← Retour

Politique de confidentialite

⚠️ Beta privee — HopDeal est en phase beta privee, accessible uniquement sur invitation. Cette politique est susceptible d'evoluer ; toute modification substantielle sera notifiee aux utilisateurs par email. Pour toute question, ecrivez a xle@webmecanik.com.

1. Responsable du traitement

Le responsable du traitement est Xavier, particulier agissant a titre non professionnel, editeur du Service HopDeal — voir Mentions legales.
Contact : xle@webmecanik.com.

Aucun delegue a la protection des donnees (DPO) n'a ete designe, le traitement n'entrant pas dans les cas de designation obligatoire prevus par l'article 37 du RGPD. Pour toute question relative aux donnees personnelles, contactez l'adresse ci-dessus.

2. Donnees collectees

  • Email : creation de compte, identification, envoi d'emails transactionnels (verification, reset, rappels)
  • Mot de passe : hashe avec bcrypt, jamais stocke en clair
  • Secret 2FA (optionnel) : chiffre au repos avec une cle dediee, codes de secours hashes
  • Photos d'articles : envoyees a Anthropic (Claude API) pour generation d'annonce et selection de la meilleure photo. Egalement envoyees a Fashn AI uniquement si vous declenchez la generation mannequin. Stockage temporaire en base (1024px max) tant que vous n'avez pas valide une photo de couverture, puis trim a une seule image. Une miniature 200px est conservee pour l'affichage de votre liste d'annonces.
  • Annonces generees (titre, description, prix, categorie, contexte saisi) : stockees pour acces ulterieur via votre historique
  • Donnees de marche : prix LeBonCoin agreges au moment de la generation, stockes avec l'annonce (pas de donnees personnelles d'autres vendeurs)
  • Rappels programmes : date et type de rappel pour envoi d'emails differes
  • IP et user-agent : logs serveur pour la securite (anti-abus, rate-limiting)
  • Donnees d'usage : compteurs mensuels (annonces generees, photos mannequin) pour quotas et facturation Premium

3. Finalites

  • Generer, sauvegarder et exporter vos annonces de vente
  • Generer une photo de mannequin synthetique pour vos vetements (sur demande)
  • Vous envoyer les emails transactionnels (verification, reset mot de passe, rappels d'ajustement de prix programmes)
  • Securiser votre compte (2FA, anti-fraude)
  • Detecter et prevenir les abus (rate-limiting, anti-spam)
  • Ameliorer le service (mesure d'erreurs anonymisees, mesure d'audience agregee)

4. Base legale (par finalite)

  • Execution du contrat (article 6.1.b RGPD) : creation et gestion du compte, generation d'annonces, generation de photos mannequin sur demande, envoi des emails transactionnels (verification, reset, rappels programmes), historique de vos annonces.
  • Interet legitime (article 6.1.f RGPD) : securisation du compte, lutte contre la fraude, rate-limiting, monitoring des erreurs serveur, mesure d'audience anonymisee. Vous pouvez vous opposer a ces traitements en nous contactant.
  • Obligation legale (article 6.1.c RGPD) : conservation de logs lorsque la loi l'exige (par exemple en cas de requisition judiciaire).

5. Sous-traitants

  • Anthropic, PBC (USA — Claude API) : analyse des photos pour generer titre/description/prix et selectionner la meilleure photo. Donnees envoyees : photos d'article (1024px) et contexte texte saisi. Selon la politique d'Anthropic, les donnees envoyees via API ne sont pas utilisees pour entrainer les modeles. Politique
  • Fashn AI (USA) : generation de la photo mannequin synthetique (modele product-to-model). Donnees envoyees : la photo de l'article uniquement, lors d'une generation declenchee explicitement par vous. Politique
  • ScraperAPI (USA) : recherche de prix marche LeBonCoin via Google. Donnees envoyees : requetes de recherche textuelles courtes (type article + marque), aucune donnee personnelle. Politique
  • Resend (USA) : envoi des emails transactionnels. Donnees : email destinataire et contenu du message. Politique
  • Sentry (USA) : monitoring des erreurs serveur. Donnees : traces d'erreur techniques, hors donnees personnelles. Politique
  • Vercel Inc. (USA) : hebergement, Web Analytics et Speed Insights. Donnees : logs serveur (IP, user-agent), metriques de performance agregees. Les visites des comptes administrateur sont exclues du tracking. Politique
  • Turso (ChiselStrike Inc.) : base de donnees (libSQL). Localisation : Union Europeenne (aws-eu-west-1). Toutes vos donnees applicatives y sont stockees.

Les transferts de donnees vers les sous-traitants etablis aux Etats-Unis sont encadres par :

  • pour les sous-traitants certifies au Data Privacy Framework (DPF) UE-USA (notamment Vercel et Sentry au moment de la redaction) : la decision d'adequation de la Commission europeenne du 10 juillet 2023 ;
  • pour les autres sous-traitants : les Clauses Contractuelles Types (CCT) adoptees par la Commission europeenne le 4 juin 2021, completees par des mesures techniques (chiffrement TLS 1.2+ en transit, minimisation des donnees envoyees).

La liste a jour des certifications DPF est disponible sur dataprivacyframework.gov/list.

Vercel Web Analytics utilise une mesure d'audience anonyme conforme aux lignes directrices CNIL sur les cookies de mesure d'audience exemptes (deliberation 2020-091) : pas d'identification individuelle, pas de croisement avec d'autres traitements, IP non stockee.

6. Duree de conservation

  • Compte actif : tant que vous ne le supprimez pas
  • Photos uploadees : conservees temporairement (1024px) pendant la generation d'annonce. Apres validation d'une photo de couverture, ou au plus tard lors de la fermeture de la page detail, l'ensemble est reduit a une seule image (la photo de couverture choisie). Une miniature 200px est conservee tant que l'annonce existe.
  • Apres suppression du compte : donnees applicatives effacees immediatement de la base
  • Logs serveur et techniques (Sentry, Vercel) : 12 mois maximum
  • Sauvegardes de la base de donnees : conservees selon la politique de retention de l'hebergeur Turso (a verifier ; ne depasse pas 30 jours dans l'usage standard)

7. Vos droits

Conformement aux articles 15 a 22 du RGPD et a la loi Informatique et Libertes, vous disposez des droits suivants :

  • Acces : telechargez vos donnees depuis /settings (export JSON complet)
  • Rectification : modifiez vos annonces et email depuis l'application
  • Effacement : supprimez votre compte depuis /settings
  • Portabilite : export JSON depuis /settings (donnees fondees sur le contrat ou le consentement)
  • Limitation et Opposition aux traitements fondes sur l'interet legitime : ecrivez a xle@webmecanik.com
  • Retrait du consentement : pour les traitements bases sur le consentement, vous pouvez le retirer a tout moment, sans que cela n'affecte la liceite des traitements anterieurs
  • Decision automatisee : aucune decision produisant des effets juridiques ou vous affectant de maniere significative au sens de l'article 22 du RGPD n'est prise automatiquement. Les contenus generes par IA sont des suggestions ; vous gardez le controle final.
  • Sort de vos donnees apres deces : conformement a l'article 40-1 de la loi Informatique et Libertes, vous pouvez definir des directives generales (aupres d'un tiers de confiance numerique certifie par la CNIL) ou particulieres (en nous ecrivant) relatives au sort de vos donnees post-mortem.
  • Reclamation : vous pouvez introduire une reclamation aupres de la CNIL (cnil.fr)

8. Cookies

HopDeal utilise uniquement des cookies strictement necessaires au fonctionnement (pas de consentement requis) :

  • sellsnap_session (authentification, 7 jours) — nom historique conserve pour ne pas deconnecter les sessions actives
  • sellsnap_2fa_pending (2FA en cours, 5 minutes) — idem

Aucun cookie de tracking, publicite ou profilage tiers.

9. Securite

  • Mots de passe : bcrypt + rate-limiting des tentatives
  • 2FA optionnel : TOTP avec codes de secours hashes
  • HTTPS uniquement, headers de securite (CSP, HSTS, X-Frame-Options)
  • Donnees sensibles (secret TOTP) chiffrees au repos
  • Sessions cookies HttpOnly + Secure + SameSite

10. Contenus generes par IA

Les annonces et photos mannequin sont generees par des modeles IA (Anthropic Claude pour le texte, Fashn AI pour les images). Conformement a l'article 50, paragraphe 4, du Reglement (UE) 2024/1689 (AI Act), les photos mannequin telechargees comportent un marquage visuel indiquant leur origine artificielle. Vous restez seul responsable de la verification et de l'usage final de tout contenu genere.

11. Photos contenant des personnes

Le Service est concu pour traiter des photos d'objets a vendre. Si vous uploadez une photo contenant une personne identifiable :

  • vous garantissez avoir recueilli son consentement explicite a l'usage de son image, y compris au traitement par les sous-traitants IA mentionnes en section 5 ;
  • aucune reconnaissance faciale ni identification biometrique au sens de l'article 9 du RGPD n'est effectuee par l'Editeur ou ses sous-traitants ;
  • l'Editeur se reserve le droit de refuser ou supprimer toute photo non conforme.

En cas de doute sur une photo deja uploadee, contactez xle@webmecanik.com pour suppression immediate.

12. Modifications

Cette politique peut evoluer en fonction des evolutions du service. Date de derniere mise a jour : 2026-05-06.

Pour toute question : xle@webmecanik.com