de conservation, les sous-traitants impliqués, et les droits dont vous disposez.
Le responsable de traitement assume directement les obligations RGPD. Toute demande relative à vos données peut être adressée à contact@cupote.fr.
1. Quelles données collectons-nous ?
Nous collectons les données suivantes, par finalité :
| Finalité | Catégories de données | Base légale |
|---|---|---|
| Navigation site | IP, user-agent, pages vues | Intérêt légitime |
| Cookies analytics / publicité | Pseudonymes anonymisés | Consentement |
| Création compte | Email, nom | Exécution contrat |
| Authentification | Cookie de session sécurisé | Exécution contrat |
| Panier | Articles sélectionnés | Exécution contrat |
| Commande | Email, nom, adresses, articles, total | Exécution contrat |
| Livraison | Adresse, point relais | Exécution contrat |
| Paiement | Données traitées exclusivement par notre prestataire de paiement (jamais stockées chez nous) | Exécution contrat |
| Facture | Données de commande | Obligation légale (10 ans) |
| Email de connexion | Email + jeton temporaire | Exécution contrat |
| Newsletter | Email (opt-in explicite) | Consentement |
| Devis pro | Email, nom, entreprise, message | Exécution pré-contractuelle |
| Journaux de sécurité | Données techniques nécessaires à la détection d'incidents | Intérêt légitime (sécurité) |
2. Sur quelles bases légales ?
- Exécution du contrat (commande, livraison, authentification) — art. 6.1.b RGPD
- Obligations légales (factures 10 ans, lutte anti-fraude) — art. 6.1.c RGPD
- Consentement (newsletter, cookies analytics et publicité) — art. 6.1.a RGPD
- Intérêt légitime (sécurité, anti-spam, audit logs) — art. 6.1.f RGPD
3. Avec qui partageons-nous vos données ?
Pour fournir le Service, nous faisons appel aux sous-traitants suivants (art. 28 RGPD). Tous sont situés dans l'Union européenne, ou couverts par les Clauses Contractuelles Types (CCT) UE et/ou le Data Privacy Framework (Schrems II).
| Sous-traitant | Rôle | Localisation | Données partagées | DPA |
|---|---|---|---|---|
| Stripe Payments Europe Ltd | Traitement des paiements | Irlande (UE) | Email, Nom, Adresse facturation, Adresse livraison, Montant | Voir DPA |
| Hébergeur de base de données (UE) | Hébergement comptes utilisateurs et données de commande | Allemagne (UE) | Email, Nom, Données de session, Panier | Interne |
| Service d'envoi d'emails (UE) | Emails transactionnels (confirmation, lien de connexion, devis) | Allemagne (UE) | Email destinataire, Nom, Contenu email | Interne |
| Mondial Relay | Réseau points relais (sélection + livraison) | France (UE) | Adresse, Point relais, Code postal, Nom | Interne |
| Hébergeur web (UE) | Hébergement du site (cf. legalHosting) | Allemagne (UE) — datacenter Nuremberg | Aucune donnée applicative directement (infrastructure) | Interne |
| CDN images | Diffusion des images produits | États-Unis (Clauses Contractuelles Types UE) | Aucune donnée personnelle (images statiques uniquement) | Interne |
| Google LLC (Analytics + Ads) | Mesure d'audience et publicité (sur consentement uniquement) | États-Unis (SCC + Data Privacy Framework) | Pseudonymes, Événements anonymisés | Voir DPA |
| Sentry GmbH | Monitoring d'erreurs applicatives (sur consentement uniquement) | Allemagne (UE) — région EU Frankfurt | Stack traces JavaScript, URL de la page, User-agent, Adresse IP tronquée | Voir DPA |
4. Combien de temps gardons-nous vos données ?
- Compte client inactif : 3 ans après dernière connexion (puis suppression ou anonymisation)
- Données de commande / facture : 10 ans (obligation comptable, C. com. art. L.123-22)
- Logs serveur (IP, user-agent) : 6 mois max (recommandation CNIL)
- Audit logs auth (login.success, login.failure) : 12 mois
- Cookies : 13 mois max (recommandation CNIL)
5. Cookies et traceurs
Le site utilise une plateforme de gestion du consentement conforme aux recommandations CNIL. Quatre catégories de traceurs sont gérées :
- Nécessaires : cookies de session, sécurité et panier — toujours déposés (sans suivi).
- Analytics : mesure d'audience anonymisée — sur consentement.
- Publicité : mesure de performance des campagnes — sur consentement.
- Réseaux sociaux : aucun.
Vous pouvez à tout moment modifier vos préférences en cliquant sur le bouton ci-dessous :
6. Vos droits
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès (art. 15 RGPD)
- Droit de rectification (art. 16 RGPD)
- Droit à l'effacement / « droit à l'oubli » (art. 17 RGPD)
- Droit à la limitation du traitement (art. 18 RGPD)
- Droit à la portabilité (art. 20 RGPD)
- Droit d'opposition (art. 21 RGPD)
- Droit relatif au sort des données après le décès (loi française n° 2016-1321 dite « Lemaire »)
Pour exercer ces droits, adressez votre demande par email à contact@cupote.fr en joignant une copie d'une pièce d'identité. Nous vous répondrons sous 30 jours maximum (art. 12.3 RGPD).
Si vous estimez que vos droits ne sont pas respectés, vous disposez d'un droit de recours auprès de la CNIL : https://www.cnil.fr/fr/plaintes
7. Sécurité
Conformément à l'article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité de vos données : chiffrement des échanges, contrôle des accès, journalisation, sauvegardes régulières, et revue périodique des sous-traitants.
Vos données de paiement ne transitent et ne sont stockées à aucun moment sur cupote.fr : elles sont traitées directement par notre prestataire de paiement certifié PCI-DSS.
8. Mineurs
Le Site n'est pas destiné aux mineurs de moins de 16 ans (art. 8 RGPD). Si vous êtes le parent ou le représentant légal d'un mineur ayant créé un compte, contactez contact@cupote.fr pour en demander la suppression.
9. Modification de la politique
La présente politique peut être modifiée pour refléter une évolution de la réglementation, de la stack technique ou des sous-traitants. La date de dernière mise à jour figure en haut de page. Les changements majeurs sont communiqués par email aux clients existants.