Skip to main content

Politique de Confidentialité

|Version 3.0

1. Introduction et champ d'application

La présente Politique de Confidentialité (ci-après la "Politique") décrit les conditions dans lesquelles SKYNET INITIATIVE SAS (ci-après "Skynet", "nous", "notre" ou "nos") collecte, utilise, conserve, partage et protège vos données à caractère personnel lorsque vous accédez ou recourez à la plateforme platform.skynet-initiative.com ainsi qu'à l'ensemble des services, applications, interfaces de programmation (API) et outils associés (collectivement désignés la "Plateforme" ou les "Services").

La présente Politique s'applique à l'ensemble des personnes physiques interagissant avec la Plateforme, et notamment : les marchands (utilisateurs créant et exploitant des boutiques en ligne), les acheteurs (personnes physiques effectuant des achats via les boutiques des marchands), les visiteurs (personnes physiques naviguant sur la Plateforme ou les boutiques des marchands sans effectuer d'achat), ainsi que les candidats (personnes physiques s'inscrivant sur la liste d'attente ou créant un compte en attente de validation).

La présente Politique est rédigée en conformité avec :

  • Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données, ci-après le "RGPD") ;
  • La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa version modifiée (ci-après la "Loi Informatique et Libertés") ;
  • Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle (le "Règlement IA") ;
  • La Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (la "Directive ePrivacy"), telle que transposée en droit français.

Dernière mise à jour : 2 mars 2026. La présente Politique annule et remplace toutes les versions antérieures. Nous vous invitons à consulter régulièrement ce document. Pour toute question, veuillez contacter notre Délégué à la Protection des Données à l'adresse [email protected].

2. Responsable de traitement

Le responsable du traitement de vos données à caractère personnel, au sens de l'article 4, point 7, du RGPD, est :

DétailInformation
Dénomination socialeSKYNET INITIATIVE
Forme juridiqueSociété par Actions Simplifiée (SAS) à capital variable
Siège social4 Rue Alexis Rostand, 13010 Marseille, France
SIREN944 144 633
SIRET944 144 633 00012
PrésidentErwan Scelles-Nalin
Courriel[email protected]
Site internethttps://platform.skynet-initiative.com

En sa qualité de responsable de traitement, Skynet détermine les finalités et les moyens du traitement de vos données à caractère personnel et veille au respect de la législation applicable en matière de protection des données. Pour certaines opérations de traitement impliquant les boutiques des marchands, les rôles respectifs de Skynet et des marchands sont détaillés à l'article 17.

3. Délégué à la Protection des Données (DPD)

Skynet a mis en place un point de contact dédié à la protection des données afin de traiter l'ensemble des demandes relatives à la vie privée et aux droits des personnes concernées. La désignation formelle d'un Délégué à la Protection des Données (DPD) auprès de la CNIL est en cours et sera pleinement effective à la version 1.0 de la Plateforme. Dans l'intervalle, l'ensemble des questions relatives à la protection des données est traité directement par la direction de la société avec le même niveau de diligence et de réactivité.

DétailInformation
FonctionRéférent protection des données (désignation DPD en cours — effective à la v1.0)
Courriel[email protected]
Adresse postaleSKYNET INITIATIVE - DPD - 4 Rue Alexis Rostand, 13010 Marseille, France

Le référent protection des données est chargé de :

  • Informer et conseiller Skynet sur ses obligations au titre du RGPD et de la législation française en matière de protection des données ;
  • Contrôler le respect des politiques et procédures en matière de protection des données ;
  • Servir de point de contact pour les demandes des personnes concernées (accès, rectification, effacement, etc.) ;
  • Coopérer avec l'autorité de contrôle (CNIL) et servir d'interlocuteur pour toute question ;
  • Conduire ou superviser les Analyses d'Impact relatives à la Protection des Données (AIPD) lorsque celles-ci sont requises.

Il vous est loisible de contacter le DPD si vous souhaitez exercer l'un quelconque de vos droits au titre du RGPD, si vous avez des préoccupations quant au traitement de vos données, ou si vous souhaitez déposer une réclamation. Le DPD est astreint au secret professionnel et à la confidentialité dans l'exercice de ses missions.

4. Définitions

Au sens de la présente Politique, les termes ci-dessous ont la signification qui leur est attribuée ci-après, en cohérence avec les définitions de l'article 4 du RGPD :

TermeDéfinition
Données à caractère personnelToute information se rapportant à une personne physique identifiée ou identifiable (la « personne concernée »). Est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
TraitementToute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
Personne concernéeToute personne physique identifiée ou identifiable dont les données à caractère personnel font l'objet d'un traitement. Dans le cadre de la présente Politique, les personnes concernées comprennent les marchands, les acheteurs, les visiteurs et les candidats.
Responsable de traitementLa personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.
Sous-traitantLa personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement (art. 4, point 8, du RGPD).
Sous-traitant ultérieurUn sous-traitant engagé par un autre sous-traitant pour réaliser des activités de traitement spécifiques pour le compte du responsable de traitement.
ConsentementToute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement (art. 4, point 11, du RGPD).
PseudonymisationLe traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations soient conservées séparément et soumises à des mesures techniques et organisationnelles (art. 4, point 5, du RGPD).
AnonymisationProcédé irréversible par lequel des données à caractère personnel sont rendues anonymes de telle manière que la personne concernée n'est pas ou plus identifiable. Les données anonymisées sont exclues du champ d'application du RGPD.
ProfilageToute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne (art. 4, point 4, du RGPD).
Catégories particulières de donnéesDonnées à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques aux fins d'identification, les données de santé ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique (art. 9, paragraphe 1, du RGPD). Skynet ne collecte pas intentionnellement de catégories particulières de données.

5. Données que nous collectons

Nous collectons différentes catégories de données à caractère personnel selon la nature de votre relation avec la Plateforme et votre utilisation de nos Services. Les sous-sections suivantes décrivent chaque catégorie de manière détaillée, en précisant les données spécifiques collectées, leur caractère obligatoire ou facultatif, ainsi que la finalité principale de la collecte.

5.1 Données de compte et de profil

Collectées lors de la création de votre compte ou de la mise à jour de vos paramètres de profil.

DonnéeObligatoireFinalité
Adresse électroniqueOuiIdentifiant unique du compte, authentification (lien magique / OTP), communications
Nom d'affichageOuiPersonnalisation du profil, identité publique
Prénom / Nom de familleNonEnrichissement facultatif du profil, facturation
Avatar (URL)NonPersonnalisation visuelle du profil
Numéro de téléphoneNonMoyen de contact facultatif, authentification à double facteur (2FA)
Adresse postaleNonDonnée de profil facultative, génération de factures
Informations d'entreprise (dénomination, numéro d'immatriculation)NonProfil marchand, facturation, conformité légale
Liens vers les réseaux sociauxNonProfil public facultatif, personnalisation de la boutique
Code de parrainageGénéré automatiquementSuivi du programme de parrainage, attribution des bonus
Identifiant du parrainDétecté automatiquementAttribution des bonus de parrainage
Identifiant de vague / cohorteAttribué automatiquementGestion de la liste d'attente et de l'intégration
Méthode d'authentificationOuiEnregistrement du mode d'authentification utilisé (OTP par courriel, lien magique, Google OAuth ou Discord OAuth)

5.2 Données de boutique (marchands)

Collectées lorsque les marchands créent et configurent leurs boutiques en ligne.

DonnéeFinalité
Nom de la boutiqueIdentification et image de marque de la boutique
Identifiant URL de la boutique (slug)Génération d'une URL unique pour l'accès à la boutique
Description de la boutiquePrésentation de la boutique aux acheteurs et aux moteurs de recherche
Logo et éléments visuels de la boutiquePersonnalisation visuelle de la vitrine
Configuration du prestataire de paiement (identifiant Stripe, clés API)Activation du traitement des paiements via SkyPay
Coordonnées bancaires (IBAN, BIC, titulaire du compte)Virements, règlements et traitement des versements
Identifiant marchand SkyPayRoutage interne de l'orchestration des paiements
Données du catalogue produits (noms, descriptions, prix, images)Affichage des produits et traitement des commandes
Structures de catégories et de collectionsOrganisation et navigation de la boutique
Configurations de coupons et réductionsGestion des campagnes promotionnelles
Code source et fichiers du projetConstruction, hébergement et publication de la boutique via SkyBuilder
Hash de version et horodatages de publicationSuivi des déploiements et gestion des versions

Les clés API du prestataire de paiement (clés secrètes Stripe) sont chiffrées au repos au moyen d'un chiffrement AES-256. Les coordonnées bancaires (IBAN/BIC) sont conservées sous forme chiffrée et leur accès est strictement limité aux opérations de traitement des paiements autorisées.

5.3 Données de commande et d'acheteur

Collectées lorsque les acheteurs passent des commandes via les boutiques des marchands hébergées sur la Plateforme.

DonnéeObligatoireFinalité
Adresse électroniqueOuiConfirmation de commande, notifications d'expédition, envoi du reçu numérique
Nom completOuiÉtiquette d'expédition, documentation de facturation, vérification d'identité
Adresse de livraison (rue, ville, code postal, pays)OuiExpédition et livraison des commandes physiques
Adresse de facturationSi différente de l'adresse de livraisonGénération de factures, prévention de la fraude
Notes du clientNonInstructions de livraison spécifiques, demandes de personnalisation
Articles commandés et quantitésOuiTraitement de la commande, gestion des stocks
Montant total et deviseOuiTenue de la comptabilité, obligations fiscales
Type de moyen de paiement (carte, PayPal, crypto-actifs)OuiRoutage du paiement, génération du reçu
Référence de la transaction de paiementGénérée automatiquementRapprochement des paiements, traitement des remboursements

5.4 Données techniques collectées automatiquement

Collectées automatiquement lors de votre accès ou de votre utilisation de la Plateforme, au moyen de technologies web standard.

DonnéeMéthode de collecteFinalité
Adresse IPJournaux serveur, en-têtes de requêteSécurité, limitation du débit, géolocalisation approximative
Chaîne User-Agent (navigateur, système d'exploitation, version)En-têtes HTTPCompatibilité, analyses statistiques, débogage
Type et modèle d'appareilAnalyse du User-AgentOptimisation de l'affichage adaptatif
Résolution d'écran et dimensions de la fenêtreAnalyse côté clientOptimisation de l'affichage, statistiques de conception adaptative
Horodatages (heure de requête, début/fin de session)Journaux serveurPiste d'audit, gestion des sessions, ordonnancement chronologique
Géolocalisation (pays, région, ville)Géolocalisation IP via ip-api.com et ipapi.coLocalisation, conformité, détection de fraude
URL de provenance HTTPEn-têtes HTTPAnalyse des sources de trafic, attribution marketing
Langue préféréeEn-tête Accept-LanguageLocalisation du contenu
Protocole de connexion (HTTP/2, HTTP/3)Infrastructure serveurOptimisation des performances

5.5 Données d'analyse statistique

Collectées au moyen de notre système d'analyse intégré pour les boutiques des marchands, à l'aide d'identifiants pseudonymisés stockés dans le localStorage du navigateur.

DonnéeStockageFinalité
Identifiant de session visiteur (visitor_session_id)localStorage (pseudonymisé)Continuité de session sans identification directe
Pages visitées (chemins URL)Base de données côté serveurAnalyse des flux de navigation, identification des contenus populaires
Durée de session et temps par pageCalculé côté serveurMesure de l'engagement, performance des contenus
Événements d'interaction (clics, défilements, interactions formulaires)Événements côté clientOptimisation de l'expérience utilisateur, analyse de conversion
Source de trafic / provenanceEn-têtes HTTP + paramètres UTMAttribution marketing, analyse d'acquisition
Résolution d'écranDétection côté clientStatistiques de conception adaptative
Signaux de détection de robotsAnalyse comportementaleFiltrage du trafic non humain, exactitude des données
Pages d'entrée et de sortieReconstitution de sessionOptimisation du parcours utilisateur

Notre système d'analyse n'utilise aucun script de suivi tiers (pas de Google Analytics, pas de Pixel Facebook). Les identifiants visiteur sont pseudonymisés et stockés localement sur l'appareil. Nous ne procédons à aucun suivi intersites et ne commercialisons pas les données d'analyse auprès de tiers.

5.6 Données de sécurité et de détection de fraude

Collectées afin de protéger la Plateforme, les marchands et les acheteurs contre les activités frauduleuses et les menaces de sécurité.

DonnéeSourceFinalité
Adresse IPEn-têtes de requêteDétection d'abus, limitation du débit, géolocalisation
Fournisseur d'accès Internet (FAI)Recherche de géolocalisation IPÉvaluation des risques, détection de menaces au niveau du FAI
Détection de l'utilisation d'un VPN / Proxy / TorServices d'analyse IPPrévention de la fraude, conformité
Empreinte numérique de l'appareil (canvas, WebGL, polices)Empreinte côté clientReconnaissance de l'appareil pour l'identification d'activités suspectes
Score de risque de fraude (0-100)Algorithme de notation compositeÉvaluation assistée de la fraude (pas de prise de décision automatisée)
Tentatives d'authentification échouéesJournaux serveurDétection d'attaques par force brute, protection des comptes
Déclenchements de limitation de débitIntergiciel serveurPrévention des attaques DDoS et des abus
Comportements suspectsAnalyse comportementaleDétection de prise de contrôle de compte, prévention de la fraude transactionnelle

5.7 Données d'interaction avec l'IA (Genisys / SkyBuilder)

Collectées lorsque vous utilisez les fonctionnalités d'intelligence artificielle de la Plateforme, notamment Genisys (assistant conversationnel IA) et SkyBuilder (éditeur visuel assisté par IA).

DonnéeContexteFinalité
Invites et messages de conversationChat IA Genisys (mode Skynet)Génération de code et réponses d'assistance par IA
Code source de la boutique (fichiers TSX/TS/CSS)Contexte envoyé à l'IA par SkyBuilderGénération et modification contextuelle du code
Arborescence des fichiersContexte du projet SkyBuilderCompréhension par l'IA de l'architecture du projet
Journaux d'erreurs de compilation et de constructionContexte de correction automatique (Genisys)Détection et correction automatisées des erreurs
Sortie des commandes du terminalContexte d'exécution du bac à sable SkyEngineAnalyse des résultats de commande, récupération d'erreurs
Images et ressources téléverséesFonctionnalités d'analyse d'image par IACompréhension visuelle pour l'assistance à la conception
Historique de conversation au sein de la sessionContexte multi-toursInteractions IA cohérentes sur plusieurs messages

Les données d'interaction avec l'IA sont transmises à des fournisseurs d'IA tiers (Anthropic, OpenAI, Mistral AI et Google) pour traitement. Il vous est recommandé de ne pas inclure de données personnelles sensibles, de mots de passe, d'identifiants financiers ou d'informations de santé dans vos conversations avec l'IA. Veuillez consulter l'article 16 pour des informations détaillées sur le traitement des données par l'IA.

5.8 Données de communication

Collectées lorsque vous interagissez avec nos canaux d'assistance ou transmettez des retours d'expérience.

DonnéeSourceFinalité
Contenu du ticket d'assistanceSignalements de bogues intégrés à la plateforme, courrielRésolution des incidents et assistance client
Détails du signalement de bogue (description, captures d'écran, métadonnées)Bouton de signalement intégré à la plateformeDébogage logiciel, amélioration de la qualité
Retours d'expérience et demandes de fonctionnalitésDifférents canauxAmélioration du produit, priorisation des fonctionnalités
Correspondance électroniqueÉchanges de courriels avec l'assistance ou le DPDTraitement des demandes, archivage

5.9 Données d'authentification tierce

Reçues de fournisseurs OAuth tiers lorsque vous choisissez de vous authentifier via une connexion sociale.

FournisseurDonnées reçuesFinalité
Google OAuthAdresse électronique, nom d'affichage, URL de la photo de profil, identifiant de compte GoogleCréation et authentification simplifiées du compte
Discord OAuthAdresse électronique, nom d'utilisateur, URL de l'avatar, identifiant utilisateur DiscordCréation et authentification simplifiées du compte
Stripe Connect (marchands uniquement)Identifiant de compte Stripe, statut d'intégrationConnexion et vérification du prestataire de paiement

Lorsque vous vous authentifiez via Google ou Discord, nous ne recevons que les données énumérées ci-dessus. Nous n'accédons pas à vos contacts, messages, publications ni à aucune autre donnée de ces plateformes. Vous pouvez révoquer notre accès à tout moment via les paramètres de votre compte Google ou Discord.

5.10 Données financières et transactionnelles

Générées dans le cadre du traitement des paiements, du calcul des commissions et des versements.

DonnéeFinalitéNote de conservation
Enregistrements de transactions (montant, devise, statut, horodatage)Traitement des commandes, rapprochement financierConservés conformément aux obligations du droit commercial
Calculs de commissionsCalcul des frais de plateforme, règlements des marchandsConservés avec les enregistrements de transactions
Registre des versements (montant, date, destinataire)Suivi des règlements aux marchandsConservé conformément au droit commercial et fiscal
Registre des remboursementsTraitement des remboursements, résolution des litigesConservé avec la transaction d'origine
Données de facturationConformité fiscale, comptabilitéConservation pendant 10 ans (art. L.123-22 du Code de commerce)

6. Bases légales et finalités du traitement

Chaque opération de traitement repose sur l'une des bases légales prévues par l'article 6, paragraphe 1, du RGPD. Le tableau ci-dessous présente une cartographie exhaustive de chaque finalité de traitement et de sa base légale correspondante :

Finalité du traitementBase légale (art. 6 RGPD)Détails
Création et gestion des comptes utilisateursExécution du contrat (6.1.b)Nécessaire à la fourniture des Services de la Plateforme auxquels l'utilisateur a souscrit
Création et hébergement de boutiques SkyBuilderExécution du contrat (6.1.b)Service principal : création, construction et hébergement de boutiques en ligne
Traitement et exécution des commandesExécution du contrat (6.1.b)Traitement des commandes des acheteurs, gestion de la livraison, génération des confirmations
Traitement des paiements via SkyPayExécution du contrat (6.1.b)Routage des paiements via Stripe, PayPal ou prestataires de crypto-actifs
Envoi de courriels transactionnelsExécution du contrat (6.1.b)Confirmations de commande, vérification d'adresse électronique, liens magiques, mises à jour de livraison
Assistance client et signalements de boguesExécution du contrat (6.1.b)Résolution des incidents utilisateurs, traitement des demandes d'assistance
Sécurité du compte et de la plateformeIntérêt légitime (6.1.f)Protection contre les accès non autorisés, les attaques par force brute, la détection d'anomalies
Détection et prévention de la fraudeIntérêt légitime (6.1.f)Analyse des comportements suspects, notation du risque de fraude, protection de la plateforme et des marchands
Analyse et mesure d'audienceIntérêt légitime (6.1.f)Analyse pseudonymisée, amélioration des services, statistiques d'utilisation agrégées
Amélioration de la plateforme et débogageIntérêt légitime (6.1.f)Surveillance des erreurs, analyse des performances, développement de fonctionnalités
Fonctionnalités assistées par IA (Genisys)Consentement (6.1.a)Génération de code et assistance à la création par IA — l'utilisateur initie volontairement les interactions avec l'IA
Conformité aux obligations fiscalesObligation légale (6.1.c)Déclarations fiscales, conformité TVA, déclarations financières obligatoires
Conservation des facturesObligation légale (6.1.c)Conservation pendant 10 ans conformément à l'art. L.123-22 du Code de commerce
Conservation des données de commandeObligation légale (6.1.c)Conservation pendant 5 ans conformément à l'art. 2224 du Code civil (délai de prescription)
Journalisation des audits d'administrationObligation légale (6.1.c)Conservation pendant 36 mois conformément à la LCEN (Loi pour la Confiance dans l'Économie Numérique)
Réponse aux demandes légalesObligation légale (6.1.c)Conformité aux décisions judiciaires, aux enquêtes réglementaires et aux demandes des autorités répressives
Gestion des cookies (essentiels)Intérêt légitime (6.1.f) + art. 82 de la Loi Informatique et LibertésCookies strictement nécessaires à l'authentification et à la gestion de session
Gestion de la session panierExécution du contrat (6.1.b)Fonctionnalité de panier anonyme via le cookie cart_session_id
Programme de parrainageExécution du contrat (6.1.b)Suivi des attributions de parrainage, attribution des bonus
Géolocalisation IPIntérêt légitime (6.1.f)Localisation approximative pour la localisation, la conformité et la prévention de la fraude

7. Mise en balance des intérêts légitimes

Lorsque le traitement est fondé sur notre intérêt légitime au titre de l'article 6, paragraphe 1, point f), du RGPD, nous avons procédé à un test de mise en balance conformément au considérant 47 du RGPD et aux orientations du Comité Européen de la Protection des Données (CEPD) afin de nous assurer que nos intérêts ne prévalent pas sur vos droits et libertés fondamentaux. Les évaluations réalisées sont synthétisées ci-après :

7.1 Sécurité de la plateforme et des comptes

Intérêt légitime : Protection de la Plateforme, de ses utilisateurs et des marchands contre les accès non autorisés, les cyberattaques et la compromission des comptes.

Mise en balance : Les mesures de sécurité (journalisation des adresses IP, suivi des tentatives de connexion échouées, limitation du débit) sont proportionnées et limitées à ce qui est strictement nécessaire à la protection. Les données ne sont pas utilisées à des fins de profilage ou de prospection commerciale. Les utilisateurs peuvent raisonnablement s'attendre à des mesures de sécurité lorsqu'ils utilisent une plateforme en ligne. Les données sont conservées pour des durées limitées et l'accès est restreint au personnel en charge de la sécurité.

7.2 Prévention de la fraude

Intérêt légitime : Détection et prévention des transactions frauduleuses afin de protéger les marchands, les acheteurs et l'intégrité de l'écosystème de paiement.

Mise en balance : La notation du risque de fraude est utilisée exclusivement comme outil d'aide à la décision ; aucun blocage automatisé n'intervient sans examen humain préalable (voir article 19). Les données collectées (adresse IP, empreinte numérique de l'appareil, comportements) sont proportionnées au risque de fraude financière. Le modèle de notation n'utilise pas de catégories particulières de données. Les utilisateurs peuvent contester toute décision et contacter le DPD.

7.3 Analyse statistique et amélioration des services

Intérêt légitime : Compréhension de l'utilisation de la Plateforme aux fins d'amélioration des performances, de l'expérience utilisateur et du développement de fonctionnalités.

Mise en balance : L'analyse statistique utilise des identifiants pseudonymisés (non directement liés aux comptes utilisateurs). Aucun suivi intersites n'est effectué. Aucune donnée n'est partagée avec des réseaux publicitaires tiers. Les données d'analyse sont conservées pour une durée maximale de 13 mois conformément aux recommandations de la CNIL. Les utilisateurs peuvent effacer leurs identifiants localStorage à tout moment.

7.4 Débogage et amélioration de la plateforme

Intérêt légitime : Surveillance et résolution des erreurs techniques, garantie de la stabilité et de la fiabilité de la plateforme.

Mise en balance : Les journaux d'erreurs ne contiennent que les métadonnées techniques nécessaires au débogage (traces de pile, paramètres de requête). Les données personnelles dans les journaux sont réduites au minimum et l'accès est restreint à l'équipe d'ingénierie. Les journaux sont soumis à des limites de conservation et à une purge automatique.

8. Cookies et technologies de traçage

La Plateforme utilise des cookies et des technologies similaires (localStorage, sessionStorage) afin d'assurer le bon fonctionnement des Services, de gérer les sessions utilisateurs et de collecter des données d'analyse statistique.

Les cookies utilisés par la Plateforme se répartissent dans les catégories suivantes :

Cookie / TechnologieTypeDuréeFinalité
Cookie de session d'authentificationStrictement nécessaire7 joursAuthentification de l'utilisateur et gestion de session
cart_session_idStrictement nécessaire30 joursPersistance anonyme du panier d'achat
visitor_session_id (localStorage)Analyse statistiquePersistant jusqu'à suppressionSuivi pseudonymisé des visiteurs pour l'analyse des boutiques
Préférences de consentement aux cookiesStrictement nécessaire12 moisEnregistrement de vos choix de consentement aux cookies

Pour des informations complètes sur l'ensemble des cookies utilisés, leurs durées exactes et la manière de gérer vos préférences, veuillez consulter notre Politique relative aux cookies.

Les cookies strictement nécessaires ne requièrent pas le consentement au titre de l'article 82 de la Loi Informatique et Libertés (transposant l'article 5, paragraphe 3, de la Directive ePrivacy), dans la mesure où ils sont indispensables à la fourniture du service explicitement demandé par l'utilisateur. Les cookies d'analyse fondés sur notre intérêt légitime respectent les lignes directrices de la CNIL relatives aux outils de mesure d'audience exemptés de consentement lorsqu'ils remplissent des conditions spécifiques (finalité limitée, pseudonymisation, durée de conservation limitée).

9. Destinataires des données

Vos données à caractère personnel sont susceptibles d'être communiquées aux catégories de destinataires ci-après, dans le strict respect des principes de minimisation des données (art. 5, paragraphe 1, point c), du RGPD) et de limitation des finalités (art. 5, paragraphe 1, point b), du RGPD). Chaque destinataire ne reçoit que les données strictement nécessaires à l'exercice de sa fonction spécifique.

9.1 Sous-traitants (art. 28 du RGPD)

Les prestataires de services tiers ci-après traitent des données à caractère personnel pour notre compte, sur nos instructions, et en vertu d'accords de traitement des données (ATD) conformes à l'article 28 du RGPD :

Sous-traitantSiège socialLocalisation des donnéesFinalité du traitementCatégories de données
Contabo GmbHAllemagneStrasbourg, France (UE)Hébergement de serveurs dédiés (serveur applicatif, base de données PostgreSQL et stockage de fichiers via Supabase auto-hébergé)Toutes les données de la plateforme traitées sur le serveur (incluant données de compte, données de boutique, commandes, fichiers, données d'analyse)
Resend Inc.États-UnisÉtats-UnisEnvoi de courriels transactionnelsAdresses électroniques, noms, contenu des courriels
Stripe Payments Europe, Ltd.IrlandeUE / EEETraitement des paiements, intégration Stripe ConnectDonnées transactionnelles, coordonnées bancaires des marchands, identifiants de compte Stripe
Anthropic PBCÉtats-UnisÉtats-UnisAPI de modèle de langage IA (Claude) pour Genisys — Politique de confidentialité : anthropic.com/privacyInvites IA, extraits de code source, historique de conversation
OpenAI LLCÉtats-UnisÉtats-UnisAPI de modèle de langage IA (GPT) pour Genisys — Politique de confidentialité : openai.com/enterprise-privacyInvites IA, extraits de code source, historique de conversation
Mistral AI SASFranceFranceAPI de modèle de langage IA (Mistral) pour Genisys — Politique de confidentialité : mistral.ai/terms/#privacy-policyInvites IA, extraits de code source, historique de conversation
Google Ireland LimitedIrlandeIrlande (UE)API de modèle de langage IA (Gemini) pour Genisys — Politique de confidentialité : policies.google.com/privacyInvites IA, extraits de code source, historique de conversation
ip-api.com / ipapi.coDiversDiversServices de géolocalisation d'adresses IPAdresses IP uniquement

9.2 Responsables de traitement indépendants

Les tiers ci-après agissent en qualité de responsables de traitement indépendants pour les données que vous leur fournissez directement. Leurs propres politiques de confidentialité régissent le traitement de vos données :

Responsable de traitementContexteDonnées partagéesPolitique de confidentialité
PayPal Holdings, Inc.Traitement des paiements (passage en caisse de l'acheteur)Données transactionnelles, adresse électronique de l'acheteurpaypal.com/privacy
Coinbase Global, Inc.Paiements en crypto-actifsDonnées transactionnelles, adresses de portefeuillecoinbase.com/legal/privacy
BitPay, Inc.Paiements en crypto-actifsDonnées transactionnelles, adresses de portefeuillebitpay.com/about/privacy
NOWPaymentsPaiements en crypto-actifsDonnées transactionnelles, adresses de portefeuillenowpayments.io/privacy-policy
OpenNode Inc.Paiements Bitcoin LightningDonnées transactionnellesopennode.com/privacy
Google LLCAuthentification OAuthJetons d'authentification (nous recevons l'adresse électronique, le nom, la photo)policies.google.com/privacy
Discord Inc.Authentification OAuthJetons d'authentification (nous recevons l'adresse électronique, le nom d'utilisateur, l'avatar)discord.com/privacy

9.3 Marchands

Lorsque vous effectuez un achat via une boutique hébergée sur la Plateforme, le marchand reçoit les données d'acheteur suivantes, nécessaires à l'exécution de la commande :

  • Nom et adresse électronique de l'acheteur ;
  • Adresses de livraison et de facturation ;
  • Détails de la commande (produits, quantités, montants) ;
  • Notes du client (le cas échéant).

Les marchands agissent en qualité de responsables de traitement indépendants pour les données de leurs acheteurs. Veuillez consulter l'article 17 pour une explication détaillée des rôles et responsabilités respectifs.

9.4 Autorités compétentes

Nous sommes susceptibles de communiquer des données à caractère personnel aux autorités judiciaires, réglementaires ou répressives compétentes lorsque la loi l'exige, notamment :

  • En réponse à une décision de justice ou une réquisition judiciaire ;
  • Pour satisfaire une obligation légale au titre du droit français ou européen ;
  • Pour protéger nos droits, nos biens ou notre sécurité, ou ceux de nos utilisateurs, en cas de danger imminent ;
  • Conformément aux exigences des autorités fiscales aux fins de vérification de conformité.

Nous informerons les personnes concernées de telles communications, sauf interdiction légale de le faire.

10. Gestion des sous-traitants

Conformément à l'article 28, paragraphes 2 et 4, du RGPD, nous assurons un contrôle rigoureux de l'ensemble des sous-traitants engagés pour traiter des données à caractère personnel pour notre compte.

10.1 Évaluation et sélection

Préalablement à l'engagement de tout sous-traitant, nous procédons à une évaluation approfondie de ses pratiques en matière de protection des données, incluant :

  • L'examen de sa politique de confidentialité, de ses certifications de sécurité (SOC 2, ISO 27001) et de son historique de conformité ;
  • L'évaluation de ses mesures de sécurité techniques et organisationnelles (art. 32 du RGPD) ;
  • L'analyse des garanties en matière de transferts internationaux lorsque le sous-traitant est établi en dehors de l'EEE ;
  • La vérification de la compatibilité de ses finalités de traitement avec les nôtres.

10.2 Garanties contractuelles

Chaque sous-traitant est lié par un Accord de Traitement des Données (ATD) comprenant :

  • L'objet, la durée, la nature et la finalité du traitement ;
  • Le type de données à caractère personnel traitées et les catégories de personnes concernées ;
  • L'obligation de traiter les données uniquement sur nos instructions documentées ;
  • Les obligations de confidentialité pour l'ensemble du personnel ayant accès aux données à caractère personnel ;
  • La mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées ;
  • Les conditions de recours à d'autres sous-traitants (autorisation écrite préalable ou autorisation générale avec notification) ;
  • L'obligation de nous assister pour répondre aux demandes d'exercice des droits des personnes concernées ;
  • L'obligation de nous notifier toute violation de données dans les meilleurs délais ;
  • La suppression ou la restitution de l'ensemble des données à caractère personnel à l'issue du contrat de traitement ;
  • Les droits d'audit et d'inspection.

10.3 Notification des modifications

Nous tenons à jour une liste de nos sous-traitants. En cas d'engagement d'un nouveau sous-traitant ou de remplacement d'un sous-traitant existant, nous mettrons à jour la présente Politique en conséquence. Pour les modifications substantielles affectant significativement le traitement de vos données à caractère personnel, nous vous adresserons une notification préalable par courriel ou par notification intégrée à la plateforme.

11. Transferts internationaux de données

L'hébergement principal de la Plateforme (serveur applicatif et serveur de base de données) est situé à Strasbourg, France (UE), exploité par Contabo GmbH (Aschauer Straße 32a, 81549 München, Allemagne). En conséquence, l'application principale et la base de données n'impliquent aucun transfert international de données à caractère personnel en dehors de l'Espace Économique Européen (EEE). Toutefois, certains de nos sous-traitants sont établis en dehors de l'EEE. Tout transfert de données à caractère personnel vers un pays situé en dehors de l'EEE est soumis à des garanties appropriées conformément au chapitre V du RGPD (articles 44 à 49).

DestinataireLocalisationMécanisme de transfertMesures supplémentaires
Contabo GmbH (incluant Supabase auto-hébergé)France (serveurs à Strasbourg)Pas de transfert international — données hébergées en FranceServeurs dédiés, chiffrement intégral des disques, chiffrement AES-256 au repos, TLS en transit, sécurité physique en centre de données UE
Stripe Payments Europe, Ltd.Irlande (UE)Pas de transfert international pour les transactions UEPCI-DSS Niveau 1, SOC 2 Type II, chiffrement AES-256
Mistral AI SASFrancePas de transfert internationalDonnées traitées en France, chiffrement des API en transit (TLS 1.2+)
Google Ireland Limited (Gemini)Irlande (UE)Pas de transfert internationalDonnées API chiffrées en transit, pas d'entraînement de modèle sur les données API
Anthropic PBCÉtats-UnisClauses Contractuelles Types (CCT) de la Commission européenne — Décision d'exécution 2021/914 + mesures supplémentairesDonnées API chiffrées en transit (TLS 1.2+), pas d'entraînement de modèle sur les données API, données supprimées après traitement
OpenAI LLCÉtats-UnisClauses Contractuelles Types (CCT) de la Commission européenne — Décision d'exécution 2021/914 + mesures supplémentairesDonnées API chiffrées en transit, politique de rétention zéro disponible, pas d'entraînement de modèle sur les données API
Resend Inc.États-UnisClauses Contractuelles Types (CCT) de la Commission européenne — Décision d'exécution 2021/914Chiffrement TLS, minimisation des données (métadonnées des courriels uniquement)

11.1 Considérations relatives à l'arrêt Schrems II

À la suite de l'arrêt de la Cour de justice de l'Union européenne dans l'affaire C-311/18 ("Schrems II"), ayant invalidé le Privacy Shield UE-États-Unis, nous nous fondons sur les Clauses Contractuelles Types (CCT) adoptées par la Décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 pour les transferts vers les États-Unis et les autres pays ne bénéficiant pas d'une décision d'adéquation.

Nous avons réalisé des analyses d'impact du transfert (Transfer Impact Assessments — TIA) pour chaque transfert afin d'évaluer si le cadre juridique du pays destinataire assure un niveau de protection essentiellement équivalent à celui garanti au sein de l'EEE, en tenant compte :

  • De la nature des données transférées (nous minimisons les données personnelles transmises aux fournisseurs d'IA établis aux États-Unis) ;
  • Du cadre juridique du pays destinataire, y compris les lois relatives à l'accès gouvernemental aux données ;
  • Des mesures supplémentaires contractuelles, techniques et organisationnelles mises en place ;
  • De l'expérience pratique de l'importateur de données en matière de demandes d'accès gouvernementales.

11.2 Mesures supplémentaires

En complément des CCT, nous mettons en œuvre les mesures supplémentaires suivantes, conformément aux recommandations du CEPD (Recommandations 01/2020) :

  • Mesures techniques : Chiffrement TLS 1.2+ de bout en bout pour l'ensemble des données en transit, chiffrement AES-256 au repos le cas échéant, pseudonymisation des données d'analyse ;
  • Mesures organisationnelles : Contrôles d'accès stricts, politiques de minimisation des données, révision régulière des pratiques de sécurité des sous-traitants, formation du personnel ;
  • Mesures contractuelles : Obligations de transparence dans les ATD concernant les demandes d'accès gouvernementales, obligations de notification, engagement à contester les demandes d'accès disproportionnées.

11.3 Localisation des données

Nous privilégions la localisation des données au sein de l'UE/EEE dans toute la mesure du possible :

  • Hébergement principal : Contabo GmbH, serveurs dédiés à Strasbourg, France (UE) ;
  • Base de données et stockage de fichiers : Supabase auto-hébergé sur le même serveur Contabo à Strasbourg, France (UE) ;
  • Traitement des paiements : Stripe Payments Europe, Ltd. (Irlande) ;
  • IA (traitement local) : Mistral AI SAS (France), Google Ireland Limited (Irlande).

Les Clauses Contractuelles Types (CCT) sont des cadres contractuels adoptés par la Commission européenne (Décision d'exécution (UE) 2021/914 du 4 juin 2021) qui fournissent des garanties appropriées pour le transfert de données à caractère personnel vers des pays tiers. Vous pouvez demander une copie des CCT applicables à vos données en contactant notre DPD.

12. Conservation des données

Conformément au principe de limitation de la conservation (art. 5, paragraphe 1, point e), du RGPD), nous ne conservons les données à caractère personnel que pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, ou selon les exigences des obligations légales applicables. À l'expiration de la durée de conservation, les données sont soit supprimées de manière sécurisée, soit irréversiblement anonymisées.

Catégorie de donnéesDurée de conservationBase légale / Justification
Données de compte (profil, paramètres)Durée de la relation contractuelle + 30 jours après la suppression du compteExécution du contrat (6.1.b) — délai de grâce pour récupération en cas de suppression accidentelle
Données en attente de vérificationJusqu'à la vérification ou 30 jours après la créationExécution du contrat — mesures précontractuelles
Sessions utilisateur et jetons d'authentification90 jours à compter de la dernière activitéIntérêt légitime — sécurité et gestion de session
Données de commande (commandes, lignes, livraison)5 ans à compter de l'achèvement de la commandeArt. 2224 du Code civil (délai de prescription de droit commun des obligations civiles)
Factures et pièces comptables10 ans à compter de la clôture de l'exerciceArt. L.123-22 du Code de commerce (obligation de conservation des documents comptables)
Enregistrements de transactions et de paiements10 ans à compter de la date de la transactionArt. L.123-22 du Code de commerce et exigences en matière de documentation fiscale
Données d'analyse statistique13 mois à compter de la collecteRecommandation de la CNIL relative aux outils de mesure d'audience (délibération n° 2020-091) — durée de conservation maximale de 13 mois
Données de détection de fraude (scores, empreintes)6 mois à compter de la générationIntérêt légitime — principe de proportionnalité ; suffisant pour la détection de tendances
Journaux d'audit de sécurité12 mois à compter de l'événementIntérêt légitime — investigation d'incidents et conformité
Journaux d'audit d'administration36 mois à compter de l'événementLCEN (loi n° 2004-575 pour la Confiance dans l'Économie Numérique) — obligation de conservation de l'hébergeur
Cookies d'authentification7 jours à compter de l'émissionDurée de session — expiration automatique
Cookie panier (cart_session_id)30 jours à compter de la dernière modificationExécution du contrat — persistance du panier pour la commodité de l'acheteur
Journaux de conversation IADurée de la session utilisateur (non conservés au-delà de la session)Consentement — les interactions IA sont éphémères dans le contexte de la session
Tickets d'assistance et correspondance36 mois à compter de la résolutionIntérêt légitime — assurance qualité et résolution de litiges
Données de signalement de bogues24 mois à compter de la soumissionIntérêt légitime — qualité logicielle et débogage
Journaux d'envoi de courriels (Resend)30 joursIntérêt légitime — surveillance de la délivrabilité et dépannage
Données de compte supprimé (sauvegardes résiduelles)30 jours maximum (purge automatisée)Nécessité technique — cycle de rotation des sauvegardes
Données du programme de parrainageDurée du compte du parrain + 12 moisExécution du contrat — rapprochement des bonus

Lorsqu'une personne concernée exerce son droit à l'effacement (art. 17 du RGPD), nous supprimons l'ensemble de ses données à caractère personnel, sauf lorsque leur conservation est imposée par une obligation légale (par exemple, les factures conservées pendant 10 ans). Dans ce cas, les données sont archivées avec un accès restreint et ne sont utilisées à aucune autre fin.

13. Sécurité des données

Conformément à l'article 32 du RGPD, nous mettons en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques.

13.1 Chiffrement et protection des données

MesureMise en œuvreNorme
Chiffrement en transitTLS 1.2+ imposé pour l'ensemble des communications client-serveurNIST SP 800-52 Rev. 2
Chiffrement au reposChiffrement AES-256 pour le stockage en base de données (Supabase auto-hébergé)FIPS 140-2
Hachage des mots de passe et données sensiblesbcrypt avec 12 tours de salage pour les identifiants d'authentificationRecommandation OWASP
Chiffrement des clés de paiementClés API Stripe et identifiants de paiement chiffrés au repos avec chiffrement au niveau applicatifConformité PCI-DSS
Jetons de sécuritéJetons aléatoires cryptographiques de 256 bits pour la vérification d'adresse électronique, les liens magiques et les codes OTPCSPRNG (crypto.randomBytes)
Protection des coordonnées bancairesIBAN/BIC chiffrés au repos, déchiffrés uniquement lors du traitement des versementsPrincipe de minimisation des données

13.2 Authentification et contrôle d'accès

MesureMise en œuvre
Authentification sans mot de passeAuthentification principale par liens magiques (courriel) et mots de passe à usage unique (OTP), éliminant les risques de compromission de mot de passe
Authentification à double facteur (2FA)Disponible pour le renforcement de la sécurité du compte ; recommandée pour les comptes marchands
Intégration OAuthGoogle et Discord OAuth pour une authentification simplifiée et sécurisée par le fournisseur
Gestion des jetons JWTSignés en HS256, jetons à durée de vie limitée avec expiration contrôlée, stockés dans des cookies sécurisés
Cookies sécurisésTous les cookies d'authentification définis avec les attributs Secure, HttpOnly et SameSite=Lax
Contrôle d'accès basé sur les rôles (RBAC)Fonctions d'administration restreintes au personnel autorisé disposant de privilèges élevés
Gestion des sessionsExpiration automatique des sessions, détection des sessions concurrentes

13.3 Sécurité de l'infrastructure et du réseau

MesureMise en œuvre
Limitation du débitLimitation du débit de requêtes sur l'ensemble des points d'accès API pour prévenir les attaques par force brute et les DDoS
Isolation du code (bac à sable SkyEngine)Le code généré par les utilisateurs s'exécute dans un environnement SkyEngine isolé avec blocage des commandes dangereuses (rm -rf, sudo, etc.)
Politique d'origine croiséeEn-têtes COOP/COEP configurés pour prévenir les attaques d'origine croisée sur les iframes du bac à sable
Politique de sécurité du contenu (CSP)En-têtes CSP stricts pour prévenir les attaques XSS et l'injection de code
Validation des entréesValidation des schémas Zod sur l'ensemble des points d'accès API pour prévenir les attaques par injection
Prévention de l'injection SQLRequêtes paramétrées via l'ORM Prisma ; aucune interpolation SQL brute
Protection DDoSInfrastructure serveur avec atténuation automatique des DDoS

13.4 Mesures organisationnelles

  • Principe du moindre privilège : L'accès aux données à caractère personnel est restreint au personnel autorisé qui en a besoin dans le cadre de ses fonctions spécifiques ;
  • Obligations de confidentialité : L'ensemble des membres de l'équipe ayant accès aux données à caractère personnel est lié par des obligations contractuelles de confidentialité ;
  • Sensibilisation à la sécurité : Formation régulière sur la protection des données, les pratiques de développement sécurisé et la réponse aux incidents ;
  • Plan de réponse aux incidents : Procédures documentées pour la détection, le signalement et la gestion des incidents de sécurité (voir article 14) ;
  • Revues de sécurité régulières : Révision périodique des configurations de sécurité, des journaux d'accès et des évaluations de vulnérabilités ;
  • Sécurité physique : L'ensemble de l'infrastructure est hébergé par des fournisseurs certifiés SOC 2 Type II, conformes ISO 27001, disposant de contrôles de sécurité physique en centre de données.

14. Notification des violations de données

En cas de violation de données à caractère personnel au sens de l'article 4, point 12, du RGPD, nous appliquons une procédure structurée de réponse aux incidents conformément aux articles 33 et 34 du RGPD.

14.1 Détection interne et évaluation de la violation

  • Des systèmes de surveillance automatisés détectent les schémas d'accès anormaux et les violations de données potentielles ;
  • Dès la détection, l'équipe de sécurité procède à une évaluation immédiate de la nature, de la portée et de la gravité de la violation ;
  • Le DPD est immédiatement notifié et supervise le processus de réponse ;
  • L'ensemble des activités liées à la violation est documenté dans le registre interne des violations (art. 33, paragraphe 5, du RGPD).

14.2 Notification à l'autorité de contrôle (art. 33 du RGPD)

Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, nous notifions la CNIL dans un délai de 72 heures après en avoir eu connaissance. La notification comporte :

  • La nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés ;
  • Le nom et les coordonnées du DPD ;
  • Une description des conséquences probables de la violation ;
  • Une description des mesures prises ou proposées pour remédier à la violation et en atténuer les effets.

14.3 Notification aux personnes concernées (art. 34 du RGPD)

Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, nous communiquons la violation aux personnes concernées dans les meilleurs délais, dans un langage clair et simple. Cette communication décrit :

  • La nature de la violation ;
  • Les coordonnées du DPD ;
  • Les conséquences probables de la violation ;
  • Les mesures prises ou proposées pour remédier à la violation ;
  • Les recommandations à l'attention des personnes pour se protéger (par exemple, modification des mots de passe, surveillance des comptes).

14.4 Registre des violations

Conformément à l'article 33, paragraphe 5, du RGPD, nous tenons un registre de l'ensemble des violations de données à caractère personnel, qu'elles soient ou non notifiables à la CNIL. Ce registre documente les faits relatifs à chaque violation, ses effets et les mesures correctives prises.

Si vous avez connaissance ou suspectez l'existence d'une vulnérabilité de sécurité ou d'une violation de données affectant la Plateforme, veuillez la signaler immédiatement à l'adresse [email protected]. La divulgation responsable est appréciée et sera traitée de manière confidentielle.

15. Vos droits (articles 15 à 22 du RGPD)

Conformément au RGPD et à la Loi Informatique et Libertés, vous bénéficiez des droits suivants à l'égard de vos données à caractère personnel. L'exercice de ces droits est soumis aux conditions et exceptions prévues par la législation applicable.

DroitBase légaleDescription
Droit d'accèsArt. 15 du RGPDObtenir la confirmation que vos données à caractère personnel font ou non l'objet d'un traitement et, le cas échéant, accéder auxdites données ainsi qu'aux informations relatives au traitement (finalités, catégories, destinataires, durées de conservation, source, décision automatisée). Vous avez le droit de recevoir une copie des données dans un format électronique d'usage courant.
Droit de rectificationArt. 16 du RGPDObtenir la rectification de données à caractère personnel inexactes et la complétude de données à caractère personnel incomplètes dans les meilleurs délais.
Droit à l'effacement (« droit à l'oubli »)Art. 17 du RGPDObtenir la suppression de vos données à caractère personnel lorsque : (a) elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ; (b) vous retirez votre consentement ; (c) vous vous opposez au traitement ; (d) le traitement est illicite ; ou (e) l'effacement est imposé par la loi. Des exceptions s'appliquent lorsque la conservation est requise par une obligation légale, un motif d'intérêt public ou la défense de droits en justice.
Droit à la portabilitéArt. 20 du RGPDRecevoir les données à caractère personnel que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine (par exemple JSON, CSV), et les transmettre à un autre responsable de traitement sans entrave. Ce droit s'applique aux données traitées par des moyens automatisés sur la base du consentement ou de l'exécution du contrat.
Droit à la limitation du traitementArt. 18 du RGPDObtenir la limitation du traitement lorsque : (a) vous contestez l'exactitude des données (pendant la durée de vérification) ; (b) le traitement est illicite et vous vous opposez à l'effacement ; (c) nous n'avons plus besoin des données mais vous en avez besoin pour la défense de droits en justice ; ou (d) vous vous êtes opposé au traitement dans l'attente de la vérification de nos motifs légitimes.
Droit d'oppositionArt. 21 du RGPDVous opposer à tout moment au traitement fondé sur l'intérêt légitime (art. 6, paragraphe 1, point f)) ou l'intérêt public (art. 6, paragraphe 1, point e)), y compris le profilage. Nous devons cesser le traitement sauf si nous démontrons l'existence de motifs légitimes et impérieux prévalant sur vos intérêts. En matière de prospection commerciale, vous disposez d'un droit d'opposition absolu et inconditionnel à tout moment.
Droit de ne pas faire l'objet d'une décision automatiséeArt. 22 du RGPDNe pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou vous affectant de manière significative. Notre système de notation de fraude constitue un outil d'aide à la décision ; aucune décision automatisée n'est prise sans examen humain (voir article 19).
Droit de retirer le consentementArt. 7, paragraphe 3, du RGPDRetirer votre consentement à tout moment pour tout traitement fondé sur le consentement (par exemple, les interactions IA). Le retrait ne porte pas atteinte à la licéité du traitement effectué avant ledit retrait.
Directives post-mortemArt. 85 de la Loi Informatique et LibertésDéfinir des directives générales ou spécifiques relatives à la conservation, l'effacement et la communication de vos données à caractère personnel après votre décès. Ces directives peuvent être enregistrées auprès d'un tiers de confiance numérique certifié par la CNIL, ou directement auprès de nous.

15.1 Modalités d'exercice de vos droits

Vous pouvez exercer l'un quelconque des droits énumérés ci-dessus en contactant notre Délégué à la Protection des Données par les canaux suivants :

Courriel : [email protected]
Courrier postal : SKYNET INITIATIVE - DPD - 4 Rue Alexis Rostand, 13010 Marseille, France

Veuillez fournir des informations suffisantes pour nous permettre de vous identifier et préciser le ou les droits que vous souhaitez exercer. Pour les demandes de portabilité, veuillez indiquer votre format préféré (JSON, CSV ou XML).

15.2 Délai de réponse

Nous accuserons réception de votre demande et y répondrons de manière substantielle dans un délai d'un (1) mois à compter de la réception, conformément à l'article 12, paragraphe 3, du RGPD. Ce délai peut être prolongé de deux (2) mois supplémentaires si nécessaire, compte tenu de la complexité et du nombre de demandes. Le cas échéant, nous vous informerons de cette prorogation dans le délai initial d'un mois, en indiquant les motifs du retard.

15.3 Vérification d'identité

Lorsque nous avons des doutes raisonnables quant à l'identité de la personne présentant la demande, nous pouvons solliciter des informations supplémentaires nécessaires à la confirmation de votre identité (art. 12, paragraphe 6, du RGPD). Il s'agit d'une mesure de sécurité visant à prévenir l'accès non autorisé aux données à caractère personnel.

15.4 Frais

L'exercice de vos droits est gratuit. Toutefois, conformément à l'article 12, paragraphe 5, du RGPD, lorsque les demandes sont manifestement infondées ou excessives (notamment en raison de leur caractère répétitif), nous pouvons soit exiger le paiement de frais raisonnables tenant compte des coûts administratifs, soit refuser de donner suite à la demande.

15.5 Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données à caractère personnel constitue une violation du RGPD ou de la législation française en matière de protection des données, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

DétailInformation
AutoritéCommission Nationale de l'Informatique et des Libertés (CNIL)
Adresse3 Place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07, France
Téléphone+33 (0)1 53 73 22 22
Site internethttps://www.cnil.fr
Plainte en lignehttps://www.cnil.fr/fr/plaintes

16. Intelligence artificielle et données

La Plateforme intègre des fonctionnalités d'intelligence artificielle (IA) sous la dénomination Genisys, alimentées par des modèles de langage fournis par Anthropic PBC (modèles Claude), OpenAI LLC (modèles GPT), Mistral AI SAS (modèles Mistral) et Google Ireland Limited (modèles Gemini). Le présent article assure une transparence détaillée sur le traitement de vos données dans le contexte de l'IA, conformément au RGPD et au Règlement IA (Règlement 2024/1689).

16.1 Données transmises aux fournisseurs d'IA

Lorsque vous utilisez Genisys ou les fonctionnalités assistées par IA dans SkyBuilder, les données suivantes sont susceptibles d'être transmises à nos fournisseurs d'IA via leurs API :

Catégorie de donnéesContexteMesures de minimisation
Invites et messages de conversationVotre saisie textuelle à l'assistant IASeule la conversation de la session en cours est envoyée ; l'historique des conversations n'est pas conservé ni retransmis
Code source de la boutique (TSX/TS/CSS)Code contextuel envoyé pour l'édition assistée par IASeuls les fichiers et extraits pertinents sont envoyés, non l'intégralité du code source
Arborescence des fichiersContexte de l'architecture du projetNoms de répertoires et de fichiers uniquement ; le contenu n'est envoyé que lorsqu'il est pertinent
Messages d'erreur de compilationContexte de la fonctionnalité de correction automatiqueTexte d'erreur et extraits du fichier concerné uniquement
Sortie des commandes du terminalContexte d'exécution de commandesTronquée aux 3 000 derniers caractères
Invites système et instructionsConfiguration du comportement de l'IANe contiennent aucune donnée à caractère personnel ; définissent le format et les règles de réponse de l'IA

16.2 Garanties contractuelles des fournisseurs d'IA

  • Pas d'entraînement de modèle : Conformément aux conditions d'utilisation des API d'Anthropic, OpenAI, Mistral AI et Google, les données soumises via l'API ne sont pas utilisées pour entraîner, améliorer ou affiner leurs modèles. Il s'agit d'une obligation contractuelle engageant l'ensemble des fournisseurs.
  • Conservation des données par les fournisseurs : Les fournisseurs d'IA peuvent temporairement conserver les entrées et sorties de l'API à des fins de surveillance des abus et de sécurité, conformément à leurs politiques de conservation respectives (généralement 30 jours ou moins). Ils ne conservent pas les données au-delà de ce qui est nécessaire à ces fins.
  • Accords de traitement des données : Nous avons conclu des ATD avec Anthropic, OpenAI, Mistral AI et Google incluant, le cas échéant, les Clauses Contractuelles Types pour les transferts internationaux de données.
  • Politiques de confidentialité : Anthropic, OpenAI, Mistral AI, Google.

16.3 Minimisation des données dans le contexte de l'IA

Nous appliquons le principe de minimisation des données (art. 5, paragraphe 1, point c), du RGPD) au traitement par l'IA en :

  • N'envoyant que le contexte minimal nécessaire à la génération d'une réponse utile par l'IA ;
  • Excluant les données à caractère personnel des invites système et de la configuration ;
  • Ne conservant pas l'historique des conversations IA au-delà de la session de navigation en cours ;
  • Tronquant les sorties volumineuses (sortie du terminal, journaux de construction) avant envoi à l'IA ;
  • Chiffrant les clés API de sorte qu'elles ne soient jamais incluses dans le contexte de l'IA.

16.4 Obligations de transparence au titre du Règlement IA

En conformité avec le Règlement IA (Règlement 2024/1689), nous fournissons les informations de transparence suivantes :

  • Finalité du système d'IA : Génération de code, correction d'erreurs et assistance à la conception pour la création de boutiques en ligne ;
  • Fournisseurs d'IA : Anthropic PBC (Claude), OpenAI LLC (GPT), Mistral AI SAS (Mistral), Google Ireland Limited (Gemini) ;
  • Classification du risque : Les fonctionnalités d'IA de la Plateforme sont classées comme systèmes d'IA à risque limité au sens du Règlement IA, dans la mesure où elles fournissent une assistance à la génération de contenu et ne prennent pas de décisions autonomes affectant les droits des personnes ;
  • Supervision humaine : L'ensemble du code généré par l'IA est présenté à l'utilisateur pour examen avant déploiement ; l'utilisateur conserve le plein contrôle de ce qui est publié ;
  • Limitations : Le contenu généré par l'IA peut comporter des erreurs, des inexactitudes ou des vulnérabilités de sécurité. Les utilisateurs sont responsables de la vérification et des tests du contenu généré par l'IA avant toute utilisation en production.

Responsabilité de l'utilisateur : Il vous est recommandé de ne pas inclure de données personnelles sensibles (mots de passe, identifiants financiers, informations de santé, numéros d'identification nationaux, ou toute catégorie particulière de données au sens de l'art. 9 du RGPD) dans vos conversations avec l'IA. Bien que nous appliquions la minimisation des données, le contenu de vos invites est transmis à des fournisseurs d'IA tiers. En utilisant les fonctionnalités d'IA, vous reconnaissez et acceptez cette transmission de données.

17. Marchands — Rôles et responsabilités respectifs

L'utilisation de la Plateforme en qualité de marchand implique une répartition des responsabilités en matière de protection des données entre Skynet et le marchand. Le présent article précise les rôles respectifs conformément aux articles 4, points 7 et 8, et 26 du RGPD.

17.1 Skynet en qualité de responsable de traitement

Skynet agit en qualité de responsable de traitement (art. 4, point 7, du RGPD) pour :

  • Les données de compte du marchand (inscription, profil, authentification) ;
  • Les données de configuration de la boutique (paramètres, configuration du paiement, code source) ;
  • Les données d'utilisation de la plateforme (analyse statistique, journaux, données de sécurité) ;
  • Les données d'interaction avec l'IA (conversations Genisys) ;
  • Les données financières au niveau de la plateforme (commissions, factures de plateforme).

Pour ces activités de traitement, Skynet détermine les finalités et les moyens du traitement et est pleinement responsable de la conformité au RGPD.

17.2 Skynet en qualité de sous-traitant

Skynet agit en qualité de sous-traitant (art. 4, point 8, du RGPD) pour le compte du marchand pour :

  • Les données à caractère personnel des acheteurs collectées via la boutique en ligne du marchand (noms, adresses électroniques, adresses) ;
  • Les données de commande traitées pour les besoins d'exécution du marchand ;
  • Les données d'analyse relatives aux acheteurs collectées sur la vitrine du marchand.

En cette qualité, Skynet traite les données des acheteurs uniquement sur les instructions documentées du marchand et pour les finalités définies par ce dernier (traitement des commandes, routage des paiements, livraison). Les conditions de cette relation de traitement sont régies par l'Accord de Traitement des Données intégré à nos Conditions Générales d'Utilisation.

17.3 Le marchand en qualité de responsable de traitement

Chaque marchand agit en qualité de responsable de traitement indépendant pour les données à caractère personnel de ses acheteurs. À ce titre, le marchand est responsable de :

  • Déterminer les finalités et les moyens du traitement des données de ses acheteurs ;
  • Publier sa propre politique de confidentialité informant les acheteurs du traitement des données ;
  • S'assurer de disposer d'une base légale valide pour chaque activité de traitement ;
  • Répondre aux demandes d'exercice des droits de ses acheteurs (ou déléguer à Skynet le cas échéant) ;
  • Réaliser des Analyses d'Impact relatives à la Protection des Données lorsque cela est requis ;
  • Notifier l'autorité de contrôle compétente et les personnes concernées en cas de violation de données.

17.4 Stipulations de l'Accord de Traitement des Données (ATD)

L'ATD entre Skynet et les marchands comprend les stipulations suivantes conformément à l'article 28, paragraphe 3, du RGPD :

  • L'objet, la durée, la nature et la finalité du traitement ;
  • Les types de données à caractère personnel traitées et les catégories de personnes concernées ;
  • L'obligation de Skynet de traiter les données uniquement sur les instructions documentées du marchand ;
  • Les obligations de confidentialité du personnel de Skynet ;
  • Les mesures de sécurité mises en œuvre par Skynet (art. 32 du RGPD) ;
  • Les conditions de recours à des sous-traitants ;
  • L'obligation de Skynet d'assister les marchands dans le traitement des demandes d'exercice des droits ;
  • L'obligation de Skynet d'assister en matière de sécurité, de notification des violations et d'AIPD ;
  • La suppression ou la restitution des données à la fin du contrat ;
  • Les droits d'audit et d'inspection du marchand.

Obligation du marchand : Chaque marchand utilisant la Plateforme est tenu de publier sa propre politique de confidentialité conforme au RGPD, informant clairement ses acheteurs de la manière dont leurs données à caractère personnel sont collectées, utilisées, conservées et partagées. Le manquement à cette obligation est susceptible de constituer une violation des obligations du marchand au titre de la législation relative à la protection des données.

18. Données des acheteurs — Protection des données dès la conception

La Plateforme est conçue avec la vie privée des acheteurs comme principe fondamental. Les mesures suivantes reflètent notre engagement en faveur de la minimisation des données et de la protection des données dès la conception pour les acheteurs :

18.1 Aucun compte requis

Les acheteurs n'ont pas besoin de créer de compte pour naviguer dans les boutiques des marchands ni pour effectuer des achats. Le processus de passage en caisse ne collecte que les données minimales nécessaires à l'exécution de la commande (adresse électronique, nom, adresse de livraison).

18.2 Panier anonyme

Le panier d'achat fonctionne via une session anonyme utilisant un cookie cart_session_id. Ce cookie contient un identifiant aléatoire qui n'est lié à aucune donnée à caractère personnel ni à aucun compte utilisateur. Il expire automatiquement après 30 jours d'inactivité.

18.3 Isolation des données de paiement

Les données de carte bancaire (numéro de carte, CVV, date d'expiration) ne transitent jamais par les serveurs de Skynet et n'y sont pas stockées. L'ensemble des données de paiement sensibles est traité directement par le prestataire de paiement (Stripe, PayPal, etc.) au moyen de son infrastructure sécurisée certifiée PCI-DSS Niveau 1. Skynet ne reçoit qu'un identifiant de référence de transaction à des fins de rapprochement.

18.4 Minimisation des données

Nous ne collectons que les données strictement nécessaires à chaque étape du parcours acheteur :

ÉtapeDonnées collectéesJustification
NavigationAnalyse pseudonymisée uniquement (aucune donnée personnelle)Mesure d'audience pour le marchand
Ajout au panierIdentifiant de session panier (cookie anonyme)Persistance du panier sans identification
Passage en caisseAdresse électronique, nom, adresse de livraisonDonnées minimales requises pour l'exécution de la commande et la livraison
PaiementRedirection vers le prestataire de paiement (aucune donnée de carte ne transite par Skynet)Conformité PCI-DSS, minimisation des données
Après achatRéférence de commande, statut de livraisonSuivi de commande et communication client

19. Détection de fraude et traitement automatisé

La Plateforme utilise un système de détection de fraude afin de protéger les marchands et les acheteurs contre les transactions frauduleuses et les comportements abusifs. Le présent article assure la transparence sur le fonctionnement de ce système au regard de l'article 22 du RGPD.

19.1 Mécanisme de notation du risque de fraude

Notre système de détection de fraude attribue un score de risque de 0 à 100 fondé sur l'analyse de signaux multiples :

SignalFacteur de pondérationFinalité
Géolocalisation de l'adresse IPMoyenDétection d'anomalies géographiques et de régions à haut risque
Utilisation d'un VPN / Proxy / TorMoyenIdentification des outils d'anonymisation couramment utilisés dans la fraude
Cohérence de l'empreinte numérique de l'appareilÉlevéDétection d'usurpation d'appareil ou de changements suspects
Comportements habituelsMoyenDétection de comportements automatisés ou scriptés (robots)
Réputation du FAIFaibleDétection de FAI connus pour des activités frauduleuses
Tentatives d'authentification échouéesÉlevéDétection d'attaques par force brute et de bourrage d'identifiants
Vélocité des transactionsMoyenTransactions rapides successives évoquant des tests de cartes

19.2 Absence de décision automatisée (art. 22 du RGPD)

Le score de fraude ne constitue pas une décision automatisée au sens de l'article 22 du RGPD. En particulier :

  • Aucun compte n'est bloqué, restreint ou résilié sur la seule base du score de fraude ;
  • Aucune transaction n'est rejetée sur la seule base du score de fraude ;
  • Aucun accès n'est refusé sur la seule base du score de fraude ;
  • Le score sert exclusivement d'outil d'aide à la décision pour un examen humain ;
  • Toute mesure consécutive (suspension de compte, blocage de transaction) nécessite un examen et une approbation humains préalables par un membre autorisé de l'équipe.

19.3 Vos droits en matière de détection de fraude

Vous disposez du droit de :

  • Contester toute décision fondée sur le système de détection de fraude en contactant le DPD ;
  • Demander un examen humain de toute mesure prise à l'encontre de votre compte ou de votre transaction ;
  • Exprimer votre point de vue et fournir des informations supplémentaires susceptibles d'affecter l'évaluation ;
  • Demander des informations sur la logique sous-jacente du système de notation de fraude (art. 15, paragraphe 1, point h), du RGPD).

20. Protection des mineurs

La Plateforme n'est pas destinée aux personnes âgées de moins de 18 ans. Nos Services sont conçus pour des utilisateurs majeurs souhaitant créer et exploiter des activités de commerce électronique.

  • Nous ne collectons, n'utilisons ni ne divulguons sciemment de données à caractère personnel de personnes âgées de moins de 18 ans. Le processus d'inscription requiert la confirmation de la majorité légale de l'utilisateur.
  • Si nous prenons connaissance de la collecte par inadvertance de données à caractère personnel d'un mineur, nous prendrons immédiatement les mesures nécessaires pour supprimer ces données et clôturer le compte associé, conformément à l'article 8 du RGPD et à l'article 45 de la Loi Informatique et Libertés.
  • Si vous êtes un parent ou un représentant légal et estimez que votre enfant a fourni des données à caractère personnel à la Plateforme, veuillez contacter immédiatement notre DPD à l'adresse [email protected]. Nous procéderons à la vérification et à la suppression rapide des données.

S'agissant des acheteurs : les marchands sont seuls responsables de la conformité de leurs boutiques avec la législation applicable en matière de vente aux mineurs, y compris la vérification de l'âge lorsque la nature des produits vendus l'exige.

21. Protection des données dès la conception et par défaut

Conformément à l'article 25 du RGPD, nous intégrons les principes de protection des données dès les premières étapes de la conception et du développement de la Plateforme. Les principes suivants sont incorporés dans notre architecture technique et nos processus organisationnels :

PrincipeMise en œuvre
Minimisation des données (art. 5, par. 1, c)Nous ne collectons que les données strictement nécessaires à chaque finalité de traitement. Les champs facultatifs sont clairement signalés. Les sessions de panier anonymes ne nécessitent aucune donnée personnelle.
Limitation des finalités (art. 5, par. 1, b)Chaque donnée est collectée pour une finalité déterminée, explicite et légitime. Les données ne sont pas réutilisées sans nouvelle base légale.
Limitation de la conservation (art. 5, par. 1, e)Des durées de conservation définies pour chaque catégorie de données (voir article 12). Mécanismes de purge automatique pour les données expirées.
Pseudonymisation (art. 4, point 5)Les identifiants d'analyse sont pseudonymisés. Les scores de fraude ne contiennent pas d'informations directement identifiantes. Les journaux sont anonymisés dans la mesure du possible.
Sécurité dès la conception (art. 32)Le chiffrement, les contrôles d'accès, le cloisonnement et la validation des entrées sont intégrés à l'architecture dès la phase de conception, et non ajoutés a posteriori.
Paramètres de confidentialité par défautLes nouveaux comptes et boutiques sont configurés avec les paramètres les plus protecteurs de la vie privée par défaut. Aucune collecte de données facultative n'est activée sans action explicite de l'utilisateur.
TransparenceLa présente Politique, la Politique relative aux cookies et les notices intégrées à la plateforme fournissent des informations exhaustives sur l'ensemble des activités de traitement.
Contrôle de l'utilisateurLes utilisateurs peuvent accéder, modifier, exporter et supprimer leurs données via des fonctionnalités en libre-service et des demandes auprès du DPD.

22. Analyses d'Impact relatives à la Protection des Données (AIPD)

Conformément à l'article 35 du RGPD, nous réalisons des Analyses d'Impact relatives à la Protection des Données (AIPD) préalablement à la mise en œuvre de toute opération de traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

Nous identifions les traitements à haut risque par référence à :

  • Les critères énoncés à l'article 35, paragraphe 3, du RGPD (évaluation systématique, traitement à grande échelle, surveillance systématique) ;
  • La liste des opérations de traitement nécessitant une AIPD établie par la CNIL (délibération n° 2018-327) ;
  • Les lignes directrices du CEPD relatives aux Analyses d'Impact (WP248 rev.01).

Les opérations de traitement pour lesquelles des AIPD ont été réalisées ou sont prévues comprennent :

Opération de traitementFacteurs de risqueStatut de l'AIPD
Détection et notation de fraudeNotation automatisée, évaluation systématique d'aspects personnelsRéalisée
Génération de code assistée par IA (Genisys)Traitement à grande échelle par des fournisseurs d'IA tiers, transferts internationauxRéalisée
Analyse et suivi des visiteursSurveillance systématique du comportement des utilisateurs sur les boutiques des marchandsRéalisée
Traitement des paiements via SkyPayTraitement de données financières, multiplicité de prestataires tiersRéalisée
Géolocalisation IP et détection du FAITraitement de données de localisation, enrichissement par des données tiercesRéalisée

Les AIPD sont révisées et mises à jour dès lors qu'une modification significative intervient dans l'opération de traitement ou les risques associés. Le DPD supervise le processus d'AIPD et consulte la CNIL lorsque l'article 36 du RGPD l'exige (consultation préalable).

23. Registre des activités de traitement

Conformément à l'article 30 du RGPD, Skynet tient un registre exhaustif de l'ensemble des activités de traitement effectuées sous sa responsabilité. Ce registre comprend :

  • Le nom et les coordonnées du responsable de traitement et, le cas échéant, du responsable conjoint et du DPD ;
  • Les finalités de chaque opération de traitement ;
  • Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • Les catégories de destinataires auxquels les données sont communiquées, y compris les destinataires dans des pays tiers ;
  • Le cas échéant, les transferts de données à caractère personnel vers des pays tiers, y compris l'identification du pays et la documentation des garanties appropriées ;
  • Les délais prévus pour l'effacement des différentes catégories de données ;
  • Une description générale des mesures de sécurité techniques et organisationnelles (art. 32, paragraphe 1, du RGPD).

Ce registre est tenu sous forme écrite (électronique) et est mis à la disposition de l'autorité de contrôle (CNIL) sur demande.

24. Modifications de la Politique

Nous nous réservons le droit de modifier la présente Politique de Confidentialité à tout moment afin de refléter les évolutions de nos activités de traitement, des exigences légales ou de nos pratiques commerciales. La version en vigueur est celle publiée sur la présente page, identifiée par sa date de mise à jour et son numéro de version.

24.1 Modifications substantielles

Pour les modifications substantielles affectant significativement vos droits ou la manière dont nous traitons vos données à caractère personnel — telles que de nouvelles catégories de données collectées, de nouvelles finalités de traitement, de nouveaux destinataires des données ou des modifications des mécanismes de transfert international — nous :

  • Vous notifierons par courriel au moins 30 jours avant l'entrée en vigueur des modifications ;
  • Afficherons un avis visible au sein de la plateforme vous informant de la mise à jour ;
  • Le cas échéant, solliciterons votre consentement renouvelé pour les activités de traitement fondées sur le consentement.

24.2 Modifications non substantielles

Pour les modifications non substantielles (clarifications, mise en forme, corrections typographiques, mises à jour des coordonnées), nous mettrons à jour la Politique et la date de"Dernière mise à jour" sans notification individuelle. Nous vous invitons à consulter régulièrement la présente page.

24.3 Historique des versions

VersionDateNature des modifications
3.02 mars 2026Traduction intégrale en français, ajout de Mistral AI et Google Gemini comme fournisseurs d'IA, suppression de Vercel, mise à jour des sous-traitants et des mécanismes de transfert international, mise à jour du statut du DPD
2.010 février 2026Réécriture complète : extension à 25 articles, ajout des AIPD, conformité au Règlement IA, gestion des sous-traitants, analyses d'impact des transferts, mise en balance des intérêts légitimes, procédures de violation, transparence sur la détection de fraude, principes de protection dès la conception
1.0Janvier 2026Publication initiale de la politique de confidentialité

25. Contact et autorité de contrôle

Pour toute question, préoccupation ou demande relative à la présente Politique de Confidentialité ou au traitement de vos données à caractère personnel, vous pouvez nous contacter par les canaux suivants :

25.1 Délégué à la Protection des Données (DPD)

DétailInformation
DénominationDélégué à la Protection des Données - SKYNET INITIATIVE
Courriel[email protected]
Adresse postaleSKYNET INITIATIVE - DPD - 4 Rue Alexis Rostand, 13010 Marseille, France
Délai de réponseSous 5 jours ouvrables pour l'accusé de réception ; sous 1 mois pour la réponse substantielle
LanguesFrançais, Anglais

25.2 Contact général

DétailInformation
SociétéSKYNET INITIATIVE SAS
Courriel général[email protected]
Siège social4 Rue Alexis Rostand, 13010 Marseille, France
Site internethttps://platform.skynet-initiative.com

25.3 Autorité de contrôle

Si vous estimez que le traitement de vos données à caractère personnel constitue une violation du RGPD ou de la législation française en matière de protection des données, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. Pour les personnes concernées en France, l'autorité compétente est :

DétailInformation
AutoritéCommission Nationale de l'Informatique et des Libertés (CNIL)
Adresse3 Place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07, France
Téléphone+33 (0)1 53 73 22 22
Site internethttps://www.cnil.fr
Formulaire de plainte en lignehttps://www.cnil.fr/fr/plaintes

25.4 Réclamations transfrontalières

Si vous êtes établi dans un autre État membre de l'UE/EEE, vous pouvez introduire une réclamation auprès de votre autorité de contrôle locale, laquelle coopérera avec la CNIL dans le cadre du mécanisme de cohérence du RGPD (art. 60 à 67 du RGPD). Skynet étant établie en France, la CNIL fait office d'autorité de contrôle chef de file pour les traitements transfrontaliers au titre de l'article 56 du RGPD.

Vous pouvez également exercer un recours juridictionnel devant les juridictions de l'État membre où se trouve votre résidence habituelle, votre lieu de travail ou le lieu de la violation alléguée (art. 79 du RGPD).