Politique de Confidentialité

Le responsable du traitement de vos données personnelles est :

• Raison sociale : [TODO: raison sociale]
• Forme juridique : [TODO: forme juridique]
• Capital social : [TODO: capital social]
• Siège social : [TODO: adresse]
• Numéro RCS : [TODO: numéro RCS]
• Numéro de TVA intracommunautaire : [TODO: numéro TVA]

Le responsable du traitement détermine les finalités et les moyens du traitement de vos données personnelles dans le cadre de l'exploitation de la plateforme BlablaDeal (ci-après « la Plateforme »).

La présente Politique de Confidentialité a pour objet de vous informer, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (Règlement Général sur la Protection des Données, ci-après « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés), de la manière dont vos données personnelles sont collectées, traitées et protégées.

Conformément aux articles 37 à 39 du RGPD, nous avons désigné un Délégué à la Protection des Données (DPO) que vous pouvez contacter pour toute question relative au traitement de vos données personnelles :

• Nom : [TODO: nom du DPO]
• E-mail : [email protected]
• Adresse postale : [TODO: adresse du DPO]

Le Délégué à la Protection des Données est votre interlocuteur privilégié pour :

• Toute demande d'exercice de vos droits (accès, rectification, effacement, etc.) ;
• Toute question relative à la collecte et au traitement de vos données personnelles ;
• Toute réclamation concernant la protection de vos données.

Dans le cadre de l'utilisation de la Plateforme, nous collectons les catégories de données personnelles suivantes :

Données de compte :

• Nom et prénom ;
• Adresse e-mail ;
• Mot de passe (stocké sous forme chiffrée) ;
• Ville de résidence ;
• Langue préférée ;
• Date de création du compte.

Données d'utilisation :

• Adresse IP ;
• Type et version du navigateur ;
• Pages consultées et durée de consultation ;
• Groupes de Partage rejoints ou créés ;
• Interactions avec la Plateforme (clics, recherches, filtres utilisés) ;
• Horodatages des connexions.

Données de paiement :

• Les données de carte bancaire sont collectées et traitées exclusivement par Stripe (notre prestataire de services de paiement certifié PCI-DSS) ;
• Nous recevons uniquement un identifiant de transaction, les quatre derniers chiffres de la carte et la date d'expiration ;
• Historique des transactions et montants.

Données de communication :

• Messages échangés au sein des Groupes de Partage via la messagerie intégrée ;
• Correspondances avec notre service d'assistance ;
• Préférences de notification.

Conformément à l'article 6 du RGPD, le traitement de vos données personnelles repose sur les bases juridiques suivantes :

Nécessité contractuelle (Art. 6.1.b) :

• Création et gestion de votre compte Utilisateur ;
• Fourniture des services de la Plateforme (création et participation aux Groupes de Partage) ;
• Traitement des paiements et gestion de la facturation ;
• Communication relative à vos Groupes de Partage.

Consentement (Art. 6.1.a) :

• Utilisation de cookies analytiques et publicitaires ;
• Envoi de communications commerciales et promotionnelles ;
• Traitement de données à des fins de personnalisation de l'expérience utilisateur.

Intérêt légitime (Art. 6.1.f) :

• Prévention de la fraude et sécurisation de la Plateforme ;
• Amélioration de nos services par l'analyse statistique anonymisée ;
• Gestion des réclamations et du contentieux.

Obligation légale (Art. 6.1.c) :

• Conservation des données de transaction conformément aux obligations comptables et fiscales ;
• Réponse aux réquisitions des autorités judiciaires ou administratives ;
• Respect des obligations de lutte contre le blanchiment d'argent.

Vos données personnelles sont traitées pour les finalités suivantes :

• Gestion de votre compte : création, authentification, maintenance et suppression de votre compte Utilisateur ;
• Fourniture du service : mise en relation des Utilisateurs, gestion des Groupes de Partage, traitement des paiements fractionnés ;
• Communication : envoi de notifications relatives à vos Groupes (nouveaux membres, paiements, messages), réponse à vos demandes d'assistance ;
• Sécurité : détection et prévention de la fraude, des abus et des activités non autorisées, protection de la Plateforme et des Utilisateurs ;
• Amélioration du service : analyse statistique de l'utilisation de la Plateforme, identification des dysfonctionnements, développement de nouvelles fonctionnalités ;
• Conformité juridique : respect de nos obligations légales et réglementaires, gestion du contentieux ;
• Communication commerciale : avec votre consentement, envoi d'informations sur nos nouveaux services, offres promotionnelles et partenariats.

Dans le cadre du fonctionnement des Groupes de Partage, certaines de vos données personnelles sont rendues visibles aux autres membres de vos Groupes :

Données visibles par les membres du même Groupe :

• Votre prénom ;
• Votre ville de résidence ;
• Votre statut dans le Groupe (Propriétaire ou Membre) ;
• Votre date d'entrée dans le Groupe.

Données qui ne sont jamais partagées avec les autres Utilisateurs :

• Votre adresse e-mail complète ;
• Vos informations de paiement ;
• Votre nom de famille ;
• Votre adresse IP ;
• Vos données de navigation.

En rejoignant un Groupe de Partage, vous consentez expressément à la visibilité de vos données partagées par les autres membres du Groupe. Ce partage est fondé sur la nécessité contractuelle (Art. 6.1.b du RGPD) pour le bon fonctionnement du service.

Vos données personnelles peuvent être communiquées aux destinataires tiers suivants, dans la stricte mesure nécessaire aux finalités décrites dans la présente Politique :

Prestataire de services de paiement :

• Stripe Payments Europe, Ltd. — traitement sécurisé des paiements, gestion des abonnements et de la facturation.

Hébergeur :

• [TODO: hébergeur] — hébergement de la Plateforme, stockage des données et sauvegardes.

Fournisseur d'analytique :

• Services d'analyse de trafic et de comportement utilisateur (données anonymisées ou pseudonymisées dans la mesure du possible).

Autres destinataires potentiels :

• Autorités judiciaires ou administratives, en cas de réquisition légale ;
• Conseils juridiques et comptables, dans le cadre de la gestion de l'entreprise ;
• Tout sous-traitant intervenant pour notre compte, lié par un contrat de sous-traitance conforme à l'article 28 du RGPD.

Nous ne vendons, ne louons et ne partageons jamais vos données personnelles à des fins commerciales avec des tiers non autorisés.

Vos données personnelles sont principalement traitées et stockées au sein de l'Union européenne ou de l'Espace économique européen (EEE).

Dans les cas où un transfert de données vers un pays tiers est nécessaire (par exemple, vers les États-Unis pour certains services de Stripe), nous veillons à ce que des garanties appropriées soient mises en place conformément au chapitre V du RGPD :

• Décisions d'adéquation : transfert vers des pays reconnus par la Commission européenne comme offrant un niveau de protection adéquat (Art. 45 du RGPD) ;
• Clauses Contractuelles Types (CCT) : utilisation des clauses contractuelles types adoptées par la Commission européenne (Art. 46.2.c du RGPD), dans leur version mise à jour par la Décision d'exécution (UE) 2021/914 ;
• Cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework) : pour les transferts vers des entités certifiées aux États-Unis.

Vous pouvez obtenir une copie des garanties mises en place en contactant notre Délégué à la Protection des Données à l'adresse [email protected].

Vos données personnelles sont conservées pendant les durées suivantes, conformément au principe de limitation de la conservation prévu par l'article 5.1.e du RGPD :

| Catégorie de données | Durée de conservation | |---|---| | Données de compte | Durée du compte + 3 ans après la clôture (à des fins de gestion du contentieux) | | Données de transaction | 10 ans à compter de la transaction (obligation comptable, Art. L123-22 du Code de commerce) | | Journaux d'utilisation (logs) | 13 mois conformément aux recommandations de la CNIL | | Données de communication (messages) | Durée du Groupe + 1 an après la dissolution du Groupe | | Cookies analytiques | 13 mois maximum | | Données de prospection commerciale | 3 ans à compter du dernier contact actif |

À l'expiration de ces durées, vos données sont soit supprimées de manière irréversible, soit anonymisées de façon à rendre toute identification impossible.

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :

• Droit d'accès (Art. 15 du RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie ;
• Droit de rectification (Art. 16 du RGPD) : faire corriger vos données inexactes ou incomplètes ;
• Droit à l'effacement (Art. 17 du RGPD) : obtenir la suppression de vos données dans les cas prévus par le RGPD (dit « droit à l'oubli ») ;
• Droit à la limitation du traitement (Art. 18 du RGPD) : obtenir la limitation du traitement de vos données dans certains cas ;
• Droit à la portabilité (Art. 20 du RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable du traitement ;
• Droit d'opposition (Art. 21 du RGPD) : vous opposer au traitement de vos données fondé sur l'intérêt légitime ou à des fins de prospection commerciale ;
• Droit de retirer votre consentement : lorsque le traitement repose sur votre consentement, le retirer à tout moment sans affecter la licéité du traitement antérieur ;
• Droit d'établir des directives relatives au sort de vos données après votre décès (Art. 85 de la loi Informatique et Libertés modifiée).

Pour exercer vos droits, contactez notre DPO à l'adresse [email protected]. Nous répondrons à votre demande dans un délai d'un (1) mois, prorogeable de deux mois en cas de complexité.

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD ou de la législation applicable en matière de protection des données, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle.

En France, l'autorité de contrôle compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• Site web : https://www.cnil.fr
• Adresse : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Téléphone : +33 (0)1 53 73 22 22

Vous pouvez également introduire une réclamation auprès de l'autorité de contrôle de votre État membre de résidence habituelle, de votre lieu de travail ou du lieu de la violation présumée, conformément à l'article 77 du RGPD.

Nous vous encourageons toutefois à nous contacter au préalable afin que nous puissions tenter de résoudre votre préoccupation directement.

Conformément à l'article 22 du RGPD, vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques vous concernant ou vous affectant de manière significative.

État actuel : BlablaDeal n'utilise pas de processus de prise de décision entièrement automatisée ayant des effets juridiques ou significatifs sur les Utilisateurs.

Certains traitements automatisés peuvent être utilisés à des fins de :

• Détection de fraude : analyse automatisée des comportements de paiement pour identifier des transactions suspectes. Toute décision de suspension fait l'objet d'une vérification humaine ;
• Modération : filtrage automatique des contenus manifestement illicites, soumis à une validation humaine.

Si un traitement automatisé devait être mis en place à l'avenir avec des effets significatifs, nous vous en informerions et vous garantirions le droit de contester la décision, d'exprimer votre point de vue et d'obtenir l'intervention d'un être humain.

Conformément à l'article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

Mesures techniques :

• Chiffrement des données en transit via le protocole TLS 1.2 ou supérieur ;
• Chiffrement des mots de passe par algorithme de hachage robuste (bcrypt) ;
• Traitement des données de paiement exclusivement par Stripe (certifié PCI-DSS Niveau 1) ;
• Journalisation et surveillance des accès aux systèmes ;
• Sauvegardes régulières et chiffrées des données ;
• Protection contre les attaques courantes (injection SQL, XSS, CSRF).

Mesures organisationnelles :

• Accès aux données personnelles limité aux collaborateurs habilités selon le principe du besoin d'en connaître ;
• Sensibilisation et formation des collaborateurs à la protection des données ;
• Procédures de gestion des incidents de sécurité conformes à l'article 33 du RGPD (notification à la CNIL dans les 72 heures en cas de violation de données) ;
• Évaluation régulière de l'efficacité des mesures de sécurité.

Malgré ces mesures, aucun système ne peut garantir une sécurité absolue. En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais conformément à l'article 34 du RGPD.

La Plateforme et ses services ne sont pas destinés aux personnes âgées de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès de mineurs.

Si nous apprenons que des données personnelles d'un mineur de moins de 18 ans ont été collectées sans le consentement vérifiable d'un titulaire de l'autorité parentale, nous prendrons les mesures nécessaires pour supprimer ces données dans les meilleurs délais.

Si vous êtes le parent ou le représentant légal d'un mineur et que vous pensez que celui-ci nous a fourni des données personnelles, nous vous invitons à nous contacter immédiatement à l'adresse [email protected] afin que nous puissions procéder aux vérifications et suppressions nécessaires.

Cette restriction est conforme à l'article 8 du RGPD relatif au consentement des mineurs en ce qui concerne les services de la société de l'information.

Nous nous réservons le droit de modifier la présente Politique de Confidentialité à tout moment afin de la mettre en conformité avec les évolutions législatives, réglementaires ou jurisprudentielles, ou pour refléter les modifications apportées à nos pratiques de traitement des données.

En cas de modification substantielle, nous nous engageons à :

• Vous en informer par e-mail au moins trente (30) jours avant l'entrée en vigueur des modifications ;
• Afficher un avis bien visible sur la Plateforme ;
• Mettre à jour la date d'entrée en vigueur figurant en tête de la présente Politique ;
• Solliciter, le cas échéant, votre consentement renouvelé lorsque les modifications portent sur des traitements fondés sur le consentement.

Nous vous recommandons de consulter régulièrement la présente Politique pour prendre connaissance des éventuelles mises à jour.

Dernière mise à jour : 13 mars 2026.