Politique de confidentialité

Le responsable du traitement au sens de l'article 4-7 du RGPD est :

Bold Lab Agency LLC — Limited Liability Company de droit du Wyoming (USA) — 1309 Coffeen Ave Ste 1200, Sheridan, WY 82801, USA — EIN 32-0843495 — exploitant le portail commercial sous la marque « Maison Du Gateau ».

Contact : privacy@maison-du-gateau-tarbes.fr

Stéphane Lotto — privacy@maison-du-gateau-tarbes.fr. Vous pouvez le contacter pour toute question relative au traitement de vos données ou à l'exercice de vos droits.

Nous collectons uniquement les données strictement nécessaires :

• Identité : nom, prénom, civilité (facultative) ;
• Coordonnées : e-mail, téléphone, adresse postale de livraison ;
• Compte : identifiant, mot de passe chiffré (hash bcrypt / argon2), historique des commandes ;
• Commande : occasion, nombre de parts, parfums, design, extras, message éventuel, allergènes signalés ;
• Paiement : aucune donnée bancaire complète n'est stockée par nous. Stripe collecte et traite directement le numéro de carte, la date d'expiration et le cryptogramme (PCI-DSS niveau 1) ;
• Données techniques : adresse IP, type de navigateur, identifiant de session (cookies essentiels) ;
• Mesure d'audience : statistiques anonymisées de fréquentation, uniquement après recueil de votre consentement.

Aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions politiques, convictions religieuses, orientation sexuelle, données biométriques, etc.) n'est sciemment collectée. Les allergènes signalés ne sont traités que dans le strict but d'adapter la recette et ne sont conservés que le temps d'exécution de la commande.

• Traitement, suivi et livraison des commandes — exécution du contrat (art. 6-1-b).
• Gestion de votre compte client — exécution du contrat (art. 6-1-b).
• Réponse aux demandes de contact — intérêt légitime / mesures précontractuelles (art. 6-1-f / 6-1-b).
• Comptabilité, facturation et obligations fiscales — obligation légale (art. 6-1-c).
• Lutte contre la fraude au paiement (par Stripe et par nos soins) — intérêt légitime (art. 6-1-f).
• Statistiques anonymes d'usage du Site et amélioration du service — consentement (art. 6-1-a).
• E-mails commerciaux ponctuels relatifs à nos produits similaires (clients existants uniquement) — intérêt légitime, avec droit d'opposition gratuit à chaque envoi (art. L.34-5 CPCE).

Vos données ne sont jamais vendues, ni à des annonceurs ni à des courtiers en données. Elles sont partagées exclusivement avec les sous-traitants strictement nécessaires à l'exécution du service, tous encadrés par un accord de traitement de données (DPA) conforme aux articles 28 et 46 du RGPD :

• Stripe Payments Europe Ltd. (Irlande, avec transferts USA) — traitement des paiements par carte bancaire et lutte contre la fraude. Voir stripe.com/fr/privacy.
• Hébergeur cloud (Lovable Cloud / Cloudflare Workers et fournisseur BaaS) — hébergement technique du Site, de la base de données et du stockage des fichiers.
• Prestataire d'envoi e-mail transactionnel — confirmations de commande, notifications et e-mails de suivi.
• Artisans pâtissiers partenaires (sous-traitants au sens de l'article 28 RGPD) — communication des informations strictement nécessaires à la confection de votre commande : prénom, parfums et design choisis, allergènes signalés, créneau de retrait/livraison. Aucun coordonnée bancaire ni mot de passe n'est transmis.

Bold Lab Agency LLC peut également communiquer certaines données aux autorités administratives ou judiciaires compétentes, sur réquisition légale dûment justifiée.

Bold Lab Agency LLC étant établie aux États-Unis, certaines données peuvent faire l'objet d'un transfert hors de l'Espace économique européen. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne par décision d'exécution (UE) 2021/914, complétées par des mesures techniques supplémentaires (chiffrement TLS 1.3 en transit, chiffrement AES-256 au repos, contrôles d'accès stricts) et, lorsque applicable, par l'adhésion du sous-traitant au cadre EU-U.S. Data Privacy Framework.

• Commandes et factures : 10 ans à compter de la clôture de l'exercice (obligation comptable — art. L.123-22 du Code de commerce).
• Compte client actif : jusqu'à demande de suppression ou jusqu'à 3 ans d'inactivité.
• Prospects (formulaire de contact) : 3 ans après le dernier contact.
• Données de connexion (logs) : 1 an (art. L.34-1 CPCE).
• Cookies : 13 mois maximum (recommandation CNIL).

Vous disposez, dans les conditions prévues par le RGPD, des droits suivants :

• droit d'accès à vos données (art. 15) ;
• droit de rectification (art. 16) ;
• droit à l'effacement / « droit à l'oubli » (art. 17) ;
• droit à la limitation du traitement (art. 18) ;
• droit à la portabilité (art. 20) ;
• droit d'opposition, notamment au profilage (art. 21) ;
• droit de définir des directives post-mortem (art. 85 de la loi française n° 78-17) ;
• droit de retirer votre consentement à tout moment lorsque le traitement repose sur le consentement (art. 7-3) ;
• droit d'introduire une réclamation auprès d'une autorité de contrôle compétente (art. 77) — en France, la CNIL : www.cnil.fr.

Pour exercer vos droits, écrivez à privacy@maison-du-gateau-tarbes.fr en joignant tout élément permettant de vérifier votre identité. Nous nous engageons à répondre dans un délai d'un (1) mois conformément à l'article 12-3 du RGPD.

Si vous êtes résident de l'État de Californie (USA), vous disposez en outre des droits suivants au titre du California Consumer Privacy Act tel que modifié par le California Privacy Rights Act :

• droit de savoir quelles catégories de données personnelles sont collectées, les sources, les finalités et les destinataires (right to know) ;
• droit à la suppression de vos données personnelles (right to delete) ;
• droit à la rectification de données inexactes (right to correct) ;
• droit à la portabilité ;
• droit de refuser la « vente » ou le « partage » de vos données personnelles à des tiers (right to opt-out of sale/sharing) ;
• droit de limiter l'utilisation et la divulgation des informations personnelles sensibles (right to limit) ;
• droit à la non-discrimination pour l'exercice de l'un quelconque de ces droits.

Bold Lab Agency LLC ne « vend » ni ne « partage » vos données personnelles au sens du CCPA/CPRA. Pour exercer vos droits : privacy@maison-du-gateau-tarbes.fr.

Bold Lab Agency LLC met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

• chiffrement TLS 1.3 de l'ensemble des flux entrants et sortants ;
• chiffrement AES-256 au repos pour les données sensibles ;
• hachage cryptographique fort des mots de passe (bcrypt / argon2id) ;
• authentification forte des accès administrateurs (mots de passe robustes, rotation) ;
• contrôles d'accès stricts au niveau de la base de données (Row-Level Security PostgreSQL) ;
• traçabilité des accès et journalisation des opérations sensibles ;
• audits réguliers et application des correctifs de sécurité dans des délais raisonnables ;
• conformité PCI-DSS niveau 1 pour les paiements via Stripe.

En cas de violation de données présentant un risque élevé pour vos droits et libertés, vous serez informé sans délai conformément à l'article 34 du RGPD.

Le Site n'est pas destiné aux personnes de moins de 16 ans (article 8 RGPD, seuil français). Aucune donnée n'est sciemment collectée auprès de mineurs sans le consentement vérifiable des titulaires de l'autorité parentale. Tout parent qui constaterait qu'un mineur a fourni des données peut nous contacter pour en obtenir la suppression immédiate.

Aucune décision produisant des effets juridiques à l'égard du Client, ou l'affectant de manière significative de façon similaire, n'est prise sur le fondement exclusif d'un traitement automatisé, à l'exception des contrôles de lutte contre la fraude réalisés par Stripe lors du paiement.

La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou opérationnelles. La version en vigueur est toujours celle publiée sur cette page, avec sa date de version indiquée en tête. En cas de modification substantielle, vous serez informé par e-mail ou via une bannière visible sur le Site.