Politique de confidentialité

POLITIQUE DE CONFIDENTIALITÉ ET DE PROTECTION DES DONNÉES PERSONNELLES

Passion Pieds

Version 1.0 – En vigueur à partir du 28/11/2025

SOMMAIRE

1. PRÉAMBULE ET CHAMP D’APPLICATION

1.1 Objet de la politique

La présente politique de confidentialité (ci-après « la Politique ») définit les modalités de traitement des données à caractère personnel (ci-après « les Données Personnelles ») des utilisateurs de la plateforme en ligne « Passion Pieds » (ci-après « la Plateforme » ou « le Site »).

Cette Politique a pour objet d’informer, de manière transparente et complète, tous les utilisateurs de :

La nature des données collectées lors de leur navigation et utilisation des services ;
Les finalités poursuivies par ce traitement ;
Les modalités de protection et de sécurisation de ces données ;
Les droits dont disposent les utilisateurs au titre de la réglementation en vigueur ;
Les conditions de rectification, d’accès, de suppression ou de limitation des traitements.

1.2 Cadre légal applicable

La Politique est rédigée et mise en œuvre conformément aux dispositions du :

Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données – RGPD) ;
Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (Loi Informatique et Libertés), modifiée notamment par la loi n° 2004-801 du 6 août 2004 et la loi n° 2018-493 du 20 juin 2018 ;
Code du commerce français et dispositions relatives au commerce électronique ;
Toute disposition législative ou réglementaire applicable à l’exploitation d’une plateforme en ligne de nature à recueillir et traiter des données à caractère personnel.

1.3 Accès au Site et majorité requise

La Plateforme est strictement et exclusivement réservée aux personnes physiques majeures de dix-huit (18) ans révolus. Le Site contient du contenu à caractère adulte et sensuel en lien avec le fétichisme des pieds.

En accédant au Site, en créant un compte utilisateur, en utilisant les services ou en interagissant avec la Plateforme de quelque manière que ce soit, l’utilisateur déclare et garantit :

Être âgé(e) de dix-huit (18) ans minimum au jour de l’accès ;
Être juridiquement capable de contracter au regard de la législation en vigueur dans son pays de résidence ;
Accepter l’intégralité des termes et conditions d’utilisation du Site, dont la présente Politique de confidentialité constitue un élément essentiel et inséparable ;
Accepter le traitement de ses Données Personnelles aux conditions précisées dans cette Politique.

Le non-respect de cette condition entraînera l’interdiction immédiate et définitive d’accès au Site et peut donner lieu à des poursuites judiciaires selon les lois en vigueur.

2. IDENTITÉ ET COORDONNÉES DU RESPONSABLE DE TRAITEMENT

2.1 Responsable de traitement

Le responsable du traitement des Données Personnelles collectées et traitées dans le cadre de l’exploitation de la Plateforme est :

Rachelle Admin

Raison sociale ou nom complet : Entreprise individuelle
Adresse du siège social : 23400, Limousin. France
Adresse e-mail de contact : frenchytiktok@gmail.com

2.2 Délégué à la Protection des Données

Le Responsable de traitement a nommé un Délégué à la protection des données (ci-après « le DPD » ou « le Data Protection Officer – DPO »), conformément aux obligations du RGPD. Les coordonnées du DPD sont précisées à la section 15 de la présente Politique.

2.3 Prestataires externes et sous-traitants

L’Éditeur collabore avec divers prestataires techniques et services externes (hébergeurs, prestataires de paiement, outils d’analyse, support client, etc.) qui interviennent en qualité de sous-traitants au sens du RGPD. Ces sous-traitants sont contractuellement tenus de respecter les mêmes standards de confidentialité et de sécurité que ceux imposés au Responsable de traitement.

3. PRINCIPES DIRECTEURS ET FONDAMENTAUX

Le traitement des Données Personnelles est effectué en pleine conformité avec les principes énoncés à l’article 5 du RGPD :

3.1 Principes de licéité, loyauté et transparence

Les données ne sont collectées et traitées que sur la base de fondements légitimes (exécution d’un contrat, consentement, intérêt légitime ou obligation légale). Le présent document constitue un acte de transparence vis-à-vis des utilisateurs, qui bénéficient d’une information complète, claire et intelligible.

3.2 Principe de limitation de la finalité

Les Données Personnelles sont collectées pour des finalités déterminées, explicites et légitimes, et ne seront pas traitées ultérieurement d’une manière incompatible avec ces finalités. Tout nouveau traitement doit être justifié et faire l’objet d’une information préalable.

3.3 Principe de minimisation des données

Seules les données strictement nécessaires à la réalisation des finalités poursuivies sont collectées. L’Éditeur met en œuvre une politique de collecte parcimonieuse et évite toute surcharge informationnelle.

3.4 Principe d’exactitude

L’Éditeur prend des mesures raisonnables pour assurer l’exactitude des données traitées. Les utilisateurs sont responsables de la mise à jour de leurs données et peuvent à tout moment les rectifier.

3.5 Principe de limitation de la conservation

Les Données Personnelles ne sont conservées que pendant une durée limitée et ne dépassant pas celle justifiée par la finalité du traitement. Des critères de suppression automatique ou de réexamen périodique des données conservées sont en place.

3.6 Principe d’intégrité et de confidentialité

Les données sont traitées de manière sécurisée, dans un environnement protégé contre tout traitement non autorisé, perte, destruction ou altération accidentelle ou illicite.

4. DONNÉES À CARACTÈRE PERSONNEL COLLECTÉES

4.1 Catégories de données collectées

L’utilisation de la Plateforme Passion Pieds entraîne la collecte et le traitement de plusieurs catégories de Données Personnelles, en fonction de l’interaction de l’utilisateur avec le Site :

4.1.1 Données d’identification et d’authentification

Pseudonyme ou nom d’utilisateur (obligatoire) ;
Adresse e-mail (obligatoire) ;
Mot de passe (obligatoire, traité selon les standards cryptographiques de sécurité) ;
Confirmation de majorité (obligatoire) ;
Date de naissance ou indication de la tranche d’âge (pour vérification de majorité) ;
Profil de l’utilisateur : bio/description, photo de profil (le cas échéant), préférences affichées publiquement.

4.1.2 Données de profil et préférences

Localisation géographique (pays, région, code postal – le cas échéant) ;
Préférences concernant le contenu et les services proposés ;
Historique des interactions avec la Plateforme (abonnements, likes, commentaires, messages) ;
Contenu généré par l’utilisateur : photos, vidéos, textes, commentaires, messages privés.

4.1.3 Données relatives aux contenus

Tout contenu généré ou uploadé par l’utilisateur (images, vidéos, descriptions) fait l’objet d’un traitement spécifique détaillé à la section 6 de la présente Politique.

4.1.4 Données de connexion, de navigation et d’accès

Adresse IP (Internet Protocol) de connexion ;
Identifiants uniques de session et cookies persistants ;
Type de navigateur et système d’exploitation utilisé ;
Pages consultées, durée de consultation, accès directs ou par redirection ;
Date, heure et durée des sessions d’utilisation ;
Logs de connexion et tentatives d’accès (réussies ou non) ;
Interactions avec les outils du Site (recherche, filtrage, accès aux fonctionnalités).

4.1.5 Données de communication et d’assistance

Messages adressés au support technique ou au service client ;
Demandes d’assistance, signalements de contenu ou
d’utilisateurs ;
Correspondance relative à l’exercice des droits (demandes d’accès, de rectification, de suppression) ;
Retours d’utilisateurs et feedback concernant les services.

4.1.6 Données de paiement et de facturation

Références de transactions effectuées ;
Date et heure des paiements ;
Montants débités ou crédités ;
Type de mode de paiement utilisé (carte bancaire, virement, porte-monnaie numérique, etc.) ;
Cas particulier : Les numéros de carte bancaire, identifiants d’authentification renforcée et informations cryptographiques sensibles ne sont jamais conservés ou traités directement par l’Éditeur. Ils sont transmis directement à un prestataire de paiement tiers, certifié en conformité PCI-DSS et RGPD, qui opère seul le traitement sécurisé de ces informations sensibles.

4.1.7 Données relatives à la monétisation et aux transactions entre utilisateurs

Statistiques de vente et d’achat de contenus (photos, vidéos, packs) ;
Historique des commandes et des téléchargements ;
Revenus générés et soldes de compte ;
Historique des retraits de fonds et des virements.

4.1.8 Données sensibles (le cas échéant)

La Plateforme ne collecte pas sciemment de catégories spéciales de données au sens de l’article 9 du RGPD (données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance à un syndicat, les données génétiques, les données biométriques, les données concernant la santé, les données relatives à la vie sexuelle ou l’orientation sexuelle).

Cependant, l’utilisateur reconnaît que certains contenus uploadés (photos, descriptions, messages) peuvent contenir ou révéler, de manière volontaire ou involontaire, certains éléments en relation avec ses préférences ou orientations personnelles. L’utilisateur demeure seul responsable de la divulgation de telles informations et garantit accepter le risque inhérent à leur partage sur une plateforme en ligne.

4.2 Caractère obligatoire ou facultatif

Lors de chaque collecte de données, le formulaire de saisie précise si la donnée est obligatoire ou facultative. Le refus de fournir certaines données obligatoires (identification, confirmation de majorité, adresse e-mail) empêchera la création d’un compte et l’accès à la majorité des services. Le refus de fournir certaines données facultatives (photo de profil, bio, localisation) n’aura pour effet que de limiter certaines fonctionnalités (recommandations personnalisées, recherche géolocalisée, etc.).

4.3 Collecte de données auprès de sources externes

L’Éditeur peut collecter des informations supplémentaires auprès de tiers ou de services externes, notamment :

Prestataires anti-fraude et systèmes de vérification de majorité ;
Services de contrôle du respect des obligations légales (lutte anti-blanchiment, connaissance client) ;
Annuaires ou services d’enrichissement de données.

Ces collectes externes sont toujours effectuées conformément à la légalité et communiquées à l’utilisateur selon les modalités légales applicables.

5. FINALITÉS ET BASES LÉGALES DES TRAITEMENTS

5.1 Enumération des finalités de traitement

Les Données Personnelles collectées sont traitées pour les finalités suivantes :

5.1.1 Exécution des services et gestion des comptes utilisateurs

Création et maintenance des comptes utilisateurs ;
Gestion de l’authentification et de la sécurité d’accès ;
Fourniture des services de mise en relation, d’échange et de vente de contenus ;
Gestion de la continuité de service et des mises à jour.

Base légale : Exécution du contrat liant l’utilisateur à l’Éditeur (conditions générales d’utilisation).

5.1.2 Vérification de la majorité et contrôle d’accès

Vérification que l’utilisateur est majeur de dix-huit (18) ans révolus ;
Contrôle périodique du respect des conditions d’accès ;
Restriction de l’accès aux mineurs et en général aux personnes ne satisfaisant pas aux conditions légales.

Base légale : Obligation légale de restreindre l’accès à du contenu adulte ; intérêt légitime de l’Éditeur à protéger les mineurs et à assurer la conformité légale.

5.1.3 Publication, hébergement et modération des contenus

Réception, stockage et mise en ligne des contenus (photos, vidéos, messages, commentaires) ;
Modération et modération assistée par des outils informatiques pour détecter du contenu illicite (contenus impliquant des mineurs, contenus violents, contenus enfreignant les règles d’utilisation) ;
Suppression des contenus non conformes à la charte ou à la légalité ;
Archivage en vue de la gestion des litiges ou de la preuve.

Base légale : Exécution du contrat, intérêt légitime de maintenir une plateforme sûre et conforme à la légalité.

5.1.4 Animations des fonctionnalités communautaires

Recommandation et mise en relation entre utilisateurs (système d’abonnement, suggestions de profils similaires) ;
Gestion des messages privés et des échanges intra-plateforme ;
Gestion des commentaires, likes, interactions sociales ;
Mécanismes de signalement, de blocage et de sécurité entre utilisateurs.

Base légale : Exécution du contrat, intérêt légitime à améliorer l’expérience utilisateur.

5.1.5 Lutte contre la fraude, les abus et les activités illicites

Détection et prévention de fraude (détournement de compte, achats frauduleux, usurpation d’identité) ;
Lutte contre le spam, le harcèlement, l’usurpation et les activités abusives ;
Signalement et enquête suite à la dénonciation d’abus ;
Prévention de la diffusion de contenus interdits par la loi (contenus impliquant des mineurs, images générées par IA non autorisées, contenu violent, contenu de provenance douteuse) ;
Application de sanctions (restrictions, suspension de compte, suspension de paiements) en cas de non-conformité ;
Coopération avec les autorités administratives ou judiciaires selon les exigences légales.

Base légale : Intérêt légitime de protéger la plateforme et les utilisateurs ; obligation légale de prévenir certains crimes (notamment exploitation sexuelle de mineurs, blanchiment d’argent, fraude) ; contrat d’utilisation.

5.1.6 Gestion des paiements et transactions

Traitement des paiements et débits de compte ;
Facturation et émission de reçus ou factures ;
Gestion des remboursements et des litiges commerciaux ;
Conformité avec les obligations comptables et fiscales ;
Communication avec les prestataires de paiement et les établissements bancaires ;
Prévention de la fraude à la paiement et du détournement de fonds.

Base légale : Exécution du contrat, obligation légale de conserver les données de facturation et comptables, intérêt légitime de prévention de la fraude.

5.1.7 Communication et assistance client

Réponse aux demandes de support technique ou administratif ;
Communication de notifications, d’informations sur le compte ou les services ;
Résolution des litiges ;
Amélioration des services en fonction des retours utilisateurs.

Base légale : Exécution du contrat, intérêt légitime d’amélioration des services.

5.1.8 Exercice des droits des personnes concernées

Traitement des demandes d’accès, de rectification, d’effacement, de limitation ou de portabilité des données ;
Exercice du droit d’opposition ou du droit de retrait du consentement ;
Gestion des réclamations auprès de l’autorité de contrôle (CNIL).

Base légale : Obligation légale au titre du RGPD et de la Loi Informatique et Libertés.

5.1.9 Analyse, statistiques et amélioration des services

Réalisation de statistiques et analyses d’utilisation du Site (pages les plus consultées, durée moyenne de session, taux de conversion, démographie des utilisateurs) ;
Test d’hypothèses et optimisation des fonctionnalités ;
Études de marché et évaluation de la satisfaction utilisateur ;
Amélioration continue de l’expérience utilisateur et de la performance technique du Site.

Base légale : Intérêt légitime d’amélioration et d’optimisation des services, consentement pour certains outils d’analyse avancée.

5.1.10 Finalités de marketing et de prospection

Envoi de newsletters, d’actualités ou de recommandations de contenus (sur consentement explicite) ;
Communications relatives à des offres, promotions ou nouveaux services ;
Ciblage et segmentation d’audiences pour l’optimisation des campagnes de communication ;
Évaluation de l’intérêt des utilisateurs pour certains contenus ou services.

Base légale : Consentement explicite de l’utilisateur pour les prospections électroniques non sollicitées ; intérêt légitime pour les communications relatives aux comptes existants.

5.2 Absence de prise de décision individuelle automatisée et profilage

La Plateforme n’utilise pas actuellement de systèmes de prise de décision automatisée produisant des effets juridiques ou affectant significativement l’utilisateur (refus d’accès basé sur un algorithme, exclusion automatique du service, etc.).

Cependant, certains mécanismes d’algorithmes de recommandation ou d’anti-fraude peuvent être implémentés à l’avenir. Dans ce cas, l’utilisateur sera informé de ces dispositifs et des moyens de contester les résultats obtenus.

6. RÉGIME DE RESPONSABILITÉ PARTICULIER RELATIF AUX CONTENUS UPLOADÉS PAR LES UTILISATEURS

6.1 Principes fondamentaux

La Plateforme Passion Pieds fonctionne selon un modèle d’échange de contenus entre utilisateurs, notamment la mise en vente et l’achat de photos et vidéos. Il est essentiel que les utilisateurs et les visiteurs du Site comprennent le régime de responsabilité applicable aux contenus publiés.

6.2 Responsabilité exclusive de l’utilisateur-auteur

Chaque utilisateur qui met en ligne un contenu quelconque (textes, images, vidéos, descriptions de profil, commentaires, messages publics) sur la Plateforme demeure seul et entièrement responsable de ce contenu.

L’utilisateur garantit et certifie qu’il :

Dispose de la propriété intellectuelle ou de tous les droits nécessaires sur le contenu mis en ligne (droit d’auteur, droits voisins, droits à l’image, droits de reproduction et de diffusion) ;
Dispose de l’autorisation expresse et valide de toute personne représentée sur les images ou vidéos pour l’utilisation de son image à titre personnel et commercial ;
A collecté, le cas échéant, les consentements légaux de tous les tiers dont les droits pourraient être affectés par la publication ;
Ne publie aucun contenu enfreignant la législation en vigueur, notamment :
- Contenus impliquant, mettant en scène ou encourageant l’exploitation sexuelle de mineurs (réels ou simulés) ;
- Contenus violents, contraires à l’ordre public ou à la morale publique en vertu de la loi française ;
- Contenus enfreignant les droits de propriété intellectuelle de tiers (marques, œuvres protégées, photos d’autres personnes) ;
- Contenus de nature à violer la vie privée ou le droit à l’image d’autrui ;
- Contenus trompeurs, harcèlements, menaces ou contenus à caractère diffamatoire ;
- Contenus contrefaits, falsifiés ou générés par intelligence artificielle sans indication claire et transparente ;
- Tout autre contenu contraire à la loi française ou aux lois applicables selon la juridiction de l’utilisateur.

6.3 Limitation de responsabilité de l’Éditeur

L’Éditeur n’effectue pas un contrôle a priori exhaustif et systématique de tous les contenus uploadés. La Plateforme compte potentiellement des milliers de contenus générant un flot continu de données, ce qui rend techniquement impraticable un contrôle visant à priori.

En conséquence, l’Éditeur ne peut être tenu responsable des contenus uploadés par les utilisateurs, ni de toute violation de droit de propriété intellectuelle, du droit à l’image, du droit de la vie privée ou de toute autre atteinte à un droit de tiers commise par un utilisateur.

La responsabilité de tout contenu non conforme à la légalité ou aux conditions d’utilisation incombe entièrement à l’utilisateur auteur de ce contenu.

6.4 Mécanismes de signalement et retrait de contenus

Nonobstant la limitation de responsabilité précédente, l’Éditeur s’engage à mettre en œuvre les démarches nécessaires pour retirer dans les meilleurs délais tout contenu manifestement illicite ou signalé comme tel.

6.4.1 Procédure de signalement

Tout utilisateur ou tiers peut signaler un contenu jugé illicite ou non conforme via :

Un bouton de signalement intégré au Site, accessible directement sur chaque contenu ;
Une demande adressée par e-mail aux coordonnées indiquées dans les mentions légales ;
Une notification formelle via courrier recommandé adressée au siège social de l’Éditeur.

Le signalement doit contenir :

Une description précise du contenu signalé ;
L’URL ou la référence du contenu ;
Les motifs précis du signalement (violation du droit d’auteur, atteinte à l’image, contenu impliquant des mineurs, autre) ;
Les preuves ou documents justificatifs étayant le signalement ;
Les coordonnées du signalant et ses informations d’identification.

6.4.2 Délai de traitement

L’Éditeur s’engage à examiner le signalement dans un délai raisonnable (généralement entre 24 et 72 heures, selon la complexité de l’affaire) et à prendre les mesures appropriées :

Retrait immédiat du contenu si manifestement illicite ;
Suspension provisoire du contenu en cas de doute ;
Investigation supplémentaire si le signalement est contesté ;
Communication au signalant de l’action prise (le cas échéant, sous réserve des protections légales applicables).

6.4.3 Notion de « contenu manifestement illicite »

Un contenu est considéré comme manifestement illicite si :

Il implique, met en scène, encourage ou facilite l’exploitation sexuelle ou la maltraitance d’enfants ;
Il incite à la violence, au terrorisme ou aux crimes graves ;
Il porte atteinte, sans autorisation, aux droits de propriété intellectuelle de tiers (droits d’auteur, marques, brevets) ;
Il divulgue, sans consentement, des informations personnelles, confidentielles ou privées d’une tierce personne ;
Il est contrefait, falsifié ou généré de manière frauduleuse ;
Il viole manifestement une autre obligation légale applicable en droit français.

6.5 Procédure de retrait selon les exigences légales

L’Éditeur se conformera aux demandes formelles de retrait de contenu émanant :

D’une autorité judiciaire ou administrative compétente ;
D’un ayant droit établi demandant le respect de ses droits intellectuels ou personnels, selon les modalités prévues par la loi (notamment articles du Code de la propriété intellectuelle, Loi LCEN, droit à l’oubli, etc.) ;
De l’autorité de police ou des douanes en le cadre d’enquêtes criminelles.

6.6 Absence de responsabilité pour les contenus tiers

L’Éditeur ne peut être tenu responsable des contenus générés, uploadés ou partagés par des utilisateurs tiers, notamment :

En cas d’atteinte aux droits de propriété intellectuelle ;
En cas de violation du droit à l’image ou de la vie privée ;
En cas de contenus trompeurs, diffamatoires ou contraires à la loi ;
En cas de dommages ou pertes résultant de l’utilisation ou du téléchargement de tels contenus ;
En cas d’introduction de malware, logiciels malveillants ou contenus dangereux.

Tout recours à l’encontre d’un utilisateur auteur d’un contenu illicite doit être engagé directement par le tiers lésé contre cet utilisateur, dans le respect des procédures légales applicables.

6.7 Acceptation des risques

En acceptant les conditions d’utilisation du Site et notamment cette Politique de confidentialité, l’utilisateur reconnaît et accepte les risques inhérents à l’existence d’une plateforme de partage de contenus :

Exposition à des contenus ou des communications non sollicités ;
Risque de fraude, d’usurpation d’identité ou d’escroquerie par d’autres utilisateurs ;
Risque que des contenus sensibles soient partagés, copiés ou détournés à des fins non souhaitées ;
Absence de garantie absolue quant à la compatibilité légale de tout contenu en ligne.

L’utilisateur accepte de consulter le Site et d’interagir avec d’autres utilisateurs sous sa propre responsabilité.

7. DESTINATAIRES ET TRANSFERTS DES DONNÉES

7.1 Destinataires internes

Les Données Personnelles collectées sont destinées en premier lieu au personnel autorisé de l’Éditeur, strictement dans le cadre de leurs fonctions légitimes :

Équipe administrative et de gestion des comptes ;
Équipe de modération et de conformité ;
Équipe technique et informatique (maintenance, sécurité, développement) ;
Service financier et comptable ;
Service client et support utilisateur ;
Direction générale et compliance.

Chaque membre du personnel n’accède qu’aux données strictement nécessaires à l’accomplissement de ses fonctions. Des mesures contractuelles et organisationnelles imposent le respect de la confidentialité et le traitement légal des données.

7.2 Prestataires externes et sous-traitants

L’Éditeur collabore avec plusieurs prestataires externes intervenant en qualité de sous-traitants au sens de l’article 28 du RGPD :

7.2.1 Prestataires d’hébergement et d’infrastructure

Hébergement des serveurs et bases de données ;
Services de Content Delivery Network (CDN) pour l’optimisation de la diffusion des contenus ;
Services de sauvegarde et de récupération d’urgence.

Ces prestataires ont accès aux Données Personnelles et aux contenus stockés sur les serveurs.

7.2.2 Prestataires de paiement

Traitement des transactions bancaires et de paiement ;
Gestion des portefeuilles numériques et des systèmes de crédit interne ;
Conformité PCI-DSS et standards de sécurité financière.

Important : Les numéros de carte bancaire et données cryptographiques sensibles sont transmis directement au prestataire et ne transitent jamais par les serveurs de l’Éditeur, en vertu des meilleurs standards de sécurité.

7.2.3 Prestataires d’analyse et de suivi

Outils d’analyse d’audience (exemple : Google Analytics) ;
Outils de suivi de conversion et de comportement utilisateur ;
Plateformes de gestion de consentement (gestionnaire de cookies) ;
Outils de BI (Business Intelligence) et de data science.

Certains de ces prestataires opèrent depuis des pays situés hors de l’Union européenne (voir section 7.3).

7.2.4 Prestataires de service client

Plateformes de ticketing et de gestion des demandes (helpdesk) ;
Outils de communication (chat, e-mail, support) ;
Services de vérification d’identité et de lutte anti-fraude.

7.2.5 Prestataires de conformité et d’anti-fraude

Services de vérification de majorité et d’identité ;
Outils de détection de fraude et d’anomalies ;
Services de vérification d’identifiants (dispositifs anti-spam, anti-bot) ;
Prestataires de conformité aux obligations légales (KYC, AML – Know Your Customer, Anti-Money Laundering).

7.2.6 Prestataires informatiques et de sécurité

Entreprises de sécurité informatique et de audit de sécurité ;
Prestataires de support technique et de maintenance ;
Fournisseurs de logiciels d’entreprise (CRM, ERP, outils collaboratifs).

7.3 Contrats de sous-traitance

Chaque prestataire tiers intervenant sur la Plateforme est lié à l’Éditeur par un contrat de sous-traitance (Data Processing Agreement – DPA) conforme aux exigences de l’article 28 du RGPD. Ce contrat fixe :

Les obligations du sous-traitant en matière de confidentialité et de sécurité ;
Les limites de l’accès aux données ;
Les mesures techniques et organisationnelles à mettre en œuvre ;
Les modalités de contrôle et d’audit ;
Les obligations de notification en cas de violation de données ;
Les conditions de suppression ou de restitution des données à l’échéance.

7.4 Transferts hors de l’Union européenne

Certains prestataires techniques opèrent ou stockent des données en dehors de l’Union européenne (notamment aux États-Unis). De tels transferts ne peuvent s’effectuer que selon les mécanismes légaux autorisés par la Commission européenne et le RGPD :

7.4.1 Décisions d’adéquation

Lorsqu’un pays dispose d’une décision d’adéquation de la Commission européenne (exemple : Japon), les données peuvent être transférées librement vers ce pays, car le niveau de protection y est considéré comme équivalent.

7.4.2 Clauses Contractuelles Types (CCT)

Pour les transferts vers des pays dépourvus d’une décision d’adéquation, l’Éditeur use des clauses contractuelles types approuvées par la Commission européenne (Standard Contractual Clauses – SCC), incluant des mesures supplémentaires de protection si nécessaire.

7.4.3 Décision Schrems II et mesures complémentaires

Suite à la décision de la Cour de justice de l’Union européenne (arrêt Schrems II), l’Éditeur procède à une évaluation des lois d’accès aux données du pays destinataire (en particulier les législations américaines FISA et EO 12333). Si le pays destinataire dispose de pouvoirs de surveillance généralisée, des mesures supplémentaires de protection (cryptage renforcé, pseudonymisation, limitations supplémentaires d’accès) sont mises en œuvre.

7.4.4 Transparence sur les transferts

Une liste à jour des transferts de données hors de l’UE et des mécanismes de protection appliqués peut être consultée auprès du Délégué à la protection des données (DPD) ou en contactant l’Éditeur directement.

7.5 Divulgation légale et forces de l’ordre

L’Éditeur peut être contraint de divulguer les Données Personnelles en réponse à :

Une demande judiciaire, un mandat, une assignation ou une ordonnance émanant d’une cour de justice compétente ;
Une demande des autorités administratives ou des forces de l’ordre (police, gendarmerie, douanes, autorités fiscales, etc.) en vertu d’une enquête criminelle, de prévention du terrorisme, de fraude ou d’autres enquêtes légitimes ;
Une obligation imposée par la loi (obligation légale de communication aux autorités) ;
Une demande émanant de l’autorité de protection des données (CNIL) ou d’une autre autorité régulatrice.

Dans chaque cas, l’Éditeur :

N’effectuera la divulgation que dans les limites strictement nécessaires et imposées par la loi ;
Informera l’utilisateur concerné de la divulgation, sauf interdiction légale ou autorisation contraire de l’autorité compétente ;
Coopérera avec les autorités dans le respect des procédures légales et du droit applicable.

7.6 Cession, fusion ou acquisition

En cas de cession, fusion, acquisition ou autre restructuration juridique impliquant l’Éditeur ou la Plateforme, les Données Personnelles peuvent être transférées au nouvel entité. L’utilisateur en sera informé préalablement via une notification visible sur le Site ou par e-mail. Les droits des utilisateurs restent intacts et les conditions de protection des données ne diminuent pas.

8. DURÉES DE CONSERVATION DES DONNÉES

8.1 Principes généraux

Les Données Personnelles ne sont conservées que pendant une durée limitée et ne dépassant pas celle justifiée par la finalité du traitement (principe de limitation de la conservation défini à l’article 5 du RGPD). L’Éditeur effectue un examen régulier des données conservées et met en œuvre des procédures de suppression ou d’anonymisation.

8.2 Durées spécifiques par catégorie de données

8.2.1 Données d’authentification et de compte (compte actif)

Durée : Pendant toute la durée d’activité du compte utilisateur.

Une fois le compte supprimé par l’utilisateur ou suite à la fermeture du compte par l’Éditeur pour violation des conditions, ces données sont supprimées dans un délai de 30 jours, sauf obligation légale ou besoin légitime de conservation (voir 8.2.8).

8.2.2 Données de profil et préférences

Durée : Pendant toute la durée du compte actif.

Après suppression du compte, les données de profil sont supprimées, sous réserve de certaines données qui peuvent être anonymisées à titre statistique.

8.2.3 Contenus uploadés par l’utilisateur (photos, vidéos, commentaires)

Durée :

Contenus mis à disposition volontairement : Tant que l’utilisateur maintient le contenu en ligne, ou à compter de la date de suppression du contenu, avec un délai de sécurité de 30 jours permettant la restauration en cas d’erreur ;
Contenus supprimés : Les serveurs conservent les contenus supprimés pendant 30 jours (durée de la corbeille) puis suppression permanente ;
Contenus en litiges : En cas de contestation de droits d’auteur ou d’atteinte à l’image, les contenus peuvent être conservés pendant la durée de l’enquête et au-delà si nécessaire pour la preuve ou le contentieux ;
Contenus archivés à titre de preuve : En cas de litige ou de besoin probatoire, certains contenus peuvent être conservés plus longtemps.

8.2.4 Données de connexion et de logs

Durée : Entre 90 jours et 1 an selon le type de log.

Logs techniques (erreurs serveur, accès à l’API) : 90 jours ;
Logs de sécurité et détection de fraude : 1 an ;
Logs de transactions financières : 1 an minimum, conformément aux obligations comptables.

8.2.5 Adresses IP

Durée : Entre 7 jours et 13 mois selon le contexte.

IPs associées aux connexions réussies et normales : 30 jours ;
IPs associées à des tentatives de fraude ou de connexion suspecte : jusqu’à 13 mois ;
IPs des signalements d’abus : durée du traitement du signalement + 3 mois.

8.2.6 Données de paiement et transactions

Durée :

Données de facturation et références de transactions : 6 ans minimum (obligation légale de conservation comptable et fiscale, selon l’article L. 123-22 du Code de commerce) ;
Informations de remboursement ou de litige : durée du litige + 2 ans ;
Données relatives aux retraits et virements vers des comptes bancaires : 6 ans.

8.2.7 Données de support client et demandes d’assistance

Durée :

Demandes ordinaires : 1 an après la fermeture du ticket ;
Demandes en contentieux : durée du litige + 2 ans ;
Demandes d’exercice de droits (accès, rectification, suppression) : 1 an après traitement de la demande.

8.2.8 Données relatives aux signalements et modération

Durée :

Signalements de contenu illicite : durée de l’enquête + 6 mois après clôture ;
Décisions de modération ou de suspension : pendant la durée de la sanction + 1 an après levée ;
Signalements d’utilisateurs suspects ou frauduleux : 2 à 3 ans pour prévention de la récidive et alertes futures.

8.2.9 Données d’enrichissement ou provenance de tiers

Durée : Conform à la durée de la finalité poursuivie (vérification de majorité, anti-fraude, etc.), généralement entre 1 an et 6 ans.

8.2.10 Données sensibles (si collectées involontairement)

Durée : Suppression immédiate dès qu’elles sont identifiées, sauf si la loi l’interdit (par exemple, données requises pour le respect d’une obligation légale).

8.3 Procédures de suppression et d’anonymisation

8.3.1 Suppression logique et physique

L’Éditeur distingue entre :

Suppression logique : Le contenu est marqué comme supprimé dans la base de données mais conservé temporairement en vue d’une éventuelle restauration ;
Suppression physique : Le contenu est réellement supprimé des serveurs de manière irréversible (après passage d’une certaine durée ou de manière immédiate pour certaines données critiques).

8.3.2 Anonymisation

Les données peuvent être anonymisées (c’est-à-dire traitées de manière à ce qu’il soit impossible d’identifier la personne concernée) plutôt que supprimées. Les données anonymisées peuvent être conservées indéfiniment à titre statistique ou de recherche, car elles ne constituent plus des données à caractère personnel au sens du RGPD.

8.3.3 Sauvegardes et récupération

Les données supprimées peuvent subsister dans les sauvegardes (backups) pendant la durée de la politique de sauvegarde du fournisseur d’infrastructure (généralement 3 à 12 mois). Ces sauvegardes sont conservées à titre de résilience informatique et de continuité de service. Elles sont soumises aux mêmes standards de sécurité et de confidentialité que les données actives.

9. EXERCICE DES DROITS DES PERSONNES CONCERNÉES

9.1 Droits garantis par le RGPD

Conformément aux dispositions des articles 12 à 22 du RGPD et aux articles 39 et suivants de la Loi Informatique et Libertés, chaque personne concernée par le traitement de données à caractère personnel dispose des droits suivants :

9.2 Droit d’accès (article 15 du RGPD)

Définition : Droit d’obtenir confirmation que des données personnelles la concernant sont traitées et d’en recevoir une copie.

Modalités d’exercice :

L’utilisateur peut demander l’accès à ses données personnelles en adressant une demande écrite au Responsable de traitement ou au Délégué à la protection des données, via :

Formulaire de demande disponible sur le Site ;
E-mail adressé à l’adresse indiquée dans les mentions légales ;
Courrier recommandé adressé au siège social de l’Éditeur.

Délai de réponse : 30 jours calendaires à compter de la réception de la demande (extensible de 2 mois si la demande est complexe ou concerne des données volumineuses).

Contenu de la réponse : L’Éditeur communiquera, dans un format lisible et compréhensible :

La liste des données traitées ;
Les finalités du traitement ;
Les catégories de destinataires ;
La durée de conservation prévue ;
Les informations relatives aux droits du demandeur.

9.3 Droit de rectification (article 16 du RGPD)

Définition : Droit d’obtenir la rectification de données inexactes ou incomplètes.

Modalités d’exercice :

L’utilisateur peut :

Modifier lui-même ses données via son compte utilisateur (profil, informations de contact) ;
Adresser une demande formelle de rectification auprès du Responsable de traitement si la rectification n’est pas possible directement.

Délai : Correction effectuée dans les meilleurs délais, généralement dans les 7 jours.

9.4 Droit à l’effacement (droit à l’oubli) (article 17 du RGPD)

Définition : Droit à la suppression de données personnelles, sous certaines conditions.

Conditions d’exercice :

L’utilisateur peut demander l’effacement de ses données si :

Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
Le consentement sur lequel reposait le traitement a été retiré et aucune autre base légale ne justifie le traitement ;
L’utilisateur s’oppose au traitement et aucun intérêt légitime du Responsable ne prime ;
Les données ont été traitées illégalement ;
L’utilisateur est mineur et il souhaite retirer son consentement ;
Une obligation légale de suppression s’applique.

Exceptions à l’effacement :

L’Éditeur peut refuser l’effacement si le traitement est nécessaire pour :

L’exécution d’une obligation contractuelle ;
Le respect d’une obligation légale (notamment conservation comptable ou fiscale) ;
La constatation, l’exercice ou la défense de droits en justice ;
L’archivage dans l’intérêt public ou pour des fins d’histoire ;
La gestion et la prévention de fraude ou de risques de sécurité ;
La lutte contre des crimes graves.

Modalités d’exercice : Même procédure que pour le droit d’accès.

Délai : 30 jours, extensible de 2 mois si complexe.

9.5 Droit à la limitation du traitement (article 18 du RGPD)

Définition : Droit d’obtenir une restriction du traitement (suspension, non-utilisation) sans effacement des données.

Cas d’utilisation :

L’utilisateur conteste l’exactitude des données ; limitation jusqu’à vérification ;
Le traitement est illégal mais l’utilisateur s’oppose à l’effacement ; limitation à la place ;
Les données ne sont plus nécessaires mais l’utilisateur en a besoin pour établir, exercer ou défendre ses droits ;
L’utilisateur a exercé son droit d’opposition (voir 9.6).

Effet : Les données sont marquées comme limitées et ne peuvent être utilisées que pour l’établissement, l’exercice ou la défense de droits en justice ou pour la protection des droits d’autrui.

9.6 Droit d’opposition (article 21 du RGPD)

Définition : Droit de s’opposer, pour des motifs légitimes, à un traitement.

Champs d’application :

Oppositions aux traitements fondés sur l’intérêt légitime ;
Oppositions aux traitements à des fins de marketing direct ;
Oppositions aux traitements à des fins statistiques ou de profilage.

Effet : Cessation immédiate du traitement, sauf si des raisons impérieuses s’opposent à cette cessation.

9.7 Droit à la portabilité des données (article 20 du RGPD)

Définition : Droit de recevoir ses données personnelles dans un format structuré, couramment utilisé et lisible par machine, et droit de les transmettre à un autre responsable de traitement.

Conditions :

Le traitement repose sur le consentement ou l’exécution d’un contrat ;
Le traitement est effectué à l’aide de procédés automatisés ;
L’utilisateur en formule la demande.

Format de transmission : CSV, XML, JSON ou tout format standard accepté.

Délai : 30 jours, extensible de 2 mois.

9.8 Droits relatifs à la prise de décision automatisée et au profilage (article 22 du RGPD)

Définition : Droit de ne pas être soumis à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou affectant l’utilisateur de manière significative.

Application : La Plateforme n’utilise actuellement pas de systèmes de prise de décision entièrement automatisée ayant des effets juridiques. En cas d’implémentation ultérieure, cette disposition sera activée et les utilisateurs en seront informés.

9.9 Retrait du consentement (article 7 du RGPD)

L’utilisateur peut à tout moment retirer son consentement aux traitements fondés sur le consentement (par exemple : cookies non essentiels, prospection commerciale, analyses fines). Le retrait du consentement n’affecte pas la licéité du traitement effectué avant le retrait.

Modalités :

Via le gestionnaire de consentement (cookies) sur le Site ;
Par demande écrite adressée au Responsable de traitement.

9.10 Procédure d’exercice des droits

9.10.1 Identification du demandeur

L’Éditeur peut demander au demandeur des preuves d’identité (photocopie de pièce d’identité, justificatif d’adresse) pour vérifier qu’il est bien la personne concernée ou autorisée à agir en son nom. Cette vérification est conforme au RGPD et protège contre les demandes frauduleuses.

9.10.2 Gratuité

L’exercice des droits est gratuit. L’Éditeur ne peut facturer de frais que si la demande est manifestement infondée ou excessive.

9.10.3 Communication des résultats

Les résultats de la demande sont communiqués par écrit, dans un langage clair et intelligible, via :

Messagerie électronique sécurisée ;
Courrier postal ;
Accès direct au compte utilisateur (si applicable).

9.10.4 Délais de réponse

Délai légal général : 30 jours calendaires à compter de la réception de la demande.

Extension : Ce délai peut être prolongé de 2 mois supplémentaires si la demande est complexe, volumineuse ou si l’Éditeur reçoit plusieurs demandes simultanément.

Notification de l’extension : L’utilisateur sera informé de toute extension dans le délai initial de 30 jours.

9.10.5 Refus de traitement

Si l’Éditeur refuse de traiter une demande, il communiquera les motifs du refus, notamment :

L’inexistence de données relatives au demandeur ;
L’absence de base légale pour l’effacement demandé ;
L’impossibilité technique de communication ou de portabilité ;
L’exception légale applicable (obligation légale de conservation, défense en justice, etc.).

9.11 Recours en cas de défaut d’exercice

En cas de refus infondé ou de non-respect des droits, l’utilisateur peut :

Adresser une réclamation auprès de l’autorité de contrôle compétente, la Commission Nationale de l’Informatique et des Libertés (CNIL) en France ;
Engager une action en justice auprès des tribunaux compétents ;
Solliciter l’intervention du Délégué à la protection des données de l’Éditeur.

10. MESURES DE SÉCURITÉ ET DE CONFIDENTIALITÉ

10.1 Principes de sécurité

L’Éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques, notamment :

Contre la destruction accidentelle ou illicite des données ;
Contre la perte accidentelle de données ;
Contre l’altération, la modification ou la corruption de données ;
Contre l’accès, la consultation ou la transmission non autorisée de données ;
Contre toute forme de traitement illicite des données.

10.2 Mesures techniques

10.2.1 Cryptage et chiffrement

Données en transit : Utilisation du protocole HTTPS/TLS 1.2 ou supérieur pour toutes les communications entre l’utilisateur et le Site, assurant le chiffrement des données en transit ;
Données au repos : Chiffrement des données sensibles (identifiants, mots de passe, données de paiement) stockées sur les serveurs ;
Mots de passe : Utilisation d’algorithmes de hashage robustes (bcrypt, argon2, PBKDF2) pour les mots de passe, jamais stockés en clair ;
Données de paiement : Les données bancaires sensibles sont traitées par un prestataire certifié PCI-DSS et jamais conservées par l’Éditeur.

10.2.2 Contrôle d’accès

Authentification : Utilisation de systèmes d’authentification sécurisés (mots de passe robustes, authentification multifacteur optionnelle) ;
Autorisation : Mise en place de droits d’accès granulaires basés sur les rôles (RBAC – Role-Based Access Control) ;
Audit des accès : Journalisation de tous les accès aux données sensibles ;
Principe du moindre privilège : Chaque utilisateur n’accède qu’aux données strictement nécessaires.

10.2.3 Sécurité des serveurs

Pare-feu : Utilisation de pare-feu de pointe (WAF – Web Application Firewall) pour filtrer les accès malveillants ;
Mises à jour de sécurité : Déploiement rapide des correctifs de sécurité et des mises à jour ;
Segmentation réseau : Isolation des serveurs contenant des données sensibles du reste du réseau ;
Surveillance continue : Monitoring 24/7 des serveurs, détection des intrusions, alertes d’anomalies ;
Anti-malware et anti-virus : Déploiement de solutions d’antivirus et d’anti-malware à tous les niveaux.

10.2.4 Sécurité des applications

Tests de sécurité : Réalisation régulière de tests de pénétration et d’audit de sécurité ;
Gestion des vulnérabilités : Processus structuré d’identification, de notation et de correction des vulnérabilités ;
Code sûr : Adoption de standards OWASP et bonnes pratiques de développement sécurisé ;
Dépendances externes : Analyse des composants tiers et des dépendances pour détecter les vulnerabilités.

10.2.5 Sauvegardes et récupération

Sauvegardes régulières : Réalisation de sauvegardes complètes et incrémentielles régulières ;
Redondance géographique : Stockage des sauvegardes en plusieurs endroits géographiquement distincts ;
Test de récupération : Tests réguliers de la capacité à restaurer les données ;
RTO/RPO : Définition d’objectifs de temps de récupération (RTO) et d’objectifs de point de récupération (RPO) pour assurer la continuité de service.

10.3 Mesures organisationnelles

10.3.1 Gouvernance et politique

Politique de sécurité informatique : Document cadre définissant les règles et procédures de sécurité ;
Plan de continuité et de récupération : Plans d’urgence en cas d’incident ;
Charte informatique : Règles de bonne conduite pour les utilisateurs et les employés ;
Politique de confidentialité : La présente Politique, obligatoire pour tous les utilisateurs.

10.3.2 Formation et sensibilisation

Formation des équipes : Formation initiale et continue des personnels sur la sécurité informatique et la protection des données ;
Sensibilisation au phishing : Campagnes d’information sur les risques de phishing, d’ingénierie sociale et de fraude ;
Événements de sécurité : Organisation de simulations d’incidents et d’exercices de réponse.

10.3.3 Gestion des incidents

Plan de réponse aux incidents : Procédure documentée pour détecter, signaler, enquêter et corriger les incidents de sécurité ;
Notification des utilisateurs : En cas de violation de données affectant les utilisateurs, notification sans délai indu ou dans les 72 heures (conformément au RGPD) ;
Coopération avec les autorités : Communication à la CNIL et aux autres autorités compétentes si requis ;
Équipe de réponse : Constitution d’une équipe dédiée aux incidents de sécurité (Computer Security Incident Response Team – CSIRT).

10.3.4 Gestion des prestataires

Audits des sous-traitants : Audits réguliers des mesures de sécurité des prestataires ;
Contrats de sous-traitance : Clauses contractuelles imposant les obligations de sécurité et de confidentialité ;
Certifications : Vérification des certifications de sécurité des prestataires (ISO 27001, SOC 2, PCI-DSS, etc.).

10.3.5 Confidentialité et clauses de confidentialité

Accords de confidentialité : Signature d’accords de confidentialité (NDA) avec tous les personnels et prestataires accédant à des données sensibles ;
Contrôle d’accès physique : Restriction de l’accès physique aux serveurs et aux locaux contenant des équipements ou des données sensibles ;
Gestion des documents : Protocoles de sécurisation et d’archivage des documents contenant des données sensibles.

10.4 Limitations et responsabilités de l’utilisateur

Malgré les mesures mises en œuvre, l’Éditeur informe l’utilisateur que :

Aucun système n’est totalement sécurisé : Il existe toujours un risque résiduel d’accès non autorisé ou de compromission des données ;
Responsabilité de l’utilisateur : L’utilisateur est responsable de la sécurisation de son propre accès au compte (mot de passe robuste, protection de l’appareil, connexion sécurisée) ;
Limitation de responsabilité : L’Éditeur ne peut être tenu responsable des dommages résultant de circonstances indépendantes de sa volonté (catastrophes naturelles, attaques terroristes massives, etc.), sauf si la responsabilité découle d’une négligence grave ou d’une mauvaise foi.

10.5 Obligations de notification en cas de violation

Conformément à l’article 33 du RGPD, en cas de violation de données à caractère personnel (accès non autorisé, perte, altération, diffusion), l’Éditeur s’engage à :

Notification à la CNIL : Signalement à la CNIL sans délai indu et dans les 72 heures suivant la découverte de la violation (ou justification de l’absence de risque) ;
Notification aux utilisateurs : Communication aux utilisateurs affectés sans délai indu si la violation présente un risque élevé pour leurs droits et libertés ;
Divulgation des circonstances : Information sur la nature de la violation, les données affectées, les mesures prises ou proposées.

11. COOKIES ET TECHNOLOGIES DE SUIVI

11.1 Qu’est-ce qu’un cookie ?

Un cookie est un petit fichier texte placé sur l’appareil de l’utilisateur lors de la visite du Site. Les cookies servent à mémoriser les informations de l’utilisateur et à personnaliser son expérience.

11.2 Types de cookies utilisés

11.2.1 Cookies strictement nécessaires (cookies techniques)

Ces cookies sont indispensables au fonctionnement du Site et ne nécessitent pas de consentement préalable :

Identifiants de session ;
Préférences de langue ;
Paramètres de sécurité et d’authentification ;
Équilibreur de charge (Load Balancer).

11.2.2 Cookies de performance et analytics

Ces cookies mesurent l’utilisation du Site pour améliorer les performances et l’expérience utilisateur :

Google Analytics : suivi du comportement des visiteurs, pages consultées, durée de session ;
Hotjar : enregistrement de sessions et heatmaps ;
Outils d’analyse propriétaires de l’Éditeur.

Consentement requis : Ces cookies ne sont activés que sur consentement exprès.

11.2.3 Cookies de marketing et de ciblage

Ces cookies permettent le ciblage publicitaire et le suivi des conversions :

Suivi des campagnes publicitaires (Facebook Pixel, Google Ads) ;
Retargeting et publicités personnalisées ;
Analyse des performances de marketing ;
Partage avec des partenaires publicitaires.

Consentement requis : Consentement préalable obligatoire.

11.2.4 Cookies de tiers

Des cookies peuvent être placés par des services tiers intégrés au Site (réseaux sociaux, outils de paiement, widgets externes).

11.3 Autres technologies de suivi

Au-delà des cookies, l’Éditeur peut utiliser d’autres technologies de suivi :

Pixels de tracking : Minuscules images invisibles permettant le suivi de l’accès à certaines pages ;
Web beacons : Balises web pour mesurer l’engagement ;
Local Storage et Session Storage : Stockage local sur l’appareil de l’utilisateur ;
Fingerprinting : Identification unique de l’appareil ou du navigateur (utilisation limitée).

11.4 Gestion des cookies

11.4.1 Banneau de consentement

Lors de la première visite du Site, un banneau d’information claire s’affiche permettant à l’utilisateur de :

Accepter tous les cookies (à l’exception de ceux interdits par la loi) ;
Refuser les cookies non essentiels ;
Paramétrer en détail : accès à un gestionnaire avancé permettant d’accepter/refuser chaque catégorie de cookies ;
Modifier ses choix ultérieurement via un lien ou un bouton d’administration des consentements.

11.4.2 Gestionnaire de cookies

L’utilisateur peut modifier ses préférences de cookies à tout moment via :

Un lien situé en bas de chaque page du Site ;
Ses paramètres de compte utilisateur ;
Les paramètres de son navigateur.

11.4.3 Paramètres du navigateur

L’utilisateur peut également gérer les cookies via les paramètres de son navigateur, en autorisant ou interdisant les cookies généralement. Les instructions pour les principaux navigateurs :

Chrome : Paramètres → Confidentialité et sécurité → Cookies et autres données de site ;
Firefox : Paramètres → Vie privée et sécurité → Cookies et données de site ;
Safari : Paramètres → Confidentialité → Gérer les données de site ;
Edge : Paramètres → Confidentialité et services → Cookies et données de site.

11.5 Consentement pour les cookies non essentiels

Conformément à la loi CNIL (recommandation CNIL du 4 juillet 2019) et à la jurisprudence CJUE, le consentement doit être :

Explicite : Action affirmative de l’utilisateur (clic sur « Accepter »), non présomption ;
Librement donné : Sans obstacle, sans condition de accès à des services essentiels ;
Spécifique : Possibilité de consentir à chaque catégorie de cookies distinctement ;
Informé : Information claire sur chaque type de cookie et son utilisation.

Le consentement n’est pas présumé du silence, de l’inactivité ou du simple accès au Site.

11.6 Durée de conservation des cookies

Cookies de session : Supprimés à la fermeture du navigateur ;
Cookies persistants : Entre 1 mois et 2 ans selon la finalité, avec une limite maxima de 13 mois pour les cookies d’analytics sans consentement continu.

11.7 Tiers partenaires et partage des données de cookies

Les données collectées via cookies peuvent être partagées avec :

Prestataires d’analytics : Google Analytics, Hotjar, etc. (transfert potentiel hors UE) ;
Réseaux publicitaires : Facebook, Google Ads, etc., pour le retargeting et la publicité ciblée ;
Partenaires technologiques : Fournisseurs de service cloud, gestionnaires de consentement.

Chaque partage respecte les normes de protection des données (clauses contractuelles types, décisions d’adéquation, etc.).

12. DONNÉES DES MINEURS

12.1 Interdiction d’accès aux mineurs

La Plateforme est strictement réservée aux personnes majeures de dix-huit (18) ans révolus. Aucun mineur n’est autorisé à accéder au Site ou à utiliser les services.

12.2 Restrictions légales sur le consentement des mineurs

En droit français et dans le cadre du RGPD :

Consentement parental : Les mineurs ne peuvent consentir au traitement de leurs données à titre personnel. Seuls leurs parents ou représentants légaux peuvent consentir ;
Âge minimum : Le RGPD fixe un âge minimum de 16 ans (l’État membre peut abaisser à 13 ans minimum). En France, cet âge est fixé à 15 ans par la loi LCEN modifiée ;
Application à Passion Pieds : Même si la loi autoriserait techniquement des mineurs de 15-17 ans sous consentement parental, la Plateforme impose une restriction stricte à 18 ans pour des raisons de sécurité, de nature du contenu et de conformité aux standards d’industrie.

12.3 Mesures de vérification de majorité

L’Éditeur implémente des mesures raisonnables pour vérifier la majorité des utilisateurs :

Confirmation explicite : Case à cocher requérant la confirmation de majorité ;
Vérification d’identité : Pour les opérations sensibles (paiement, mise en ligne de contenus), vérification via documents d’identité ou services de vérification tiers ;
Monitoring : Détection d’anomalies (profils avec détails incohérents, données suspectes).

12.4 Signalement de mineurs

Si l’Éditeur détecte ou s’il lui est signalé qu’un mineur accède au Site :

Fermeture du compte : Fermeture immédiate du compte ;
Suppression des données : Suppression des données associées (sauf obligation légale de conservation pour enquête) ;
Signalement aux autorités : Signalement potentiel aux autorités compétentes si le contenu uploadé par le mineur présente des risques (auto-exploitation, maltraitance) ;
Communication aux parents : Tentative de notification aux parents ou représentants légaux si identifiés.

12.5 Responsabilité parentale

Les parents ou représentants légaux sont responsables de :

Surveiller l’utilisation d’Internet par les mineurs à leur charge ;
Mettre en place des contrôles parentaux sur les appareils des mineurs ;
S’assurer que les mineurs ne contournent pas les restrictions d’accès au Site.

L’Éditeur ne peut être tenu responsable du contournement des mesures de vérification par un mineur.

13. DROIT APPLICABLE ET LITIGES

13.1 Droit applicable

La présente Politique de confidentialité est régie par le droit français, notamment :

Réglement (UE) 2016/679 (RGPD) ;
Loi n° 78-17 du 6 janvier 1978 (Loi Informatique et Libertés) ;
Code du commerce français ;
Code civil français ;
Toute disposition découlant de la jurisprudence française et européenne relative à la protection des données.

13.2 Résolution des litiges

13.2.1 Étape préalable : dialogue amiable

En cas de désaccord ou de litige relatif à l’application de la Politique, l’utilisateur est encouragé à contacter le Responsable de traitement ou le Délégué à la protection des données pour tenter une résolution amiable. L’Éditeur s’engage à traiter la réclamation diligentement.

13.2.2 Recours auprès de la CNIL

En cas de non-résolution du différend, l’utilisateur dispose du droit de déposer une réclamation auprès de l’autorité de contrôle compétente :

Commission Nationale de l’Informatique et des Libertés (CNIL)

Adresse : 3 Place de Fontenoy, 75007 Paris, France ;
Téléphone : +33 (0)1 53 73 22 22 ;
Site web : www.cnil.fr ;
Formulaire de réclamation en ligne disponible sur le site de la CNIL.

13.2.3 Recours judiciaires

L’utilisateur peut engager une action en justice auprès des tribunaux compétents pour contester une décision de l’Éditeur ou un traitement illégal de ses données. Les tribunaux compétents sont :

Tribunal judiciaire de Paris : Tribunal de première instance compétent pour les litiges relatifs à la protection des données ;
Cour d’appel de Paris : Cour d’appel compétente pour les appels des décisions du tribunal judiciaire ;
Cour de cassation : Cour suprême française, cour de dernier ressort pour les pourvois.

13.3 Responsabilité de l’Éditeur

13.3.1 Limitations de responsabilité

Sous réserve des dispositions impératives du RGPD et de la loi française qui ne peuvent être limitées :

L’Éditeur ne peut être tenu responsable des dommages indirects, exemplaires ou punitifs ;
L’Éditeur ne peut être tenu responsable des dommages résultant de défaillances techniques indépendantes de sa volonté (catastrophes naturelles, pannes d’électricité, cyberattaques massives) ;
L’Éditeur ne peut être tenu responsable des pertes de données résultant d’une mauvaise utilisation ou négligence de l’utilisateur.

13.3.2 Responsabilité en cas de violation

Toutefois, l’Éditeur reconnaît sa responsabilité en cas de :

Violation grave du RGPD ou de la Loi Informatique et Libertés ;
Non-respect de ses obligations de sécurité ayant entraîné une violation de données ;
Refus infondé ou tardif d’exercer les droits de l’utilisateur.

13.4 Prescription

Les délais de prescription applicables aux actions en justice relatives à la protection des données sont :

5 ans : Délai général de prescription en matière de responsabilité civile ;
3 ans : Délai de prescription spécifique pour les demandes relatives aux violations du RGPD, à compter de la découverte du préjudice ;
Délais spéciaux : Selon la nature de l’action (prescription décennale pour certains délits, prescription quadriennale pour les infractions).

14. MODIFICATIONS ET MISE À JOUR DE LA POLITIQUE

14.1 Droit de modification

L’Éditeur se réserve le droit de modifier la présente Politique de confidentialité à tout moment, notamment pour :

S’adapter aux évolutions de la réglementation (notamment nouvelles directives européennes, recommandations de la CNIL) ;
Tenir compte des recommandations des autorités de contrôle ou des instances judiciaires ;
Refléter les modifications apportées aux traitements de données ou aux services proposés ;
Améliorer la clarté et la transparence du texte ;
Répondre aux préoccupations légitimes des utilisateurs en matière de confidentialité.

14.2 Notification des modifications

14.2.1 Modifications majeures

En cas de modification substantielle de la Politique (par exemple, élargissement des finalités de traitement, nouveau type de destinataire, modification des durées de conservation) :

Notification par e-mail : Envoi d’une notification par e-mail à tous les utilisateurs ayant fourni une adresse e-mail ;
Banneau visible sur le Site : Affichage d’un bandeau visible sur la page d’accueil du Site pendant une période minimale de 30 jours ;
Appel au consentement : Demande d’un nouveau consentement explicite si la modification affecte le fondement légal du traitement.

14.2.2 Modifications mineures

Pour les modifications mineures (corrections typographiques, clarifications, ajustements techniques sans impact substantiel) :

Publication : Publication de la version modifiée sur le Site ;
Versioning : Maintien d’un historique des versions antérieures ;
Lien de notification : Lien visible signalant que la Politique a été mise à jour.

14.3 Prévalence de la version mise à jour

La version en ligne la plus récente de la Politique prévaut toujours. La date de mise à jour et le numéro de version sont indiqués en haut du document.

14.4 Acceptation des modifications

L’utilisation continue du Site après notification d’une modification constitue l’acceptation par l’utilisateur des termes modifiés, sauf si une opposition expresse ou un consentement préalable était requis.

14.5 Historique des versions

Un historique des versions précédentes de la Politique peut être conservé sur demande auprès du Responsable de traitement ou du Délégué à la protection des données.

15. COORDONNÉES DU DÉLÉGUÉ À LA PROTECTION DES DONNÉES

15.1 Coordonnées de contact

L’utilisateur peut adresser toute question, réclamation ou demande d’exercice de droits auprès du Délégué à la protection des données (DPD / Data Protection Officer) :

[À RENSEIGNER]

Nom / Raison sociale du DPD : [Information à intégrer]
Adresse e-mail : [Email du DPD]
Adresse postale : [Adresse complète où joindre le DPD]
Téléphone : [Numéro de contact]

15.2 Délai de réponse

Le Délégué à la protection des données s’engage à traiter toute demande dans un délai raisonnable, en conformité avec les délais légaux (généralement 30 jours, extensible de 2 mois si complexe).

15.3 Escalade

En cas d’insatisfaction par rapport à la réponse du DPD, l’utilisateur peut :

Adresser une plainte auprès de la CNIL ;
Solliciter l’intervention d’un médiateur ;
Engager une action en justice.

CONCLUSION

La présente Politique de confidentialité constitue un engagement ferme de l’Éditeur envers la protection des données personnelles et les droits fondamentaux des utilisateurs de la Plateforme Passion Pieds.

Cette Politique reflète les meilleures pratiques internationales en matière de gouvernance des données et de respect des droits numériques, au-delà des simples exigences légales.

L’utilisateur est encouragé à lire intégralement cette Politique et à contacter l’Éditeur ou le Délégué à la protection des données en cas de question ou de préoccupation.

Entrée en vigueur : 25/11/2025

Responsable du document : Délégué à la protection des données de Passion Pieds