Article 1 — Responsable du traitement
Le responsable du traitement des données personnelles collectées sur la plateforme Marchéo accessible à l'adresse marchéo.fr est :
- Dénomination : MERIEULT Paul (entreprise individuelle, nom commercial « Marchéo »)
- Forme juridique : Entrepreneur individuel
- SIRET : 104 533 849 00014
- Siège social : 14 rue de la Planquette, 14640 Villers-sur-Mer, France
- Email : privacy@marchéo.fr
Article 2 — Données collectées
2.1 Données des clients (acheteurs)
| Catégorie | Données | Source |
|---|---|---|
| Identité | Prénom, nom | Saisie lors de la commande |
| Contact | Email, téléphone | Saisie lors de la commande |
| Livraison | Adresse postale | Saisie si livraison à domicile |
| Transaction | Montant, articles, créneau, mode de retrait | Généré lors de la commande |
| Paiement | Derniers chiffres de la carte, token Stripe (jamais les numéros complets) | Stripe (prestataire de paiement) |
| Technique | Adresse IP, horodatage, navigateur | Automatique lors de la connexion |
| Acceptations | Acceptation CGV (date, heure, version, IP) | Généré lors de la commande |
| Réservation de table | Date/heure de réservation, nombre de couverts, occasion (anniversaire, business…), allergies, demandes spéciales | Saisie lors de la réservation (restauration uniquement) |
| Empreinte bancaire | SetupIntent Stripe, payment_method_id, customer_id Stripe (la carte est tokenisée et stockée chez Stripe, pas chez Marchéo) | Stripe (prestataire PCI-DSS Niveau 1) |
| Token d'annulation | Token aléatoire 32 caractères généré pour permettre l'annulation par lien magique sans mot de passe | Généré automatiquement à la création de la réservation |
2.2 Données des commerçants (vendeurs)
| Catégorie | Données |
|---|---|
| Identité | Prénom, nom, email, téléphone |
| Entreprise | Raison sociale, SIRET, forme juridique, adresse |
| Boutique | Nom de boutique, slug, description, photos, horaires |
| Stripe Connect | Compte Stripe Connect (données KYC gérées par Stripe) |
| Acceptations | Acceptation CGV plateforme et charte qualité (date, heure, version) |
2.3 Données que nous ne collectons pas
Marchéo ne collecte jamais :
- Les numéros de carte bancaire complets (gérés exclusivement par Stripe, certifié PCI-DSS)
- Les données biométriques
- Les données de santé
- Les données sensibles au sens de l'article 9 du RGPD
Article 3 — Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Traitement et suivi des commandes | Exécution du contrat (art. 6.1.b RGPD) |
| Paiement sécurisé via Stripe | Exécution du contrat |
| Envoi de confirmations et notifications (SMS, email, push) | Exécution du contrat |
| Gestion des litiges et du service client | Intérêt légitime (art. 6.1.f) |
| Respect des obligations légales (comptabilité, fiscalité) | Obligation légale (art. 6.1.c) |
| Preuve d'acceptation des CGV (audit légal) | Obligation légale + intérêt légitime |
| Amélioration du service, statistiques anonymisées | Intérêt légitime |
| Marketing et communications commerciales (newsletter) | Consentement (art. 6.1.a) — opt-in explicite |
Article 4 — Durées de conservation
| Donnée | Durée active | Durée archivage |
|---|---|---|
| Données de commande (clients) | 3 ans après la commande | 10 ans (obligation comptable) |
| Données de compte commerçant | Durée de l'abonnement actif | 5 ans après résiliation |
| Logs d'acceptation CGV | 5 ans | 10 ans (preuve légale) |
| Données de paiement (tokens Stripe) | 13 mois (délai de rétrofacturation) | Selon politique Stripe |
| Réservations de table | 3 ans après la résa (statistiques + preuve) | 10 ans (obligation comptable si empreinte capturée) |
| Empreinte bancaire (SetupIntent) | Active jusqu'à libération ou capture (max 30 jours) | Selon politique Stripe (token PaymentMethod) |
| Token d'annulation réservation | Tant que la réservation est active (avant son traitement) | Supprimé après traitement final |
| Logs techniques (IP, connexions) | 12 mois | Supprimés |
| Cookies analytiques | 13 mois maximum | Supprimés |
Article 5 — Destinataires des données
Vos données sont transmises uniquement aux destinataires suivants, dans la stricte mesure nécessaire :
5.1 Sous-traitants techniques
- Supabase Inc. (hébergement base de données) — Serveurs UE (Frankfurt) — Politique de confidentialité
- Vercel Inc. (hébergement application) — Serveurs UE disponibles — Politique de confidentialité
- Stripe Inc. (paiement en ligne) — Certifié PCI-DSS niveau 1 — Politique de confidentialité
- Resend / Twilio (envoi d'emails et SMS transactionnels)
5.2 Commerçants partenaires
Lors d'une commande, les données nécessaires (nom, téléphone, créneau, articles) sont transmises au commerçant concerné pour lui permettre de préparer et remettre votre commande. Le commerçant est co-responsable du traitement pour les données relatives à ses propres ventes.
5.3 Autorités
Marchéo peut être amené à communiquer des données aux autorités judiciaires ou administratives françaises sur réquisition légale.
Article 6 — Transferts hors Union européenne
Marchéo s'efforce de stocker les données au sein de l'Union européenne. Certains sous-traitants (Stripe, Vercel) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD.
Article 7 — Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Pour exercer l'un de ces droits, envoyez un email à privacy@marchéo.fr en précisant votre demande et en joignant une copie de votre pièce d'identité. Nous nous engageons à répondre dans un délai d'un mois.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Article 8 — Cookies et traceurs
8.1 Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du site (session utilisateur, panier, authentification). Ils ne nécessitent pas votre consentement.
8.2 Mesure d'audience
Marchéo utilise un outil interne de mesure d'audience, sans cookie ni traceur publicitaire, et sans transfert de données à des tiers. Seules des informations anonymes sont collectées : page consultée, type d'appareil (mobile / tablette / ordinateur), nom de domaine du site référent. Aucune donnée permettant de vous ré-identifier n'est conservée. Conformément aux recommandations de la CNIL, cette mesure d'audience anonyme bénéficie d'une dispense de consentement.
8.3 Cookies tiers
Stripe peut déposer des cookies de sécurité sur les pages de paiement. Ces cookies relèvent de la politique de confidentialité de Stripe.
8.4 Gestion des cookies
Vous pouvez à tout moment supprimer ou bloquer les cookies via les paramètres de votre navigateur. La désactivation des cookies essentiels (session, panier, authentification) peut affecter le fonctionnement du service.
Article 9 — Sécurité des données
Marchéo met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement TLS/HTTPS sur toutes les communications
- Row Level Security (RLS) sur la base de données Supabase — chaque commerçant n'accède qu'à ses propres données
- Authentification sécurisée via JWT avec expiration
- Paiements certifiés PCI-DSS via Stripe (les numéros de carte ne transitent jamais par nos serveurs)
- Journalisation des accès et surveillance des anomalies
- Sauvegardes régulières avec chiffrement au repos
- Accès restreint aux données personnelles au strict personnel autorisé
En cas de violation de données susceptible d'engendrer un risque élevé, Marchéo s'engage à notifier les personnes concernées dans les 72 heures conformément à l'article 33 du RGPD, et à informer la CNIL.
Article 10 — Données des commerçants partenaires
Les commerçants inscrits sur Marchéo agissent en qualité de responsables de traitement pour les données de leurs propres clients. Marchéo agit à leur égard en qualité de sous-traitant au sens de l'article 28 du RGPD.
Un accord de traitement des données (DPA — Data Processing Agreement) est intégré aux Conditions Générales d'Utilisation de la plateforme. Les commerçants s'engagent à :
- Disposer d'une base légale pour traiter les données de leurs clients
- Informer leurs clients de leurs propres pratiques de confidentialité
- Ne pas utiliser les données clients de la plateforme à des fins non liées aux commandes
- Respecter les durées de conservation applicables
Article 11 — Mineurs
Le service Marchéo n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles provenant de mineurs. Si vous êtes parent ou tuteur et constatez que votre enfant nous a communiqué des données, contactez-nous à privacy@marchéo.fr pour suppression immédiate.
Article 12 — Modifications de la politique
Marchéo se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour se conformer à l'évolution de la réglementation ou du service.
En cas de modification substantielle, les utilisateurs enregistrés seront informés par email au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions. La poursuite de l'utilisation du service après cette période vaut acceptation.
L'historique des versions est conservé et disponible sur demande à privacy@marchéo.fr.
Article 13 — Contact DPO et réclamations
Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits :
- Email : privacy@marchéo.fr
- Courrier : Marchéo — Service Protection des Données — 14 rue de la Planquette, 14640 Villers-sur-Mer, France
- Délai de réponse : 1 mois maximum (extensible à 3 mois en cas de demande complexe)
En cas de réclamation non résolue, vous avez le droit de saisir la CNIL : cnil.fr/fr/plaintes