Article 1 — Responsable du traitement
Le responsable du traitement des données personnelles collectées sur la plateforme Marchéo accessible à l'adresse marcheo.fr est :
- Dénomination : [NOM SOCIÉTÉ]
- Forme juridique : [SAS / SARL / Auto-entrepreneur]
- SIRET : [NUMÉRO SIRET]
- Siège social : [ADRESSE COMPLÈTE]
- Email : privacy@marcheo.fr
Article 2 — Données collectées
2.1 Données des clients (acheteurs)
| Catégorie | Données | Source |
|---|---|---|
| Identité | Prénom, nom | Saisie lors de la commande |
| Contact | Email, téléphone | Saisie lors de la commande |
| Livraison | Adresse postale | Saisie si livraison à domicile |
| Transaction | Montant, articles, créneau, mode de retrait | Généré lors de la commande |
| Paiement | Dernier chiffres de la carte, token Stripe (jamais les numéros complets) | Stripe (prestataire de paiement) |
| Technique | Adresse IP, horodatage, navigateur | Automatique lors de la connexion |
| Acceptations | Acceptation CGV (date, heure, version, IP) | Généré lors de la commande |
2.2 Données des commerçants (vendeurs)
| Catégorie | Données |
|---|---|
| Identité | Prénom, nom, email, téléphone |
| Entreprise | Raison sociale, SIRET, forme juridique, adresse |
| Boutique | Nom de boutique, slug, description, photos, horaires |
| Stripe Connect | Compte Stripe Connect (données KYC gérées par Stripe) |
| Acceptations | Acceptation CGV plateforme et charte qualité (date, heure, version) |
2.3 Données que nous ne collectons pas
Marchéo ne collecte jamais :
- Les numéros de carte bancaire complets (gérés exclusivement par Stripe, certifié PCI-DSS)
- Les données biométriques
- Les données de santé
- Les données sensibles au sens de l'article 9 du RGPD
Article 3 — Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Traitement et suivi des commandes | Exécution du contrat (art. 6.1.b RGPD) |
| Paiement sécurisé via Stripe | Exécution du contrat |
| Envoi de confirmations et notifications (SMS, email, push) | Exécution du contrat |
| Gestion des litiges et du service client | Intérêt légitime (art. 6.1.f) |
| Respect des obligations légales (comptabilité, fiscalité) | Obligation légale (art. 6.1.c) |
| Preuve d'acceptation des CGV (audit légal) | Obligation légale + intérêt légitime |
| Amélioration du service, statistiques anonymisées | Intérêt légitime |
| Marketing et communications commerciales (newsletter) | Consentement (art. 6.1.a) — opt-in explicite |
Article 4 — Durées de conservation
| Donnée | Durée active | Durée archivage |
|---|---|---|
| Données de commande (clients) | 3 ans après la commande | 10 ans (obligation comptable) |
| Données de compte commerçant | Durée de l'abonnement actif | 5 ans après résiliation |
| Logs d'acceptation CGV | 5 ans | 10 ans (preuve légale) |
| Données de paiement (tokens Stripe) | 13 mois (délai de rétrofacturation) | Selon politique Stripe |
| Logs techniques (IP, connexions) | 12 mois | Supprimés |
| Cookies analytiques | 13 mois maximum | Supprimés |
Article 5 — Destinataires des données
Vos données sont transmises uniquement aux destinataires suivants, dans la stricte mesure nécessaire :
5.1 Sous-traitants techniques
- Supabase Inc. (hébergement base de données) — Serveurs UE (Frankfurt) — Politique de confidentialité
- Vercel Inc. (hébergement application) — Serveurs UE disponibles — Politique de confidentialité
- Stripe Inc. (paiement en ligne) — Certifié PCI-DSS niveau 1 — Politique de confidentialité
- Resend / Twilio (envoi d'emails et SMS transactionnels)
5.2 Commerçants partenaires
Lors d'une commande, les données nécessaires (nom, téléphone, créneau, articles) sont transmises au commerçant concerné pour lui permettre de préparer et remettre votre commande. Le commerçant est co-responsable du traitement pour les données relatives à ses propres ventes.
5.3 Autorités
Marchéo peut être amené à communiquer des données aux autorités judiciaires ou administratives françaises sur réquisition légale.
Article 6 — Transferts hors Union européenne
Marchéo s'efforce de stocker les données au sein de l'Union européenne. Certains sous-traitants (Stripe, Vercel) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD.
Article 7 — Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Pour exercer l'un de ces droits, envoyez un email à privacy@marcheo.fr en précisant votre demande et en joignant une copie de votre pièce d'identité. Nous nous engageons à répondre dans un délai d'un mois.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Article 8 — Cookies et traceurs
8.1 Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du site (session utilisateur, panier, authentification). Ils ne nécessitent pas votre consentement.
8.2 Cookies analytiques
Marchéo peut utiliser des outils d'analyse d'audience anonymisés pour comprendre l'utilisation du service et l'améliorer. Ces cookies sont déposés uniquement avec votre consentement (bandeau cookies).
8.3 Cookies tiers
Stripe peut déposer des cookies de sécurité sur les pages de paiement. Ces cookies relèvent de la politique de confidentialité de Stripe.
8.4 Gestion des cookies
Vous pouvez à tout moment modifier vos préférences de cookies via les paramètres de votre navigateur ou notre bandeau de gestion des cookies. La désactivation de certains cookies peut affecter le fonctionnement du service.
Article 9 — Sécurité des données
Marchéo met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement TLS/HTTPS sur toutes les communications
- Row Level Security (RLS) sur la base de données Supabase — chaque commerçant n'accède qu'à ses propres données
- Authentification sécurisée via JWT avec expiration
- Paiements certifiés PCI-DSS via Stripe (les numéros de carte ne transitent jamais par nos serveurs)
- Journalisation des accès et surveillance des anomalies
- Sauvegardes régulières avec chiffrement au repos
- Accès restreint aux données personnelles au strict personnel autorisé
En cas de violation de données susceptible d'engendrer un risque élevé, Marchéo s'engage à notifier les personnes concernées dans les 72 heures conformément à l'article 33 du RGPD, et à informer la CNIL.
Article 10 — Données des commerçants partenaires
Les commerçants inscrits sur Marchéo agissent en qualité de responsables de traitement pour les données de leurs propres clients. Marchéo agit à leur égard en qualité de sous-traitant au sens de l'article 28 du RGPD.
Un accord de traitement des données (DPA — Data Processing Agreement) est intégré aux Conditions Générales d'Utilisation de la plateforme. Les commerçants s'engagent à :
- Disposer d'une base légale pour traiter les données de leurs clients
- Informer leurs clients de leurs propres pratiques de confidentialité
- Ne pas utiliser les données clients de la plateforme à des fins non liées aux commandes
- Respecter les durées de conservation applicables
Article 11 — Mineurs
Le service Marchéo n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles provenant de mineurs. Si vous êtes parent ou tuteur et constatez que votre enfant nous a communiqué des données, contactez-nous à privacy@marcheo.fr pour suppression immédiate.
Article 12 — Modifications de la politique
Marchéo se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour se conformer à l'évolution de la réglementation ou du service.
En cas de modification substantielle, les utilisateurs enregistrés seront informés par email au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions. La poursuite de l'utilisation du service après cette période vaut acceptation.
L'historique des versions est conservé et disponible sur demande à privacy@marcheo.fr.
Article 13 — Contact DPO et réclamations
Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits :
- Email : privacy@marcheo.fr
- Courrier : Marchéo — Service Protection des Données — [ADRESSE SIÈGE]
- Délai de réponse : 1 mois maximum (extensible à 3 mois en cas de demande complexe)
En cas de réclamation non résolue, vous avez le droit de saisir la CNIL : cnil.fr/fr/plaintes