Légal

Politique de confidentialité

Version 1.0Dernière mise à jour le

1. Responsable de traitement

Le responsable de traitement au sens du Règlement (UE) 2016/679 (RGPD) est JAM INFRA, EURL au capital de 10 000 €, immatriculée au RCS de Chambéry 802 872 150, dont le siège social est situé 1 place de la Fontaine, 73420 Méry, France.

JAM INFRA n'a pas désigné de Délégué à la Protection des Données (DPO), les critères de l'article 37 du RGPD n'étant pas remplis à ce stade. Pour toute question relative à tes données personnelles ou pour exercer tes droits, contacte-nous à rgpd@nxtlife.fr.

2. Données collectées

2.1 Pendant la pré-campagne (phase actuelle)

Sur la rampe de lancement, nous collectons strictement :

  • Ton adresse email
  • Le persona choisi (déposant, organisateur ou acheteur)
  • Le consentement RGPD (case à cocher)
  • La source du formulaire (hero, section précampagne, modale, teaser final)
  • Un horodatage de soumission
  • Ton user-agent et ta langue de navigation (tronqués à 200 caractères)

2.2 À l'ouverture de l'application (phase future)

Lors du lancement de l'application, nous collecterons en plus :

  • Identité (prénom, nom, date de naissance)
  • Pièce d'identité (CNI, passeport ou permis) — chiffrée KMS
  • Coordonnées (adresse postale, téléphone)
  • IBAN pour le règlement des forfaits associations — chiffré KMS
  • Signature électronique de l'attestation sur l'honneur loi vide-grenier — chiffrée KMS
  • Photos d'articles et descriptions saisies par les déposants
  • Géolocalisation des bourses (publique pour les manifestations, optionnelle pour les déposants)
  • Données de paiement (traitées par Stripe, HelloAsso, SumUp/Zettle — nous ne stockons jamais les numéros de carte)
  • Embeddings vectoriels générés par l'IA (catégorie, prix conseillé)

2.3 Données techniques

Logs serveur (anonymisation de l'adresse IP au bout de 24 heures), journal d'audit append-only avec signature SHA-256 pour les actions sensibles (cf. §8 Sécurité).

3. Finalités

Tes données sont traitées pour les finalités suivantes :

  • Pré-campagne— t'informer du lancement de l'application par un email unique, et mesurer l'intérêt par persona.
  • Création et gestion du compte— authentification, gestion du profil, vérification d'identité, conformité à la loi vide-grenier.
  • Dépôt-vente et bourses — mise en relation déposants / associations / acheteurs, suivi des articles, paiements, restitutions.
  • IA d'aide à la mise en vente— suggestion de prix, catégorie, génération d'embeddings vectoriels pour la recherche.
  • Communications transactionnelles — notifications de vente, rappels de bourse, confirmations de dépôt.
  • Conformité légale et anti-fraude— détection des multi-comptes, traçabilité fiscale, journal d'audit 5 ans.

4. Bases légales

  • Consentement (RGPD art. 6.1.a) — inscription pré-campagne, envoi de communications non transactionnelles, IA, géolocalisation optionnelle.
  • Exécution du contrat (RGPD art. 6.1.b) — création du compte, dépôt-vente, paiements, restitutions.
  • Obligation légale(RGPD art. 6.1.c) — vérification de l'attestation sur l'honneur loi vide-grenier, traçabilité fiscale 10 ans, journal d'audit 5 ans.
  • Intérêt légitime (RGPD art. 6.1.f) — sécurité de la plateforme (App Check anti-abus, détection de fraude), logs techniques pendant 24h.

5. Durées de conservation

  • Pré-campagne— Email et persona conservés jusqu'à désinscription via lien dans l'email, ou suppression manuelle à ta demande.
  • Compte actif — Données conservées tant que le compte est actif, puis 30 jours après suppression pour finaliser les éventuels paiements en cours.
  • Journal d'audit — 5 ans à compter de la création, pour répondre aux obligations légales et aux contestations éventuelles.
  • Documents fiscaux— 10 ans à compter de l'émission, conformément à l'article L.123-22 du Code de commerce.
  • Logs techniques — 24 heures, puis anonymisation des adresses IP.

6. Sous-traitants et destinataires

6.1 Pendant la pré-campagne (phase actuelle)

Sous-traitantPaysFinalitéGaranties
Google Cloud EMEA LimitedIrlande (UE) — stockage ParisEnregistrement de l'email saisi sur la rampe de lancement (collection Firestore newsletter)europe-west9 — aucun transfert hors UE

6.2 À l'ouverture de l'application (phase future)

La liste ci-dessous reflète les sous-traitants prévus dès lors que l'application sera ouverte au public. Elle est publiée dès maintenant à titre informatif et sera mise à jour lors de la mise en service effective.

Sous-traitantPaysFinalitéGaranties
Google Cloud EMEA LimitedIrlande (UE)Hébergement (Firebase Hosting, App Hosting, Firestore, Storage, Functions, KMS, Auth, FCM, App Check)Stockage en europe-west9 (Paris)
Stripe Payments Europe SAIrlande (UE)Paiements des forfaits associations + Tap to Pay (à l'ouverture de l'app)UE — Stripe est responsable du traitement des données de paiement (PCI-DSS)
HelloAssoFrance (UE)Encaissement des droits d'entrée déposants vers les associations (à l'ouverture de l'app)France
SumUp Limited / PayPal Europe S.à.r.l.Royaume-Uni / LuxembourgLecteurs Tap to Pay sur smartphone caisse (à l'ouverture de l'app)Décision d'adéquation UK / Luxembourg dans l'UE
Google LLC (Gemini + Cloud Vision)États-UnisIA d'aide à la mise en vente (suggestion de prix, catégorie, embeddings vectoriels) — à l'ouverture de l'appData Privacy Framework + clauses contractuelles types (CCT) de la Commission européenne
Sentry (Functional Software, Inc.)États-UnisMonitoring des erreurs applicatives (logs anonymisés)Data Privacy Framework + CCT
Apple Distribution InternationalIrlande (UE)Sign in with Apple (au lancement de l'app)UE

7. Transferts hors UE

Pendant la pré-campagne, aucun transfert de données hors Union européenne n'a lieu — tes données sont stockées exclusivement dans la région Google Cloud europe-west9 (Paris).

À l'ouverture de l'application, certains sous-traitants sont situés aux États-Unis (Google LLC pour Gemini + Cloud Vision, Sentry pour le monitoring). Les transferts vers ces destinataires sont encadrés par :

  • Le Data Privacy Framework(décision d'adéquation de la Commission européenne du 10 juillet 2023).
  • Les clauses contractuelles types (CCT) de la Commission européenne en complément du DPF.

8. Sécurité

JAM INFRAmet en œuvre les mesures techniques et organisationnelles appropriées pour assurer la confidentialité et l'intégrité de tes données :

  • Chiffrement applicatif— Les données sensibles (CNI, IBAN, signature) sont chiffrées via une clé Google Cloud KMS hébergée en France avant stockage. Décryptement uniquement par les Cloud Functions autorisées.
  • TLS 1.3 en transit — Tous les échanges entre ton terminal et la plateforme sont chiffrés.
  • App Check — Protection contre les abus et les bots via Firebase App Check.
  • Journal d'audit append-only SHA-256 — Toutes les actions sensibles sont tracées dans un journal cryptographiquement scellé, non-altérable.
  • Localisation — Hébergement principal dans la région europe-west9 (Paris).

9. Tes droits

Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés modifiée, tu disposes des droits suivants sur tes données personnelles :

  • Droit d'accès — Obtenir copie des données te concernant.
  • Droit de rectification — Corriger une donnée inexacte.
  • Droit à l'effacement— Demander la suppression de tes données (« droit à l'oubli »).
  • Droit à la portabilité — Recevoir tes données dans un format structuré, couramment utilisé et lisible par machine.
  • Droit d'opposition— T'opposer au traitement de tes données pour des motifs légitimes.
  • Droit à la limitation — Geler temporairement le traitement.

Pour exercer ces droits, contacte-nous à rgpd@nxtlife.fr. Nous te répondrons dans un délai maximum de 30 jours (RGPD art. 12.3).

Tu disposes également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 place de Fontenoy, 75007 Paris — cnil.fr.

10. Mineurs

Conformément à l'article 8 du RGPD :

  • Moins de 15 ans— L'inscription est refusée, conformément à l'article 8.1 du RGPD.
  • 15 à 17 ans— L'inscription est possible avec consentement parental, recueilli et vérifié via une signature électronique HMAC du parent ou tuteur légal.
  • 18 ans et plus— L'inscription est libre.

11. Cookies

Pendant la phase de pré-campagne, nxt›life n'utilise aucun cookie de traçage publicitaire ni tracker tiers. Les seuls cookies déposés sont strictement techniques :

  • Cookie de session pour gérer l'ouverture / fermeture de la modale d'inscription (durée : session).
  • Cookie de préférence de thème clair / sombre (durée : 1 an, localStorage côté client uniquement).

Ces cookies sont exemptés de consentement préalable conformément aux recommandations CNIL.

À l'ouverture de l'application, si nous activons un outil de mesure d'audience (Firebase Analytics), un bandeau de consentement granulaire conforme aux exigences CNIL sera mis en place.

12. Modifications de la politique

Cette politique peut évoluer pour refléter de nouvelles fonctionnalités ou de nouveaux sous-traitants. Les modifications majeures seront notifiées par email aux utilisateurs inscrits au moins 30 jours avant leur entrée en vigueur. La version courante et la date de mise à jour sont indiquées en haut de cette page.

13. Contact

Pour toute question relative à la présente politique :