Politique de confidentialité
Dernière mise à jour : 27 avril 2026
La présente Politique de confidentialité explique comment Yatma GUEYE, éditrice de la plateforme berreo (ci-après « la Plateforme »), collecte, utilise et protège vos données personnelles, dans le respect du Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) et de la Loi Informatique et Libertés modifiée.
Nous nous engageons à traiter vos données avec transparence, à les protéger, et à respecter vos droits.
1. Responsable du traitement
Le responsable du traitement est :
Yatma GUEYE 9 rue d'Orange, 13003 Marseille, France SIREN : 801 392 697 Email : privacy@berreo.fr
Au regard du volume et de la nature des traitements, Yatma GUEYE n'est pas tenue de désigner un Délégué à la protection des données (DPO). Le représentant légal, Yatma Gueye, est votre point de contact unique pour toute question relative à vos données personnelles.
2. Données collectées et finalités
berreo collecte uniquement les données strictement nécessaires au fonctionnement de la Plateforme. Voici le détail par finalité :
2.1. Création et gestion de votre compte (client ou commerçant)
| Donnée | Caractère obligatoire | Base légale | Durée de conservation |
|---|---|---|---|
| Obligatoire | Exécution du contrat (CGU) | 3 ans après dernière activité | |
| Mot de passe (haché) | Obligatoire (clients) | Exécution du contrat | Idem |
| Prénom, nom | Optionnel (clients) / Obligatoire (commerçants) | Exécution du contrat | Idem |
| Téléphone | Optionnel (clients) / Obligatoire (commerçants) | Exécution du contrat | Idem |
| Photo de profil | Optionnel | Consentement | Tant que renseignée |
2.2. Création d'une boutique et publication de produits (commerçants uniquement)
| Donnée | Caractère obligatoire | Base légale | Durée de conservation |
|---|---|---|---|
| Raison sociale, SIRET | Obligatoire | Obligation légale (LCEN, Code de la conso) | Durée de l'inscription + 5 ans |
| Adresse de la boutique physique | Obligatoire | Obligation légale | Durée de l'inscription + 5 ans |
| Coordonnées géographiques (géocodées) | Obligatoire | Intérêt légitime (recherche de proximité) | Durée de l'inscription |
| RIB / IBAN (via Stripe) | Obligatoire pour percevoir les paiements | Exécution du contrat | Géré par Stripe (cf. § 5) |
| Pièce d'identité du dirigeant | Obligatoire (KYC Stripe) | Obligation légale anti-blanchiment | Géré par Stripe |
2.3. Passage de commandes (clients)
| Donnée | Caractère obligatoire | Base légale | Durée de conservation |
|---|---|---|---|
| Adresse de livraison | Obligatoire | Exécution du contrat | 5 ans (preuve commerciale) |
| Téléphone | Obligatoire | Exécution du contrat (notification pickup) | 5 ans |
| Historique des commandes | — | Exécution du contrat + obligation comptable | 10 ans (factures) |
| Données de paiement | Non stockées par berreo | Géré par Stripe | Géré par Stripe |
2.4. Messagerie interne client ↔ vendeur
| Donnée | Base légale | Durée de conservation |
|---|---|---|
| Contenu des messages | Exécution du contrat (lien à une commande) | 1 an après la dernière interaction |
| Métadonnées (horodatage, statut lu/non-lu) | Exécution du contrat | Idem |
| Logs de modération automatique | Intérêt légitime (sécurité, prévention fraude) | 6 mois |
2.5. Données techniques de navigation
| Donnée | Base légale | Durée de conservation |
|---|---|---|
| Adresse IP, User-Agent, logs serveur | Intérêt légitime (sécurité, anti-fraude) | 1 an |
| Cookies fonctionnels | Cf. Politique cookies | Cf. Politique cookies |
3. À qui sont communiquées vos données ?
Vos données personnelles ne sont jamais vendues. Elles sont communiquées uniquement aux destinataires nécessaires au fonctionnement du service :
3.1. Au sein de la relation commerciale
- Au commerçant chez qui vous passez commande : votre nom, prénom, adresse de livraison ou de retrait, téléphone, et le contenu de votre commande. Le commerçant est responsable de l'utilisation qu'il en fait dans le cadre de l'exécution de votre commande, et a ses propres obligations RGPD.
- Au client qui passe commande chez vous (commerçants) : son nom, prénom, adresse, téléphone, et le contenu de la commande.
3.2. À nos sous-traitants techniques
| Sous-traitant | Finalité | Localisation des données | Garanties |
|---|---|---|---|
| Supabase (hébergement BDD + auth + stockage) | Stockage et accès aux données | Irlande (UE) | Conforme RGPD, hébergement UE |
| Vercel (hébergement applicatif) | Exécution du code de la Plateforme | Allemagne (UE) | Conforme RGPD |
| Stripe (paiement et KYC) | Traitement des paiements, vérification d'identité commerçants | Irlande (UE) + transferts vers USA encadrés (DPF, SCC) | Stripe est sous-traitant de paiement réglementé. Cf. Politique Stripe |
| Resend (emails transactionnels) | Envoi des emails (confirmation commande, magic link, etc.) | USA + UE | Transferts USA encadrés par les Standard Contractual Clauses |
| Mapbox (cartographie) | Affichage des cartes | USA | Pas de donnée personnelle transmise (uniquement coordonnées de boutiques publiques) |
| Sentry (monitoring d'erreurs) | Détection et débogage des incidents techniques | Allemagne (UE) | Pseudonymisation, pas de PII en clair |
| OpenRouter / fournisseurs LLM (modules IA) | Amélioration automatique des fiches produits, modération | UE / USA selon modèle | Données envoyées : contenu produit, pas de donnée client identifiante |
3.3. Aux autorités
En cas de réquisition judiciaire, administrative ou fiscale, Yatma GUEYE peut être tenue de communiquer certaines de vos données aux autorités compétentes. Ces communications sont strictement encadrées par la loi.
4. Transferts hors Union européenne
Certains de nos sous-traitants (Stripe, Resend, Mapbox, OpenRouter) peuvent être amenés à traiter des données en dehors de l'Union européenne, notamment aux États-Unis.
Ces transferts sont encadrés par :
- L'adhésion au Data Privacy Framework (DPF) lorsque le sous-traitant en bénéficie ;
- Les Clauses Contractuelles Types (Standard Contractual Clauses) approuvées par la Commission européenne ;
- Des mesures techniques complémentaires (chiffrement en transit et au repos).
5. Données de paiement
berreo utilise Stripe Connect Express comme prestataire de paiement. berreo ne stocke aucune donnée bancaire (numéro de carte, CVV, IBAN). Ces données sont collectées et stockées directement par Stripe, qui est conforme à la norme PCI-DSS niveau 1 (le plus strict).
Pour les commerçants, Stripe procède à une vérification d'identité (KYC) lors de l'activation des paiements. Les pièces d'identité fournies sont stockées par Stripe et ne sont pas accessibles à Yatma GUEYE.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation (factures notamment).
- Droit à la limitation du traitement : geler temporairement le traitement de certaines données.
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
- Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur votre consentement.
- Droit de définir des directives post-mortem sur le sort de vos données après votre décès.
Comment exercer vos droits
Adressez votre demande, accompagnée d'une preuve d'identité (photo de pièce d'identité), à :
Email : privacy@berreo.fr Courrier : Yatma GUEYE — 9 rue d'Orange, 13003 Marseille, France
Nous nous engageons à répondre dans un délai d'un mois, prolongeable de deux mois en cas de demande complexe (vous serez alors informé du délai).
Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 Site : cnil.fr
7. Sécurité
berreo met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, l'altération, la divulgation et l'accès non autorisé :
- Chiffrement HTTPS/TLS sur l'ensemble du site
- Chiffrement des bases de données au repos (AES-256)
- Authentification renforcée des comptes administrateurs
- Cloisonnement des données via les politiques RLS de PostgreSQL
- Sauvegardes quotidiennes chiffrées
- Surveillance continue (Sentry) et audits réguliers
- Limitation des accès aux données aux seules personnes habilitées
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous en informerons dans les meilleurs délais et notifierons la CNIL conformément à l'article 33 du RGPD.
8. Mineurs
berreo n'est pas destinée aux personnes de moins de 15 ans. Nous ne collectons pas sciemment de données concernant des mineurs de moins de 15 ans sans le consentement préalable du titulaire de l'autorité parentale.
Si vous êtes parent ou tuteur et estimez que votre enfant nous a fourni des données personnelles, contactez-nous à privacy@berreo.fr.
9. Modifications de la présente politique
berreo se réserve le droit de modifier la présente Politique de confidentialité à tout moment. En cas de modification substantielle, vous serez notifié par email et/ou par bandeau sur la Plateforme avant l'entrée en vigueur des changements.
10. Contact
Email : privacy@berreo.fr Courrier : Yatma GUEYE — 9 rue d'Orange, 13003 Marseille, France Téléphone : +33 7 58 77 52 91