Politique de Confidentialité

Dans le cadre de l'utilisation du service StoFlow, nous collectons les catégories de données personnelles suivantes :

2.1 Données d'identification

• Nom et prénom
• Adresse email
• Mot de passe (stocké de manière chiffrée)

2.2 Données de facturation

• Adresse de facturation
• Pays
• Historique des transactions

Note : Les données de carte bancaire sont traitées directement par Stripe et ne sont jamais stockées sur nos serveurs.

2.3 Données techniques

• Adresse IP
• Type de navigateur
• Données de connexion (date, heure)

2.4 Données d'utilisation

• Actions effectuées sur la plateforme
• Produits créés et publiés
• Statistiques d'utilisation des fonctionnalités

Vos données personnelles sont collectées et traitées pour les finalités suivantes :

Conformément au RGPD, chaque traitement de données repose sur une base légale :

• Exécution du contrat (Article 6.1.b) : Le traitement est nécessaire à l'exécution du contrat d'abonnement (création de compte, fourniture du service, facturation). Cette base légale couvre également le traitement IA des photos soumises au Service (détourage automatique, génération de descriptions), s'agissant d'une fonctionnalité essentielle du Service souscrit.
• Intérêt légitime (Article 6.1.f) : Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par Stokode SARL (amélioration du service, sécurité).
• Obligation légale (Article 6.1.c) : Le traitement est nécessaire au respect d'obligations légales (conservation des données de facturation).
• Consentement (Article 6.1.a) : Pour les traitements optionnels (newsletter, communications marketing), votre consentement est requis.

Vos données personnelles peuvent être partagées avec les destinataires suivants :

5.1 Sous-traitants

Précision sur les flux IA. Lorsque vous soumettez une photo de produit au Service, celle-ci est transmise de manière temporaire à Google Cloud (Vertex AI) pour le traitement IA (détourage automatique, génération de description). Les images ne sont pas conservées par Google au-delà du traitement, et aucune image n'est utilisée pour entraîner des modèles tiers (configuration « no training » activée explicitement). Le traitement s'effectue dans la région UE europe-west1.

5.2 Marketplaces tierces

Lorsque vous publiez une annonce sur une marketplace via le Service, Stokode SARL transmet à cette marketplace uniquement les données que vous avez choisi de publier : titre, photos, description, prix, attributs produit.

Ces marketplaces (Vinted, eBay, Etsy, Leboncoin, Vestiaire Collective, etc.) sont des responsables de traitement autonomes pour les données qu'elles reçoivent. Elles disposent de leurs propres politiques de confidentialité, auxquelles vous avez souscrit en vous inscrivant directement sur leur plateforme. Stokode SARL n'est pas responsable du traitement effectué par ces marketplaces sur les données publiées, ni de leurs éventuels transferts hors UE.

5.3 Autres destinataires

• Autorités administratives ou judiciaires en cas d'obligation légale
• Conseils juridiques (avocat, expert-comptable) sous obligation de confidentialité

Vos données ne sont jamais vendues à des tiers.

5.4 Statut de Stokode SARL au sens du RGPD

Stokode SARL est responsable de traitement pour les données liées à votre compte (identification, authentification, facturation, support, communications commerciales).

Pour les flux liés au traitement IA des photos que vous soumettez au Service, Stokode SARL agit en qualité de responsable conjoint de traitement avec vous : vous fournissez le contenu (photo de votre produit) et choisissez de déclencher le traitement, tandis que Stokode SARL détermine les moyens techniques (modèle IA, paramètres, sous-traitant Google Cloud). Cette qualification est sans incidence sur l'exercice de vos droits prévus à l'article 8 ci-après, qui peuvent être exercés directement auprès de Stokode SARL.

Les responsabilités respectives de Stokode SARL et de l'Utilisateur, en qualité de responsables conjoints au sens de l'article 26 du RGPD, sont définies par la présente politique ainsi que par les Conditions Générales d'Utilisation, qui constituent ensemble l'accord entre responsables conjoints requis par cet article. En synthèse : l'Utilisateur reste le seul responsable du contenu qu'il soumet (légalité, droits de propriété intellectuelle, droits des tiers représentés sur les photos), et Stokode SARL est responsable du fonctionnement technique et de la sécurité du traitement IA. Toute demande d'exercice des droits RGPD peut être adressée à l'un ou l'autre des responsables conjoints, conformément à l'article 26.3 du RGPD.

Vos données personnelles sont conservées pour les durées suivantes :

À l'issue de ces durées, vos données sont supprimées ou anonymisées de manière irréversible.

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr

8.1 Qu'est-ce qu'un cookie ?
Un cookie est un petit fichier texte déposé sur votre appareil lors de la visite d'un site web. Il permet de mémoriser des informations relatives à votre navigation.

8.2 Cookies utilisés par StoFlow
StoFlow utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

8.3 Cookies tiers
StoFlow n'utilise pas de cookies publicitaires, de tracking ou d'analyse comportementale.

Stokode SARL met en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité de vos données personnelles :

• Chiffrement des données en transit (HTTPS/TLS)
• Chiffrement des mots de passe (bcrypt)
• Authentification sécurisée par JWT
• Accès restreint aux données (principe du moindre privilège)
• Sauvegardes régulières
• Surveillance et détection des intrusions

En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, vous serez informé dans les meilleurs délais conformément à l'article 34 du RGPD.

Stokode SARL privilégie les sous-traitants établis dans l'Union européenne. Lorsqu'un transfert hors UE est nécessaire, il est encadré par :

• les clauses contractuelles types (CCT) approuvées par la Commission européenne ;
• le Data Privacy Framework (DPF) UE-États-Unis pour les entreprises certifiées.

Cas concrets :

• Stripe (paiement) : siège aux États-Unis, certifié Data Privacy Framework.
• Google Cloud — Vertex AI (traitement IA) : le traitement est confiné à la région UE europe-west1 ; aucune image n'est transférée hors UE pour le traitement IA. Les éventuels journaux administratifs Google sont encadrés par les CCT.
• OVHcloud et Brevo : prestataires français, traitement intégral en France.

Ces mécanismes garantissent un niveau de protection adéquat de vos données personnelles conformément aux exigences du RGPD.

Stokode SARL peut modifier la présente politique de confidentialité pour tenir compte d'évolutions légales, réglementaires, techniques ou de la chaîne de sous-traitance. Toute modification substantielle est notifiée par email à l'Utilisateur et publiée sur cette page.

Les modifications substantielles entrent en vigueur trente (30) jours après leur notification. Pendant ce délai, l'Utilisateur peut exercer son droit d'opposition au nouveau traitement, ou résilier son abonnement sans pénalité avec remboursement au prorata de la période non consommée. À défaut d'opposition dans ce délai, la nouvelle politique est réputée acceptée.

Les modifications purement formelles ou favorables à l'Utilisateur (corrections rédactionnelles, ajout de garanties supplémentaires) prennent effet immédiatement.

Nous vous invitons à consulter régulièrement cette page pour prendre connaissance des éventuelles modifications.