Privacy policy (GDPR)
1. Responsable du traitement
Obifruit — SIRET 94439349500014
60 RUE FRANCOIS IER, 75008 PARIS, France
Site : tradedoc-web.vercel.app
Contact DPO / privacy : contact@obifruit.fr
2. Données collectées
| Catégorie | Exemples | Finalité |
|---|---|---|
| Compte | E-mail, mot de passe (hash localStorage), nom, société | Authentification, support |
| Abonnement | E-mail, statut/plan Stripe, IDs client & abonnement | Contrôle d'accès payant, facturation |
| Données métier | Clients, produits, dossiers export (localStorage navigateur) | Fonctionnement de l'application |
| Paiement | Données transmises à Stripe au checkout (e-mail, moyen de paiement tokenisé) | Exécution du contrat |
| Technique | Logs Vercel, IP (rate limiting API), horodatages | Sécurité, disponibilité, anti-abus |
3. Où sont stockées vos données ?
- Données documentaires (clients, produits, dossiers) : principalement dans le navigateur de l'utilisateur (
localStorage) tant qu'aucune synchronisation cloud n'est activée. - Abonnements : cache serveur Supabase (UE, Paris —
eu-west-3) + source de vérité Stripe. - Paiements : traités par Stripe (PCI-DSS) ; Obifruit ne conserve pas les coordonnées bancaires.
- Hébergement web : Vercel (infrastructure globale, edge functions EU disponibles).
4. Base légale
- Exécution du contrat (abonnement, accès au service)
- Intérêt légitime (sécurité, amélioration du produit, prévention de la fraude)
- Obligations légales (comptabilité, réponses aux autorités)
- Consentement le cas échéant (cookies analytics non essentiels)
5. Sous-traitants
- Stripe — paiements et abonnements (USA/UE, clauses contractuelles types)
- Supabase — base Postgres abonnements (UE)
- Vercel — hébergement et API serverless
La liste actualisée est disponible sur demande à contact@obifruit.fr.
6. Durée de conservation
- Compte actif : durée de la relation contractuelle + 3 ans (prospection B2B)
- Données de facturation : 10 ans (obligations comptables)
- Logs techniques : 90 jours maximum
7. Vos droits (RGPD)
Vous disposez des droits d'accès, rectification, effacement, limitation, opposition, portabilité et du droit de définir des directives post-mortem. Pour les exercer : contact@obifruit.fr. Réclamation possible auprès de la CNIL (cnil.fr).
8. Sécurité
Chiffrement HTTPS, clés secrètes côté serveur uniquement, Row Level Security sur Supabase (accès API service role), rate limiting sur les endpoints sensibles. Voir SECURITY.md (documentation technique).
9. Cookies et mesure d'audience
TradeDoc n'utilise pas de cookies publicitaires. Des cookies techniques peuvent être déposés par Stripe au checkout. La mesure d'audience repose sur Vercel Web Analytics (sans cookies, données anonymisées : pages vues, pays, navigateur, référent — pas de PII). Aucun bandeau cookies n'est requis pour cet outil.
10. Transferts hors UE
Certains sous-traitants (Stripe, Vercel) peuvent traiter des données aux États-Unis avec garanties appropriées (SCC, certifications).