Vinteer

Politique de confidentialité

Dernière mise à jour :

La présente politique décrit comment l'Éditeur traite vos données personnelles dans le cadre de Vinteer, en conformité avec le Règlement (UE) 2016/679 (RGPD) et la loi « Informatique et Libertés ».

Données collectées et traitées

Vinteer collecte et traite uniquement les données strictement nécessaires au fonctionnement du Service.

Données de compte

  • Identité et contact : nom, adresse e-mail (via Google OAuth), identifiants techniques liés au compte.
  • Données d'authentification : tokens de session, informations de connexion Google OAuth.

Données opérationnelles

  • Données de ventes : informations extraites de vos emails Vinted (montants, dates, références de commandes, pseudonymes acheteurs, statuts).
  • Données de dépenses : informations sur vos boosts publicitaires et achats (montants, dates, descriptions).
  • Paramètres et préférences : configuration de vos boutiques, paramètres d'import, préférences d'affichage.
  • Documents générés : métadonnées des factures et bordereaux générés (les PDF ne sont pas stockés sur nos serveurs).

Données techniques

  • Journaux de connexion : adresses IP, dates et heures de connexion, type de navigateur et d'appareil.
  • Logs de sécurité : événements liés à la sécurité du compte et à la détection d'abus.

Finalités et bases légales

  • Fourniture du Service (exécution du contrat) : création et gestion du compte, accès aux fonctionnalités, assistance, facturation.
  • Sécurité et prévention des fraudes (intérêt légitime) : logs, contrôle d’accès, détection d’abus.
  • Obligations légales : comptabilité, conservation des factures, gestion des demandes d’exercice de droits.
  • Amélioration du Service (intérêt légitime) : statistiques agrégées, analyse d’usage pour optimiser la performance et l’ergonomie.
  • Communication (intérêt légitime ou consentement selon le cas) : informations de service, alertes, et, le cas échéant, communications marketing conformes au cadre applicable.

Traitement des emails et garanties de confidentialité

Vinteer ne stocke JAMAIS le contenu intégral de vos emails sur ses serveurs.

Fonctionnement du traitement des emails :

  • Vous transférez manuellement vos emails de notification Vinted vers une adresse email unique fournie par Vinteer.
  • Nos serveurs reçoivent ces emails transférés et les analysent automatiquement pour en extraire les informations pertinentes (montants, dates, références).
  • Seules les données extraites sont conservées (montants, dates, références de commandes, etc.). Le contenu complet de l'email est immédiatement supprimé après extraction.
  • Aucun email n'est lu, stocké ou traité en dehors de ce processus d'extraction automatique.

Garanties de confidentialité :

  • Les emails sont traités de manière automatisée, sans intervention humaine
  • Le contenu intégral des emails est supprimé immédiatement après extraction des données
  • Seules les informations nécessaires au fonctionnement du Service sont conservées
  • Aucun accès à votre boîte mail Gmail n'est requis (pas de connexion OAuth Gmail)
  • Vous gardez le contrôle total : vous choisissez quels emails transférer

Important : Vinteer n'a aucun accès à votre compte Gmail ou à vos autres emails. Seuls les emails que vous transférez explicitement vers votre adresse Vinteer sont traités.

Sous-traitants et destinataires

Nous recourons à des prestataires agissant pour notre compte en qualité de sous-traitants au sens du RGPD :

  • Supabase : hébergement de la base de données et stockage des données (Union Européenne, région eu-west-1)
  • Vercel : hébergement de l'application web (Union Européenne)
  • Stripe : traitement des paiements (Union Européenne, données traitées et stockées en UE)
  • Brevo (ex-Sendinblue) : réception et traitement des emails transférés (France, Union Européenne)

Ces prestataires n'interviennent que sur instruction et pour les seules finalités décrites dans la présente politique. Ils sont contractuellement tenus de respecter la confidentialité et la sécurité de vos données.

D'autres destinataires peuvent être impliqués lorsque la loi l'impose (administrations fiscales, autorités judiciaires, organismes de contrôle).

Localisation et transferts de données

Vos données sont hébergées et traitées au sein de l'Union Européenne. Tous nos sous-traitants principaux (Supabase, Vercel, Stripe, Brevo) utilisent des serveurs situés dans l'UE.

Dans l'hypothèse où des données seraient exceptionnellement transférées en dehors de l'Espace économique européen (EEE), nous veillerions à la mise en place de garanties appropriées conformément au RGPD (clauses contractuelles types approuvées par la Commission européenne, décision d'adéquation, ou autres mécanismes légaux). Des informations complémentaires peuvent être obtenues sur demande.

Durées de conservation

Nous conservons vos données uniquement pour la durée nécessaire aux finalités pour lesquelles elles ont été collectées :

  • Emails transférés : le contenu intégral est supprimé immédiatement après extraction des données (moins de 24 heures). Seules les données extraites (montants, dates, références) sont conservées.
  • Données de compte : conservées pendant toute la durée de la relation contractuelle, puis archivées pendant 3 ans à compter de la clôture du compte pour la défense de nos droits.
  • Données opérationnelles (ventes, dépenses) : conservées pendant toute la durée de la relation contractuelle, puis archivées pendant 3 ans après clôture du compte.
  • Factures et pièces comptables : conservées 10 ans conformément aux obligations légales comptables et fiscales.
  • Journaux techniques et logs de sécurité : conservés 12 mois maximum, sauf en cas d'incident de sécurité nécessitant une conservation plus longue.
  • Données de paiement : conservées par Stripe conformément à leurs obligations légales (13 mois pour les données de carte bancaire).

À l'issue de ces durées, vos données sont supprimées de manière sécurisée et irréversible.

Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques :

Mesures techniques

  • Chiffrement : toutes les communications sont chiffrées en transit (HTTPS/TLS). Les données sensibles sont chiffrées au repos.
  • Authentification sécurisée : utilisation de Google OAuth 2.0, tokens de session sécurisés, protection contre les attaques CSRF.
  • Contrôles d'accès : principe du moindre privilège, isolation des données par utilisateur, contrôles d'accès stricts au niveau de la base de données.
  • Surveillance et détection : journalisation des événements de sécurité, monitoring des anomalies, alertes automatiques.
  • Suppression sécurisée : suppression automatique et irréversible des emails après traitement, purge régulière des données obsolètes.

Mesures organisationnelles

  • Accès limité aux données personnelles (principe du besoin d'en connaître)
  • Clauses de confidentialité dans les contrats avec les sous-traitants
  • Procédures de gestion des incidents de sécurité
  • Sauvegardes régulières et plan de continuité d'activité

Important : Aucune mesure de sécurité n'offrant une protection absolue, nous vous invitons à adopter de bonnes pratiques : utilisez des mots de passe robustes, ne partagez jamais vos identifiants, déconnectez-vous après utilisation sur un appareil partagé.

Vos droits RGPD

Vous disposez des droits d’accès, de rectification, d’effacement, de limitation du traitement, d’opposition et de portabilité, dans les conditions et limites des textes applicables. Vous pouvez également définir des directives relatives au sort de vos données après votre décès. Pour exercer vos droits, contactez-nous (voir ci-après « Contact DPO »). Vous avez le droit d’introduire une réclamation auprès de la CNIL (cnil.fr) si vous estimez que vos droits ne sont pas respectés.

Cookies et traceurs

Nous utilisons des cookies strictement nécessaires au fonctionnement (authentification de session, sécurité). Toute mesure d'audience ou fonctionnalité nécessitant le consentement fera l'objet d'une information préalable et d'un mécanisme de consentement (bannière/gestionnaire), vous permettant d'accepter, refuser ou retirer votre consentement à tout moment, hors cookies nécessaires.

Limitation de responsabilité

Sans préjudice des obligations légales en matière de protection des données, l’Éditeur ne saurait être tenu responsable des dommages indirects, immatériels ou consécutifs résultant de l’utilisation des informations fournies par le Service, ni des conséquences liées à des défaillances de prestataires, dès lors que des mesures raisonnables et proportionnées ont été mises en œuvre.

Contact et exercice de vos droits

Pour toute question relative à la protection des données ou pour exercer vos droits RGPD, vous pouvez nous contacter :

  • Par email : contact@vinteer.io
  • Via votre espace client : section "Paramètres" > "Confidentialité et données"

Nous nous engageons à vous répondre dans les meilleurs délais et, en tout état de cause, dans le mois suivant la réception de votre demande (prorogeable de 2 mois en cas de complexité, conformément au RGPD).

Pour toute demande d'exercice de droits, nous pourrons vous demander de justifier de votre identité afin de garantir la sécurité de vos données.

Réclamation : Si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr