← Retour

Politique de confidentialité

⚠️ Bêta privée — HopDeal est en phase bêta privée, accessible uniquement sur invitation. Cette politique est susceptible d'évoluer ; toute modification substantielle sera notifiée aux utilisateurs par email. Pour toute question, écrivez à xle@webmecanik.com.

1. Responsable du traitement

Le responsable du traitement est Xavier, particulier agissant à titre non professionnel, editeur du Service HopDeal — voir Mentions légales.
Contact : xle@webmecanik.com.

Aucun delegue à la protection des données (DPO) n'a ete designe, le traitement n'entrant pas dans les cas de designation obligatoire prévus par l'article 37 du RGPD. Pour toute question relative aux données personnelles, contactez l'adresse ci-dessus.

2. Données collectees

  • Email : création de compte, identification, envoi d'emails transactionnels (vérification, reset, rappels)
  • Mot de passe : hashe avec bcrypt, jamais stocké en clair
  • Secret 2FA (optionnel) : chiffre au repos avec une cle dediee, codes de secours hashes
  • Photos d'articles : envoyées a Anthropic (Claude API) pour génération d'annonce et selection de la meilleure photo. Également envoyées a Fashn AI si vous declenchez la génération mannequin, ou a fal.ai (modele Google Gemini) si vous declenchez la génération de photo sur cintre. Stockage temporaire en base (1024px max) tant que vous n'avez pas valide une photo de couverture, puis trim a une seule image. Une miniature 200px est conservée pour l'affichage de votre liste d'annonces.
  • Annonces générées (titre, description, prix, catégorie, contexte saisi) : stockées pour accès ulterieur via votre historique
  • Données de marche : prix LeBonCoin agrégés au moment de la génération, stockés avec l'annonce (pas de données personnelles d'autres vendeurs)
  • Rappels programmes : date et type de rappel pour envoi d'emails differes
  • IP et user-agent : logs serveur pour la sécurité (anti-abus, rate-limiting)
  • Données d'usage : compteurs mensuels (annonces générées, photos mannequin, photos sur cintre) pour quotas et facturation Premium

3. Finalites

  • Générer, sauvegarder et exporter vos annonces de vente
  • Générer une photo de mannequin synthetique, ou une photo sur cintre fidele a l'article, pour vos vêtements (sur demande)
  • Vous envoyer les emails transactionnels (vérification, reset mot de passe, rappels d'ajustement de prix programmes)
  • Securiser votre compte (2FA, anti-fraude)
  • Detecter et prevenir les abus (rate-limiting, anti-spam)
  • Ameliorer le service (mesure d'erreurs anonymisees, mesure d'audience agregee)

4. Base legale (par finalite)

  • Exécution du contrat (article 6.1.b RGPD) : création et gestion du compte, génération d'annonces, génération de photos mannequin et de photos sur cintre sur demande, envoi des emails transactionnels (vérification, reset, rappels programmes), historique de vos annonces.
  • Interet legitime (article 6.1.f RGPD) : securisation du compte, lutte contre la fraude, rate-limiting, monitoring des erreurs serveur, mesure d'audience anonymisee. Vous pouvez vous opposer a ces traitements en nous contactant.
  • Obligation legale (article 6.1.c RGPD) : conservation de logs lorsque la loi l'exige (par exemple en cas de requisition judiciaire).

5. Sous-traitants

  • Anthropic, PBC (USA — Claude API) : analyse des photos pour générer titre/description/prix et selectionner la meilleure photo. Données envoyées : photos d'article (1024px) et contexte texte saisi. Selon la politique d'Anthropic, les données envoyées via API ne sont pas utilisées pour entrainer les modeles. Politique
  • Fashn AI (USA) : génération de la photo mannequin synthetique (modele product-to-model). Données envoyées : la photo de l'article uniquement, lors d'une génération declenchee explicitement par vous. Politique
  • fal.ai (Features & Labels, Inc.) (USA) : génération de la photo sur cintre via le modele Google Gemini 2.5 Flash Image. Données envoyées : la photo de l'article uniquement, lors d'une génération declenchee explicitement par vous. Politique
  • ScraperAPI (USA) : recherche de prix marche LeBonCoin via Google. Données envoyées : requêtes de recherche textuelles courtes (type article + marque), aucune donnée personnelle. Politique
  • Resend (USA) : envoi des emails transactionnels. Données : email destinataire et contenu du message. Politique
  • Sentry (USA) : monitoring des erreurs serveur. Données : traces d'erreur techniques, hors données personnelles. Politique
  • Vercel Inc. (USA) : hebergement, Web Analytics et Speed Insights. Données : logs serveur (IP, user-agent), metriques de performance agrégées. Les visites des comptes administrateur sont exclues du tracking. Politique
  • Turso (ChiselStrike Inc.) : base de données (libSQL). Localisation : Union Europeenne (aws-eu-west-1). Toutes vos données applicatives y sont stockées.

Les transferts de données vers les sous-traitants etablis aux Etats-Unis sont encadres par :

  • pour les sous-traitants certifies au Data Privacy Framework (DPF) UE-USA (notamment Vercel et Sentry au moment de la redaction) : la décision d'adequation de la Commission europeenne du 10 juillet 2023 ;
  • pour les autres sous-traitants : les Clauses Contractuelles Types (CCT) adoptees par la Commission europeenne le 4 juin 2021, completees par des mesures techniques (chiffrement TLS 1.2+ en transit, minimisation des données envoyées).

La liste a jour des certifications DPF est disponible sur dataprivacyframework.gov/list.

Vercel Web Analytics utilise une mesure d'audience anonyme conforme aux lignes directrices CNIL sur les cookies de mesure d'audience exemptes (deliberation 2020-091) : pas d'identification individuelle, pas de croisement avec d'autres traitements, IP non stockée.

6. Duree de conservation

  • Compte actif : tant que vous ne le supprimez pas
  • Photos uploadees : conservées temporairement (1024px) pendant la génération d'annonce. Après validation d'une photo de couverture, ou au plus tard lors de la fermeture de la page détail, l'ensemble est reduit a une seule image (la photo de couverture choisie). Une miniature 200px est conservée tant que l'annonce existe.
  • Après suppression du compte : données applicatives effacees immédiatement de la base
  • Logs serveur et techniques (Sentry, Vercel) : 12 mois maximum
  • Sauvegardes de la base de données : conservées selon la politique de retention de l'hébergeur Turso (a vérifier ; ne depasse pas 30 jours dans l'usage standard)

7. Vos droits

Conformément aux articles 15 a 22 du RGPD et à la loi Informatique et Libertes, vous disposez des droits suivants :

  • Accès : telechargez vos données depuis /settings (export JSON complet)
  • Rectification : modifiez vos annonces et email depuis l'application
  • Effacement : supprimez votre compte depuis /settings
  • Portabilite : export JSON depuis /settings (données fondees sur le contrat ou le consentement)
  • Limitation et Opposition aux traitements fondes sur l'intérêt legitime : écrivez à xle@webmecanik.com
  • Retrait du consentement : pour les traitements bases sur le consentement, vous pouvez le retirer a tout moment, sans que cela n'affecte la liceite des traitements anterieurs
  • Décision automatisee : aucune décision produisant des effets juridiques ou vous affectant de maniere significative au sens de l'article 22 du RGPD n'est prise automatiquement. Les contenus générés par IA sont des suggestions ; vous gardez le contrôle final.
  • Sort de vos données après deces : conformément à l'article 40-1 de la loi Informatique et Libertes, vous pouvez definir des directives générales (aupres d'un tiers de confiance numerique certifie par la CNIL) ou particulieres (en nous ecrivant) relatives au sort de vos données post-mortem.
  • Reclamation : vous pouvez introduire une reclamation aupres de la CNIL (cnil.fr)

8. Cookies

HopDeal utilise uniquement des cookies strictement nécessaires au fonctionnement (pas de consentement requis) :

  • sellsnap_session (authentification, 7 jours) — nom historique conservé pour ne pas deconnecter les sessions actives
  • sellsnap_2fa_pending (2FA en cours, 5 minutes) — idem

Aucun cookie de tracking, publicite ou profilage tiers.

9. Sécurité

  • Mots de passe : bcrypt + rate-limiting des tentatives
  • 2FA optionnel : TOTP avec codes de secours hashes
  • HTTPS uniquement, headers de sécurité (CSP, HSTS, X-Frame-Options)
  • Données sensibles (secret TOTP) chiffrees au repos
  • Sessions cookies HttpOnly + Secure + SameSite

10. Contenus générés par IA

Les annonces et photos (mannequin et sur cintre) sont générées par des modeles IA (Anthropic Claude pour le texte, Fashn AI et fal.ai/Google Gemini pour les images). Conformément à l'article 50, paragraphe 4, du Règlement (UE) 2024/1689 (AI Act), les photos générées et téléchargées comportent un marquage visuel indiquant leur origine artificielle. Vous restez seul responsable de la vérification et de l'usage final de tout contenu généré.

11. Photos contenant des personnes

Le Service est conçu pour traiter des photos d'objets a vendre. Si vous uploadez une photo contenant une personne identifiable :

  • vous garantissez avoir recueilli son consentement explicite à l'usage de son image, y compris au traitement par les sous-traitants IA mentionnés en section 5 ;
  • aucune reconnaissance faciale ni identification biometrique au sens de l'article 9 du RGPD n'est effectuée par l'Éditeur ou ses sous-traitants ;
  • l'Éditeur se reserve le droit de refuser ou supprimer toute photo non conforme.

En cas de doute sur une photo déjà uploadee, contactez xle@webmecanik.com pour suppression immédiate.

12. Modifications

Cette politique peut évoluer en fonction des évolutions du service. Date de dernière mise à jour : 2026-05-06.

Pour toute question : xle@webmecanik.com