Mentions légales CGV CGU Confidentialité

Politique de confidentialité

Version en vigueur au 8 avril 2026

Cette politique s'applique à deux contextes distincts : (1) le site marketing shoptonapp.web.app, dont BDEASY est responsable de traitement ; (2) l'application mobile déployée par un BDE client via la plateforme BDEASY, dans laquelle BDEASY agit en qualité de sous-traitant et le BDE en qualité de responsable de traitement.

Article 1 — Identité du responsable de traitement

1.1 Pour le site marketing (shoptonapp.web.app)

BDEASY — SASU en cours d'immatriculation
Siège social : Bordeaux (33000), France
Contact : contact@bdeasy.fr

1.2 Pour l'application mobile

Le BDE opérateur (bureau des étudiants ayant souscrit à la plateforme BDEASY) est responsable de traitement des données collectées via son application. BDEASY intervient comme sous-traitant technique conformément à l'article 28 du RGPD. Un contrat de sous-traitance (DPA) est signé avec chaque BDE client.

Article 2 — Données collectées et finalités

2.1 Site marketing

Données	Source	Finalité	Base légale
Prénom, nom d'association, e-mail professionnel	Formulaire de contact / démo	Traitement des demandes, prospection commerciale B2B	Intérêt légitime (art. 6.1.f RGPD)
Adresse IP, user-agent, pages consultées	Firebase Hosting (logs serveur)	Sécurité, débogage, statistiques anonymes	Intérêt légitime

2.2 Application mobile (traitement par le BDE)

Données	Source	Finalité	Base légale
Prénom, nom, e-mail, promotion	Inscription	Création et gestion du compte membre	Contrat (art. 6.1.b)
Photo de profil (optionnelle)	Profil utilisateur	Personnalisation du profil	Consentement (art. 6.1.a)
Publications, commentaires, annonces	Feed / Espace services	Fonctionnement de la communauté	Contrat
Historique d'achats, billets, goodies	Boutique	Gestion des commandes et fidélité	Contrat
Données de paiement	Stripe (processeur externe)	Traitement des transactions	Contrat — Stripe est responsable de traitement pour ses propres données
Notifications push (token FCM)	Firebase Cloud Messaging	Envoi de notifications	Consentement
Logs d'activité (connexions, actions)	Firebase / Firestore	Sécurité, modération, débogage	Intérêt légitime

Article 3 — Durée de conservation

Catégorie	Durée
Demandes de contact (site)	3 ans à compter du dernier contact
Données de compte (application)	Durée de l'adhésion + 1 an après suppression du compte
Données de commande	10 ans (obligation comptable)
Logs serveur	13 mois (recommandation CNIL)
Tokens de notification	Jusqu'à révocation du consentement ou désinstallation

Article 4 — Destinataires et sous-traitants

4.1 Site marketing

Les données du formulaire de contact sont accessibles uniquement à l'équipe BDEASY. Aucune cession à des tiers commerciaux.

Hébergeur : Google LLC (Firebase Hosting, Mountain View, CA, USA) — transfert hors UE encadré par les clauses contractuelles types (CCT) de la Commission européenne.

4.2 Application mobile

BDEASY fait appel aux sous-traitants suivants dans le cadre de l'hébergement et du fonctionnement de l'application :

Sous-traitant	Rôle	Localisation	Garanties
Google LLC (Firebase / Firestore)	Base de données, authentification, stockage, notifications	UE (région europe-west1) + USA	CCT, DPA Google Cloud
Stripe, Inc.	Traitement des paiements	USA (données de transaction)	CCT, Privacy Shield successor, DPA Stripe

Ces sous-traitants ne sont autorisés à utiliser les données que dans le cadre strict de la prestation fournie à BDEASY. Aucune vente de données à des fins publicitaires.

Article 5 — Transferts hors Union européenne

Certaines données sont traitées sur des serveurs situés aux États-Unis (Firebase, Stripe). Ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne, conformément à l'article 46 du RGPD. Les accords de traitement des données (DPA) conclus avec chaque sous-traitant sont disponibles sur demande.

BDEASY s'efforce de prioriser le stockage des données en région européenne (Firebase region europe-west1) chaque fois que c'est techniquement possible.

Article 6 — Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès Obtenir une copie de vos données personnelles.

Droit de rectification Corriger des données inexactes ou incomplètes.

Droit à l'effacement Supprimer vos données dans les cas prévus par le RGPD.

Droit à la portabilité Recevoir vos données dans un format structuré et lisible.

Droit d'opposition Vous opposer à un traitement fondé sur l'intérêt légitime.

Droit à la limitation Suspendre temporairement un traitement.

Retrait du consentement Révoquer votre consentement à tout moment, sans rétroactivité.

Réclamation CNIL Déposer une plainte auprès de la CNIL (cnil.fr).

Comment exercer vos droits

Via le site marketing : adressez votre demande à contact@bdeasy.fr. Réponse sous 30 jours.

Via l'application mobile : contactez directement votre BDE (responsable de traitement) via la messagerie intégrée ou les paramètres de compte. Vous pouvez également nous contacter à contact@bdeasy.fr pour toute question technique.

Une pièce d'identité pourra être demandée pour vérifier votre identité avant de traiter votre demande.

Article 7 — Cookies et traceurs

7.1 Site marketing

Le site shoptonapp.web.app n'utilise pas de cookies publicitaires ni de traceurs tiers. Seuls des logs techniques produits par Firebase Hosting (adresse IP, user-agent, timestamp) sont conservés à des fins de sécurité et de débogage.

Aucune bannière de cookies n'est affichée car aucun cookie nécessitant consentement n'est déposé. Si cette politique devait évoluer, une bannière conforme aux recommandations CNIL serait mise en place.

7.2 Application mobile

L'application n'utilise pas de cookies au sens strict (pas de navigateur). Firebase SDK peut conserver des données de session et des tokens localement sur l'appareil (AsyncStorage / SharedPreferences) pour maintenir la connexion. Ces données restent sur l'appareil et ne sont pas partagées avec des tiers publicitaires.

Article 8 — Sécurité des données

BDEASY et ses sous-traitants mettent en œuvre des mesures techniques et organisationnelles adaptées :

Chiffrement des données en transit (TLS 1.3) et au repos (AES-256 via Firebase).
Authentification forte pour les accès administrateurs (2FA obligatoire).
Règles de sécurité Firestore limitant l'accès aux seuls utilisateurs authentifiés et autorisés.
Journalisation des accès et alertes en cas d'activité anormale.
Mises à jour de sécurité appliquées régulièrement sur l'ensemble de l'infrastructure.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, BDEASY notifiera la CNIL dans les 72 heures et informera les personnes concernées dans les meilleurs délais, conformément à l'article 33 du RGPD.

Article 9 — Mineurs

L'application mobile est déconseillée aux moins de 13 ans. Entre 13 et 15 ans, l'accord d'un représentant légal est requis. BDEASY ne collecte pas sciemment de données personnelles d'enfants de moins de 13 ans. Si une telle collecte était constatée, les données seraient supprimées dans les meilleurs délais.

Article 10 — Modifications de la politique

Cette politique peut être mise à jour pour refléter des évolutions légales, réglementaires ou fonctionnelles. La date de dernière mise à jour est indiquée en haut de ce document. En cas de modifications substantielles, les utilisateurs de l'application en seront informés par notification push ou e-mail au moins 15 jours avant l'entrée en vigueur.

Article 11 — Contact et réclamations

Pour toute question relative à cette politique ou à l'exercice de vos droits :
E-mail : contact@bdeasy.fr
Courrier : BDEASY, Bordeaux (33000), France

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés
3 place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07
www.cnil.fr