Politique de confidentialité
Quelles données nous collectons, pourquoi, combien de temps, et comment exercer vos droits.
Dernière mise à jour : 16 juin 2026
À compléter avant publication
Conforme au RGPD (art. 12 à 14) et à la loi n° 78-17 du 6 janvier 1978. En micro-entreprise sans traitement à grande échelle de données sensibles, la désignation d'un DPO n'est pas obligatoire (art. 37 RGPD) : contact@cardpeak.fr sert de point de contact « protection des données ». À renseigner : localisation exacte de certains sous-traitants et durées de conservation définitives. À faire valider : les transferts hors UE (Stripe, hébergeurs US) et leurs garanties (clauses contractuelles types). Note à retirer avant publication.
1. Responsable du traitement
Le responsable du traitement est Jules BARALOTTO, éditeur de CardPeak (voir les Mentions légales). Point de contact « protection des données » : contact@cardpeak.fr.
2. Données collectées et finalités
Nous appliquons le principe de minimisation : nous ne collectons que ce qui est nécessaire au service, et nous ne vendons jamais vos données. Concrètement :
- Compte : pseudonyme, adresse e-mail, mot de passe (haché), pays, jeux préférés, avatar. Nous ne demandons pas votre nom réel à l'inscription.
- Vendeurs : nom de boutique, description, prénom et nom, type d'activité (particulier ou professionnel), pays, statut de vérification, et une référence de compte chez notre prestataire de paiement. Les pièces d'identité et les coordonnées bancaires (IBAN) sont collectées et détenues par Stripe : CardPeak ne les stocke pas.
- Adresses de livraison : nom du destinataire, adresse, code postal, ville, pays, et un téléphone facultatif (utile au transporteur).
- Transactions : annonces, commandes, montants, historique d'achats et de ventes, avis et notation, solde du portefeuille.
- Sécurité : mot de passe haché et secret de double authentification (chiffré), identifiants de session. Jamais conservés en clair.
- Connexion et technique : adresse IP, journaux, données de navigation (voir Politique cookies).
- Fiscales (Vendeurs, DAC7) : identité du vendeur et montants de ses ventes, transmis à l'administration fiscale au-delà des seuils légaux. Le détail bancaire reste chez Stripe.
3. Bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion du compte, exécution des transactions | Exécution du contrat (art. 6.1.b) |
| Sécurité, prévention de la fraude, notation, modération | Intérêt légitime (art. 6.1.f) |
| Obligations comptables, fiscales et DAC7 | Obligation légale (art. 6.1.c) |
| Lutte contre le blanchiment (via le PSP) | Obligation légale (art. 6.1.c) |
| Communications marketing, cookies non essentiels | Consentement (art. 6.1.a) |
4. Destinataires et sous-traitants
Vos données ne sont jamais vendues. Elles sont accessibles aux personnes habilitées de CardPeak et à ses sous-traitants, liés par contrat conformément à l'article 28 du RGPD :
| Sous-traitant | Finalité | Localisation | Transfert hors UE |
|---|---|---|---|
| Stripe Payments Europe | Paiement, reversement, vérification d'identité | UE (Irlande), transferts vers Stripe Inc. (US) | Oui, encadré (CCT) |
| Vercel | Hébergement frontend, CDN | US / réseau edge global | Oui, encadré (CCT) |
| Render | Hébergement de l'API | À confirmer (UE ou US) | À confirmer |
| Supabase | Base de données (PostgreSQL) | UE (région à confirmer) | À confirmer |
| Upstash | Cache | À confirmer | À confirmer |
| Cloudflare R2 | Stockage des images | Réseau global | Oui, encadré (CCT) |
| Resend | E-mails transactionnels | US | Oui, encadré (CCT) |
Liste à finaliser et à maintenir à jour.
5. Transferts hors Union européenne
Certains sous-traitants pouvant traiter des données hors UE, ces transferts sont encadrés par des garanties appropriées (décision d'adéquation ou clauses contractuelles types de la Commission européenne, art. 44 à 49 du RGPD).
6. Durées de conservation
| Donnée | Durée indicative |
|---|---|
| Compte actif | Durée de la relation, puis suppression ou anonymisation |
| Données de transaction et comptables | 10 ans (art. L.123-22 du Code de commerce) |
| Données fiscales DAC7 | Durée légale applicable au dispositif |
| Journaux de connexion | 12 mois maximum |
| Prospect / marketing | 3 ans à compter du dernier contact |
Durées à arrêter définitivement.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité, ainsi que du droit de définir des directives post-mortem. Ces droits s'exercent à contact@cardpeak.fr. Vous pouvez aussi introduire une réclamation auprès de la CNIL.
8. Cookies
L'usage des cookies est détaillé dans notre Politique cookies.
Dernière mise à jour : 16 juin 2026.
