Protection des données
Politique de confidentialité
Conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés modifiée. Dernière mise à jour : juin 2026.
1. Responsable du traitement
Rachel Guitton, auto-entrepreneur — atelier.ressuscite@gmail.com — lea-expertise.fr
2. Données collectées et finalités
| Catégorie | Données | Finalité | Base légale | Durée |
|---|---|---|---|---|
| Données de compte | Nom, adresse email, mot de passe (haché) | Création et gestion du compte | Contrat | 3 ans après clôture du compte |
| Photos de sacs | Images uploadées pour expertise | Réalisation de l'analyse d'authenticité | Contrat | 5 ans (valeur probatoire) |
| Données d'analyse | Résultats IA, score, verdict, éléments | Fourniture du rapport, amélioration du service | Contrat | 5 ans |
| Données de paiement | Tokenisées par Stripe — non stockées | Traitement des paiements | Contrat | Via Stripe (18 mois) |
| Données de navigation | Logs, erreurs (Sentry) | Sécurité et débogage | Intérêt légitime | 90 jours |
| SIRET (Beta Pro) | Numéro SIRET, raison sociale | Vérification statut professionnel | Obligation légale | 5 ans |
3. Destinataires des données
Vos données peuvent être transmises aux sous-traitants suivants, liés par des garanties contractuelles :
| Sous-traitant | Rôle | Localisation | Garantie |
|---|---|---|---|
| Supabase Inc. | Hébergement base de données et fichiers | Frankfurt (UE) ✓ | DPA signé |
| Vercel Inc. | Hébergement applicatif | USA — SCC | Clauses contractuelles types |
| Anthropic PBC | Analyse IA des photos | USA — SCC | Data processing agreement |
| Stripe Inc. | Traitement des paiements | USA — SCC | DPA Stripe |
| Resend Inc. | Envoi d'emails transactionnels | Irlande (UE) ✓ | DPA signé |
| Voyage AI | Vectorisation base de connaissance | USA — SCC | API terms |
| Sentry (Functional Software) | Monitoring et erreurs | Allemagne (UE) ✓ | DPA signé |
| hCaptcha (Intuition Machines) | Protection anti-bot | USA — SCC | Privacy policy |
Les données personnelles (comptes, photos, dossiers) sont stockées exclusivement en Europe (eu-central-1, Frankfurt). Le traitement IA (Anthropic) implique un transfert temporaire aux États-Unis, encadré par des clauses contractuelles types (SCC) conformes à l'article 46 du RGPD.
4. Cookies et traceurs
Léa n'utilise pas de cookies de tracking ou publicitaires. Les seuls cookies déposés sont :
- Cookies de session Supabase (authentification) — supprimés à la déconnexion
- Cookies hCaptcha (protection anti-bot sur les formulaires) — session uniquement
Aucun consentement cookie n'est requis (cookies strictement nécessaires).
5. Durées de conservation
Les données sont conservées le temps nécessaire à la fourniture du service, augmenté des délais légaux de prescription (5 ans pour les données commerciales, article L.110-4 du Code de commerce). Les comptes inactifs depuis 3 ans sont supprimés après notification.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès — obtenir une copie de vos données
- Droit de rectification — corriger vos données inexactes
- Droit à l'effacement — supprimer votre compte et vos données
- Droit à la portabilité — recevoir vos données dans un format structuré
- Droit d'opposition — vous opposer à un traitement
- Droit à la limitation — restreindre le traitement de vos données
Pour exercer vos droits : atelier.ressuscite@gmail.com. Réponse sous 30 jours. En cas de réclamation non résolue, vous pouvez contacter la CNIL.
7. Sécurité
Vos données sont protégées par : chiffrement TLS en transit, politiques RLS (Row Level Security) en base de données, authentification JWT, protection hCaptcha contre les bots, et monitoring Sentry des anomalies. Les clés d'accès aux services tiers ne sont jamais exposées côté client.
8. Modifications
Cette politique peut être mise à jour. En cas de modification substantielle, vous serez notifié par email. La version en vigueur est toujours disponible sur cette page.