SweetLo s'engage a proteger la vie privee de ses utilisateurs conformement au Reglement General sur la Protection des Donnees (RGPD — UE 2016/679) et a la loi Informatique et Libertes du 6 janvier 1978 modifiee.
1. Responsable du traitement
Entite : SweetLo SAS
Siege social : Paris, France
Contact DPO : privacy@sweetlo.fr
2. Donnees collectees
Nous collectons les donnees suivantes :
Donnees d'identification
Nom, prenom, adresse email, numero de telephone, photo de profil (optionnelle).
Donnees de livraison
Adresse postale, coordonnees GPS (avec votre consentement, pour le calcul de distances).
Donnees de transaction
Historique des commandes, montants, statuts. Les donnees bancaires sont traitees exclusivement par Stripe et ne sont jamais stockees sur nos serveurs.
Donnees vendeurs
Nom de la boutique, description, horaires, adresse de retrait, compte Stripe Connect (identifiant uniquement, pas les coordonnees bancaires).
Donnees techniques
Adresse IP, type de navigateur, pages consultees (logs serveur anonymises).
3. Finalites du traitement
- Gestion de votre compte et authentification
- Mise en relation entre Acheteurs et Vendeurs
- Traitement et suivi des commandes
- Communication relative a vos transactions (notifications, emails transactionnels)
- Securite de la plateforme et prevention de la fraude
- Amelioration de nos services (statistiques anonymisees)
Base legale : execution contractuelle (compte, commandes), interet legitime (securite, amelioration), consentement (geolocalisation, notifications push).
4. Sous-traitants et transferts
Vos donnees sont partagees avec les prestataires suivants :
SupabaseBase de donnees, authentification, stockage fichiers — Singapour/UE
VercelHebergement et CDN — Etats-Unis (clauses contractuelles types)
StripeTraitement des paiements — Irlande/UE (certifie PCI-DSS Niveau 1)
ResendEmails transactionnels (confirmations de commande, notifications) — noms et adresses email traites — UE (eu-west-1)
PostHogMesure d'audience — UE — uniquement avec votre consentement
OpenReplayReplay de sessions de navigation (debug et amelioration produit) — uniquement avec votre consentement
SentryJournalisation des erreurs techniques (logs, stack traces)
CloudflareGestion DNS du domaine sweetlo.fr
Les transferts hors UE sont encadres par des clauses contractuelles types (CCT) conformement a l'article 46 du RGPD. Nous ne vendons jamais vos donnees a des tiers.
5. Partage entre utilisateurs
- Avec les Vendeurs :nom, adresse de livraison et email pour traiter votre commande. Le Vendeur n'a jamais acces a vos donnees de paiement.
- Avec les Acheteurs : nom de la boutique, adresse de retrait (si applicable), horaires et informations produits publiques.
6. Securite des donnees
- Chiffrement HTTPS (TLS 1.3) pour toutes les communications
- Mots de passe haches via bcrypt (jamais stockes en clair)
- Row Level Security (RLS) Postgres pour l'isolation des donnees utilisateurs
- Authentification forte avec tokens JWT signes
- Rate limiting sur les actions sensibles (connexion, paiement, upload)
- Validation de toutes les entrees utilisateur via schemas Zod
7. Duree de conservation
Donnees de compteDuree de l'inscription + 3 ans apres la derniere activite
Donnees de commandes10 ans (obligation legale fiscale et comptable)
Messages chatDuree de l'inscription (supprimes a la cloture du compte)
Logs techniques12 mois maximum
Feedbacks alpha (widget)365 jours (purge automatique). Suppression immediate sur demande via le bouton ci-dessous.
Pour exercer votre droit a l'oubli sur vos feedbacks alpha, envoyez une requete DELETE a /api/alpha/feedback/me (apres connexion) ou contactez-nous a privacy@sweetlo.fr.
8. Vos droits (RGPD)
Vous disposez des droits suivants :
- Acces : consulter l'ensemble de vos donnees depuis votre profil ou sur demande
- Rectification : modifier vos informations a tout moment dans les parametres
- Suppression : supprimer votre compte depuis Profil > Parametres > Supprimer mon compte
- Portabilite : obtenir une copie de vos donnees dans un format lisible sur demande
- Opposition : refuser certains traitements (notifications marketing)
- Limitation : demander la suspension du traitement de vos donnees
Pour exercer vos droits : privacy@sweetlo.fr. Nous repondons sous 30 jours maximum.
En cas de reponse insatisfaisante, vous pouvez saisir la CNIL : cnil.fr
9. Cookies et traceurs
Cookies strictement necessaires (deposes sans consentement, indispensables au fonctionnement de la plateforme) :
- Cookie de session (authentification)
- Cookie d'acces beta (pendant la phase de lancement)
- Cookie de memorisation de votre choix de consentement (analytics_consent)
- Preference de theme (clair/sombre) et panier — stockes localement dans votre navigateur (localStorage)
Cookies et traceurs soumis a votre consentement — actives UNIQUEMENT si vous avez clique sur « Accepter » dans la banniere de consentement :
- PostHog(mesure d'audience) : statistiques de navigation pour comprendre l'utilisation de la plateforme et l'ameliorer — hebergement UE
- OpenReplay (replay de session) : enregistrement du parcours de navigation (les champs de saisie sont masques) pour diagnostiquer les problemes
Vous pouvez retirer votre consentement a tout moment depuis Profil > Parametres > Donnees d'amelioration. Si vous refusez, aucun script de mesure d'audience ni de replay n'est charge et aucun cookie analytique n'est depose. Aucun cookie publicitaire n'est utilise.
10. Notifications push
Avec votre consentement, SweetLo peut vous envoyer des notifications push pour vous informer de l'avancement de vos commandes et des messages recus. Vous pouvez desactiver les notifications a tout moment depuis les parametres de votre navigateur ou de l'application.
11. Modifications de la politique
Cette politique peut etre mise a jour. En cas de modification substantielle, vous serez informe par notification sur la plateforme. La date de derniere mise a jour est indiquee en haut de cette page.