Politique de confidentialité

1. Préambule et responsable du traitement

La protection des données personnelles de nos utilisateurs constitue une priorité pour SB Projects, éditeur du site Le Comptoir de la Figurine.

La présente Politique de confidentialité (ci-après la « Politique ») a pour objet d’informer les utilisateurs du site comptoirdelafigurine.fr (ci-après le « Site ») des conditions dans lesquelles leurs données à caractère personnel sont collectées et traitées par SB Projects, dans le respect du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le « RGPD ») et de la loi française n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la « Loi Informatique et Libertés »).

Responsable du traitement :

• Dénomination : SB Projects
• Forme juridique : Société par actions simplifiée à associé unique (SASU)
• Capital social : 1 000 €
• Immatriculation : RCS Melun 105 679 740
• Siège social : 118 Faubourg de Melun, 77720 La Chapelle-Gauthier
• Représentant légal : Sylvain Alexis Blondeau, Président

Délégué à la protection des données (DPO) :

SB Projects n’est pas soumis à l’obligation de désignation d’un DPO au sens de l’article 37 du RGPD. Toutefois, dans une démarche de transparence, les fonctions de référent à la protection des données sont assurées en interne par Monsieur Sylvain Alexis Blondeau, joignable à l’adresse dpo@comptoirdelafigurine.fr.

2. Données personnelles collectées

SB Projects collecte les données à caractère personnel suivantes :

2.1 Données fournies par l’utilisateur

• Données d’identification de compte : pseudonyme, adresse électronique, mot de passe (stocké uniquement sous forme hachée Argon2id, jamais en clair).
• Données de profil : biographie, photo de profil, univers de jeu favoris, préférences utilisateur.
• Données spécifiques aux Peintres : profil professionnel, services proposés, tarifs, exemples de réalisations (photos).
• Contenus publiés : annonces de Marketplace (titre, description, photos, prix), messages privés, avis sur les transactions, demandes de peinture.

2.2 Données collectées lors des transactions

• Données de commande : produits achetés ou vendus, montants, adresse d’expédition, dates.
• Données de paiement : SB Projects ne stocke ni ne consulte les coordonnées bancaires des utilisateurs. Les paiements sont traités par Stripe Payments Europe Ltd. qui agit en qualité de prestataire de services de paiement agréé. SB Projects conserve uniquement les références techniques nécessaires au suivi des transactions (identifiants Stripe, statuts de paiement).

2.3 Données collectées automatiquement

• Données de connexion : adresses IP, dates et heures de connexion, navigateur, système d’exploitation (utilisées pour la sécurité et la lutte contre la fraude).
• Données de navigation : pages consultées, actions effectuées sur le Site (uniquement à des fins de fonctionnement et de monitoring technique).
• Journaux d’erreurs : informations techniques anonymisées collectées via Sentry à des fins de monitoring de la stabilité du Site.
• Données de session : identifiants de session NextAuth nécessaires à l’authentification.

2.4 Préférences

• Préférences de notification : paramètres choisis par l’utilisateur dans son tableau de bord concernant les notifications applicatives et électroniques.
• Préférences d’abonnement Premium : statut d’abonnement actif, date de souscription, date de prochaine échéance.

3. Finalités des traitements

Les données personnelles sont collectées et traitées pour les finalités suivantes :

1. Création et gestion du compte utilisateur : inscription, authentification, gestion du profil.
2. Mise à disposition des fonctionnalités du Site : Marketplace, commandes de peinture, messagerie, notifications.
3. Traitement des transactions : commandes, paiements via Stripe, expéditions, suivi de litiges, escrow.
4. Gestion de l’abonnement Service Premium : souscription, facturation, résiliation.
5. Communications transactionnelles et notifications : envoi de courriels relatifs aux activités sur le Site (paiement reçu, expédition, avis reçu, etc.).
6. Sécurité et lutte contre la fraude : détection des comportements anormaux, modération a posteriori des contenus, journalisation de sécurité.
7. Statistiques et amélioration du Site : analyse anonyme des usages à des fins d’évolution fonctionnelle.
8. Exécution des obligations légales et comptables : conservation des données de transaction, réponse aux réquisitions des autorités.

4. Bases légales des traitements

Conformément à l’article 6 du RGPD, chaque traitement repose sur une base légale identifiée :

5. Destinataires et sous-traitants

Les données personnelles des utilisateurs sont accessibles, dans la stricte mesure nécessaire à l’accomplissement de leurs missions, aux destinataires suivants :

5.1 Personnel de SB Projects

Seul Monsieur Sylvain Alexis Blondeau, Président de SB Projects, en sa qualité de responsable du traitement et de référent à la protection des données, a accès à l’ensemble des données.

5.2 Sous-traitants techniques

SB Projects fait appel aux sous-traitants suivants, sélectionnés pour leurs garanties en matière de protection des données :

• Stripe Payments Europe Ltd. (Irlande) : traitement des paiements, gestion de la marketplace via Stripe Connect Express. Société agréée comme établissement de paiement.
• OVH SAS (France, 2 rue Kellermann, 59100 Roubaix) : hébergement des serveurs et de la base de données. Hébergement sur un serveur situé au Royaume-Uni (décision d’adéquation UE-UK du 28/06/2021).
• Resend (États-Unis) : envoi des courriels transactionnels et des notifications électroniques. Transferts encadrés par les clauses contractuelles types de la Commission européenne.
• Sentry (États-Unis) : monitoring des erreurs techniques. Les données sont anonymisées et ne contiennent pas de données personnelles identifiables. Transferts encadrés par les clauses contractuelles types.

Chaque sous-traitant est encadré par un contrat conforme à l’article 28 du RGPD garantissant le respect des obligations de protection des données personnelles.

5.3 Communication aux autorités

Les données peuvent être communiquées aux autorités administratives ou judiciaires compétentes en cas de réquisition légale, dans les conditions prévues par la loi.

5.4 Pas de cession commerciale

SB Projects ne cède, ne vend ni ne loue les données personnelles des utilisateurs à des tiers à des fins commerciales ou publicitaires.

6. Stockage et localisation des données

Les données sont hébergées par OVH SAS sur un serveur situé au Royaume-Uni, qui bénéficie d’une décision d’adéquation de la Commission européenne du 28 juin 2021 (article 45 du RGPD). Certains sous-traitants techniques (Resend, Sentry — États-Unis) peuvent transférer des données vers les États-Unis ; ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne (article 46 du RGPD).

7. Durées de conservation

Les données personnelles sont conservées pendant les durées suivantes :

À l’expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

8. Droits des utilisateurs

Conformément aux articles 15 à 22 du RGPD, chaque utilisateur dispose des droits suivants sur ses données personnelles :

• Droit d’accès (Art. 15) : obtenir confirmation que des données le concernant sont traitées et obtenir une copie de ces données.
• Droit de rectification (Art. 16) : faire corriger les données inexactes ou compléter les données incomplètes.
• Droit à l’effacement (Art. 17) : obtenir la suppression des données dans les conditions prévues par le RGPD (sous réserve des obligations légales de conservation).
• Droit à la limitation du traitement (Art. 18) : demander la limitation du traitement dans certaines circonstances.
• Droit à la portabilité (Art. 20) : recevoir ses données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
• Droit d’opposition (Art. 21) : s’opposer au traitement pour des motifs tenant à sa situation particulière, notamment pour les traitements reposant sur l’intérêt légitime.
• Droit de retirer son consentement (Art. 7) : retirer à tout moment un consentement préalablement donné, sans que cela n’affecte la licéité du traitement antérieur.
• Droit de définir des directives post-mortem : organiser le sort des données après le décès (article 85 de la Loi Informatique et Libertés).

9. Exercice des droits

9.1 Modalités

L’utilisateur peut exercer ses droits :

• Depuis son tableau de bord : un espace dédié à la gestion des données personnelles sera prochainement accessible depuis /dashboard/settings/données et permettra notamment l’export et la suppression des données.
• Par courriel : à l’adresse dpo@comptoirdelafigurine.fr.
• Par courrier postal : SB Projects — Référent données — 118 Faubourg de Melun, 77720 La Chapelle-Gauthier.

9.2 Vérification d’identité

Afin de garantir la confidentialité des données, SB Projects peut être amené à demander à l’utilisateur de justifier de son identité avant de répondre à sa demande, notamment en cas de doute raisonnable.

9.3 Délai de réponse

SB Projects s’engage à répondre à toute demande dans un délai d’un mois à compter de la réception de la demande, conformément à l’article 12 du RGPD. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes ; l’utilisateur est alors informé de la prolongation et de ses motifs.

9.4 Gratuité

L’exercice des droits est gratuit. Toutefois, en cas de demande manifestement infondée ou excessive, notamment en raison de leur caractère répétitif, SB Projects peut exiger le paiement de frais raisonnables ou refuser de donner suite, conformément à l’article 12 du RGPD.

10. Cookies et traceurs

10.1 Cookies actuellement utilisés

Le Site utilise actuellement les cookies et traceurs suivants, strictement nécessaires à son fonctionnement :

• Cookies de session (NextAuth) : nécessaires à l’authentification de l’utilisateur sur le Site. Durée : session de navigation.
• Cookies techniques tiers (Stripe) : déposés par Stripe lors du processus de paiement, nécessaires à la sécurité de la transaction. Durée et finalités définies par Stripe (voir la politique de confidentialité Stripe).
• Cookies de monitoring (Sentry) : données techniques anonymisées relatives aux erreurs rencontrées. Aucune donnée personnelle identifiante.
• Cookie technique de mesure de vues (cdlf_view_session) : cookie interne (première partie) strictement nécessaire au fonctionnement du Site, limitant le double-comptage des vues d’annonces. Durée : 24 heures. Aucun recoupement entre sites, aucun profilage.

Le Site n’utilise aucun cookie publicitaire ni cookie d’analyse comportementale (Google Analytics, Matomo, etc.).

10.2 Bandeau d’information et évolutions

Le Site affiche un bandeau d’information sur les cookies, renvoyant vers la présente section. Le Site ne déposant que des cookies strictement nécessaires à son fonctionnement, exemptés de consentement en application de l’article 82 de la Loi Informatique et Libertés et des lignes directrices de la CNIL, aucun consentement n’est requis à ce jour.

Si des traceurs soumis à consentement (mesure d’audience non exemptée, publicité) devaient être introduits à l’avenir, un mécanisme de consentement préalable conforme aux recommandations de la CNIL serait déployé avant leur activation : les cookies non strictement nécessaires ne seraient déposés qu’après recueil du consentement explicite et préalable de l’utilisateur.

11. Sécurité des données

SB Projects met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD, notamment :

• chiffrement des communications via HTTPS et certificat TLS Let’s Encrypt sur l’ensemble du Site ;
• hachage des mots de passe avec l’algorithme Argon2id, jamais stocké ou transmis en clair ;
• gestion sécurisée des sessions via NextAuth (JWT signés) ;
• isolation et restriction des accès aux données sensibles ;
• journalisation des actions d’administration et des événements de sécurité (audit log) ;
• sauvegardes quotidiennes automatiques de la base de données ;
• hébergement OVH (serveur au Royaume-Uni, sous décision d’adéquation UE-UK du 28/06/2021) avec garanties techniques ;
• veille de sécurité sur les composants techniques utilisés.

En cas de violation de données personnelles susceptible d’engendrer un risque élevé pour les droits et libertés des utilisateurs, SB Projects s’engage à notifier la CNIL dans les 72 heures et à informer les utilisateurs concernés dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.

12. Réclamation auprès de la CNIL

L’utilisateur qui estime que le traitement de ses données personnelles n’est pas conforme à la réglementation peut introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :

Commission Nationale de l’Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715
75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site internet : https://www.cnil.fr/plaintes

L’utilisateur est invité, avant toute réclamation auprès de la CNIL, à contacter SB Projects à l’adresse dpo@comptoirdelafigurine.fr afin de tenter une résolution amiable de la difficulté rencontrée.

13. Modification de la Politique de confidentialité

SB Projects se réserve le droit de modifier la présente Politique de confidentialité à tout moment, notamment pour l’adapter à l’évolution du Site, des sous-traitants techniques, ou de la réglementation applicable.

Les utilisateurs sont informés de toute modification substantielle par courriel et par une notification visible sur le Site. La date de dernière mise à jour figure en tête de la présente Politique.

Voir également : Conditions Générales d’Utilisation · Mentions légales