Mon Atelier Mes achats

Politique de confidentialité

Politique de confidentialité — dernière mise à jour : 11 mai 2026.

1. Données collectées

Les données personnelles suivantes peuvent être collectées :

  • Adresse e-mail — fournie lors d'un achat, d'une inscription à la newsletter, d'un message via le formulaire de contact ou d'une candidature partenaire.
  • Adresse IP — enregistrée lors d'un achat (preuve du consentement à la renonciation au droit de rétractation, art. L221-28 13° du Code de la consommation) et lors d'opérations sensibles à des fins de journalisation de sécurité.
  • Données de facturation partenaires — nom, prénom, adresse postale, forme juridique, SIRET, RIB ou e-mail PayPal (uniquement pour les partenaires inscrits au programme d'affiliation).
  • Données techniques — cookies de session strictement nécessaires, traces d'erreurs serveur, compteur agrégé et anonyme de pages vues.

Aucune donnée bancaire (numéro de carte, cryptogramme, IBAN d'acheteur) n'est conservée sur ce site. Le paiement est intégralement délégué à Stripe Payments Europe Ltd..

2. Finalités et bases légales

FinalitéBase légale
Exécution du contrat de vente (livraison du livre, facture)Article 6.1.b RGPD — exécution d'un contrat
Émission et conservation des factures comptablesArticle 6.1.c RGPD — obligation légale (art. L102 B du LPF — 10 ans)
Envoi de la newsletterArticle 6.1.a RGPD — consentement (case à cocher non pré-cochée)
Réponse aux messages de contactArticle 6.1.f RGPD — intérêt légitime
Lutte contre la fraude, sécurité de la plateforme, journal d'auditArticle 6.1.f RGPD — intérêt légitime
Gestion de la relation partenaire (commissions, factures self-billed)Article 6.1.b RGPD — exécution d'un contrat

3. Durées de conservation

Une tâche automatique applique chaque jour les durées suivantes :

  • Achats (purchases) : conservés sans limite pour les obligations comptables (10 ans, art. L102 B du LPF). L'adresse IP associée est anonymisée après 12 mois.
  • Preuve du consentement à la renonciation au droit de rétractation : l'horodatage et le texte signé sont conservés pour la durée légale de preuve ; l'IP est anonymisée après 12 mois.
  • Messages reçus via le formulaire de contact : 24 mois.
  • Inscriptions à la newsletter : tant que vous restez inscrit·e. Après désinscription, la trace de l'opt-out est conservée 6 mois pour preuve.
  • Codes d'authentification temporaires (OTP) : 30 jours en base (validité réelle 10 minutes).
  • Sessions de connexion : effacées à expiration (1 heure d'inactivité).
  • Rapports mensuels partenaires (PDF) : 24 mois.
  • Journaux d'audit (qui a fait quelle action sur la plateforme) : 365 jours.
  • Journaux techniques d'erreurs : 30 jours.

4. Destinataires et sous-traitants

  • Stripe Payments Europe Ltd. — traitement des paiements, siège en Irlande. Tout transfert éventuel hors Union européenne est encadré par les clauses contractuelles types de la Commission européenne.
  • OVH SAS (RCS Lille Métropole 424 761 419) — hébergeur du site et de la messagerie ; serveurs situés en France.
  • Cloudflare Inc. — service anti-bot Turnstile activé sur les formulaires publics (contact, newsletter, identification). Aucune donnée personnelle n'est transmise au-delà du jeton de validation.

Aucune donnée personnelle n'est revendue ni partagée à des fins commerciales avec un tiers non listé ci-dessus.

5. Vos droits

Conformément au Règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • Accès — un export au format JSON de l'ensemble de vos données est disponible à tout moment depuis votre espace personnel.
  • Rectification des données inexactes ou incomplètes.
  • Effacement (droit à l'oubli) — la suppression peut être déclenchée depuis votre espace personnel. Les lignes d'achat sont alors anonymisées (et non supprimées) pour respecter les obligations comptables ; les autres données sont effacées.
  • Limitation du traitement.
  • Portabilité — l'export JSON ci-dessus est conçu à cette fin.
  • Opposition, notamment pour la newsletter (lien de désinscription au bas de chaque envoi).
  • Retirer votre consentement à tout moment, sans préjudice de la licéité du traitement effectué jusqu'alors.
  • Introduire une réclamation auprès de la CNIL (cnil.fr) si vous estimez que vos droits ne sont pas respectés.

Pour exercer ces droits par e-mail : rgpd@cindysp.fr.

6. Cookies et traceurs

Le site n'utilise que des cookies strictement nécessaires à son fonctionnement, qui ne requièrent pas de consentement préalable :

  • SCRIBIA_SESSID et SCRIBIA_ADM — session de navigation et accès au tableau d'administration.
  • scribia_soft_* — authentification client (espace acheteurs et espace partenaires).
  • scribia_flash — message ponctuel après une action (durée 60 secondes).

Tous sont marqués HttpOnly, Secure (en HTTPS) et SameSite=Lax. Aucun cookie publicitaire ni traceur tiers n'est déposé.

7. Sécurité

L'ensemble du site est chiffré en TLS (HTTPS). Les mots de passe des comptes administrateurs sont stockés sous forme de condensat bcrypt ; les codes de récupération de la double authentification sont condensés avec Argon2id. L'accès au tableau d'administration exige obligatoirement une double authentification (TOTP).

8. Modifications de la présente politique

La présente politique peut être amendée à tout moment, notamment pour refléter une évolution réglementaire ou technique. La date de mise à jour figure en tête de page. Toute modification substantielle sera signalée sur la page d'accueil ou par e-mail aux personnes concernées.

Responsable du traitement — Cindy Sabathier Papinutti, entrepreneur individuel (EI). SIRET : 93806395500018. Contact : contact@cindysp.fr. Délégué à la protection des données / point de contact RGPD : rgpd@cindysp.fr.