Politique de confidentialité
La présente Politique de confidentialité explique comment Yatma GUEYE, éditrice de la plateforme berreo (ci-après « la Plateforme »), collecte, utilise et protège vos données personnelles, dans le respect du Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) et de la Loi Informatique et Libertés modifiée.
Nous nous engageons à traiter vos données avec transparence, à les protéger, et à respecter vos droits.
1. Responsable du traitement
Le responsable du traitement est :
Yatma GUEYE 9 rue d'Orange, 13003 Marseille, France SIREN : 801 392 697 Email : privacy@berreo.fr
Au regard du volume et de la nature des traitements, Yatma GUEYE n'est pas tenue de désigner un Délégué à la protection des données (DPO). Le représentant légal, Yatma Gueye, est votre point de contact unique pour toute question relative à vos données personnelles.
2. Données collectées et finalités
berreo collecte uniquement les données strictement nécessaires au fonctionnement de la Plateforme. Voici le détail par finalité :
2.1. Création et gestion de votre compte (client ou commerçant)
| Donnée | Caractère obligatoire | Base légale | Durée de conservation |
|---|---|---|---|
| Obligatoire | Exécution du contrat (CGU) | 3 ans après dernière activité | |
| Mot de passe (haché) | Obligatoire (clients) | Exécution du contrat | Idem |
| Prénom, nom | Optionnel (clients) / Obligatoire (commerçants) | Exécution du contrat | Idem |
| Téléphone | Optionnel (clients) / Obligatoire (commerçants) | Exécution du contrat | Idem |
| Photo de profil | Optionnel | Consentement | Tant que renseignée |
2.2. Création d'une boutique et publication de produits (commerçants uniquement)
| Donnée | Caractère obligatoire | Base légale | Durée de conservation |
|---|---|---|---|
| Raison sociale, SIRET | Obligatoire | Obligation légale (LCEN, Code de la conso) | Durée de l'inscription + 5 ans |
| Adresse de la boutique physique | Obligatoire | Obligation légale | Durée de l'inscription + 5 ans |
| Coordonnées géographiques (géocodées) | Obligatoire | Intérêt légitime (recherche de proximité) | Durée de l'inscription |
| RIB / IBAN (via Stripe) | Obligatoire pour percevoir les paiements | Exécution du contrat | Géré par Stripe (cf. § 5) |
| Pièce d'identité du dirigeant | Obligatoire (KYC Stripe) | Obligation légale anti-blanchiment | Géré par Stripe |
2.3. Passage de commandes (clients)
| Donnée | Caractère obligatoire | Base légale | Durée de conservation |
|---|---|---|---|
| Adresse de livraison | Obligatoire | Exécution du contrat | 5 ans (preuve commerciale) |
| Téléphone | Obligatoire | Exécution du contrat (notification pickup) | 5 ans |
| Historique des commandes | — | Exécution du contrat + obligation comptable | 10 ans (factures) |
| Données de paiement | Non stockées par berreo | Géré par Stripe | Géré par Stripe |
2.4. Messagerie interne client ↔ vendeur
| Donnée | Base légale | Durée de conservation |
|---|---|---|
| Contenu des messages | Exécution du contrat (lien à une commande) | 1 an après la dernière interaction |
| Métadonnées (horodatage, statut lu/non-lu) | Exécution du contrat | Idem |
| Logs de modération automatique | Intérêt légitime (sécurité, prévention fraude) | 6 mois |
2.5. Messagerie interne vendeur ↔ berreo et supervision
| Donnée | Base légale | Durée de conservation |
|---|---|---|
| Contenu des conversations vendeur↔berreo | Exécution du contrat (support et accompagnement vendeur) | Durée de votre activité berreo + 3 ans après la dernière interaction |
| Métadonnées (sujet, statut, horodatage) | Exécution du contrat | Idem |
| Accès lecture par l'équipe berreo aux conversations vendeur↔client | Intérêt légitime (modération, résolution de litiges, prévention fraude) | Durée de votre activité berreo + 3 ans |
Les administrateurs berreo peuvent consulter les conversations entre
vendeurs et clients dans le strict but de modération et de résolution
de litiges. Ils n'interviennent pas dans ces échanges. Vous pouvez à
tout moment demander l'effacement de vos messages en écrivant à
contact@berreo.fr, sous réserve des obligations légales de conservation
(litiges en cours, comptabilité).
2.6. Messagerie interne client ↔ berreo (support)
| Donnée | Base légale | Durée de conservation |
|---|---|---|
| Contenu des conversations client↔berreo | Exécution du contrat (support après-vente) ou intérêt légitime (assistance avant-vente, accompagnement) | Durée de votre compte berreo + 3 ans après la dernière interaction |
| Métadonnées (sujet, statut, horodatage) | Exécution du contrat | Idem |
Si vous êtes connecté à votre compte berreo, vous pouvez écrire à l'équipe
berreo pour toute demande de support ou d'information depuis votre espace
personnel. Ces messages sont consultés uniquement par les administrateurs
berreo dans le but de vous répondre. Ils ne sont communiqués à aucun tiers.
Vous pouvez à tout moment demander l'effacement de ces échanges en écrivant
à contact@berreo.fr, sous réserve des obligations légales de conservation
(litiges en cours, comptabilité).
2.7. Formulaire de contact public
| Donnée | Base légale | Durée de conservation |
|---|---|---|
| Nom, adresse email, sujet, message | Intérêt légitime (répondre à votre sollicitation) | Conservées jusqu'à votre demande d'effacement, sous réserve des obligations légales de conservation |
| Analyse automatisée du message (classification + brouillon de réponse) | Intérêt légitime (organisation et qualité du support) | Conservées jusqu'à votre demande d'effacement, sous réserve des obligations légales de conservation |
| Métadonnées (date de réception, statut de traitement, date de lecture, date de réponse) | Intérêt légitime (suivi opérationnel) | Conservées jusqu'à votre demande d'effacement, sous réserve des obligations légales de conservation |
Si vous nous écrivez via le formulaire de la page /contact sans être
connecté à un compte berreo, vos coordonnées et votre message sont
enregistrés afin que l'équipe berreo puisse vous répondre. Pour faciliter
le traitement de votre demande, votre message fait l'objet d'un
traitement automatisé qui le catégorise et prépare un brouillon de
réponse. Ce brouillon est systématiquement relu et validé par un
humain avant tout envoi.
Ces données ne sont communiquées à aucun tiers en dehors du
sous-traitant technique assurant le traitement automatisé décrit ci-dessus
(cf. § 3.2). Vous pouvez à tout moment demander l'effacement de ces
données en écrivant à contact@berreo.fr, sous réserve des obligations
légales de conservation.
2.8. Données techniques de navigation
| Donnée | Base légale | Durée de conservation |
|---|---|---|
| Adresse IP, User-Agent, logs serveur | Intérêt légitime (sécurité, anti-fraude) | 1 an |
| Cookies fonctionnels | Cf. Politique cookies | Cf. Politique cookies |
3. À qui sont communiquées vos données ?
Vos données personnelles ne sont jamais vendues. Elles sont communiquées uniquement aux destinataires nécessaires au fonctionnement du service :
3.1. Au sein de la relation commerciale
- Au commerçant chez qui vous passez commande : votre nom, prénom, adresse de livraison ou de retrait, téléphone, et le contenu de votre commande. Le commerçant est responsable de l'utilisation qu'il en fait dans le cadre de l'exécution de votre commande, et a ses propres obligations RGPD.
- Au client qui passe commande chez vous (commerçants) : son nom, prénom, adresse, téléphone, et le contenu de la commande.
3.2. À nos sous-traitants techniques
| Sous-traitant | Finalité | Localisation des données | Garanties |
|---|---|---|---|
| Supabase (hébergement BDD + auth + stockage) | Stockage et accès aux données | Irlande (UE) | Conforme RGPD, hébergement UE |
| Vercel (hébergement applicatif) | Exécution du code de la Plateforme | Allemagne (UE) | Conforme RGPD |
| Stripe (paiement et KYC) | Traitement des paiements, vérification d'identité commerçants | Irlande (UE) + transferts vers USA encadrés (DPF, SCC) | Stripe est sous-traitant de paiement réglementé. Cf. Politique Stripe |
| Resend (emails transactionnels) | Envoi des emails (confirmation commande, magic link, etc.) | USA + UE | Transferts USA encadrés par les Standard Contractual Clauses |
| Mapbox (cartographie) | Affichage des cartes | USA | Pas de donnée personnelle transmise (uniquement coordonnées de boutiques publiques) |
| Sentry (monitoring d'erreurs) | Détection et débogage des incidents techniques | Allemagne (UE) | Pseudonymisation, pas de PII en clair |
| OpenRouter / fournisseurs LLM (modules IA) | Amélioration automatique des fiches produits, modération de contenu, traitement automatisé des messages envoyés via le formulaire de contact public | UE / USA selon modèle | Données envoyées : contenu produit pour l'amélioration des fiches ; pour les messages de contact, contenu du message et nom/email de l'expéditeur (données identifiantes). Transferts hors UE encadrés par les Standard Contractual Clauses |
3.3. Aux autorités
En cas de réquisition judiciaire, administrative ou fiscale, Yatma GUEYE peut être tenue de communiquer certaines de vos données aux autorités compétentes. Ces communications sont strictement encadrées par la loi.
4. Transferts hors Union européenne
Certains de nos sous-traitants (Stripe, Resend, Mapbox, OpenRouter) peuvent être amenés à traiter des données en dehors de l'Union européenne, notamment aux États-Unis.
Ces transferts sont encadrés par :
- L'adhésion au Data Privacy Framework (DPF) lorsque le sous-traitant en bénéficie ;
- Les Clauses Contractuelles Types (Standard Contractual Clauses) approuvées par la Commission européenne ;
- Des mesures techniques complémentaires (chiffrement en transit et au repos).
5. Données de paiement
berreo utilise Stripe Connect Express comme prestataire de paiement. berreo ne stocke aucune donnée bancaire (numéro de carte, CVV, IBAN). Ces données sont collectées et stockées directement par Stripe, qui est conforme à la norme PCI-DSS niveau 1 (le plus strict).
Pour les commerçants, Stripe procède à une vérification d'identité (KYC) lors de l'activation des paiements. Les pièces d'identité fournies sont stockées par Stripe et ne sont pas accessibles à Yatma GUEYE.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation (factures notamment).
- Droit à la limitation du traitement : geler temporairement le traitement de certaines données.
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
- Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur votre consentement.
- Droit de définir des directives post-mortem sur le sort de vos données après votre décès.
Comment exercer vos droits
Adressez votre demande, accompagnée d'une preuve d'identité (photo de pièce d'identité), à :
Email : privacy@berreo.fr Courrier : Yatma GUEYE — 9 rue d'Orange, 13003 Marseille, France
Nous nous engageons à répondre dans un délai d'un mois, prolongeable de deux mois en cas de demande complexe (vous serez alors informé du délai).
Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 Site : cnil.fr
7. Sécurité
berreo met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, l'altération, la divulgation et l'accès non autorisé :
- Chiffrement HTTPS/TLS sur l'ensemble du site
- Chiffrement des bases de données au repos (AES-256)
- Authentification renforcée des comptes administrateurs
- Cloisonnement des données via les politiques RLS de PostgreSQL
- Sauvegardes quotidiennes chiffrées
- Surveillance continue (Sentry) et audits réguliers
- Limitation des accès aux données aux seules personnes habilitées
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous vous en informerons dans les meilleurs délais et notifierons la CNIL conformément à l'article 33 du RGPD.
8. Mineurs
berreo n'est pas destinée aux personnes de moins de 15 ans. Nous ne collectons pas sciemment de données concernant des mineurs de moins de 15 ans sans le consentement préalable du titulaire de l'autorité parentale.
Si vous êtes parent ou tuteur et estimez que votre enfant nous a fourni des données personnelles, contactez-nous à privacy@berreo.fr.
9. Modifications de la présente politique
berreo se réserve le droit de modifier la présente Politique de confidentialité à tout moment. En cas de modification substantielle, vous serez notifié par email et/ou par bandeau sur la Plateforme avant l'entrée en vigueur des changements.
10. Contact
Email : privacy@berreo.fr Courrier : Yatma GUEYE — 9 rue d'Orange, 13003 Marseille, France Téléphone : +33 7 58 77 52 91