Politique de confidentialité

1. Responsable du traitement

Coradossi Stéphanie — Fani
18 Boulevard Léon, 13009 Marseille, France
Email : stephanie.coradossi@gmail.com

2. Données collectées

Nous collectons les données suivantes dans le cadre du traitement de vos commandes :

• Identité : prénom, nom
• Coordonnées : adresse email, téléphone (optionnel), adresse postale de livraison
• Commandes : historique des achats, montants
• Compte : mot de passe (haché avec BCrypt, jamais stocké en clair)
• Données techniques : adresse IP et logs de connexion (conservés à des fins de sécurité)

Nous ne collectons aucune donnée bancaire. Les paiements sont traités directement par Stripe, qui dispose de sa propre politique de confidentialité.

3. Finalités du traitement

• Gestion de votre compte client
• Traitement et suivi de vos commandes
• Livraison des produits
• Communication relative à vos commandes (vérification d'email, confirmation, expédition, suivi)
• Gestion des retours et du service après-vente
• Obligations comptables et fiscales
• Sécurité du site (prévention de la fraude, des abus et des tentatives d'intrusion)

4. Base légale

Le traitement de vos données est fondé sur :

• L'exécution du contrat (traitement de votre commande, gestion du compte)
• Nos obligations légales (facturation, comptabilité)
• Notre intérêt légitime (sécurité du site, prévention de la fraude)

5. Destinataires et sous-traitants

Vos données sont accessibles uniquement par :

• Coradossi Stéphanie (responsable du site)

Nous faisons appel aux sous-traitants suivants, chacun engagé contractuellement au respect du RGPD :

• Stripe Payments Europe, Ltd. (Irlande) — prestataire de paiement. Données transmises : email, montant, informations de carte traitées directement par Stripe.
• PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxembourg) — prestataire de paiement. Données transmises : email, montant ; les informations de paiement sont traitées directement par PayPal.
• Railway Corporation (États-Unis) — hébergement du site et de la base de données. Données hébergées : l'ensemble des données utilisateurs et commandes.
• Cloudinary Ltd. (États-Unis / Israël) — hébergement et diffusion des images (visuels des œuvres et fonds de mise en situation). Aucune donnée personnelle de client n'y est stockée.
• Sendinblue SAS (Brevo) (France) — envoi des emails transactionnels (vérification, confirmation de commande, réinitialisation de mot de passe). Données transmises : email, prénom.
• Google LLC (États-Unis) — sauvegarde automatique de la base de données sur Google Drive, et fourniture de l'adresse expéditrice fani.art.noreply@gmail.com (Gmail). Données transmises : sauvegarde chiffrée de la base.
• Transporteurs (La Poste, Colissimo, Chronopost, Mondial Relay, Relais Colis, DHL) — acheminement des commandes. Données transmises : nom, prénom, adresse postale. Le transporteur retenu dépend de la commande.

Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales ou publicitaires.

6. Transferts hors Union européenne

Certaines de vos données sont hébergées ou traitées hors de l'Union européenne (Railway et Google, situés aux États-Unis). Ces transferts sont encadrés par :

• La décision d'adéquation EU-US Data Privacy Framework (adoptée le 10 juillet 2023), à laquelle Google LLC adhère ;
• Des clauses contractuelles types (CCT) de la Commission européenne pour les prestataires non certifiés.

Ces garanties assurent un niveau de protection de vos données équivalent à celui du RGPD.

7. Durée de conservation

• Données de compte : conservées tant que le compte est actif, puis supprimées 3 ans après la dernière connexion
• Données de commande et factures : conservées 10 ans à compter de la commande (obligation comptable, article L123-22 du Code de commerce)
• Adresses de livraison : chiffrées en base de données (AES-GCM)
• Logs de connexion et adresses IP : conservés 12 mois à des fins de sécurité

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :

• Chiffrement des données sensibles en base de données (AES-GCM)
• Connexion HTTPS obligatoire (TLS)
• Mots de passe hachés avec BCrypt
• Authentification par jeton JWT
• Règles de mot de passe fort (12 caractères minimum, majuscule, chiffre, caractère spécial)
• Vérification d'email obligatoire à l'inscription
• Aucune donnée bancaire stockée sur nos serveurs
• Sauvegardes chiffrées et régulières de la base de données

9. Prise de décision automatisée

Nous ne procédons à aucune prise de décision automatisée ni à aucun profilage produisant des effets juridiques ou vous affectant de manière significative.

10. Vos droits

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données
• Droit de rectification : corriger vos données inexactes
• Droit à l'effacement : demander la suppression de vos données (« droit à l'oubli »)
• Droit à la limitation du traitement : suspendre temporairement le traitement de vos données
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine
• Droit d'opposition : vous opposer au traitement de vos données pour des motifs légitimes
• Droit de définir des directives post-mortem concernant le sort de vos données

Pour exercer vos droits, contactez-nous par email à : stephanie.coradossi@gmail.com. Nous nous engageons à vous répondre dans un délai d'un mois.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr

11. Violation de données

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à en informer la CNIL dans un délai de 72 heures, et à vous en informer dans les meilleurs délais lorsque cette violation est susceptible d'engendrer un risque élevé.

12. Cookies et traceurs

Ce site n'utilise ni cookies de suivi, ni cookies publicitaires, ni outils d'analyse (pas de Google Analytics, pas de Facebook Pixel, etc.). Seul le stockage local du navigateur (localStorage) est utilisé pour maintenir votre session de connexion. Ce stockage technique est strictement nécessaire au fonctionnement du site et ne nécessite pas de consentement préalable au sens de l'article 82 de la loi Informatique et Libertés.

13. Modifications

La présente politique peut être modifiée à tout moment. La date de dernière mise à jour figure en haut de cette page. En cas de modification substantielle, les utilisateurs disposant d'un compte seront informés par email.