Politique de confidentialite
Derniere mise a jour : 12 fevrier 2026
La presente politique de confidentialite decrit la maniere dont CirculExpert (ci-apres « nous », « notre » ou « l'Editeur ») collecte, utilise, conserve et protege les donnees personnelles des utilisateurs de la plateforme circulexpert.com (ci-apres « la Plateforme »).
Elle fait partie integrante des Conditions Generales d'Utilisation.
1. Responsable du traitement
Le responsable du traitement est :
- Societe : CirculExpert, SASU en cours d'immatriculation
- Siege social : Paris (75), France (adresse exacte en cours de finalisation)
- SIRET : en cours d'obtention
- Representant legal : le dirigeant de la SASU CirculExpert
- Contact DPO / donnees personnelles : dpo@circulexpert.com
2. Donnees personnelles collectees
2.1 Donnees fournies lors de l'inscription
- Nom et prenom du representant legal
- Adresse email professionnelle
- Numero de telephone
- Denomination sociale, forme juridique, SIRET ou RNA
- Adresse du siege social
- Mot de passe (stocke sous forme hashee, bcrypt)
2.2 Donnees collectees lors de l'utilisation
- Donnees d'inventaire (articles, lots, matieres, quantites, poids)
- Photographies transmises pour analyse IA
- Resultats d'analyse IA et validations
- Fiches Matieres publiees sur la Marketplace
- Messages echanges dans le cadre des negociations (Deals)
- Historique des transactions, encheres et offres
- Avis et evaluations
- Documents generes (RNDTS, BSD, Cerfa, factures)
- Donnees de paiement (traitees par Stripe — nous ne stockons pas les numeros de carte)
2.3 Donnees collectees automatiquement
- Adresse IP
- Type et version du navigateur, systeme d'exploitation
- Pages consultees, dates et heures de connexion
- Journaux d'audit (actions realisees sur la Plateforme)
3. Finalites et bases legales du traitement
| Finalite | Base legale (art. 6 RGPD) |
|---|---|
| Fourniture et gestion du service (compte, inventaire, marketplace, encheres) | Execution du contrat (art. 6.1.b) |
| Facturation et gestion des abonnements | Execution du contrat (art. 6.1.b) |
| Analyse IA des textiles (Flux-Vision) | Execution du contrat (art. 6.1.b) |
| Generation de documents reglementaires (RNDTS, Cerfa, BSD) | Obligation legale (art. 6.1.c) — loi AGEC, Code de l'environnement |
| Conservation des donnees comptables et fiscales | Obligation legale (art. 6.1.c) — Code de commerce, Code general des impots |
| Piste d'audit et tracabilite des operations | Interet legitime (art. 6.1.f) — securite, prevention de la fraude |
| Amelioration du service et statistiques d'usage | Interet legitime (art. 6.1.f) |
| Envoi de notifications transactionnelles (confirmations, alertes) | Execution du contrat (art. 6.1.b) |
| Securite de la Plateforme (detection d'intrusions, journalisation) | Interet legitime (art. 6.1.f) |
4. Destinataires des donnees
4.1 Acces interne
Seuls les membres habilites de l'equipe CirculExpert (administrateurs, support) ont acces aux donnees personnelles, dans la limite de ce qui est necessaire a l'exercice de leurs fonctions.
4.2 Sous-traitants
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de donnees, authentification, stockage fichiers | UE (AWS eu-west) | DPA signe, chiffrement au repos et en transit |
| Vercel Inc. | Hebergement application (serverless) | UE (edge) / US | DPA, clauses contractuelles types (SCC) |
| Stripe Inc. | Paiement, facturation, sequestre | UE / US | Certifie PCI-DSS niveau 1, DPA, SCC |
| OpenAI Inc. | Analyse IA des images textiles | US | DPA, SCC. Images non utilisees pour l'entrainement (opt-out API) |
| Google LLC | Analyse IA (Gemini) — provider alternatif | UE / US | DPA, SCC, Cloud Terms of Service |
| Resend Inc. | Envoi d'emails transactionnels | US | DPA, SCC |
4.3 Transferts hors UE
Certains sous-traitants sont etablis aux Etats-Unis. Les transferts sont encadres par des Clauses Contractuelles Types (SCC) adoptees par la Commission europeenne, conformement a l'article 46.2.c du RGPD. Nous veillons a ce que chaque sous-traitant offre des garanties adequates de protection des donnees.
5. Duree de conservation
| Categorie de donnees | Duree de conservation |
|---|---|
| Donnees de compte (profil, identifiants) | Duree du contrat + 3 ans apres resiliation |
| Donnees de transaction et facturation | 10 ans (obligation legale — art. L. 123-22 Code de commerce) |
| Documents reglementaires (RNDTS, Cerfa, BSD) | 5 ans minimum (obligations environnementales) |
| Images d'analyse IA | Duree du contrat + 1 an |
| Messages de negociation (Deals) | Duree du contrat + 3 ans |
| Journaux d'audit | 5 ans |
| Logs techniques (IP, connexion) | 1 an (recommandation CNIL) |
A l'expiration de ces delais, les donnees sont supprimees ou anonymisees de maniere irreversible.
6. Vos droits
Conformement au Reglement General sur la Protection des Donnees (RGPD) et a la loi Informatique et Libertes, vous disposez des droits suivants :
- Droit d'acces (art. 15 RGPD) : obtenir la confirmation du traitement de vos donnees et en recevoir une copie.
- Droit de rectification (art. 16 RGPD) : faire corriger vos donnees inexactes ou incompletes.
- Droit a l'effacement (art. 17 RGPD) : demander la suppression de vos donnees, sous reserve des obligations legales de conservation.
- Droit a la limitation du traitement (art. 18 RGPD) : obtenir la limitation du traitement dans certains cas.
- Droit a la portabilite (art. 20 RGPD) : recevoir vos donnees dans un format structure et lisible par machine.
- Droit d'opposition (art. 21 RGPD) : vous opposer au traitement fonde sur l'interet legitime.
- Droit de retirer votre consentement a tout moment, lorsque le traitement est fonde sur le consentement.
- Droit de definir des directives post-mortem relatives au sort de vos donnees apres votre deces (loi Informatique et Libertes).
Pour exercer ces droits, contactez-nous a dpo@circulexpert.com. Nous repondrons dans un delai d'un (1) mois, prolongeable de deux (2) mois en cas de demande complexe.
Vous pouvez egalement introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL) : www.cnil.fr.
7. Cookies
7.1 Cookies strictement necessaires
La Plateforme utilise des cookies techniques indispensables au fonctionnement du service :
- sb-rls-token : cookie de session et d'authentification (JWT Supabase). Duree : session.
- better-auth.session_token : jeton d'authentification Better Auth. Duree : session.
Ces cookies ne necessitent pas votre consentement prealable (art. 82 de la loi Informatique et Libertes ; lignes directrices CNIL sur les cookies, 2020).
7.2 Absence de cookies tiers
La Plateforme n'utilise aucun cookie publicitaire, de tracking ou d'analyse comportementale tiers. Aucun outil de type Google Analytics, Facebook Pixel ou equivalent n'est deploye.
8. Securite des donnees
Nous mettons en oeuvre les mesures techniques et organisationnelles appropriees pour proteger vos donnees personnelles contre tout acces non autorise, alteration, divulgation ou destruction :
- Chiffrement en transit (TLS/HTTPS) sur l'ensemble des communications.
- Chiffrement au repos des bases de donnees (AES-256, Supabase/AWS).
- Hashage des mots de passe (bcrypt, facteur de cout adapte).
- Controle d'acces par roles (RBAC) et Row-Level Security (RLS) au niveau base de donnees.
- Authentification par JWT avec expiration des sessions.
- Journalisation de toutes les actions sensibles (piste d'audit).
- Verification des mots de passe contre les bases de donnees compromises (HaveIBeenPwned).
- Hebergement sur des infrastructures certifiees (SOC 2, ISO 27001).
9. Notification de violation de donnees
En cas de violation de donnees personnelles susceptible d'engendrer un risque pour vos droits et libertes, nous notifierons la CNIL dans un delai de 72 heures conformement a l'article 33 du RGPD. Si la violation est susceptible d'engendrer un risque eleve pour vos droits et libertes, vous en serez informe dans les meilleurs delais conformement a l'article 34 du RGPD.
10. Modifications
La presente politique peut etre mise a jour pour refleter les evolutions de nos pratiques ou de la reglementation. Toute modification substantielle sera notifiee par email et/ou sur la Plateforme au moins trente (30) jours avant son entree en vigueur. La date de derniere mise a jour est indiquee en haut de ce document.
11. Contact
Pour toute question relative a la protection de vos donnees personnelles : dpo@circulexpert.com
CirculExpert SASU — Paris, France (adresse exacte en cours de finalisation)
Societe en cours d'immatriculation. Les informations definitives (SIREN, adresse du siege) seront mises a jour des obtention du Kbis. Ce document doit etre valide par un avocat ou un DPO avant mise en production.