Politique de Confidentialité
1. Introduction et champ d'application
La présente Politique de Confidentialité (ci-après la "Politique") décrit les conditions dans lesquelles SKYNET INITIATIVE SAS (ci-après "Skynet", "nous", "notre" ou "nos") collecte, utilise, conserve, partage et protège vos données à caractère personnel lorsque vous accédez ou recourez à la plateforme platform.skynet-initiative.com ainsi qu'à l'ensemble des services, applications, interfaces de programmation (API) et outils associés (collectivement désignés la "Plateforme" ou les "Services").
La présente Politique s'applique à l'ensemble des personnes physiques interagissant avec la Plateforme, et notamment : les marchands (utilisateurs créant et exploitant des boutiques en ligne), les acheteurs (personnes physiques effectuant des achats via les boutiques des marchands), les visiteurs (personnes physiques naviguant sur la Plateforme ou les boutiques des marchands sans effectuer d'achat), ainsi que les candidats (personnes physiques s'inscrivant sur la liste d'attente ou créant un compte en attente de validation).
La présente Politique est rédigée en conformité avec :
- Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données, ci-après le "RGPD") ;
- La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa version modifiée (ci-après la "Loi Informatique et Libertés") ;
- Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle (le "Règlement IA") ;
- La Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (la "Directive ePrivacy"), telle que transposée en droit français.
Dernière mise à jour : 2 mars 2026. La présente Politique annule et remplace toutes les versions antérieures. Nous vous invitons à consulter régulièrement ce document. Pour toute question, veuillez contacter notre Délégué à la Protection des Données à l'adresse [email protected].
2. Responsable de traitement
Le responsable du traitement de vos données à caractère personnel, au sens de l'article 4, point 7, du RGPD, est :
| Détail | Information |
|---|---|
| Dénomination sociale | SKYNET INITIATIVE |
| Forme juridique | Société par Actions Simplifiée (SAS) à capital variable |
| Siège social | 4 Rue Alexis Rostand, 13010 Marseille, France |
| SIREN | 944 144 633 |
| SIRET | 944 144 633 00012 |
| Président | Erwan Scelles-Nalin |
| Courriel | [email protected] |
| Site internet | https://platform.skynet-initiative.com |
En sa qualité de responsable de traitement, Skynet détermine les finalités et les moyens du traitement de vos données à caractère personnel et veille au respect de la législation applicable en matière de protection des données. Pour certaines opérations de traitement impliquant les boutiques des marchands, les rôles respectifs de Skynet et des marchands sont détaillés à l'article 17.
3. Délégué à la Protection des Données (DPD)
Skynet a mis en place un point de contact dédié à la protection des données afin de traiter l'ensemble des demandes relatives à la vie privée et aux droits des personnes concernées. La désignation formelle d'un Délégué à la Protection des Données (DPD) auprès de la CNIL est en cours et sera pleinement effective à la version 1.0 de la Plateforme. Dans l'intervalle, l'ensemble des questions relatives à la protection des données est traité directement par la direction de la société avec le même niveau de diligence et de réactivité.
| Détail | Information |
|---|---|
| Fonction | Référent protection des données (désignation DPD en cours — effective à la v1.0) |
| Courriel | [email protected] |
| Adresse postale | SKYNET INITIATIVE - DPD - 4 Rue Alexis Rostand, 13010 Marseille, France |
Le référent protection des données est chargé de :
- Informer et conseiller Skynet sur ses obligations au titre du RGPD et de la législation française en matière de protection des données ;
- Contrôler le respect des politiques et procédures en matière de protection des données ;
- Servir de point de contact pour les demandes des personnes concernées (accès, rectification, effacement, etc.) ;
- Coopérer avec l'autorité de contrôle (CNIL) et servir d'interlocuteur pour toute question ;
- Conduire ou superviser les Analyses d'Impact relatives à la Protection des Données (AIPD) lorsque celles-ci sont requises.
Il vous est loisible de contacter le DPD si vous souhaitez exercer l'un quelconque de vos droits au titre du RGPD, si vous avez des préoccupations quant au traitement de vos données, ou si vous souhaitez déposer une réclamation. Le DPD est astreint au secret professionnel et à la confidentialité dans l'exercice de ses missions.
4. Définitions
Au sens de la présente Politique, les termes ci-dessous ont la signification qui leur est attribuée ci-après, en cohérence avec les définitions de l'article 4 du RGPD :
| Terme | Définition |
|---|---|
| Données à caractère personnel | Toute information se rapportant à une personne physique identifiée ou identifiable (la « personne concernée »). Est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. |
| Traitement | Toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. |
| Personne concernée | Toute personne physique identifiée ou identifiable dont les données à caractère personnel font l'objet d'un traitement. Dans le cadre de la présente Politique, les personnes concernées comprennent les marchands, les acheteurs, les visiteurs et les candidats. |
| Responsable de traitement | La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel. |
| Sous-traitant | La personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement (art. 4, point 8, du RGPD). |
| Sous-traitant ultérieur | Un sous-traitant engagé par un autre sous-traitant pour réaliser des activités de traitement spécifiques pour le compte du responsable de traitement. |
| Consentement | Toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement (art. 4, point 11, du RGPD). |
| Pseudonymisation | Le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations soient conservées séparément et soumises à des mesures techniques et organisationnelles (art. 4, point 5, du RGPD). |
| Anonymisation | Procédé irréversible par lequel des données à caractère personnel sont rendues anonymes de telle manière que la personne concernée n'est pas ou plus identifiable. Les données anonymisées sont exclues du champ d'application du RGPD. |
| Profilage | Toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne (art. 4, point 4, du RGPD). |
| Catégories particulières de données | Données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques aux fins d'identification, les données de santé ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique (art. 9, paragraphe 1, du RGPD). Skynet ne collecte pas intentionnellement de catégories particulières de données. |
5. Données que nous collectons
Nous collectons différentes catégories de données à caractère personnel selon la nature de votre relation avec la Plateforme et votre utilisation de nos Services. Les sous-sections suivantes décrivent chaque catégorie de manière détaillée, en précisant les données spécifiques collectées, leur caractère obligatoire ou facultatif, ainsi que la finalité principale de la collecte.
5.1 Données de compte et de profil
Collectées lors de la création de votre compte ou de la mise à jour de vos paramètres de profil.
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Adresse électronique | Oui | Identifiant unique du compte, authentification (lien magique / OTP), communications |
| Nom d'affichage | Oui | Personnalisation du profil, identité publique |
| Prénom / Nom de famille | Non | Enrichissement facultatif du profil, facturation |
| Avatar (URL) | Non | Personnalisation visuelle du profil |
| Numéro de téléphone | Non | Moyen de contact facultatif, authentification à double facteur (2FA) |
| Adresse postale | Non | Donnée de profil facultative, génération de factures |
| Informations d'entreprise (dénomination, numéro d'immatriculation) | Non | Profil marchand, facturation, conformité légale |
| Liens vers les réseaux sociaux | Non | Profil public facultatif, personnalisation de la boutique |
| Code de parrainage | Généré automatiquement | Suivi du programme de parrainage, attribution des bonus |
| Identifiant du parrain | Détecté automatiquement | Attribution des bonus de parrainage |
| Identifiant de vague / cohorte | Attribué automatiquement | Gestion de la liste d'attente et de l'intégration |
| Méthode d'authentification | Oui | Enregistrement du mode d'authentification utilisé (OTP par courriel, lien magique, Google OAuth ou Discord OAuth) |
5.2 Données de boutique (marchands)
Collectées lorsque les marchands créent et configurent leurs boutiques en ligne.
| Donnée | Finalité |
|---|---|
| Nom de la boutique | Identification et image de marque de la boutique |
| Identifiant URL de la boutique (slug) | Génération d'une URL unique pour l'accès à la boutique |
| Description de la boutique | Présentation de la boutique aux acheteurs et aux moteurs de recherche |
| Logo et éléments visuels de la boutique | Personnalisation visuelle de la vitrine |
| Configuration du prestataire de paiement (identifiant Stripe, clés API) | Activation du traitement des paiements via SkyPay |
| Coordonnées bancaires (IBAN, BIC, titulaire du compte) | Virements, règlements et traitement des versements |
| Identifiant marchand SkyPay | Routage interne de l'orchestration des paiements |
| Données du catalogue produits (noms, descriptions, prix, images) | Affichage des produits et traitement des commandes |
| Structures de catégories et de collections | Organisation et navigation de la boutique |
| Configurations de coupons et réductions | Gestion des campagnes promotionnelles |
| Code source et fichiers du projet | Construction, hébergement et publication de la boutique via SkyBuilder |
| Hash de version et horodatages de publication | Suivi des déploiements et gestion des versions |
Les clés API du prestataire de paiement (clés secrètes Stripe) sont chiffrées au repos au moyen d'un chiffrement AES-256. Les coordonnées bancaires (IBAN/BIC) sont conservées sous forme chiffrée et leur accès est strictement limité aux opérations de traitement des paiements autorisées.
5.3 Données de commande et d'acheteur
Collectées lorsque les acheteurs passent des commandes via les boutiques des marchands hébergées sur la Plateforme.
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Adresse électronique | Oui | Confirmation de commande, notifications d'expédition, envoi du reçu numérique |
| Nom complet | Oui | Étiquette d'expédition, documentation de facturation, vérification d'identité |
| Adresse de livraison (rue, ville, code postal, pays) | Oui | Expédition et livraison des commandes physiques |
| Adresse de facturation | Si différente de l'adresse de livraison | Génération de factures, prévention de la fraude |
| Notes du client | Non | Instructions de livraison spécifiques, demandes de personnalisation |
| Articles commandés et quantités | Oui | Traitement de la commande, gestion des stocks |
| Montant total et devise | Oui | Tenue de la comptabilité, obligations fiscales |
| Type de moyen de paiement (carte, PayPal, crypto-actifs) | Oui | Routage du paiement, génération du reçu |
| Référence de la transaction de paiement | Générée automatiquement | Rapprochement des paiements, traitement des remboursements |
5.4 Données techniques collectées automatiquement
Collectées automatiquement lors de votre accès ou de votre utilisation de la Plateforme, au moyen de technologies web standard.
| Donnée | Méthode de collecte | Finalité |
|---|---|---|
| Adresse IP | Journaux serveur, en-têtes de requête | Sécurité, limitation du débit, géolocalisation approximative |
| Chaîne User-Agent (navigateur, système d'exploitation, version) | En-têtes HTTP | Compatibilité, analyses statistiques, débogage |
| Type et modèle d'appareil | Analyse du User-Agent | Optimisation de l'affichage adaptatif |
| Résolution d'écran et dimensions de la fenêtre | Analyse côté client | Optimisation de l'affichage, statistiques de conception adaptative |
| Horodatages (heure de requête, début/fin de session) | Journaux serveur | Piste d'audit, gestion des sessions, ordonnancement chronologique |
| Géolocalisation (pays, région, ville) | Géolocalisation IP via ip-api.com et ipapi.co | Localisation, conformité, détection de fraude |
| URL de provenance HTTP | En-têtes HTTP | Analyse des sources de trafic, attribution marketing |
| Langue préférée | En-tête Accept-Language | Localisation du contenu |
| Protocole de connexion (HTTP/2, HTTP/3) | Infrastructure serveur | Optimisation des performances |
5.5 Données d'analyse statistique
Collectées au moyen de notre système d'analyse intégré pour les boutiques des marchands, à l'aide d'identifiants pseudonymisés stockés dans le localStorage du navigateur.
| Donnée | Stockage | Finalité |
|---|---|---|
| Identifiant de session visiteur (visitor_session_id) | localStorage (pseudonymisé) | Continuité de session sans identification directe |
| Pages visitées (chemins URL) | Base de données côté serveur | Analyse des flux de navigation, identification des contenus populaires |
| Durée de session et temps par page | Calculé côté serveur | Mesure de l'engagement, performance des contenus |
| Événements d'interaction (clics, défilements, interactions formulaires) | Événements côté client | Optimisation de l'expérience utilisateur, analyse de conversion |
| Source de trafic / provenance | En-têtes HTTP + paramètres UTM | Attribution marketing, analyse d'acquisition |
| Résolution d'écran | Détection côté client | Statistiques de conception adaptative |
| Signaux de détection de robots | Analyse comportementale | Filtrage du trafic non humain, exactitude des données |
| Pages d'entrée et de sortie | Reconstitution de session | Optimisation du parcours utilisateur |
Notre système d'analyse n'utilise aucun script de suivi tiers (pas de Google Analytics, pas de Pixel Facebook). Les identifiants visiteur sont pseudonymisés et stockés localement sur l'appareil. Nous ne procédons à aucun suivi intersites et ne commercialisons pas les données d'analyse auprès de tiers.
5.6 Données de sécurité et de détection de fraude
Collectées afin de protéger la Plateforme, les marchands et les acheteurs contre les activités frauduleuses et les menaces de sécurité.
| Donnée | Source | Finalité |
|---|---|---|
| Adresse IP | En-têtes de requête | Détection d'abus, limitation du débit, géolocalisation |
| Fournisseur d'accès Internet (FAI) | Recherche de géolocalisation IP | Évaluation des risques, détection de menaces au niveau du FAI |
| Détection de l'utilisation d'un VPN / Proxy / Tor | Services d'analyse IP | Prévention de la fraude, conformité |
| Empreinte numérique de l'appareil (canvas, WebGL, polices) | Empreinte côté client | Reconnaissance de l'appareil pour l'identification d'activités suspectes |
| Score de risque de fraude (0-100) | Algorithme de notation composite | Évaluation assistée de la fraude (pas de prise de décision automatisée) |
| Tentatives d'authentification échouées | Journaux serveur | Détection d'attaques par force brute, protection des comptes |
| Déclenchements de limitation de débit | Intergiciel serveur | Prévention des attaques DDoS et des abus |
| Comportements suspects | Analyse comportementale | Détection de prise de contrôle de compte, prévention de la fraude transactionnelle |
5.7 Données d'interaction avec l'IA (Genisys / SkyBuilder)
Collectées lorsque vous utilisez les fonctionnalités d'intelligence artificielle de la Plateforme, notamment Genisys (assistant conversationnel IA) et SkyBuilder (éditeur visuel assisté par IA).
| Donnée | Contexte | Finalité |
|---|---|---|
| Invites et messages de conversation | Chat IA Genisys (mode Skynet) | Génération de code et réponses d'assistance par IA |
| Code source de la boutique (fichiers TSX/TS/CSS) | Contexte envoyé à l'IA par SkyBuilder | Génération et modification contextuelle du code |
| Arborescence des fichiers | Contexte du projet SkyBuilder | Compréhension par l'IA de l'architecture du projet |
| Journaux d'erreurs de compilation et de construction | Contexte de correction automatique (Genisys) | Détection et correction automatisées des erreurs |
| Sortie des commandes du terminal | Contexte d'exécution du bac à sable SkyEngine | Analyse des résultats de commande, récupération d'erreurs |
| Images et ressources téléversées | Fonctionnalités d'analyse d'image par IA | Compréhension visuelle pour l'assistance à la conception |
| Historique de conversation au sein de la session | Contexte multi-tours | Interactions IA cohérentes sur plusieurs messages |
Les données d'interaction avec l'IA sont transmises à des fournisseurs d'IA tiers (Anthropic, OpenAI, Mistral AI et Google) pour traitement. Il vous est recommandé de ne pas inclure de données personnelles sensibles, de mots de passe, d'identifiants financiers ou d'informations de santé dans vos conversations avec l'IA. Veuillez consulter l'article 16 pour des informations détaillées sur le traitement des données par l'IA.
5.8 Données de communication
Collectées lorsque vous interagissez avec nos canaux d'assistance ou transmettez des retours d'expérience.
| Donnée | Source | Finalité |
|---|---|---|
| Contenu du ticket d'assistance | Signalements de bogues intégrés à la plateforme, courriel | Résolution des incidents et assistance client |
| Détails du signalement de bogue (description, captures d'écran, métadonnées) | Bouton de signalement intégré à la plateforme | Débogage logiciel, amélioration de la qualité |
| Retours d'expérience et demandes de fonctionnalités | Différents canaux | Amélioration du produit, priorisation des fonctionnalités |
| Correspondance électronique | Échanges de courriels avec l'assistance ou le DPD | Traitement des demandes, archivage |
5.9 Données d'authentification tierce
Reçues de fournisseurs OAuth tiers lorsque vous choisissez de vous authentifier via une connexion sociale.
| Fournisseur | Données reçues | Finalité |
|---|---|---|
| Google OAuth | Adresse électronique, nom d'affichage, URL de la photo de profil, identifiant de compte Google | Création et authentification simplifiées du compte |
| Discord OAuth | Adresse électronique, nom d'utilisateur, URL de l'avatar, identifiant utilisateur Discord | Création et authentification simplifiées du compte |
| Stripe Connect (marchands uniquement) | Identifiant de compte Stripe, statut d'intégration | Connexion et vérification du prestataire de paiement |
Lorsque vous vous authentifiez via Google ou Discord, nous ne recevons que les données énumérées ci-dessus. Nous n'accédons pas à vos contacts, messages, publications ni à aucune autre donnée de ces plateformes. Vous pouvez révoquer notre accès à tout moment via les paramètres de votre compte Google ou Discord.
5.10 Données financières et transactionnelles
Générées dans le cadre du traitement des paiements, du calcul des commissions et des versements.
| Donnée | Finalité | Note de conservation |
|---|---|---|
| Enregistrements de transactions (montant, devise, statut, horodatage) | Traitement des commandes, rapprochement financier | Conservés conformément aux obligations du droit commercial |
| Calculs de commissions | Calcul des frais de plateforme, règlements des marchands | Conservés avec les enregistrements de transactions |
| Registre des versements (montant, date, destinataire) | Suivi des règlements aux marchands | Conservé conformément au droit commercial et fiscal |
| Registre des remboursements | Traitement des remboursements, résolution des litiges | Conservé avec la transaction d'origine |
| Données de facturation | Conformité fiscale, comptabilité | Conservation pendant 10 ans (art. L.123-22 du Code de commerce) |
6. Bases légales et finalités du traitement
Chaque opération de traitement repose sur l'une des bases légales prévues par l'article 6, paragraphe 1, du RGPD. Le tableau ci-dessous présente une cartographie exhaustive de chaque finalité de traitement et de sa base légale correspondante :
| Finalité du traitement | Base légale (art. 6 RGPD) | Détails |
|---|---|---|
| Création et gestion des comptes utilisateurs | Exécution du contrat (6.1.b) | Nécessaire à la fourniture des Services de la Plateforme auxquels l'utilisateur a souscrit |
| Création et hébergement de boutiques SkyBuilder | Exécution du contrat (6.1.b) | Service principal : création, construction et hébergement de boutiques en ligne |
| Traitement et exécution des commandes | Exécution du contrat (6.1.b) | Traitement des commandes des acheteurs, gestion de la livraison, génération des confirmations |
| Traitement des paiements via SkyPay | Exécution du contrat (6.1.b) | Routage des paiements via Stripe, PayPal ou prestataires de crypto-actifs |
| Envoi de courriels transactionnels | Exécution du contrat (6.1.b) | Confirmations de commande, vérification d'adresse électronique, liens magiques, mises à jour de livraison |
| Assistance client et signalements de bogues | Exécution du contrat (6.1.b) | Résolution des incidents utilisateurs, traitement des demandes d'assistance |
| Sécurité du compte et de la plateforme | Intérêt légitime (6.1.f) | Protection contre les accès non autorisés, les attaques par force brute, la détection d'anomalies |
| Détection et prévention de la fraude | Intérêt légitime (6.1.f) | Analyse des comportements suspects, notation du risque de fraude, protection de la plateforme et des marchands |
| Analyse et mesure d'audience | Intérêt légitime (6.1.f) | Analyse pseudonymisée, amélioration des services, statistiques d'utilisation agrégées |
| Amélioration de la plateforme et débogage | Intérêt légitime (6.1.f) | Surveillance des erreurs, analyse des performances, développement de fonctionnalités |
| Fonctionnalités assistées par IA (Genisys) | Consentement (6.1.a) | Génération de code et assistance à la création par IA — l'utilisateur initie volontairement les interactions avec l'IA |
| Conformité aux obligations fiscales | Obligation légale (6.1.c) | Déclarations fiscales, conformité TVA, déclarations financières obligatoires |
| Conservation des factures | Obligation légale (6.1.c) | Conservation pendant 10 ans conformément à l'art. L.123-22 du Code de commerce |
| Conservation des données de commande | Obligation légale (6.1.c) | Conservation pendant 5 ans conformément à l'art. 2224 du Code civil (délai de prescription) |
| Journalisation des audits d'administration | Obligation légale (6.1.c) | Conservation pendant 36 mois conformément à la LCEN (Loi pour la Confiance dans l'Économie Numérique) |
| Réponse aux demandes légales | Obligation légale (6.1.c) | Conformité aux décisions judiciaires, aux enquêtes réglementaires et aux demandes des autorités répressives |
| Gestion des cookies (essentiels) | Intérêt légitime (6.1.f) + art. 82 de la Loi Informatique et Libertés | Cookies strictement nécessaires à l'authentification et à la gestion de session |
| Gestion de la session panier | Exécution du contrat (6.1.b) | Fonctionnalité de panier anonyme via le cookie cart_session_id |
| Programme de parrainage | Exécution du contrat (6.1.b) | Suivi des attributions de parrainage, attribution des bonus |
| Géolocalisation IP | Intérêt légitime (6.1.f) | Localisation approximative pour la localisation, la conformité et la prévention de la fraude |
7. Mise en balance des intérêts légitimes
Lorsque le traitement est fondé sur notre intérêt légitime au titre de l'article 6, paragraphe 1, point f), du RGPD, nous avons procédé à un test de mise en balance conformément au considérant 47 du RGPD et aux orientations du Comité Européen de la Protection des Données (CEPD) afin de nous assurer que nos intérêts ne prévalent pas sur vos droits et libertés fondamentaux. Les évaluations réalisées sont synthétisées ci-après :
7.1 Sécurité de la plateforme et des comptes
Intérêt légitime : Protection de la Plateforme, de ses utilisateurs et des marchands contre les accès non autorisés, les cyberattaques et la compromission des comptes.
Mise en balance : Les mesures de sécurité (journalisation des adresses IP, suivi des tentatives de connexion échouées, limitation du débit) sont proportionnées et limitées à ce qui est strictement nécessaire à la protection. Les données ne sont pas utilisées à des fins de profilage ou de prospection commerciale. Les utilisateurs peuvent raisonnablement s'attendre à des mesures de sécurité lorsqu'ils utilisent une plateforme en ligne. Les données sont conservées pour des durées limitées et l'accès est restreint au personnel en charge de la sécurité.
7.2 Prévention de la fraude
Intérêt légitime : Détection et prévention des transactions frauduleuses afin de protéger les marchands, les acheteurs et l'intégrité de l'écosystème de paiement.
Mise en balance : La notation du risque de fraude est utilisée exclusivement comme outil d'aide à la décision ; aucun blocage automatisé n'intervient sans examen humain préalable (voir article 19). Les données collectées (adresse IP, empreinte numérique de l'appareil, comportements) sont proportionnées au risque de fraude financière. Le modèle de notation n'utilise pas de catégories particulières de données. Les utilisateurs peuvent contester toute décision et contacter le DPD.
7.3 Analyse statistique et amélioration des services
Intérêt légitime : Compréhension de l'utilisation de la Plateforme aux fins d'amélioration des performances, de l'expérience utilisateur et du développement de fonctionnalités.
Mise en balance : L'analyse statistique utilise des identifiants pseudonymisés (non directement liés aux comptes utilisateurs). Aucun suivi intersites n'est effectué. Aucune donnée n'est partagée avec des réseaux publicitaires tiers. Les données d'analyse sont conservées pour une durée maximale de 13 mois conformément aux recommandations de la CNIL. Les utilisateurs peuvent effacer leurs identifiants localStorage à tout moment.
7.4 Débogage et amélioration de la plateforme
Intérêt légitime : Surveillance et résolution des erreurs techniques, garantie de la stabilité et de la fiabilité de la plateforme.
Mise en balance : Les journaux d'erreurs ne contiennent que les métadonnées techniques nécessaires au débogage (traces de pile, paramètres de requête). Les données personnelles dans les journaux sont réduites au minimum et l'accès est restreint à l'équipe d'ingénierie. Les journaux sont soumis à des limites de conservation et à une purge automatique.
8. Cookies et technologies de traçage
La Plateforme utilise des cookies et des technologies similaires (localStorage, sessionStorage) afin d'assurer le bon fonctionnement des Services, de gérer les sessions utilisateurs et de collecter des données d'analyse statistique.
Les cookies utilisés par la Plateforme se répartissent dans les catégories suivantes :
| Cookie / Technologie | Type | Durée | Finalité |
|---|---|---|---|
| Cookie de session d'authentification | Strictement nécessaire | 7 jours | Authentification de l'utilisateur et gestion de session |
| cart_session_id | Strictement nécessaire | 30 jours | Persistance anonyme du panier d'achat |
| visitor_session_id (localStorage) | Analyse statistique | Persistant jusqu'à suppression | Suivi pseudonymisé des visiteurs pour l'analyse des boutiques |
| Préférences de consentement aux cookies | Strictement nécessaire | 12 mois | Enregistrement de vos choix de consentement aux cookies |
Pour des informations complètes sur l'ensemble des cookies utilisés, leurs durées exactes et la manière de gérer vos préférences, veuillez consulter notre Politique relative aux cookies.
Les cookies strictement nécessaires ne requièrent pas le consentement au titre de l'article 82 de la Loi Informatique et Libertés (transposant l'article 5, paragraphe 3, de la Directive ePrivacy), dans la mesure où ils sont indispensables à la fourniture du service explicitement demandé par l'utilisateur. Les cookies d'analyse fondés sur notre intérêt légitime respectent les lignes directrices de la CNIL relatives aux outils de mesure d'audience exemptés de consentement lorsqu'ils remplissent des conditions spécifiques (finalité limitée, pseudonymisation, durée de conservation limitée).
9. Destinataires des données
Vos données à caractère personnel sont susceptibles d'être communiquées aux catégories de destinataires ci-après, dans le strict respect des principes de minimisation des données (art. 5, paragraphe 1, point c), du RGPD) et de limitation des finalités (art. 5, paragraphe 1, point b), du RGPD). Chaque destinataire ne reçoit que les données strictement nécessaires à l'exercice de sa fonction spécifique.
9.1 Sous-traitants (art. 28 du RGPD)
Les prestataires de services tiers ci-après traitent des données à caractère personnel pour notre compte, sur nos instructions, et en vertu d'accords de traitement des données (ATD) conformes à l'article 28 du RGPD :
| Sous-traitant | Siège social | Localisation des données | Finalité du traitement | Catégories de données |
|---|---|---|---|---|
| Contabo GmbH | Allemagne | Strasbourg, France (UE) | Hébergement de serveurs dédiés (serveur applicatif, base de données PostgreSQL et stockage de fichiers via Supabase auto-hébergé) | Toutes les données de la plateforme traitées sur le serveur (incluant données de compte, données de boutique, commandes, fichiers, données d'analyse) |
| Resend Inc. | États-Unis | États-Unis | Envoi de courriels transactionnels | Adresses électroniques, noms, contenu des courriels |
| Stripe Payments Europe, Ltd. | Irlande | UE / EEE | Traitement des paiements, intégration Stripe Connect | Données transactionnelles, coordonnées bancaires des marchands, identifiants de compte Stripe |
| Anthropic PBC | États-Unis | États-Unis | API de modèle de langage IA (Claude) pour Genisys — Politique de confidentialité : anthropic.com/privacy | Invites IA, extraits de code source, historique de conversation |
| OpenAI LLC | États-Unis | États-Unis | API de modèle de langage IA (GPT) pour Genisys — Politique de confidentialité : openai.com/enterprise-privacy | Invites IA, extraits de code source, historique de conversation |
| Mistral AI SAS | France | France | API de modèle de langage IA (Mistral) pour Genisys — Politique de confidentialité : mistral.ai/terms/#privacy-policy | Invites IA, extraits de code source, historique de conversation |
| Google Ireland Limited | Irlande | Irlande (UE) | API de modèle de langage IA (Gemini) pour Genisys — Politique de confidentialité : policies.google.com/privacy | Invites IA, extraits de code source, historique de conversation |
| ip-api.com / ipapi.co | Divers | Divers | Services de géolocalisation d'adresses IP | Adresses IP uniquement |
9.2 Responsables de traitement indépendants
Les tiers ci-après agissent en qualité de responsables de traitement indépendants pour les données que vous leur fournissez directement. Leurs propres politiques de confidentialité régissent le traitement de vos données :
| Responsable de traitement | Contexte | Données partagées | Politique de confidentialité |
|---|---|---|---|
| PayPal Holdings, Inc. | Traitement des paiements (passage en caisse de l'acheteur) | Données transactionnelles, adresse électronique de l'acheteur | paypal.com/privacy |
| Coinbase Global, Inc. | Paiements en crypto-actifs | Données transactionnelles, adresses de portefeuille | coinbase.com/legal/privacy |
| BitPay, Inc. | Paiements en crypto-actifs | Données transactionnelles, adresses de portefeuille | bitpay.com/about/privacy |
| NOWPayments | Paiements en crypto-actifs | Données transactionnelles, adresses de portefeuille | nowpayments.io/privacy-policy |
| OpenNode Inc. | Paiements Bitcoin Lightning | Données transactionnelles | opennode.com/privacy |
| Google LLC | Authentification OAuth | Jetons d'authentification (nous recevons l'adresse électronique, le nom, la photo) | policies.google.com/privacy |
| Discord Inc. | Authentification OAuth | Jetons d'authentification (nous recevons l'adresse électronique, le nom d'utilisateur, l'avatar) | discord.com/privacy |
9.3 Marchands
Lorsque vous effectuez un achat via une boutique hébergée sur la Plateforme, le marchand reçoit les données d'acheteur suivantes, nécessaires à l'exécution de la commande :
- Nom et adresse électronique de l'acheteur ;
- Adresses de livraison et de facturation ;
- Détails de la commande (produits, quantités, montants) ;
- Notes du client (le cas échéant).
Les marchands agissent en qualité de responsables de traitement indépendants pour les données de leurs acheteurs. Veuillez consulter l'article 17 pour une explication détaillée des rôles et responsabilités respectifs.
9.4 Autorités compétentes
Nous sommes susceptibles de communiquer des données à caractère personnel aux autorités judiciaires, réglementaires ou répressives compétentes lorsque la loi l'exige, notamment :
- En réponse à une décision de justice ou une réquisition judiciaire ;
- Pour satisfaire une obligation légale au titre du droit français ou européen ;
- Pour protéger nos droits, nos biens ou notre sécurité, ou ceux de nos utilisateurs, en cas de danger imminent ;
- Conformément aux exigences des autorités fiscales aux fins de vérification de conformité.
Nous informerons les personnes concernées de telles communications, sauf interdiction légale de le faire.
10. Gestion des sous-traitants
Conformément à l'article 28, paragraphes 2 et 4, du RGPD, nous assurons un contrôle rigoureux de l'ensemble des sous-traitants engagés pour traiter des données à caractère personnel pour notre compte.
10.1 Évaluation et sélection
Préalablement à l'engagement de tout sous-traitant, nous procédons à une évaluation approfondie de ses pratiques en matière de protection des données, incluant :
- L'examen de sa politique de confidentialité, de ses certifications de sécurité (SOC 2, ISO 27001) et de son historique de conformité ;
- L'évaluation de ses mesures de sécurité techniques et organisationnelles (art. 32 du RGPD) ;
- L'analyse des garanties en matière de transferts internationaux lorsque le sous-traitant est établi en dehors de l'EEE ;
- La vérification de la compatibilité de ses finalités de traitement avec les nôtres.
10.2 Garanties contractuelles
Chaque sous-traitant est lié par un Accord de Traitement des Données (ATD) comprenant :
- L'objet, la durée, la nature et la finalité du traitement ;
- Le type de données à caractère personnel traitées et les catégories de personnes concernées ;
- L'obligation de traiter les données uniquement sur nos instructions documentées ;
- Les obligations de confidentialité pour l'ensemble du personnel ayant accès aux données à caractère personnel ;
- La mise en œuvre de mesures de sécurité techniques et organisationnelles appropriées ;
- Les conditions de recours à d'autres sous-traitants (autorisation écrite préalable ou autorisation générale avec notification) ;
- L'obligation de nous assister pour répondre aux demandes d'exercice des droits des personnes concernées ;
- L'obligation de nous notifier toute violation de données dans les meilleurs délais ;
- La suppression ou la restitution de l'ensemble des données à caractère personnel à l'issue du contrat de traitement ;
- Les droits d'audit et d'inspection.
10.3 Notification des modifications
Nous tenons à jour une liste de nos sous-traitants. En cas d'engagement d'un nouveau sous-traitant ou de remplacement d'un sous-traitant existant, nous mettrons à jour la présente Politique en conséquence. Pour les modifications substantielles affectant significativement le traitement de vos données à caractère personnel, nous vous adresserons une notification préalable par courriel ou par notification intégrée à la plateforme.
11. Transferts internationaux de données
L'hébergement principal de la Plateforme (serveur applicatif et serveur de base de données) est situé à Strasbourg, France (UE), exploité par Contabo GmbH (Aschauer Straße 32a, 81549 München, Allemagne). En conséquence, l'application principale et la base de données n'impliquent aucun transfert international de données à caractère personnel en dehors de l'Espace Économique Européen (EEE). Toutefois, certains de nos sous-traitants sont établis en dehors de l'EEE. Tout transfert de données à caractère personnel vers un pays situé en dehors de l'EEE est soumis à des garanties appropriées conformément au chapitre V du RGPD (articles 44 à 49).
| Destinataire | Localisation | Mécanisme de transfert | Mesures supplémentaires |
|---|---|---|---|
| Contabo GmbH (incluant Supabase auto-hébergé) | France (serveurs à Strasbourg) | Pas de transfert international — données hébergées en France | Serveurs dédiés, chiffrement intégral des disques, chiffrement AES-256 au repos, TLS en transit, sécurité physique en centre de données UE |
| Stripe Payments Europe, Ltd. | Irlande (UE) | Pas de transfert international pour les transactions UE | PCI-DSS Niveau 1, SOC 2 Type II, chiffrement AES-256 |
| Mistral AI SAS | France | Pas de transfert international | Données traitées en France, chiffrement des API en transit (TLS 1.2+) |
| Google Ireland Limited (Gemini) | Irlande (UE) | Pas de transfert international | Données API chiffrées en transit, pas d'entraînement de modèle sur les données API |
| Anthropic PBC | États-Unis | Clauses Contractuelles Types (CCT) de la Commission européenne — Décision d'exécution 2021/914 + mesures supplémentaires | Données API chiffrées en transit (TLS 1.2+), pas d'entraînement de modèle sur les données API, données supprimées après traitement |
| OpenAI LLC | États-Unis | Clauses Contractuelles Types (CCT) de la Commission européenne — Décision d'exécution 2021/914 + mesures supplémentaires | Données API chiffrées en transit, politique de rétention zéro disponible, pas d'entraînement de modèle sur les données API |
| Resend Inc. | États-Unis | Clauses Contractuelles Types (CCT) de la Commission européenne — Décision d'exécution 2021/914 | Chiffrement TLS, minimisation des données (métadonnées des courriels uniquement) |
11.1 Considérations relatives à l'arrêt Schrems II
À la suite de l'arrêt de la Cour de justice de l'Union européenne dans l'affaire C-311/18 ("Schrems II"), ayant invalidé le Privacy Shield UE-États-Unis, nous nous fondons sur les Clauses Contractuelles Types (CCT) adoptées par la Décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 pour les transferts vers les États-Unis et les autres pays ne bénéficiant pas d'une décision d'adéquation.
Nous avons réalisé des analyses d'impact du transfert (Transfer Impact Assessments — TIA) pour chaque transfert afin d'évaluer si le cadre juridique du pays destinataire assure un niveau de protection essentiellement équivalent à celui garanti au sein de l'EEE, en tenant compte :
- De la nature des données transférées (nous minimisons les données personnelles transmises aux fournisseurs d'IA établis aux États-Unis) ;
- Du cadre juridique du pays destinataire, y compris les lois relatives à l'accès gouvernemental aux données ;
- Des mesures supplémentaires contractuelles, techniques et organisationnelles mises en place ;
- De l'expérience pratique de l'importateur de données en matière de demandes d'accès gouvernementales.
11.2 Mesures supplémentaires
En complément des CCT, nous mettons en œuvre les mesures supplémentaires suivantes, conformément aux recommandations du CEPD (Recommandations 01/2020) :
- Mesures techniques : Chiffrement TLS 1.2+ de bout en bout pour l'ensemble des données en transit, chiffrement AES-256 au repos le cas échéant, pseudonymisation des données d'analyse ;
- Mesures organisationnelles : Contrôles d'accès stricts, politiques de minimisation des données, révision régulière des pratiques de sécurité des sous-traitants, formation du personnel ;
- Mesures contractuelles : Obligations de transparence dans les ATD concernant les demandes d'accès gouvernementales, obligations de notification, engagement à contester les demandes d'accès disproportionnées.
11.3 Localisation des données
Nous privilégions la localisation des données au sein de l'UE/EEE dans toute la mesure du possible :
- Hébergement principal : Contabo GmbH, serveurs dédiés à Strasbourg, France (UE) ;
- Base de données et stockage de fichiers : Supabase auto-hébergé sur le même serveur Contabo à Strasbourg, France (UE) ;
- Traitement des paiements : Stripe Payments Europe, Ltd. (Irlande) ;
- IA (traitement local) : Mistral AI SAS (France), Google Ireland Limited (Irlande).
Les Clauses Contractuelles Types (CCT) sont des cadres contractuels adoptés par la Commission européenne (Décision d'exécution (UE) 2021/914 du 4 juin 2021) qui fournissent des garanties appropriées pour le transfert de données à caractère personnel vers des pays tiers. Vous pouvez demander une copie des CCT applicables à vos données en contactant notre DPD.
12. Conservation des données
Conformément au principe de limitation de la conservation (art. 5, paragraphe 1, point e), du RGPD), nous ne conservons les données à caractère personnel que pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées, ou selon les exigences des obligations légales applicables. À l'expiration de la durée de conservation, les données sont soit supprimées de manière sécurisée, soit irréversiblement anonymisées.
| Catégorie de données | Durée de conservation | Base légale / Justification |
|---|---|---|
| Données de compte (profil, paramètres) | Durée de la relation contractuelle + 30 jours après la suppression du compte | Exécution du contrat (6.1.b) — délai de grâce pour récupération en cas de suppression accidentelle |
| Données en attente de vérification | Jusqu'à la vérification ou 30 jours après la création | Exécution du contrat — mesures précontractuelles |
| Sessions utilisateur et jetons d'authentification | 90 jours à compter de la dernière activité | Intérêt légitime — sécurité et gestion de session |
| Données de commande (commandes, lignes, livraison) | 5 ans à compter de l'achèvement de la commande | Art. 2224 du Code civil (délai de prescription de droit commun des obligations civiles) |
| Factures et pièces comptables | 10 ans à compter de la clôture de l'exercice | Art. L.123-22 du Code de commerce (obligation de conservation des documents comptables) |
| Enregistrements de transactions et de paiements | 10 ans à compter de la date de la transaction | Art. L.123-22 du Code de commerce et exigences en matière de documentation fiscale |
| Données d'analyse statistique | 13 mois à compter de la collecte | Recommandation de la CNIL relative aux outils de mesure d'audience (délibération n° 2020-091) — durée de conservation maximale de 13 mois |
| Données de détection de fraude (scores, empreintes) | 6 mois à compter de la génération | Intérêt légitime — principe de proportionnalité ; suffisant pour la détection de tendances |
| Journaux d'audit de sécurité | 12 mois à compter de l'événement | Intérêt légitime — investigation d'incidents et conformité |
| Journaux d'audit d'administration | 36 mois à compter de l'événement | LCEN (loi n° 2004-575 pour la Confiance dans l'Économie Numérique) — obligation de conservation de l'hébergeur |
| Cookies d'authentification | 7 jours à compter de l'émission | Durée de session — expiration automatique |
| Cookie panier (cart_session_id) | 30 jours à compter de la dernière modification | Exécution du contrat — persistance du panier pour la commodité de l'acheteur |
| Journaux de conversation IA | Durée de la session utilisateur (non conservés au-delà de la session) | Consentement — les interactions IA sont éphémères dans le contexte de la session |
| Tickets d'assistance et correspondance | 36 mois à compter de la résolution | Intérêt légitime — assurance qualité et résolution de litiges |
| Données de signalement de bogues | 24 mois à compter de la soumission | Intérêt légitime — qualité logicielle et débogage |
| Journaux d'envoi de courriels (Resend) | 30 jours | Intérêt légitime — surveillance de la délivrabilité et dépannage |
| Données de compte supprimé (sauvegardes résiduelles) | 30 jours maximum (purge automatisée) | Nécessité technique — cycle de rotation des sauvegardes |
| Données du programme de parrainage | Durée du compte du parrain + 12 mois | Exécution du contrat — rapprochement des bonus |
Lorsqu'une personne concernée exerce son droit à l'effacement (art. 17 du RGPD), nous supprimons l'ensemble de ses données à caractère personnel, sauf lorsque leur conservation est imposée par une obligation légale (par exemple, les factures conservées pendant 10 ans). Dans ce cas, les données sont archivées avec un accès restreint et ne sont utilisées à aucune autre fin.
13. Sécurité des données
Conformément à l'article 32 du RGPD, nous mettons en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques.
13.1 Chiffrement et protection des données
| Mesure | Mise en œuvre | Norme |
|---|---|---|
| Chiffrement en transit | TLS 1.2+ imposé pour l'ensemble des communications client-serveur | NIST SP 800-52 Rev. 2 |
| Chiffrement au repos | Chiffrement AES-256 pour le stockage en base de données (Supabase auto-hébergé) | FIPS 140-2 |
| Hachage des mots de passe et données sensibles | bcrypt avec 12 tours de salage pour les identifiants d'authentification | Recommandation OWASP |
| Chiffrement des clés de paiement | Clés API Stripe et identifiants de paiement chiffrés au repos avec chiffrement au niveau applicatif | Conformité PCI-DSS |
| Jetons de sécurité | Jetons aléatoires cryptographiques de 256 bits pour la vérification d'adresse électronique, les liens magiques et les codes OTP | CSPRNG (crypto.randomBytes) |
| Protection des coordonnées bancaires | IBAN/BIC chiffrés au repos, déchiffrés uniquement lors du traitement des versements | Principe de minimisation des données |
13.2 Authentification et contrôle d'accès
| Mesure | Mise en œuvre |
|---|---|
| Authentification sans mot de passe | Authentification principale par liens magiques (courriel) et mots de passe à usage unique (OTP), éliminant les risques de compromission de mot de passe |
| Authentification à double facteur (2FA) | Disponible pour le renforcement de la sécurité du compte ; recommandée pour les comptes marchands |
| Intégration OAuth | Google et Discord OAuth pour une authentification simplifiée et sécurisée par le fournisseur |
| Gestion des jetons JWT | Signés en HS256, jetons à durée de vie limitée avec expiration contrôlée, stockés dans des cookies sécurisés |
| Cookies sécurisés | Tous les cookies d'authentification définis avec les attributs Secure, HttpOnly et SameSite=Lax |
| Contrôle d'accès basé sur les rôles (RBAC) | Fonctions d'administration restreintes au personnel autorisé disposant de privilèges élevés |
| Gestion des sessions | Expiration automatique des sessions, détection des sessions concurrentes |
13.3 Sécurité de l'infrastructure et du réseau
| Mesure | Mise en œuvre |
|---|---|
| Limitation du débit | Limitation du débit de requêtes sur l'ensemble des points d'accès API pour prévenir les attaques par force brute et les DDoS |
| Isolation du code (bac à sable SkyEngine) | Le code généré par les utilisateurs s'exécute dans un environnement SkyEngine isolé avec blocage des commandes dangereuses (rm -rf, sudo, etc.) |
| Politique d'origine croisée | En-têtes COOP/COEP configurés pour prévenir les attaques d'origine croisée sur les iframes du bac à sable |
| Politique de sécurité du contenu (CSP) | En-têtes CSP stricts pour prévenir les attaques XSS et l'injection de code |
| Validation des entrées | Validation des schémas Zod sur l'ensemble des points d'accès API pour prévenir les attaques par injection |
| Prévention de l'injection SQL | Requêtes paramétrées via l'ORM Prisma ; aucune interpolation SQL brute |
| Protection DDoS | Infrastructure serveur avec atténuation automatique des DDoS |
13.4 Mesures organisationnelles
- Principe du moindre privilège : L'accès aux données à caractère personnel est restreint au personnel autorisé qui en a besoin dans le cadre de ses fonctions spécifiques ;
- Obligations de confidentialité : L'ensemble des membres de l'équipe ayant accès aux données à caractère personnel est lié par des obligations contractuelles de confidentialité ;
- Sensibilisation à la sécurité : Formation régulière sur la protection des données, les pratiques de développement sécurisé et la réponse aux incidents ;
- Plan de réponse aux incidents : Procédures documentées pour la détection, le signalement et la gestion des incidents de sécurité (voir article 14) ;
- Revues de sécurité régulières : Révision périodique des configurations de sécurité, des journaux d'accès et des évaluations de vulnérabilités ;
- Sécurité physique : L'ensemble de l'infrastructure est hébergé par des fournisseurs certifiés SOC 2 Type II, conformes ISO 27001, disposant de contrôles de sécurité physique en centre de données.
14. Notification des violations de données
En cas de violation de données à caractère personnel au sens de l'article 4, point 12, du RGPD, nous appliquons une procédure structurée de réponse aux incidents conformément aux articles 33 et 34 du RGPD.
14.1 Détection interne et évaluation de la violation
- Des systèmes de surveillance automatisés détectent les schémas d'accès anormaux et les violations de données potentielles ;
- Dès la détection, l'équipe de sécurité procède à une évaluation immédiate de la nature, de la portée et de la gravité de la violation ;
- Le DPD est immédiatement notifié et supervise le processus de réponse ;
- L'ensemble des activités liées à la violation est documenté dans le registre interne des violations (art. 33, paragraphe 5, du RGPD).
14.2 Notification à l'autorité de contrôle (art. 33 du RGPD)
Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, nous notifions la CNIL dans un délai de 72 heures après en avoir eu connaissance. La notification comporte :
- La nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés ;
- Le nom et les coordonnées du DPD ;
- Une description des conséquences probables de la violation ;
- Une description des mesures prises ou proposées pour remédier à la violation et en atténuer les effets.
14.3 Notification aux personnes concernées (art. 34 du RGPD)
Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, nous communiquons la violation aux personnes concernées dans les meilleurs délais, dans un langage clair et simple. Cette communication décrit :
- La nature de la violation ;
- Les coordonnées du DPD ;
- Les conséquences probables de la violation ;
- Les mesures prises ou proposées pour remédier à la violation ;
- Les recommandations à l'attention des personnes pour se protéger (par exemple, modification des mots de passe, surveillance des comptes).
14.4 Registre des violations
Conformément à l'article 33, paragraphe 5, du RGPD, nous tenons un registre de l'ensemble des violations de données à caractère personnel, qu'elles soient ou non notifiables à la CNIL. Ce registre documente les faits relatifs à chaque violation, ses effets et les mesures correctives prises.
Si vous avez connaissance ou suspectez l'existence d'une vulnérabilité de sécurité ou d'une violation de données affectant la Plateforme, veuillez la signaler immédiatement à l'adresse [email protected]. La divulgation responsable est appréciée et sera traitée de manière confidentielle.
15. Vos droits (articles 15 à 22 du RGPD)
Conformément au RGPD et à la Loi Informatique et Libertés, vous bénéficiez des droits suivants à l'égard de vos données à caractère personnel. L'exercice de ces droits est soumis aux conditions et exceptions prévues par la législation applicable.
| Droit | Base légale | Description |
|---|---|---|
| Droit d'accès | Art. 15 du RGPD | Obtenir la confirmation que vos données à caractère personnel font ou non l'objet d'un traitement et, le cas échéant, accéder auxdites données ainsi qu'aux informations relatives au traitement (finalités, catégories, destinataires, durées de conservation, source, décision automatisée). Vous avez le droit de recevoir une copie des données dans un format électronique d'usage courant. |
| Droit de rectification | Art. 16 du RGPD | Obtenir la rectification de données à caractère personnel inexactes et la complétude de données à caractère personnel incomplètes dans les meilleurs délais. |
| Droit à l'effacement (« droit à l'oubli ») | Art. 17 du RGPD | Obtenir la suppression de vos données à caractère personnel lorsque : (a) elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ; (b) vous retirez votre consentement ; (c) vous vous opposez au traitement ; (d) le traitement est illicite ; ou (e) l'effacement est imposé par la loi. Des exceptions s'appliquent lorsque la conservation est requise par une obligation légale, un motif d'intérêt public ou la défense de droits en justice. |
| Droit à la portabilité | Art. 20 du RGPD | Recevoir les données à caractère personnel que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine (par exemple JSON, CSV), et les transmettre à un autre responsable de traitement sans entrave. Ce droit s'applique aux données traitées par des moyens automatisés sur la base du consentement ou de l'exécution du contrat. |
| Droit à la limitation du traitement | Art. 18 du RGPD | Obtenir la limitation du traitement lorsque : (a) vous contestez l'exactitude des données (pendant la durée de vérification) ; (b) le traitement est illicite et vous vous opposez à l'effacement ; (c) nous n'avons plus besoin des données mais vous en avez besoin pour la défense de droits en justice ; ou (d) vous vous êtes opposé au traitement dans l'attente de la vérification de nos motifs légitimes. |
| Droit d'opposition | Art. 21 du RGPD | Vous opposer à tout moment au traitement fondé sur l'intérêt légitime (art. 6, paragraphe 1, point f)) ou l'intérêt public (art. 6, paragraphe 1, point e)), y compris le profilage. Nous devons cesser le traitement sauf si nous démontrons l'existence de motifs légitimes et impérieux prévalant sur vos intérêts. En matière de prospection commerciale, vous disposez d'un droit d'opposition absolu et inconditionnel à tout moment. |
| Droit de ne pas faire l'objet d'une décision automatisée | Art. 22 du RGPD | Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou vous affectant de manière significative. Notre système de notation de fraude constitue un outil d'aide à la décision ; aucune décision automatisée n'est prise sans examen humain (voir article 19). |
| Droit de retirer le consentement | Art. 7, paragraphe 3, du RGPD | Retirer votre consentement à tout moment pour tout traitement fondé sur le consentement (par exemple, les interactions IA). Le retrait ne porte pas atteinte à la licéité du traitement effectué avant ledit retrait. |
| Directives post-mortem | Art. 85 de la Loi Informatique et Libertés | Définir des directives générales ou spécifiques relatives à la conservation, l'effacement et la communication de vos données à caractère personnel après votre décès. Ces directives peuvent être enregistrées auprès d'un tiers de confiance numérique certifié par la CNIL, ou directement auprès de nous. |
15.1 Modalités d'exercice de vos droits
Vous pouvez exercer l'un quelconque des droits énumérés ci-dessus en contactant notre Délégué à la Protection des Données par les canaux suivants :
Courriel : [email protected]
Courrier postal : SKYNET INITIATIVE - DPD - 4 Rue Alexis Rostand, 13010 Marseille, France
Veuillez fournir des informations suffisantes pour nous permettre de vous identifier et préciser le ou les droits que vous souhaitez exercer. Pour les demandes de portabilité, veuillez indiquer votre format préféré (JSON, CSV ou XML).
15.2 Délai de réponse
Nous accuserons réception de votre demande et y répondrons de manière substantielle dans un délai d'un (1) mois à compter de la réception, conformément à l'article 12, paragraphe 3, du RGPD. Ce délai peut être prolongé de deux (2) mois supplémentaires si nécessaire, compte tenu de la complexité et du nombre de demandes. Le cas échéant, nous vous informerons de cette prorogation dans le délai initial d'un mois, en indiquant les motifs du retard.
15.3 Vérification d'identité
Lorsque nous avons des doutes raisonnables quant à l'identité de la personne présentant la demande, nous pouvons solliciter des informations supplémentaires nécessaires à la confirmation de votre identité (art. 12, paragraphe 6, du RGPD). Il s'agit d'une mesure de sécurité visant à prévenir l'accès non autorisé aux données à caractère personnel.
15.4 Frais
L'exercice de vos droits est gratuit. Toutefois, conformément à l'article 12, paragraphe 5, du RGPD, lorsque les demandes sont manifestement infondées ou excessives (notamment en raison de leur caractère répétitif), nous pouvons soit exiger le paiement de frais raisonnables tenant compte des coûts administratifs, soit refuser de donner suite à la demande.
15.5 Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données à caractère personnel constitue une violation du RGPD ou de la législation française en matière de protection des données, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
| Détail | Information |
|---|---|
| Autorité | Commission Nationale de l'Informatique et des Libertés (CNIL) |
| Adresse | 3 Place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07, France |
| Téléphone | +33 (0)1 53 73 22 22 |
| Site internet | https://www.cnil.fr |
| Plainte en ligne | https://www.cnil.fr/fr/plaintes |
16. Intelligence artificielle et données
La Plateforme intègre des fonctionnalités d'intelligence artificielle (IA) sous la dénomination Genisys, alimentées par des modèles de langage fournis par Anthropic PBC (modèles Claude), OpenAI LLC (modèles GPT), Mistral AI SAS (modèles Mistral) et Google Ireland Limited (modèles Gemini). Le présent article assure une transparence détaillée sur le traitement de vos données dans le contexte de l'IA, conformément au RGPD et au Règlement IA (Règlement 2024/1689).
16.1 Données transmises aux fournisseurs d'IA
Lorsque vous utilisez Genisys ou les fonctionnalités assistées par IA dans SkyBuilder, les données suivantes sont susceptibles d'être transmises à nos fournisseurs d'IA via leurs API :
| Catégorie de données | Contexte | Mesures de minimisation |
|---|---|---|
| Invites et messages de conversation | Votre saisie textuelle à l'assistant IA | Seule la conversation de la session en cours est envoyée ; l'historique des conversations n'est pas conservé ni retransmis |
| Code source de la boutique (TSX/TS/CSS) | Code contextuel envoyé pour l'édition assistée par IA | Seuls les fichiers et extraits pertinents sont envoyés, non l'intégralité du code source |
| Arborescence des fichiers | Contexte de l'architecture du projet | Noms de répertoires et de fichiers uniquement ; le contenu n'est envoyé que lorsqu'il est pertinent |
| Messages d'erreur de compilation | Contexte de la fonctionnalité de correction automatique | Texte d'erreur et extraits du fichier concerné uniquement |
| Sortie des commandes du terminal | Contexte d'exécution de commandes | Tronquée aux 3 000 derniers caractères |
| Invites système et instructions | Configuration du comportement de l'IA | Ne contiennent aucune donnée à caractère personnel ; définissent le format et les règles de réponse de l'IA |
16.2 Garanties contractuelles des fournisseurs d'IA
- Pas d'entraînement de modèle : Conformément aux conditions d'utilisation des API d'Anthropic, OpenAI, Mistral AI et Google, les données soumises via l'API ne sont pas utilisées pour entraîner, améliorer ou affiner leurs modèles. Il s'agit d'une obligation contractuelle engageant l'ensemble des fournisseurs.
- Conservation des données par les fournisseurs : Les fournisseurs d'IA peuvent temporairement conserver les entrées et sorties de l'API à des fins de surveillance des abus et de sécurité, conformément à leurs politiques de conservation respectives (généralement 30 jours ou moins). Ils ne conservent pas les données au-delà de ce qui est nécessaire à ces fins.
- Accords de traitement des données : Nous avons conclu des ATD avec Anthropic, OpenAI, Mistral AI et Google incluant, le cas échéant, les Clauses Contractuelles Types pour les transferts internationaux de données.
- Politiques de confidentialité : Anthropic, OpenAI, Mistral AI, Google.
16.3 Minimisation des données dans le contexte de l'IA
Nous appliquons le principe de minimisation des données (art. 5, paragraphe 1, point c), du RGPD) au traitement par l'IA en :
- N'envoyant que le contexte minimal nécessaire à la génération d'une réponse utile par l'IA ;
- Excluant les données à caractère personnel des invites système et de la configuration ;
- Ne conservant pas l'historique des conversations IA au-delà de la session de navigation en cours ;
- Tronquant les sorties volumineuses (sortie du terminal, journaux de construction) avant envoi à l'IA ;
- Chiffrant les clés API de sorte qu'elles ne soient jamais incluses dans le contexte de l'IA.
16.4 Obligations de transparence au titre du Règlement IA
En conformité avec le Règlement IA (Règlement 2024/1689), nous fournissons les informations de transparence suivantes :
- Finalité du système d'IA : Génération de code, correction d'erreurs et assistance à la conception pour la création de boutiques en ligne ;
- Fournisseurs d'IA : Anthropic PBC (Claude), OpenAI LLC (GPT), Mistral AI SAS (Mistral), Google Ireland Limited (Gemini) ;
- Classification du risque : Les fonctionnalités d'IA de la Plateforme sont classées comme systèmes d'IA à risque limité au sens du Règlement IA, dans la mesure où elles fournissent une assistance à la génération de contenu et ne prennent pas de décisions autonomes affectant les droits des personnes ;
- Supervision humaine : L'ensemble du code généré par l'IA est présenté à l'utilisateur pour examen avant déploiement ; l'utilisateur conserve le plein contrôle de ce qui est publié ;
- Limitations : Le contenu généré par l'IA peut comporter des erreurs, des inexactitudes ou des vulnérabilités de sécurité. Les utilisateurs sont responsables de la vérification et des tests du contenu généré par l'IA avant toute utilisation en production.
Responsabilité de l'utilisateur : Il vous est recommandé de ne pas inclure de données personnelles sensibles (mots de passe, identifiants financiers, informations de santé, numéros d'identification nationaux, ou toute catégorie particulière de données au sens de l'art. 9 du RGPD) dans vos conversations avec l'IA. Bien que nous appliquions la minimisation des données, le contenu de vos invites est transmis à des fournisseurs d'IA tiers. En utilisant les fonctionnalités d'IA, vous reconnaissez et acceptez cette transmission de données.
17. Marchands — Rôles et responsabilités respectifs
L'utilisation de la Plateforme en qualité de marchand implique une répartition des responsabilités en matière de protection des données entre Skynet et le marchand. Le présent article précise les rôles respectifs conformément aux articles 4, points 7 et 8, et 26 du RGPD.
17.1 Skynet en qualité de responsable de traitement
Skynet agit en qualité de responsable de traitement (art. 4, point 7, du RGPD) pour :
- Les données de compte du marchand (inscription, profil, authentification) ;
- Les données de configuration de la boutique (paramètres, configuration du paiement, code source) ;
- Les données d'utilisation de la plateforme (analyse statistique, journaux, données de sécurité) ;
- Les données d'interaction avec l'IA (conversations Genisys) ;
- Les données financières au niveau de la plateforme (commissions, factures de plateforme).
Pour ces activités de traitement, Skynet détermine les finalités et les moyens du traitement et est pleinement responsable de la conformité au RGPD.
17.2 Skynet en qualité de sous-traitant
Skynet agit en qualité de sous-traitant (art. 4, point 8, du RGPD) pour le compte du marchand pour :
- Les données à caractère personnel des acheteurs collectées via la boutique en ligne du marchand (noms, adresses électroniques, adresses) ;
- Les données de commande traitées pour les besoins d'exécution du marchand ;
- Les données d'analyse relatives aux acheteurs collectées sur la vitrine du marchand.
En cette qualité, Skynet traite les données des acheteurs uniquement sur les instructions documentées du marchand et pour les finalités définies par ce dernier (traitement des commandes, routage des paiements, livraison). Les conditions de cette relation de traitement sont régies par l'Accord de Traitement des Données intégré à nos Conditions Générales d'Utilisation.
17.3 Le marchand en qualité de responsable de traitement
Chaque marchand agit en qualité de responsable de traitement indépendant pour les données à caractère personnel de ses acheteurs. À ce titre, le marchand est responsable de :
- Déterminer les finalités et les moyens du traitement des données de ses acheteurs ;
- Publier sa propre politique de confidentialité informant les acheteurs du traitement des données ;
- S'assurer de disposer d'une base légale valide pour chaque activité de traitement ;
- Répondre aux demandes d'exercice des droits de ses acheteurs (ou déléguer à Skynet le cas échéant) ;
- Réaliser des Analyses d'Impact relatives à la Protection des Données lorsque cela est requis ;
- Notifier l'autorité de contrôle compétente et les personnes concernées en cas de violation de données.
17.4 Stipulations de l'Accord de Traitement des Données (ATD)
L'ATD entre Skynet et les marchands comprend les stipulations suivantes conformément à l'article 28, paragraphe 3, du RGPD :
- L'objet, la durée, la nature et la finalité du traitement ;
- Les types de données à caractère personnel traitées et les catégories de personnes concernées ;
- L'obligation de Skynet de traiter les données uniquement sur les instructions documentées du marchand ;
- Les obligations de confidentialité du personnel de Skynet ;
- Les mesures de sécurité mises en œuvre par Skynet (art. 32 du RGPD) ;
- Les conditions de recours à des sous-traitants ;
- L'obligation de Skynet d'assister les marchands dans le traitement des demandes d'exercice des droits ;
- L'obligation de Skynet d'assister en matière de sécurité, de notification des violations et d'AIPD ;
- La suppression ou la restitution des données à la fin du contrat ;
- Les droits d'audit et d'inspection du marchand.
Obligation du marchand : Chaque marchand utilisant la Plateforme est tenu de publier sa propre politique de confidentialité conforme au RGPD, informant clairement ses acheteurs de la manière dont leurs données à caractère personnel sont collectées, utilisées, conservées et partagées. Le manquement à cette obligation est susceptible de constituer une violation des obligations du marchand au titre de la législation relative à la protection des données.
18. Données des acheteurs — Protection des données dès la conception
La Plateforme est conçue avec la vie privée des acheteurs comme principe fondamental. Les mesures suivantes reflètent notre engagement en faveur de la minimisation des données et de la protection des données dès la conception pour les acheteurs :
18.1 Aucun compte requis
Les acheteurs n'ont pas besoin de créer de compte pour naviguer dans les boutiques des marchands ni pour effectuer des achats. Le processus de passage en caisse ne collecte que les données minimales nécessaires à l'exécution de la commande (adresse électronique, nom, adresse de livraison).
18.2 Panier anonyme
Le panier d'achat fonctionne via une session anonyme utilisant un cookie cart_session_id. Ce cookie contient un identifiant aléatoire qui n'est lié à aucune donnée à caractère personnel ni à aucun compte utilisateur. Il expire automatiquement après 30 jours d'inactivité.
18.3 Isolation des données de paiement
Les données de carte bancaire (numéro de carte, CVV, date d'expiration) ne transitent jamais par les serveurs de Skynet et n'y sont pas stockées. L'ensemble des données de paiement sensibles est traité directement par le prestataire de paiement (Stripe, PayPal, etc.) au moyen de son infrastructure sécurisée certifiée PCI-DSS Niveau 1. Skynet ne reçoit qu'un identifiant de référence de transaction à des fins de rapprochement.
18.4 Minimisation des données
Nous ne collectons que les données strictement nécessaires à chaque étape du parcours acheteur :
| Étape | Données collectées | Justification |
|---|---|---|
| Navigation | Analyse pseudonymisée uniquement (aucune donnée personnelle) | Mesure d'audience pour le marchand |
| Ajout au panier | Identifiant de session panier (cookie anonyme) | Persistance du panier sans identification |
| Passage en caisse | Adresse électronique, nom, adresse de livraison | Données minimales requises pour l'exécution de la commande et la livraison |
| Paiement | Redirection vers le prestataire de paiement (aucune donnée de carte ne transite par Skynet) | Conformité PCI-DSS, minimisation des données |
| Après achat | Référence de commande, statut de livraison | Suivi de commande et communication client |
19. Détection de fraude et traitement automatisé
La Plateforme utilise un système de détection de fraude afin de protéger les marchands et les acheteurs contre les transactions frauduleuses et les comportements abusifs. Le présent article assure la transparence sur le fonctionnement de ce système au regard de l'article 22 du RGPD.
19.1 Mécanisme de notation du risque de fraude
Notre système de détection de fraude attribue un score de risque de 0 à 100 fondé sur l'analyse de signaux multiples :
| Signal | Facteur de pondération | Finalité |
|---|---|---|
| Géolocalisation de l'adresse IP | Moyen | Détection d'anomalies géographiques et de régions à haut risque |
| Utilisation d'un VPN / Proxy / Tor | Moyen | Identification des outils d'anonymisation couramment utilisés dans la fraude |
| Cohérence de l'empreinte numérique de l'appareil | Élevé | Détection d'usurpation d'appareil ou de changements suspects |
| Comportements habituels | Moyen | Détection de comportements automatisés ou scriptés (robots) |
| Réputation du FAI | Faible | Détection de FAI connus pour des activités frauduleuses |
| Tentatives d'authentification échouées | Élevé | Détection d'attaques par force brute et de bourrage d'identifiants |
| Vélocité des transactions | Moyen | Transactions rapides successives évoquant des tests de cartes |
19.2 Absence de décision automatisée (art. 22 du RGPD)
Le score de fraude ne constitue pas une décision automatisée au sens de l'article 22 du RGPD. En particulier :
- Aucun compte n'est bloqué, restreint ou résilié sur la seule base du score de fraude ;
- Aucune transaction n'est rejetée sur la seule base du score de fraude ;
- Aucun accès n'est refusé sur la seule base du score de fraude ;
- Le score sert exclusivement d'outil d'aide à la décision pour un examen humain ;
- Toute mesure consécutive (suspension de compte, blocage de transaction) nécessite un examen et une approbation humains préalables par un membre autorisé de l'équipe.
19.3 Vos droits en matière de détection de fraude
Vous disposez du droit de :
- Contester toute décision fondée sur le système de détection de fraude en contactant le DPD ;
- Demander un examen humain de toute mesure prise à l'encontre de votre compte ou de votre transaction ;
- Exprimer votre point de vue et fournir des informations supplémentaires susceptibles d'affecter l'évaluation ;
- Demander des informations sur la logique sous-jacente du système de notation de fraude (art. 15, paragraphe 1, point h), du RGPD).
20. Protection des mineurs
La Plateforme n'est pas destinée aux personnes âgées de moins de 18 ans. Nos Services sont conçus pour des utilisateurs majeurs souhaitant créer et exploiter des activités de commerce électronique.
- Nous ne collectons, n'utilisons ni ne divulguons sciemment de données à caractère personnel de personnes âgées de moins de 18 ans. Le processus d'inscription requiert la confirmation de la majorité légale de l'utilisateur.
- Si nous prenons connaissance de la collecte par inadvertance de données à caractère personnel d'un mineur, nous prendrons immédiatement les mesures nécessaires pour supprimer ces données et clôturer le compte associé, conformément à l'article 8 du RGPD et à l'article 45 de la Loi Informatique et Libertés.
- Si vous êtes un parent ou un représentant légal et estimez que votre enfant a fourni des données à caractère personnel à la Plateforme, veuillez contacter immédiatement notre DPD à l'adresse [email protected]. Nous procéderons à la vérification et à la suppression rapide des données.
S'agissant des acheteurs : les marchands sont seuls responsables de la conformité de leurs boutiques avec la législation applicable en matière de vente aux mineurs, y compris la vérification de l'âge lorsque la nature des produits vendus l'exige.
21. Protection des données dès la conception et par défaut
Conformément à l'article 25 du RGPD, nous intégrons les principes de protection des données dès les premières étapes de la conception et du développement de la Plateforme. Les principes suivants sont incorporés dans notre architecture technique et nos processus organisationnels :
| Principe | Mise en œuvre |
|---|---|
| Minimisation des données (art. 5, par. 1, c) | Nous ne collectons que les données strictement nécessaires à chaque finalité de traitement. Les champs facultatifs sont clairement signalés. Les sessions de panier anonymes ne nécessitent aucune donnée personnelle. |
| Limitation des finalités (art. 5, par. 1, b) | Chaque donnée est collectée pour une finalité déterminée, explicite et légitime. Les données ne sont pas réutilisées sans nouvelle base légale. |
| Limitation de la conservation (art. 5, par. 1, e) | Des durées de conservation définies pour chaque catégorie de données (voir article 12). Mécanismes de purge automatique pour les données expirées. |
| Pseudonymisation (art. 4, point 5) | Les identifiants d'analyse sont pseudonymisés. Les scores de fraude ne contiennent pas d'informations directement identifiantes. Les journaux sont anonymisés dans la mesure du possible. |
| Sécurité dès la conception (art. 32) | Le chiffrement, les contrôles d'accès, le cloisonnement et la validation des entrées sont intégrés à l'architecture dès la phase de conception, et non ajoutés a posteriori. |
| Paramètres de confidentialité par défaut | Les nouveaux comptes et boutiques sont configurés avec les paramètres les plus protecteurs de la vie privée par défaut. Aucune collecte de données facultative n'est activée sans action explicite de l'utilisateur. |
| Transparence | La présente Politique, la Politique relative aux cookies et les notices intégrées à la plateforme fournissent des informations exhaustives sur l'ensemble des activités de traitement. |
| Contrôle de l'utilisateur | Les utilisateurs peuvent accéder, modifier, exporter et supprimer leurs données via des fonctionnalités en libre-service et des demandes auprès du DPD. |
22. Analyses d'Impact relatives à la Protection des Données (AIPD)
Conformément à l'article 35 du RGPD, nous réalisons des Analyses d'Impact relatives à la Protection des Données (AIPD) préalablement à la mise en œuvre de toute opération de traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.
Nous identifions les traitements à haut risque par référence à :
- Les critères énoncés à l'article 35, paragraphe 3, du RGPD (évaluation systématique, traitement à grande échelle, surveillance systématique) ;
- La liste des opérations de traitement nécessitant une AIPD établie par la CNIL (délibération n° 2018-327) ;
- Les lignes directrices du CEPD relatives aux Analyses d'Impact (WP248 rev.01).
Les opérations de traitement pour lesquelles des AIPD ont été réalisées ou sont prévues comprennent :
| Opération de traitement | Facteurs de risque | Statut de l'AIPD |
|---|---|---|
| Détection et notation de fraude | Notation automatisée, évaluation systématique d'aspects personnels | Réalisée |
| Génération de code assistée par IA (Genisys) | Traitement à grande échelle par des fournisseurs d'IA tiers, transferts internationaux | Réalisée |
| Analyse et suivi des visiteurs | Surveillance systématique du comportement des utilisateurs sur les boutiques des marchands | Réalisée |
| Traitement des paiements via SkyPay | Traitement de données financières, multiplicité de prestataires tiers | Réalisée |
| Géolocalisation IP et détection du FAI | Traitement de données de localisation, enrichissement par des données tierces | Réalisée |
Les AIPD sont révisées et mises à jour dès lors qu'une modification significative intervient dans l'opération de traitement ou les risques associés. Le DPD supervise le processus d'AIPD et consulte la CNIL lorsque l'article 36 du RGPD l'exige (consultation préalable).
23. Registre des activités de traitement
Conformément à l'article 30 du RGPD, Skynet tient un registre exhaustif de l'ensemble des activités de traitement effectuées sous sa responsabilité. Ce registre comprend :
- Le nom et les coordonnées du responsable de traitement et, le cas échéant, du responsable conjoint et du DPD ;
- Les finalités de chaque opération de traitement ;
- Une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
- Les catégories de destinataires auxquels les données sont communiquées, y compris les destinataires dans des pays tiers ;
- Le cas échéant, les transferts de données à caractère personnel vers des pays tiers, y compris l'identification du pays et la documentation des garanties appropriées ;
- Les délais prévus pour l'effacement des différentes catégories de données ;
- Une description générale des mesures de sécurité techniques et organisationnelles (art. 32, paragraphe 1, du RGPD).
Ce registre est tenu sous forme écrite (électronique) et est mis à la disposition de l'autorité de contrôle (CNIL) sur demande.
24. Modifications de la Politique
Nous nous réservons le droit de modifier la présente Politique de Confidentialité à tout moment afin de refléter les évolutions de nos activités de traitement, des exigences légales ou de nos pratiques commerciales. La version en vigueur est celle publiée sur la présente page, identifiée par sa date de mise à jour et son numéro de version.
24.1 Modifications substantielles
Pour les modifications substantielles affectant significativement vos droits ou la manière dont nous traitons vos données à caractère personnel — telles que de nouvelles catégories de données collectées, de nouvelles finalités de traitement, de nouveaux destinataires des données ou des modifications des mécanismes de transfert international — nous :
- Vous notifierons par courriel au moins 30 jours avant l'entrée en vigueur des modifications ;
- Afficherons un avis visible au sein de la plateforme vous informant de la mise à jour ;
- Le cas échéant, solliciterons votre consentement renouvelé pour les activités de traitement fondées sur le consentement.
24.2 Modifications non substantielles
Pour les modifications non substantielles (clarifications, mise en forme, corrections typographiques, mises à jour des coordonnées), nous mettrons à jour la Politique et la date de"Dernière mise à jour" sans notification individuelle. Nous vous invitons à consulter régulièrement la présente page.
24.3 Historique des versions
| Version | Date | Nature des modifications |
|---|---|---|
| 3.0 | 2 mars 2026 | Traduction intégrale en français, ajout de Mistral AI et Google Gemini comme fournisseurs d'IA, suppression de Vercel, mise à jour des sous-traitants et des mécanismes de transfert international, mise à jour du statut du DPD |
| 2.0 | 10 février 2026 | Réécriture complète : extension à 25 articles, ajout des AIPD, conformité au Règlement IA, gestion des sous-traitants, analyses d'impact des transferts, mise en balance des intérêts légitimes, procédures de violation, transparence sur la détection de fraude, principes de protection dès la conception |
| 1.0 | Janvier 2026 | Publication initiale de la politique de confidentialité |
25. Contact et autorité de contrôle
Pour toute question, préoccupation ou demande relative à la présente Politique de Confidentialité ou au traitement de vos données à caractère personnel, vous pouvez nous contacter par les canaux suivants :
25.1 Délégué à la Protection des Données (DPD)
| Détail | Information |
|---|---|
| Dénomination | Délégué à la Protection des Données - SKYNET INITIATIVE |
| Courriel | [email protected] |
| Adresse postale | SKYNET INITIATIVE - DPD - 4 Rue Alexis Rostand, 13010 Marseille, France |
| Délai de réponse | Sous 5 jours ouvrables pour l'accusé de réception ; sous 1 mois pour la réponse substantielle |
| Langues | Français, Anglais |
25.2 Contact général
| Détail | Information |
|---|---|
| Société | SKYNET INITIATIVE SAS |
| Courriel général | [email protected] |
| Siège social | 4 Rue Alexis Rostand, 13010 Marseille, France |
| Site internet | https://platform.skynet-initiative.com |
25.3 Autorité de contrôle
Si vous estimez que le traitement de vos données à caractère personnel constitue une violation du RGPD ou de la législation française en matière de protection des données, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. Pour les personnes concernées en France, l'autorité compétente est :
| Détail | Information |
|---|---|
| Autorité | Commission Nationale de l'Informatique et des Libertés (CNIL) |
| Adresse | 3 Place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07, France |
| Téléphone | +33 (0)1 53 73 22 22 |
| Site internet | https://www.cnil.fr |
| Formulaire de plainte en ligne | https://www.cnil.fr/fr/plaintes |
25.4 Réclamations transfrontalières
Si vous êtes établi dans un autre État membre de l'UE/EEE, vous pouvez introduire une réclamation auprès de votre autorité de contrôle locale, laquelle coopérera avec la CNIL dans le cadre du mécanisme de cohérence du RGPD (art. 60 à 67 du RGPD). Skynet étant établie en France, la CNIL fait office d'autorité de contrôle chef de file pour les traitements transfrontaliers au titre de l'article 56 du RGPD.
Vous pouvez également exercer un recours juridictionnel devant les juridictions de l'État membre où se trouve votre résidence habituelle, votre lieu de travail ou le lieu de la violation alléguée (art. 79 du RGPD).