Politique de confidentialité
Dernière mise à jour : 4 juin 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles est Pierre-Arthur DEMENGEL, Entrepreneur individuel (SIREN 930 538 111), exerçant sous le nom commercial AgriculteursDirect, dont le siège social est situé au 80B rue de Tivoli, 57070 Metz, France. Pour toute question relative à vos données personnelles, vous pouvez nous contacter à : pierrearthur.demengel@gmail.com.
2. Données collectées
Nous collectons les données suivantes :
- Données d'identification : nom, prénom, adresse e-mail, numéro de téléphone
- Données professionnelles (agriculteurs/restaurateurs) : SIRET, numéro de TVA intracommunautaire, régime TVA, nom du restaurant
- Données d'adresse : rue, code postal, ville, coordonnées GPS (avec votre consentement)
- Données de connexion : mot de passe (stocké de manière chiffrée avec Argon2i)
- Données transactionnelles : commandes, montants, statuts de paiement
- Données de communication : messages échangés via le chat de la plateforme
- Préférences : préférences alimentaires, préférences de notification (email, push, SMS)
- Contenus volontaires : biographie, photos de profil et de couverture, avis et commentaires
- Données techniques : cookies de session, métriques de performance web (anonymes)
- Données de livraison (livreurs) : itinéraires de tournées, positions GPS en cours de livraison (avec consentement, uniquement pendant la tournée active)
3. Finalités et base légale
| Finalité | Base légale |
|---|---|
| Gestion des comptes utilisateurs | Exécution du contrat (CGU) |
| Traitement et suivi des commandes | Exécution du contrat |
| Mise en relation producteurs / acheteurs | Exécution du contrat |
| Facturation et obligations comptables | Obligation légale |
| Géolocalisation (recherche de producteurs proches) | Consentement |
| Notifications (commandes, livraisons, messages) | Exécution du contrat |
| Amélioration du service (métriques web anonymes) | Intérêt légitime |
| Suivi de livraison en temps réel (livreurs) | Consentement |
| Obligations déclaratives DAC7 (revenus vendeurs) | Obligation légale |
| Facturation électronique (e-invoicing) | Obligation légale |
4. Durée de conservation
| Données | Durée de conservation |
|---|---|
| Compte utilisateur actif | Pendant la durée de la relation contractuelle |
| Compte non vérifié (email) | Désactivé automatiquement après 30 jours |
| Données après suppression de compte | Anonymisées immédiatement, commandes conservées 10 ans (obligation comptable) |
| Factures et données de paiement | 10 ans (obligation légale, Code de commerce art. L123-22) |
| Données de géolocalisation | Stockées localement dans votre navigateur, jamais en base de données |
| Métriques de navigation (page views) | 6 mois (anonymes, purgées automatiquement) |
| Enquêtes de satisfaction (NPS) | 2 ans (purgées automatiquement) |
| Tokens de session (refresh tokens) | Purgés automatiquement après expiration |
5. Droits des utilisateurs
Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :
- Droit d'accès (Art. 15) : consulter vos données depuis votre profil
- Droit de rectification (Art. 16) : modifier vos informations depuis votre profil
- Droit à l'effacement (Art. 17) : supprimer votre compte depuis la section « Zone dangereuse » de votre profil. Vos données personnelles sont anonymisées immédiatement
- Droit à la portabilité (Art. 20) : exporter l'ensemble de vos données au format JSON depuis votre profil (bouton « Exporter mes données »)
- Droit d'opposition (Art. 21) : vous pouvez gérer vos préférences de notification (email, push, SMS) depuis votre tableau de bord
- Droit de retrait du consentement : vous pouvez révoquer votre consentement à la géolocalisation à tout moment via les paramètres de votre navigateur
Pour exercer vos droits par courrier ou en cas de question, contactez-nous à pierrearthur.demengel@gmail.com. Nous répondons sous 30 jours conformément au RGPD.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.
6. Cookies et stockage local
La Plateforme utilise uniquement des cookies techniques nécessaires au fonctionnement du service :
| Cookie / Clé | Finalité | Durée |
|---|---|---|
| BEARER (HttpOnly) | Authentification JWT | 1 heure |
| refresh_token (HttpOnly) | Renouvellement de session | 30 jours |
| ad_geo_consent (localStorage) | Consentement géolocalisation | Persistant |
| ad_cart (localStorage) | Panier d'achat | Persistant |
Aucun cookie publicitaire, de tracking ou de profilage tiers n'est utilisé. Aucune donnée n'est partagée avec Google Analytics, Meta Pixel ou tout autre service de tracking.
7. Partage de données avec les Vendeurs
Dans le cadre de l'exécution des commandes, certaines données personnelles du Client sont transmises au Vendeur concerné : nom, prénom, adresse de livraison, numéro de téléphone (si fourni). Le Vendeur agit en tant que responsable de traitement indépendant pour les données nécessaires à l'exécution de la vente et de la livraison.
Le Vendeur s'engage, par l'acceptation des CGU, à ne traiter ces données qu'aux fins strictes de l'exécution de la commande et à ne pas les utiliser à des fins de prospection commerciale directe sans le consentement préalable du Client.
8. Obligations déclaratives (DAC7)
Conformément à la directive (UE) 2021/514 (DAC7), l'Opérateur transmet annuellement à la Direction Générale des Finances Publiques (DGFiP) les revenus des Vendeurs dépassant 2 000 € ou 30 transactions par an. Les Vendeurs concernés sont informés par email avant chaque déclaration.
9. Sécurité des données
- Mots de passe chiffrés avec Argon2i (standard OWASP)
- Données bancaires sensibles (IBAN livreurs) chiffrées avec libsodium (AES-256 équivalent)
- Communications chiffrées en HTTPS/TLS (Let's Encrypt)
- Authentification par JWT RSA 4096 bits avec tokens HttpOnly
- Protection CSRF (SameSite=Strict)
- Paiements délégués à Stripe (certifié PCI-DSS niveau 1) - aucun numéro de carte bancaire n'est stocké sur nos serveurs
10. Sous-traitants et transferts de données
| Prestataire | Finalité | Localisation |
|---|---|---|
| Hetzner | Hébergement serveurs et sauvegardes | Allemagne (UE) |
| Brevo (ex-Sendinblue) | Envoi d'emails transactionnels | France (UE) |
| Stripe | Traitement des paiements | USA (DPA + Clauses Contractuelles Types) |
| OVH | SMS transactionnels (optionnel) | France (UE) |
Toutes les données applicatives (base de données, fichiers, index de recherche, cache) sont hébergées exclusivement en Europe sur des serveurs auto-gérés.
11. Hébergement
Les données sont hébergées en Europe (Hetzner Online GmbH, Falkenstein, Allemagne) conformément au RGPD.
12. Modifications de la politique
La présente politique de confidentialité peut être modifiée à tout moment. En cas de modification substantielle, les Utilisateurs sont informés par email et par notification sur la Plateforme au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions.