Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées sur la Plateforme Vintradex est : Djaadane Selsabil, Entrepreneur individuel, SIREN 101 027 274, 11 Rue des Francs Maçons, 42100 Saint-Étienne, France.

Conformément au RGPD (Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée, vous pouvez exercer vos droits auprès du Responsable des données personnelles à l'adresse : contact@vintradex.com (mentionner « À l'attention du responsable des données personnelles »).

2. Données collectées et finalités

Inscription compte

Email, mot de passe (hashé Argon2id, jamais en clair), nom, prénom, date d'acceptation des CGU

Profil enrichi

Pseudo (username), bio, ville, intérêts, photo de profil

Adresse de livraison

Nom, adresse, code postal, ville, pays, téléphone

Transactions

Historique d'achats, ventes, montants, modes de livraison, références internes

KYC PRO (vendeur professionnel)

Pièce d'identité, KBIS, justificatif d'adresse, SIRET, RIB, numéro TVA

Coffre

Liste objets confiés, descriptions, photos, valeur déclarée, date d'entrée/sortie

Messagerie

Conversations entre utilisateurs (modérées a posteriori en cas de signalement)

Données techniques

Adresse IP, user-agent, date de connexion, log d'audit (action, entité, horodatage)

Données de paiement

Aucune donnée carte bancaire stockée — délégué à Stripe Payments Europe Limited

3. Bases légales du traitement

Exécution du contrat (art. 6.1.b RGPD)

Inscription, transactions, livraison, support

Obligation légale (art. 6.1.c)

Facturation, comptabilité, LCB-FT (KYC PRO), conservation 10 ans documents comptables

Intérêt légitime (art. 6.1.f)

Prévention fraude, modération, sécurité informatique, amélioration du service

Consentement (art. 6.1.a)

Cookies analytics, newsletter, notifications push (optionnels)

4. Destinataires

Les données sont destinées au personnel autorisé de Vintradex et à ses sous-traitants techniques uniquement, dans la limite stricte des nécessités de leur intervention :

Stripe Payments Europe Limited

Irlande — traitement des paiements

Infomaniak Network SA

Suisse — hébergement web (serveur situé en Europe, transfert encadré)

Mondial Relay SA

France — étiquettes et points relais

Boxtal SAS

France — cotations multi-transporteurs (optionnel)

LiveKit Inc. (auto-hébergé)

Diffusion vidéo Drops en self-hosted sur serveur Vintradex

Cloudflare Inc.

USA — protection anti-bot (Turnstile, optionnel, encadrement DPA)

5. Durées de conservation

Compte actif

Aussi longtemps que le compte existe

Compte supprimé (anonymisation)

30 jours après demande, puis suppression définitive

Documents comptables (factures, transactions)

10 ans (obligation Code de commerce art. L.123-22)

KYC PRO (CNI, KBIS, justificatifs)

5 ans après dernière transaction (obligation LCB-FT)

Logs d'audit (connexions, actions critiques)

6 mois

Newsletter / consentements

3 ans à compter du dernier contact

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants concernant vos données personnelles :

Droit d'accès

Obtenir copie de vos données traitées

Droit de rectification

Corriger les données inexactes ou incomplètes

Droit à l'effacement (« droit à l'oubli »)

Hors obligations légales de conservation

Droit à la limitation

Restreindre temporairement le traitement

Droit à la portabilité

Recevoir vos données dans un format structuré et lisible

Droit d'opposition

Refuser le traitement fondé sur l'intérêt légitime

Droit de retrait du consentement

Pour tout traitement fondé sur le consentement

Pour exercer ces droits, écrire à contact@vintradex.com avec justificatif d'identité (CNI ou passeport). Vintradex répond sous 1 mois (extensible à 3 mois en cas de complexité).

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris, www.cnil.fr) si vous estimez vos droits non respectés.

7. Sécurité

Vintradex met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données : HTTPS/TLS 1.2+, mot de passe Argon2id (résistant brute-force), détection de mots de passe compromis (HIBP), authentification à deux facteurs disponible, journalisation des accès, sauvegardes quotidiennes chiffrées, validation magic-bytes pour les fichiers uploadés (CNI, KBIS), scan anti-script malicieux dans les PDF, sandbox des téléchargements, anti-bot Cloudflare Turnstile, limitation du nombre de tentatives de connexion (rate limit Redis).

En cas de violation de données personnelles présentant un risque pour les utilisateurs, Vintradex notifiera la CNIL sous 72h et informera les personnes concernées sans retard injustifié, conformément aux articles 33 et 34 du RGPD.

8. Transferts hors UE

Le serveur principal Vintradex est hébergé en Europe (Infomaniak, Suisse — pays bénéficiant d'une décision d'adéquation de la Commission européenne). Les transferts vers les USA (Stripe, Cloudflare) sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision 2021/914).

9. Mineurs

Vintradex n'est pas destiné aux personnes de moins de 18 ans. Si vous constatez qu'un enfant a créé un compte sans autorisation parentale, contactez contact@vintradex.com pour suppression immédiate.