Politique de confidentialité
Dernière mise à jour : 5 mai 2026
La présente Politique de confidentialité décrit la manière dont la société éditrice de Ton Artisan(l'« Éditeur ») collecte, utilise, conserve et protège les données à caractère personnel des utilisateurs de la Plateforme, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
1. Responsable du traitement
Le responsable du traitement est la société éditrice désignée dans les mentions légales.
Délégué à la Protection des Données (DPO) — point de contact unique :
Email : monartisanfr@gmail.com
Courrier : « DPO Ton Artisan » — [Adresse du siège social, à compléter après immatriculation].
2. Données collectées
2.1 Données fournies par l'utilisateur
À l'inscription Client : prénom, nom, email, mot de passe (haché, jamais stocké en clair), code postal/ville.
À l'inscription Pro : les données ci-dessus, plus : raison sociale, SIRET, n° TVA intra (si applicable), adresse professionnelle, métier(s) exercé(s), zone d'intervention, certifications, années d'expérience, attestations d'assurance.
Pendant l'utilisation : photo de profil et bannière, photos de réalisations (portfolio), demandes de devis et description de chantier, devis émis, factures, messages échangés via la messagerie, avis publiés, favoris, agenda et disponibilités, préférences d'affichage.
2.2 Données collectées automatiquement
Adresse IP, identifiant de session, type de navigateur et OS, pages visitées, horodatage des connexions, source de trafic (referrer), interactions techniques (clics, scroll), erreurs techniques.
2.3 Données de paiement
Aucune donnée de carte bancaire ne transite par les serveurs de l'Éditeur ni n'est stockée chez nous. L'intégralité de la chaîne de paiement est gérée par Stripe, certifié PCI-DSS niveau 1. L'Éditeur conserve uniquement : identifiant client Stripe, identifiant d'abonnement, statut, date d'échéance, type de carte (Visa/Mastercard) et 4 derniers chiffres (à des fins de réconciliation).
2.4 Données géographiques
Pour la recherche d'artisans à proximité, la Plateforme utilise les coordonnées géographiques (latitude/longitude) issues du géocodage des adresses postales fournies ou, avec le consentement explicite de l'utilisateur, de la géolocalisation du navigateur. Aucun suivi de déplacement en temps réel n'est effectué.
3. Finalités et bases légales
| Finalité | Base légale | Conservation |
|---|---|---|
| Création et gestion de compte | Exécution du contrat (art. 6.1.b RGPD) | Durée du compte + 30 j |
| Mise en relation Client / Artisan | Exécution du contrat | Durée du compte |
| Messagerie et notifications | Exécution du contrat | 3 ans après dernière activité |
| Devis et factures | Obligation légale (art. L. 102 B LPF) | 10 ans |
| Gestion des abonnements et paiements | Exécution du contrat / Obligation légale | 10 ans (factures) |
| Avis et notation | Intérêt légitime (transparence marché) | 3 ans (art. D. 111-19 C. conso) |
| Lutte contre la fraude et sécurité | Intérêt légitime | 12 mois (logs) |
| Mesure d'audience anonymisée | Intérêt légitime (sans cookie traceur) | 13 mois |
| Newsletter et communications marketing | Consentement (art. 6.1.a RGPD) | 3 ans après dernière interaction |
| Réponse aux demandes d'exercice de droits | Obligation légale (RGPD) | 5 ans (preuve) |
3.1 Détails de conservation des devis
En complément de la durée légale de 10 ans applicable aux devis signés et factures (obligations comptables et décennales BTP), nous appliquons une politique de purge automatique pour les données non engageantes :
- Devis signés et acceptés : conservés 10 ansà compter de la signature, accompagnés de leurs preuves d'intégrité (PDF signé archivé, hash SHA-256, journal d'événements de signature).
- Devis émis mais jamais signés : supprimés 1 anaprès la fin de leur période de validité.
- Brouillons abandonnés : supprimés 6 moisaprès leur dernière modification s'ils n'ont jamais été envoyés à un client.
- Données de signature(image canvas, mention manuscrite, IP, user-agent, locale, hash PDF, horodatage) : conservées avec le devis signé pendant 10 ans, puis supprimées en même temps que celui-ci.
À l'issue de leur durée de conservation, ces données sont supprimées de manière irréversible par une tâche automatisée, sauf si vous nous demandez expressément l'archivage prolongé ou si une obligation légale s'y oppose (procédure judiciaire en cours, litige, contrôle fiscal). Vous pouvez à tout moment demander la suppression anticipée des données qui ne sont plus soumises à obligation de conservation (cf. Section 8 — Vos droits).
4. Destinataires et sous-traitants
Les données sont accessibles aux personnels habilités de l'Éditeur, à l'Artisan ou au Client uniquement dans le cadre de leur mise en relation, et aux sous-traitants techniques listés ci-dessous. Aucune donnée n'est cédée ni louée à des tiers à des fins commerciales.
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Vercel Inc. | Hébergement application | États-Unis (régions EU pour le edge) | DPA + Clauses contractuelles types (CCT) |
| Supabase Inc. | BDD, auth, storage | Union Européenne (Francfort, DE) | DPA, hébergement UE |
| Stripe Payments Europe Ltd. | Paiements abonnements | Irlande (UE) | PCI-DSS 1, DPA |
| [Resend / Brevo / autre — à confirmer] | Emails transactionnels | UE / US (à confirmer) | DPA + CCT si transfert hors UE |
| Google Maps / Mapbox [à confirmer] | Géocodage, affichage carte | UE / US | CCT, anonymisation IP côté client |
Sur réquisition légale dûment notifiée, les données pourront être communiquées aux autorités administratives ou judiciaires compétentes.
5. Transferts hors Union Européenne
Certains sous-traitants (Vercel, certains services Google) peuvent traiter les données en dehors de l'Union Européenne. Ces transferts sont encadrés par :
- les Clauses Contractuelles Typesde la Commission européenne (Décision 2021/914) ;
- l'adhésion au Data Privacy Framework(DPF) UE-États-Unis lorsque le sous-traitant y est éligible ;
- une analyse d'impact (TIA) pour les données les plus sensibles.
6. Visibilité publique des données
- Fiche pro(publique) : nom commercial, métier, ville, spécialités, photo, portfolio, note moyenne et avis. Le SIRET, l'adresse email et le numéro de téléphone ne sont pas exposés publiquement(sauf si le pro l'active explicitement).
- Avis clients(publics) : prénom et initiale du nom, commune, note, commentaire.
- Toutes les autres données (devis détaillés, messages, factures, email, téléphone, adresse de chantier) sont strictement privées et accessibles uniquement aux parties concernées.
7. Sécurité
L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données :
- chiffrement des communications (TLS 1.3) ;
- chiffrement des données au repos (AES-256, géré par Supabase) ;
- mots de passe hachés avec bcrypt ;
- contrôles d'accès stricts (RLS : Row Level Security côté base) ;
- journalisation des accès et alertes en cas de comportement anormal ;
- sauvegardes chiffrées et redondantes en Union Européenne ;
- tests de sécurité réguliers (revue de code, mises à jour de dépendances).
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'Éditeur en informera la CNIL dans un délai de 72 heuresconformément à l'article 33 du RGPD, et les personnes concernées dans les meilleurs délais.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès à vos données et à leurs modalités de traitement ;
- Droit de rectification des données inexactes ou incomplètes ;
- Droit à l'effacement (« droit à l'oubli »), sous réserve des obligations légales de conservation ;
- Droit à la limitation du traitement ;
- Droit d'opposition, notamment au traitement à des fins de prospection ;
- Droit à la portabilité de vos données dans un format structuré et lisible par machine (export JSON/CSV) ;
- Droit de retirer son consentement à tout moment, sans effet rétroactif ;
- Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés).
Pour exercer ces droits, écrivez au DPO à monartisanfr@gmail.comen joignant un justificatif d'identité. Une réponse sera apportée dans un délai d'un mois maximum (prolongeable de deux mois en cas de demande complexe).
En cas de désaccord persistant, vous disposez du droit d'introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes — 3 place de Fontenoy, 75007 Paris.
9. Décision automatisée et profilage
L'Éditeur n'effectue aucune décision entièrement automatisée produisant des effets juridiquesà l'encontre des utilisateurs. Le moteur de mise en relation et le classement des fiches reposent sur des algorithmes de pertinence dont les principaux critères sont décrits à l'article 10 des CGU Pro.
10. Cookies
L'utilisation des cookies fait l'objet d'une Politique cookies dédiée.
11. Mineurs
Le service n'est pas destiné aux personnes de moins de 18 ans. L'Éditeur ne collecte pas sciemment de données de mineurs. Si vous estimez qu'un mineur nous a transmis ses données, contactez-nous à monartisanfr@gmail.com pour suppression.
12. Évolution de la politique
La présente Politique peut évoluer pour refléter des changements réglementaires ou techniques. Toute modification substantielle est notifiée aux utilisateurs par email et/ou par bandeau d'information sur le Site.
13. Contact
Pour toute question relative à vos données ou à la présente Politique : monartisanfr@gmail.com.