Politique de confidentialité

Conforme au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés. En vigueur au 1er mai 2026.

Document préparatoire. Le présent texte constitue une base de travail destinée à être validée par un conseil juridique et adaptée à la version définitive de votre registre des traitements.

1. Introduction

La présente Politique de confidentialité décrit la manière dont Bric-A-Pattes (ci-après « nous ») collecte, utilise, conserve et protège les données personnelles de ses Utilisateurs (ci-après « vous ») dans le cadre de l'utilisation du site bricapattes.fr et des applications mobiles associées (ci-après la « Plateforme »).

Elle s'applique à toute personne disposant d'un compte ou utilisant la Plateforme, et complète les Conditions Générales d'Utilisation.

2. Responsable de traitement

Le responsable du traitement au sens de l'article 4-7 du RGPD est l'éditeur de la Plateforme, dont les coordonnées complètes sont précisées dans les mentions légales.

Pour toute question relative à la protection de vos données : contact@bricapattes.fr.

3. Données personnelles collectées

Nous collectons et traitons les catégories de données suivantes :

3.1 Données fournies directement par vous

  • Identification : nom, prénom ou pseudonyme, adresse email, numéro de téléphone, photographie de profil.
  • Localisation déclarative : ville saisie au moment de la création de votre profil ou d'une annonce.
  • Contenus publiés : annonces, photographies, descriptions, messages échangés via la messagerie intégrée, commentaires et avis.
  • Données de transaction : adresse de livraison, historique des commandes (vendeur / acheteur), montants, références de paiement.
  • Données fiscales et bancaires (Vendeurs) : IBAN pour les retraits Particulier, justificatifs d'identité pour la vérification Stripe Connect (KYC), statut professionnel le cas échéant.

3.2 Données collectées automatiquement

  • Connexion : adresse IP, type d'appareil, système d'exploitation, navigateur, dates et heures de connexion.
  • Usage : pages consultées, recherches effectuées, interactions avec les annonces, journaux d'événements applicatifs.
  • Identifiants techniques : identifiant de session, jeton d'authentification Firebase.

3.3 Données reçues de tiers

  • Lorsque vous vous connectez via un fournisseur d'identité tiers (Google, Apple), nous recevons votre adresse email, votre nom d'affichage et, le cas échéant, votre photographie de profil.
  • Lorsque vous activez le statut Vendeur professionnel, Stripe nous transmet le résultat de la vérification d'identité (KYC) et le statut de votre compte Connect.

4. Finalités et bases légales des traitements

Vos données sont traitées pour les finalités suivantes, sur les bases légales correspondantes :

FinalitéBase légaleConservation
Création et gestion du compteExécution du contrat (CGU)Durée du compte + 30 jours
Traitement des commandes et paiementsExécution du contrat10 ans (obligation comptable)
Messagerie entre UtilisateursExécution du contrat3 ans après dernier échange
Modération et prévention des fraudesIntérêt légitime3 ans
Notifications transactionnelles (in-app, email)Exécution du contratDurée du compte
Communications marketing (newsletters)Consentement3 ans depuis le dernier contact
Mesure d'audience anonymiséeIntérêt légitime13 mois
Déclarations fiscales (DAC7)Obligation légale10 ans
Réponse aux demandes d'exercice de droitsObligation légale3 ans

5. Destinataires des données

Vos données sont accessibles, dans la stricte limite de leurs missions, à :

  • les équipes internes de Bric-A-Pattes (modération, support, développement, comptabilité) ;
  • les autres Utilisateurs, pour les seules informations rendues publiques par vous (pseudonyme, ville, photo de profil, annonces, avis) ou nécessaires à une transaction (adresse de livraison communiquée au Vendeur après commande) ;
  • les sous-traitants techniques listés à la section 6 ;
  • les autorités publiques (administration fiscale, judiciaire, CNIL) sur réquisition ou en exécution d'une obligation légale.

6. Sous-traitants

Nous faisons appel aux sous-traitants suivants, qui agissent sur nos instructions et présentent les garanties contractuelles requises par l'article 28 du RGPD :

  • Google Firebase (Google Ireland Limited) — authentification, base de données, stockage de fichiers, fonctions serverless. Hébergement en zone Union européenne.
  • Cloudflare, Inc. — diffusion du site, protection anti-DDoS, mise en cache. Voir section 7 pour les transferts.
  • Stripe Payments Europe Ltd (Irlande) — traitement des paiements, vérification d'identité (KYC), versements aux Vendeurs professionnels.
  • Algolia SAS (France) — moteur de recherche des annonces.
  • Qonto (Olinda SAS, France) — exécution des virements SEPA aux Vendeurs particuliers.
  • Fournisseur d'envoi d'emails transactionnels (extension Firestore Trigger Email + SMTP transactionnel) — acheminement des emails de notification.

7. Transferts hors Union européenne

La majorité de nos traitements est localisée dans l'Union européenne. Certains sous-traitants (notamment Cloudflare) peuvent toutefois effectuer des transferts vers les États-Unis. Ces transferts sont encadrés par :

  • la décision d'adéquation de la Commission européenne du 10 juillet 2023 relative au cadre de protection des données UE-États-Unis (Data Privacy Framework), pour les sous-traitants qui y sont certifiés ;
  • les Clauses Contractuelles Types adoptées par la Commission européenne, à défaut.

8. Durées de conservation

Les durées spécifiques sont indiquées dans le tableau de la section 4. À l'issue de ces durées, vos données sont soit supprimées, soit anonymisées à des fins statistiques.

Les obligations légales de conservation (notamment comptables et fiscales : 10 ans) s'appliquent indépendamment de la suppression de votre compte.

9. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, l'accès non autorisé, l'altération ou la divulgation, notamment :

  • chiffrement TLS de l'ensemble des communications ;
  • stockage chiffré au repos sur l'infrastructure Google Firebase ;
  • authentification déléguée à Firebase Authentication (jamais de mot de passe en clair côté Bric-A-Pattes) ;
  • règles de sécurité Firestore restreignant l'accès aux données aux seuls Utilisateurs autorisés ;
  • paiements opérés par Stripe (PCI-DSS niveau 1) — Bric-A-Pattes ne stocke aucune donnée bancaire ;
  • journalisation des accès administratifs et des opérations sensibles ;
  • procédure de notification à la CNIL et aux personnes concernées en cas de violation présentant un risque, dans les 72 heures (article 33 RGPD).

10. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
  • Droit de rectification : faire corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (« droit à l'oubli ») : obtenir la suppression de vos données, sous réserve des obligations légales de conservation.
  • Droit à la limitation : obtenir la suspension du traitement dans les cas prévus par la loi.
  • Droit d'opposition : vous opposer, pour des motifs tenant à votre situation particulière, au traitement de vos données fondé sur l'intérêt légitime.
  • Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
  • Droit de retrait du consentement à tout moment, sans remettre en cause la licéité des traitements antérieurs.
  • Droit de définir des directives post-mortem relatives à la conservation, l'effacement et la communication de vos données après votre décès (article 85 de la loi Informatique et Libertés).

11. Exercer vos droits

Vos droits peuvent être exercés à tout moment :

  • depuis vos paramètres de compte pour la modification ou la suppression directe ;
  • par courrier électronique à contact@bricapattes.fr en précisant l'objet de votre demande et en joignant, le cas échéant, un justificatif d'identité.

Nous vous répondons dans un délai d'un (1) mois à compter de la réception de votre demande, prolongeable de deux (2) mois pour les demandes complexes (vous serez alors informé du report).

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), www.cnil.fr — 3 place de Fontenoy, 75007 Paris.

12. Cookies et traceurs

La Plateforme utilise un nombre limité de cookies et technologies assimilées (stockage local du navigateur). Une politique cookies détaillée et un mécanisme de gestion des préférences seront mis à disposition séparément. À ce stade :

  • Cookies strictement nécessaires : session d'authentification, équilibrage de charge, protection anti-attaques. Exemptés de consentement.
  • Cookies de mesure d'audience anonymisés : agrégation à des fins statistiques, sans suivi individuel.

Aucun cookie publicitaire ni traceur tiers à des fins commerciales n'est déposé.

13. Modification de la Politique

La présente Politique peut être modifiée à tout moment pour refléter une évolution des traitements ou de la réglementation. Toute modification substantielle vous sera notifiée par email et/ou via la Plateforme au moins quinze (15) jours avant son entrée en vigueur.

Dernière mise à jour : 1er mai 2026.