Aller au contenu principal
Grenier Découverte Granville

Politique de confidentialité

Dernière mise à jour : 25 juin 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est : Madame Carine OSOUF, exploitant en Entrepreneur Individuel (EI) l’enseigne Grenier Découverte, dont le siège est situé au 239 rue des Armateurs, 50400 Granville, SIRET 104 273 149 00013.

Contact : 02 33 48 65 29grenierdecouvertegranville@gmail.com

2. Données collectées

Nous collectons et traitons les catégories de données suivantes :
  • Données d'identification : prénom, nom, e-mail, téléphone, adresse postale.
  • Données de réservation : formule choisie, stands, dates, code promo éventuel.
  • Données de paiement : jamais stockées sur nos serveurs. Le numéro de carte est traité directement par Stripe. Nous conservons uniquement la référence du paiement (PaymentIntent) et le mode (CB / espèces / chèque / virement).
  • Données techniques : adresse IP, type de navigateur (logs serveur, conservés 30 jours pour la sécurité).

3. Finalités et base légale

  • Gestion des réservations (création de compte, paiement, facturation, suivi) — base légale : exécution du contrat (art. 6.1.b RGPD).
  • Communication transactionnelle (confirmations, rappels, factures) — base légale : exécution du contrat.
  • Comptabilité et obligations fiscales — base légale : obligation légale (art. 6.1.c RGPD).
  • Sécurité du service (logs, rate-limiting anti-abus) — base légale : intérêt légitime (art. 6.1.f RGPD).

Aucun traitement à des fins de prospection commerciale n'est effectué.

4. Destinataires et sous-traitants

Vos données sont accessibles aux seuls personnels habilités de l'éditeur. Elles peuvent être transmises aux sous-traitants suivants, qui agissent sur nos instructions documentées :
  • Vercel Inc. (hébergement de l'application, région européenne) — privacy policy
  • Neon Inc. (hébergement base de données, région européenne Francfort) — privacy policy
  • Stripe Payments Europe Ltd. (traitement des paiements, Irlande + États-Unis) — politique de confidentialité
  • Google LLC (envoi d'e-mails via Gmail SMTP et synchronisation du planning interne via Google Calendar, États-Unis) — privacy policy
  • api-adresse.data.gouv.fr (autocomplétion d'adresse, Etalab — France) — service public, aucune donnée personnelle transmise hors saisie volontaire de l'utilisateur

Vos données ne sont jamais revendues ni partagées à des fins publicitaires.

5. Transferts hors Union européenne

L’hébergement de l’application (Vercel) et de la base de données (Neon) est assuré au sein de l’Union européenne. Toutefois, ces prestataires, ainsi que Stripe et Google, sont des sociétés de droit américain dont la maison mère est susceptible d’être soumise au droit des États-Unis. Les éventuels transferts de données hors Union européenne sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et, le cas échéant, par l'adhésion au EU-US Data Privacy Framework. Vous pouvez en obtenir copie sur simple demande.

6. Durée de conservation

  • Compte utilisateur : jusqu'à votre demande de suppression. À défaut, supprimé après 3 ans d'inactivité.
  • Réservations et factures : 10 ans (obligation comptable — art. L123-22 Code de commerce).
  • Données de paiement (référence Stripe) : 13 mois après transaction (preuve en cas de litige carte).
  • Logs techniques (IP, requêtes) : 30 jours.
  • Codes de vérification email / reset mot de passe : 15 minutes / 1 heure, supprimés à expiration.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
  • Accès à vos données (art. 15)
  • Rectification des données inexactes (art. 16)
  • Effacement (« droit à l'oubli », art. 17) — disponible directement depuis votre espace personnel → Profil → Supprimer mon compte
  • Limitation du traitement (art. 18)
  • Portabilité de vos données (art. 20)
  • Opposition au traitement fondé sur l'intérêt légitime (art. 21)

Pour exercer ces droits : grenierdecouvertegranville@gmail.com. Réponse sous 30 jours maximum. Une preuve d'identité pourra vous être demandée en cas de doute.

En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

8. Sécurité

Les mots de passe sont stockés hachés via bcrypt, les communications sont chiffrées en TLS (HTTPS obligatoire), les tokens d'authentification expirent automatiquement (15 minutes pour le token d'accès, 7 jours pour le refresh token). Un système de rate-limiting protège les endpoints sensibles contre les attaques par force brute.

9. Cookies

Le site n'utilise que des cookies strictement nécessaires à son fonctionnement, dispensés de consentement préalable (art. 82 loi Informatique & Libertés) :
  • refresh_token (cookie HTTP-only, sécurisé) — maintien de la session, 7 jours.
  • localStorage : token d'accès, panier en cours (côté navigateur, jamais transmis à des tiers).

Aucun cookie publicitaire, ni traceur d'analytique tiers (Google Analytics, Meta Pixel, etc.) n'est déposé.

10. Modification de la politique

La présente politique peut être modifiée pour suivre les évolutions législatives ou techniques. Les modifications substantielles seront notifiées par e-mail aux utilisateurs disposant d'un compte. La version applicable est celle disponible sur cette page à la date d'utilisation du service.