Politique de Confidentialité

Version 1.0 — En vigueur à compter du 12 mai 2026

⚠️ Document à valider par un DPO / avocat spécialisé RGPD. Cette trame couvre les exigences RGPD (UE), nLPD (Suisse) et Loi 25 (Québec). Une revue avant la première collecte est obligatoire.

1. Qui est responsable de tes données ?

Le responsable de traitement est Stephenson Agency, exploitant la plateforme MeaCulpa, dont les coordonnées figurent dans les Mentions légales.

Contact RGPD : legal@meaculpa.delivery

2. Quelles données collectons-nous ?

Donnée Finalité Base légale Conservation
Email, mot de passe (haché) Création de compte, authentification Contrat Durée de vie du compte + 1 an
Nom, prénom, téléphone Profil utilisateur, contact Contrat Durée du compte
Adresse, géolocalisation Attribution mission, tracking ambassadeur Contrat + consentement 90 jours après mission
Données du destinataire (saisies par client) Exécution de la mission Intérêt légitime 1 an puis anonymisation
Données paiement (tokenisées Stripe/PayPal) Traitement paiement Contrat 10 ans (obligation comptable)
Pièce d’identité (ambassadeurs) Vérification d’identité (KYC) Obligation légale 5 ans après fin de relation
Photos / vidéos preuve mission Compte-rendu de mission Consentement 30 jours ou retrait à la demande
Logs techniques (IP, user-agent) Sécurité, prévention fraude Intérêt légitime 1 an

3. Pourquoi nous traitons tes données ?

  • Exécution du contrat : créer ton compte, gérer tes missions, te payer/te facturer
  • Obligations légales : facturation, déclaration fiscale (DGFiP), lutte anti-fraude
  • Intérêts légitimes : sécurité du service, amélioration produit, analyses anonymisées
  • Consentement : envoi de newsletters, captation de médias preuve, cookies non essentiels

4. Avec qui partageons-nous ces données ?

Tes données sont partagées uniquement avec :

  • Stripe (paiements) — US/EU, certifié PCI-DSS Level 1
  • PayPal (paiements alternatifs) — US/EU
  • Supabase (hébergement base de données et fichiers) — UE (Irlande)
  • Mapbox (services de cartographie) — US
  • Resend (envoi d’emails transactionnels) — EU
  • Twilio (SMS d’authentification) — US
  • Sentry (monitoring d’erreurs) — EU
  • OneSignal / Expo (notifications push) — US
  • L’administration fiscale (DGFiP en France, ARC au Canada, AFC en Suisse) — déclarations obligatoires

Tous nos sous-traitants sont liés par contrat à respecter le RGPD et garantissent un niveau de protection équivalent.

5. Transferts hors UE

Certains de nos sous-traitants (Stripe, Mapbox, Twilio, OneSignal) sont basés aux États-Unis. Les transferts sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne et la certification Data Privacy Framework lorsque disponible.

6. Tes droits

Tu disposes des droits suivants, exerçables gratuitement par email à legal@meaculpa.delivery :

  • Droit d’accès : obtenir copie de tes données
  • Droit de rectification : corriger des données inexactes
  • Droit à l’effacement (« droit à l’oubli ») : sauf obligation légale de conservation
  • Droit à la portabilité : récupérer tes données dans un format structuré
  • Droit d’opposition : t’opposer à un traitement basé sur l’intérêt légitime
  • Droit de retirer ton consentement à tout moment
  • Droit de limitation du traitement

Nous répondons sous 30 jours. En cas de litige, tu peux saisir la CNIL (France) ou ton autorité de contrôle nationale.

7. Données du destinataire

Les coordonnées du destinataire sont saisies par le Client et utilisées exclusivement pour l’exécution de la mission. Le destinataire peut, à tout moment, demander la suppression de ses données en écrivant à legal@meaculpa.delivery. La Plateforme s’engage à supprimer ou anonymiser ces données sous 30 jours.

8. Cookies et traceurs

Notre site utilise :

  • Cookies essentiels (authentification, panier) — pas de consentement requis
  • Cookies de mesure d’audience (Posthog en EU, RGPD-friendly) — sur consentement
  • Pas de cookies publicitaires tiers

Tu peux modifier tes préférences à tout moment via le bandeau de gestion des cookies.

9. Sécurité

Nous appliquons les mesures techniques et organisationnelles suivantes :

  • Chiffrement TLS sur toutes les communications
  • Chiffrement au repos pour les données sensibles (pièces d’identité, etc.)
  • Tokenisation des moyens de paiement (Stripe / PayPal)
  • Authentification à deux facteurs (2FA) obligatoire au-delà de 1 000 € de revenus pour les ambassadeurs
  • Logs d’audit et monitoring de sécurité
  • Sauvegardes quotidiennes
  • Politique de mots de passe forts

10. Mineurs

L’utilisation de la Plateforme est strictement réservée aux personnes majeures (18 ans révolus). Aucune donnée de mineur n’est sciemment collectée. Si nous constatons la collecte involontaire de données d’un mineur, nous les supprimons immédiatement.

11. Spécificités Québec (Loi 25)

Pour les résidents québécois, conformément à la Loi 25 :

  • Notre Responsable de la protection des renseignements personnels est joignable à legal@meaculpa.delivery
  • Tu disposes des droits prévus par la LPRPSP : accès, rectification, désindexation
  • Toute communication d’incident de confidentialité est notifiée à la Commission d’accès à l’information et aux personnes concernées

12. Spécificités Suisse (nLPD)

Pour les résidents suisses, conformément à la nLPD (en vigueur depuis le 1er septembre 2023) :

  • Tu disposes des droits équivalents au RGPD
  • Autorité de contrôle : Préposé fédéral à la protection des données et à la transparence (PFPDT)

13. Modification de cette politique

Toute modification substantielle de cette politique te sera notifiée par email et/ou via l’application au moins 30 jours avant son entrée en vigueur.