Politique de Confidentialité — Toveria
Version 2.0 — Juin 2026
Conforme au RGPD (UE) 2016/679, à la loi Informatique et Libertés modifiée
et aux réglementations applicables aux transferts internationaux de données
1. Identité du responsable de traitement
Toveria — entreprise individuelle (EI) exploitée par Kamel DOURA
12 Rue de la Part-Dieu, 69003 Lyon, France
SIRET : 978 781 227 00019 — RCS : 978 781 227 R.C.S. Lyon
📧 dpo@toveria.com
Kamel DOURA (EI Toveria) est le responsable de traitement des données personnelles collectées via la plateforme Toveria (toveria.com) et son application mobile, dans le cadre d'une marketplace BtoC, CtoC, CtoB et BtoB opérant depuis l'Europe vers le monde entier.
2. Délégué à la Protection des Données (DPO)
Le DPO est votre interlocuteur pour toute question relative à la protection de vos données personnelles.
3. Données collectées
3.1 Données d'inscription — Tous les utilisateurs
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Prénom et nom | Oui | Identification, DAC7, facturation |
| Date de naissance | Oui (particuliers) | Vérification majorité, DAC7 |
| Adresse email | Oui | Authentification, notifications |
| Numéro de téléphone | Oui | Vérification identité, sécurité, OTP |
| Adresse postale complète | Oui | Livraison, facturation, DAC7 |
| Pays de résidence | Oui | Conformité fiscale, TVA internationale |
| Pseudonyme | Oui | Affichage sur la plateforme |
| Avatar | Non | Personnalisation |
| Biographie | Non | Profil public vendeur |
3.2 Données supplémentaires — Comptes professionnels
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Raison sociale | Oui | Conformité légale, facturation BtoB |
| Forme juridique | Oui | Conformité légale |
| SIRET / Registre équivalent UE | Oui | Vérification identité entreprise |
| Numéro de TVA intracommunautaire | Oui (si assujetti) | VIES, facturation BtoB |
| Pays de stockage des marchandises | Oui | Conformité DAC7, TVA |
| Kbis ou équivalent européen | Oui | Vérification identité |
| IBAN (compte de virement) | Via Stripe | Paiement vendeur (Stripe Connect) |
| Certification DAC7 | Oui | Obligation réglementaire |
| Documents KYC Stripe | Via Stripe | Vérification identité Connect |
3.3 Données collectées à l'utilisation
- Annonces : titre, description, prix, photos, vidéos, catégorie, localisation
- Transactions : historique achats/ventes, montants, références paiement, transporteurs, numéros de suivi
- Conversations : messages échangés entre membres
- Comportement : pages visitées, recherches, annonces consultées, favoris
- Technique : adresse IP, type d'appareil, navigateur, OS, langue, fuseau horaire
- Douanières : informations des déclarations CN22/CN23 pour les expéditions internationales
3.4 Données de paiement
Traitées exclusivement par Stripe. Toveria ne stocke pas les données bancaires. Toveria reçoit uniquement des identifiants tokenisés et des confirmations de transaction.
3.5 Données des acheteurs internationaux
Pour les acheteurs situés hors UE, Toveria collecte les données strictement nécessaires à la transaction : nom, email, adresse de livraison, pays. Ces données sont traitées dans le respect du RGPD et, si applicable, des lois locales de protection des données (PDPA Thaïlande, LGPD Brésil, PIPEDA Canada, etc.).
3.6 Numéro fiscal (NIF / Tax ID)
Collecté pour les vendeurs dépassant les seuils DAC7 (30 transactions ou 2 000 €/an). Également collecté pour les transactions BtoB nécessitant une facture avec identification fiscale.
3.7 Données de notification push
Si vous activez les notifications push, un identifiant d'appareil (jeton FCM) est généré par Firebase Cloud Messaging (Google) et conservé pour vous adresser des notifications liées à votre activité (messages, offres, ventes, suivi de commande). Cet identifiant ne contient aucune donnée personnelle directe. L'activation est facultative et repose sur votre consentement explicite (autorisation demandée par votre navigateur, précédée d'une information dans l'application) ; aucun identifiant n'est transmis à Google avant ce consentement. Vous pouvez désactiver les notifications à tout moment depuis votre appareil ou le menu de l'application.
4. Bases légales des traitements
| Traitement | Base légale |
|---|---|
| Gestion du compte | Exécution du contrat (art. 6.1.b) |
| Traitement des paiements | Exécution du contrat (art. 6.1.b) |
| Notifications transactionnelles | Exécution du contrat (art. 6.1.b) |
| Facturation BtoB | Exécution du contrat + obligation légale |
| Conformité DAC7 | Obligation légale (art. 6.1.c) |
| Vérification TVA VIES | Obligation légale (art. 6.1.c) |
| Déclarations douanières | Obligation légale (art. 6.1.c) |
| Conformité sanctions internationales | Obligation légale (art. 6.1.c) |
| Lutte contre la fraude | Intérêt légitime (art. 6.1.f) |
| Amélioration du service | Intérêt légitime (art. 6.1.f) |
| Emails marketing | Consentement (art. 6.1.a) |
| Cookies analytiques | Consentement (art. 6.1.a) |
| Recommandations personnalisées | Consentement (art. 6.1.a) |
| Notifications push (Firebase Cloud Messaging) | Consentement (art. 6.1.a) |
5. Finalités des traitements
5.1 Gestion du compte et authentification
Création du compte, vérification de l'identité (email OTP, SMS OTP), connexion sécurisée, authentification multifacteurs (TOTP), récupération de compte.
5.2 Fonctionnement de la marketplace
Mise en ligne et gestion des annonces, messagerie temps réel entre membres, traitement des transactions (tous types : BtoC, CtoC, CtoB, BtoB), gestion des lots, historique des commandes.
5.3 Paiements et virement vendeurs
Traitement sécurisé des paiements (Stripe), génération de reçus, virement des fonds aux vendeurs (Stripe Connect), gestion des abonnements Pro, facturation des boosts.
5.4 Facturation BtoB
Génération automatique de factures conformes (numéro séquentiel, données fiscales complètes des deux parties, TVA applicable) pour les transactions entre comptes professionnels.
5.5 Conformité réglementaire
Déclarations DAC7 à la DGFiP, vérification TVA via VIES, conformité DSA, vérification des listes de sanctions internationales, respect des réglementations douanières.
5.6 Transactions internationales
Gestion des données nécessaires aux déclarations douanières (CN22/CN23), calcul des taxes applicables (IOSS, droits de douane), vérification des restrictions d'exportation/importation.
5.7 Sécurité et anti-fraude
Détection des comportements frauduleux, vérification d'authenticité des comptes, protection contre les contenus illicites, contrôles anti-fraude du parrainage, vérification des sanctions internationales.
5.8 Service client et litiges
Traitement des demandes de support, médiation entre acheteur et vendeur, archivage des échanges nécessaires à la résolution des litiges, y compris pour les litiges internationaux.
5.9 Communication commerciale
Envoi d'emails transactionnels obligatoires, envoi d'emails marketing avec consentement préalable (révocable à tout moment).
6. Destinataires des données
6.1 Prestataires techniques (sous-traitants)
| Prestataire | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase | Base de données, auth, stockage | UE (Frankfurt) | Contrat DPA RGPD |
| Stripe | Paiements, KYC, Connect | États-Unis | CCT UE — Privacy Shield 2.0 |
| Resend | Emails transactionnels | États-Unis | CCT UE |
| Google (Firebase Cloud Messaging) | Notifications push | États-Unis | CCT UE |
| Anthropic | Assistance par IA (recherche par image, génération de descriptions d'annonces, assistant support), à la demande de l'utilisateur | États-Unis | CCT UE |
| Vercel | Hébergement application | États-Unis / UE | CCT UE |
6.2 Autorités publiques
- DGFiP (France) : déclarations DAC7 annuelles
- ARCOM (France) : demandes DSA
- Autorités douanières : données des déclarations CN22/CN23
- Autorités compétentes : réponse aux réquisitions judiciaires
- Régulateurs de pays tiers : si requis par la loi locale applicable à la transaction
6.3 Partage entre membres
Seul le profil public est visible : pseudonyme, avatar, ville, biographie, note, nombre de ventes. Le nom réel, adresse, email et téléphone ne sont jamais partagés directement avec d'autres membres (les coordonnées de livraison sont transmises au vendeur uniquement après paiement confirmé, pour la seule finalité d'expédition).
6.4 Acheteurs hors UE
Lorsqu'un acheteur situé hors de l'UE effectue une transaction, les données nécessaires à l'expédition (nom, adresse de livraison) sont partagées avec le vendeur et, le cas échéant, avec le transporteur. Ces données peuvent être soumises aux réglementations douanières du pays de destination.
7. Transferts hors Union Européenne
Les transferts vers des pays tiers (États-Unis notamment) sont encadrés par :
- Clauses contractuelles types (CCT) approuvées par la Commission Européenne (décision d'adéquation 2021/914)
- Cadre EU-US Privacy Shield 2.0 (Décision d'adéquation de juillet 2023) pour les transferts vers les États-Unis
Pour les données des acheteurs résidant hors UE, Toveria applique les mêmes standards de protection que pour les résidents européens, dans la limite de ce qu'autorisent les lois locales applicables.
8. Durée de conservation des données
Chaque donnée est conservée pour la durée strictement nécessaire à sa finalité, puis supprimée ou anonymisée. Conformément aux recommandations de la CNIL, certaines données passent, après leur phase d'utilisation active, par un archivage intermédiaire à accès restreint (accessible uniquement pour le respect d'obligations légales ou la gestion d'un litige) avant leur suppression définitive.
| Catégorie | Durée de conservation |
|---|---|
| Données de compte actif | Durée de vie du compte |
| Données de compte après clôture | Suppression des données personnelles dès la clôture ; les données soumises à une obligation légale sont conservées séparément pour leur durée propre |
| Données de transactions / commandes | 10 ans (Code de commerce, CGI) |
| Factures BtoB | 10 ans (Code de commerce) |
| Conversations (messages) | Phase active de 6 mois après le dernier message, puis archivage intermédiaire à accès restreint, puis suppression : 24 mois (conversation sans commande) ou 5 ans (conversation liée à une commande) |
| Pièces jointes des messages (photos) | Supprimées avec le message correspondant |
| Annonces supprimées par le membre | Médias retirés immédiatement ; suppression définitive de l'annonce 180 jours après |
| Annonces vendues / liées à une commande | Conservées comme preuve de la transaction (jusqu'à 5 ans / obligations comptables) |
| Avis et évaluations | Anonymisation après 5 ans (note et commentaire conservés, identité de l'auteur dissociée) |
| Données DAC7 et fiscales | 10 ans |
| Données douanières | 5 ans (Code des douanes) |
| Journaux techniques (erreurs API) | 90 jours (purge automatique quotidienne) |
| Journal des tentatives de paiement (anti-fraude) | 7 jours (purge automatique quotidienne) |
| Autres journaux de sécurité | 12 mois maximum |
| Cookies analytiques | 13 mois maximum |
| Données de parrainage | 3 ans |
| KYC Stripe (documents d'identité) | Selon obligations Stripe / 5 ans |
| Jeton de notification push (FCM) | Jusqu'à désactivation ou invalidation ; jetons expirés purgés automatiquement |
Litige ou obligation en cours (« legal hold ») : toute donnée nécessaire à la résolution d'un litige, au respect d'une obligation légale ou à une demande d'une autorité compétente est conservée jusqu'à la fin de cette obligation, par dérogation aux durées ci-dessus.
9. Vos droits
Conformément au RGPD (résidents UE) et, dans la mesure applicable, aux lois locales de protection des données (résidents hors UE), vous disposez des droits suivants :
9.1 Droits RGPD (résidents UE)
- Accès (art. 15) — recevoir une copie de vos données
- Rectification (art. 16) — corriger des données inexactes
- Effacement (art. 17) — suppression sauf obligation légale de conservation
- Limitation (art. 18) — suspension temporaire du traitement
- Portabilité (art. 20) — export en format structuré (JSON/CSV)
- Opposition (art. 21) — opposition aux traitements fondés sur l'intérêt légitime
- Retrait du consentement — révocable à tout moment
9.2 Droits des résidents hors UE
Toveria étend, dans la mesure du possible, les protections RGPD aux résidents hors UE. Les résidents de pays disposant de législations spécifiques (LGPD Brésil, PDPA Thaïlande, PIPEDA Canada, CCPA Californie, etc.) peuvent exercer les droits prévus par leur législation en contactant dpo@toveria.com.
9.3 Exercice des droits
📧 dpo@toveria.com — Objet : [Droits RGPD] Votre demande
Délai de réponse : 30 jours (prorogeable de 2 mois pour les demandes complexes). Une pièce d'identité peut être demandée.
9.4 Recours
CNIL — cnil.fr/fr/plaintes — CNIL, 3 place de Fontenoy, 75007 Paris
10. Cookies et traceurs
Cookies strictement nécessaires (pas de consentement requis)
| Cookie | Finalité | Durée |
|---|---|---|
| Session auth | Maintenir la connexion | Session |
| Préférences utilisateur | Langue, affichage | 1 an |
| Panier / lot | Mémoriser la sélection | Session |
| Sécurité | CSRF, anti-fraude | Session |
Consentement cookies (toveria_cookie_consent) | Mémoriser votre choix | 6 mois |
Cookies analytiques (avec consentement)
| Cookie | Finalité | Durée |
|---|---|---|
| Analyse d'audience | Amélioration du service | 13 mois |
Aucun cookie analytique ou publicitaire n'est actif à ce jour : ils ne seront déposés qu'après votre consentement explicite.
Pour le détail complet (catégories, durées, retrait), consultez notre Politique de gestion des cookies. La gestion est accessible à tout moment via le bouton « Gérer les cookies » (menu et bas de chaque page légale).
11. Sécurité des données
- Chiffrement en transit : HTTPS / TLS 1.3
- Chiffrement au repos : base de données Supabase chiffrée
- Authentification : email OTP + SMS OTP + TOTP (2FA)
- Contrôle d'accès : Row Level Security (RLS) Supabase
- Paiements : Stripe PCI DSS Level 1
- Accès restreint : données personnelles accessibles aux seuls employés habilités
- Journalisation : logs de sécurité conservés 12 mois
- Anti-fraude : Stripe Radar, contrôles de parrainage, vérification sanctions
En cas de violation de données susceptible de créer un risque, Toveria vous informera dans les 72 heures.
12. Données des mineurs
La plateforme est réservée aux personnes de 18 ans ou plus. Signalement : dpo@toveria.com.
13. Modifications
Les modifications substantielles sont notifiées par email avec un préavis de 30 jours.
14. Contact
📧 dpo@toveria.com — Protection des données
📧 dpo@toveria.com — Délégué à la Protection des Données
Toveria — Marketplace européenne BtoC, CtoC, CtoB et BtoB
SIRET : [À compléter] — Enregistrement CNIL n° : [À compléter]
Dernière mise à jour : Juin 2026