Politique RGPD — Toveria
Version 2.0 — Juin 2026
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
Marketplace européenne BtoC, CtoC, CtoB et BtoB — Vente depuis l'Europe vers le monde entier
1. Identité et coordonnées du responsable de traitement
| |
|---|
| Responsable de traitement | Kamel DOURA (entreprise individuelle Toveria) |
| Forme juridique | Entreprise individuelle (EI) |
| Adresse | 12 Rue de la Part-Dieu, 69003 Lyon, France |
| SIRET | 978 781 227 00019 |
| RCS | 978 781 227 R.C.S. Lyon |
| Numéro de TVA | FR 45 978 781 227 |
| Email DPO | dpo@toveria.com |
| Email RGPD | dpo@toveria.com |
| Autorité de contrôle | CNIL — 3 place de Fontenoy, 75007 Paris — cnil.fr |
2. Délégué à la Protection des Données (DPO)
Toveria a désigné un Délégué à la Protection des Données (DPO) conformément à l'article 37 du RGPD.
Contact DPO :
📧 dpo@toveria.com
📮 Toveria — DPO (Kamel DOURA), 12 Rue de la Part-Dieu, 69003 Lyon, France
Le DPO est votre interlocuteur privilégié pour toute question relative à la protection de vos données personnelles. Il est également l'interlocuteur de la CNIL.
3. Registre des activités de traitement (art. 30 RGPD)
3.1 Gestion des comptes utilisateurs
| Champ | Détail |
|---|
| Finalité | Création, authentification et gestion des comptes |
| Base légale | Exécution du contrat (art. 6.1.b) |
| Données traitées | Prénom, nom, email, téléphone, date de naissance, adresse, pays, pseudonyme, avatar |
| Destinataires | Supabase (hébergeur base de données), Twilio (vérification SMS) |
| Durée de conservation | Durée de vie du compte + 3 ans après clôture |
| Transfert hors UE | Twilio (États-Unis) — CCT UE |
3.2 Vérification d'identité téléphonique (OTP)
| Champ | Détail |
|---|
| Finalité | Vérification du numéro de téléphone lors de l'inscription et de la modification du profil |
| Base légale | Exécution du contrat (art. 6.1.b) + obligation légale KYC partielle |
| Données traitées | Numéro de téléphone (format E.164), horodatage de vérification |
| Destinataires | Twilio Verify (États-Unis) |
| Durée de conservation | Durée de vie du compte |
| Transfert hors UE | Twilio (États-Unis) — CCT UE |
3.3 Authentification multifacteurs (2FA/TOTP)
| Champ | Détail |
|---|
| Finalité | Renforcement de la sécurité du compte |
| Base légale | Intérêt légitime — sécurité (art. 6.1.f) |
| Données traitées | Secret TOTP (chiffré), codes de secours (hashés SHA-256), horodatage d'activation |
| Destinataires | Supabase (stockage chiffré) |
| Durée de conservation | Durée de vie du compte |
| Transfert hors UE | Non |
3.4 Publication et gestion des annonces
| Champ | Détail |
|---|
| Finalité | Mise en ligne et gestion des annonces de vente |
| Base légale | Exécution du contrat (art. 6.1.b) |
| Données traitées | Titre, description, prix, photos, vidéos, catégorie, localisation (ville, pays), hashtags, état de l'article |
| Destinataires | Supabase Storage (photos), CDN Supabase |
| Durée de conservation | Durée de publication. Après suppression par le membre : médias retirés immédiatement, annonce supprimée définitivement à 180 jours. Annonce liée à une commande : conservée jusqu'à 5 ans (preuve de transaction). |
3.5 Traitement des transactions et paiements
| Champ | Détail |
|---|
| Finalité | Traitement sécurisé des paiements, escrow, virement aux vendeurs |
| Base légale | Exécution du contrat (art. 6.1.b) |
| Données traitées | Montants (article, frais, port), référence de paiement, statut de commande, adresse de livraison, nom de l'acheteur, pays |
| Destinataires | Stripe Inc. (paiements, KYC Connect vendeurs) |
| Durée de conservation | 10 ans (Code de commerce) |
| Transfert hors UE | Stripe (États-Unis) — CCT UE + Privacy Shield 2.0 |
3.6 Vérification KYC des vendeurs (Stripe Connect)
| Champ | Détail |
|---|
| Finalité | Vérification de l'identité des vendeurs pour les virements (obligation LCB-FT) |
| Base légale | Obligation légale (art. 6.1.c) — Directive anti-blanchiment |
| Données traitées | Pièce d'identité, IBAN, SIRET, données fiscales — traités exclusivement par Stripe |
| Destinataires | Stripe Connect |
| Durée de conservation | 5 ans après clôture du compte Stripe Connect (obligation Stripe) |
| Transfert hors UE | Stripe (États-Unis) — CCT UE |
3.7 Messagerie et conversations
| Champ | Détail |
|---|
| Finalité | Mise en relation entre acheteurs et vendeurs |
| Base légale | Exécution du contrat (art. 6.1.b) |
| Données traitées | Messages texte, photos partagées, offres de prix, horodatage |
| Destinataires | Supabase Realtime |
| Durée de conservation | Phase active de 6 mois après le dernier message, puis archivage intermédiaire à accès restreint, puis suppression : 24 mois (sans commande) ou 5 ans (avec commande). |
| Transfert hors UE | Non (serveurs EU) |
3.8 Notifications emails transactionnels
| Champ | Détail |
|---|
| Finalité | Envoi des notifications de commande, expédition, offre, etc. |
| Base légale | Exécution du contrat (art. 6.1.b) |
| Données traitées | Email, prénom, données de la transaction concernée |
| Destinataires | Resend Inc. (États-Unis) |
| Durée de conservation | Logs d'envoi : 30 jours |
| Transfert hors UE | Resend (États-Unis) — CCT UE |
3.9 Notifications push
| Champ | Détail |
|---|
| Finalité | Envoi de notifications push web |
| Base légale | Consentement (art. 6.1.a) — optionnel, révocable |
| Données traitées | Identifiant de dispositif (Player ID OneSignal), préférences de notification |
| Destinataires | OneSignal Inc. (États-Unis) |
| Durée de conservation | Durée de vie du compte |
| Transfert hors UE | OneSignal (États-Unis) — CCT UE |
| Champ | Détail |
|---|
| Finalité | Déclaration annuelle à la DGFiP des vendeurs dépassant les seuils légaux |
| Base légale | Obligation légale (art. 6.1.c) — Directive (UE) 2021/514 |
| Données traitées | Prénom, nom, adresse, date de naissance, NIF, SIRET, TVA, revenus annuels, nombre de transactions |
| Destinataires | DGFiP (France) |
| Durée de conservation | 10 ans |
| Transfert hors UE | Non |
3.11 Vérification TVA (VIES)
| Champ | Détail |
|---|
| Finalité | Vérification de la validité du numéro de TVA intracommunautaire |
| Base légale | Obligation légale (art. 6.1.c) |
| Données traitées | Numéro de TVA, résultat de vérification |
| Destinataires | API VIES — Commission Européenne |
| Durée de conservation | Durée de vie du compte professionnel |
| Transfert hors UE | Non |
3.12 Gestion des avis et notations
| Champ | Détail |
|---|
| Finalité | Système de confiance entre membres |
| Base légale | Intérêt légitime (art. 6.1.f) |
| Données traitées | Note (1-5), commentaire, référence de transaction, horodatage |
| Destinataires | Supabase |
| Durée de conservation | Anonymisation après 5 ans (note et commentaire conservés, identité de l'auteur dissociée). |
| Transfert hors UE | Non |
3.13 Programme de parrainage
| Champ | Détail |
|---|
| Finalité | Gestion des récompenses de parrainage |
| Base légale | Exécution du contrat (art. 6.1.b) |
| Données traitées | Code de parrainage, identifiant parrain/filleul, historique des récompenses |
| Destinataires | Supabase |
| Durée de conservation | 3 ans |
| Transfert hors UE | Non |
3.14 Système de litiges
| Champ | Détail |
|---|
| Finalité | Médiation et résolution des litiges entre acheteurs et vendeurs |
| Base légale | Exécution du contrat (art. 6.1.b) + intérêt légitime |
| Données traitées | Motif du litige, messages échangés, preuves fournies, décision de résolution |
| Destinataires | Supabase, équipe modération Toveria |
| Durée de conservation | 5 ans après clôture du litige |
| Transfert hors UE | Non |
3.15 Vérification sanctions internationales
| Champ | Détail |
|---|
| Finalité | Conformité aux embargos et sanctions OFAC/UE/ONU |
| Base légale | Obligation légale (art. 6.1.c) |
| Données traitées | Prénom, nom, pays (comparaison aux listes de sanctions) |
| Destinataires | OpenSanctions API (Europe) |
| Durée de conservation | Alertes : 5 ans |
| Transfert hors UE | Non (API européenne) |
3.16 Logs de sécurité et anti-fraude
| Champ | Détail |
|---|
| Finalité | Détection des comportements frauduleux et sécurité de la plateforme |
| Base légale | Intérêt légitime (art. 6.1.f) |
| Données traitées | Adresse IP, horodatage des connexions, actions suspectes, données Stripe Radar |
| Destinataires | Supabase, Stripe Radar |
| Durée de conservation | Journaux d'erreurs techniques : 90 jours. Tentatives de paiement (anti-fraude) : 7 jours. Purge automatique quotidienne. Autres journaux de sécurité : 12 mois. |
| Transfert hors UE | Stripe (États-Unis) — CCT UE |
3.17 Cookies et traceurs
| Champ | Détail |
|---|
| Finalité | Fonctionnement de la plateforme (obligatoires) + analyse d'audience (optionnels) |
| Base légale | Nécessité technique (obligatoires) / Consentement (analytiques) |
| Données traitées | Session utilisateur, préférences, identifiant analytics |
| Destinataires | Supabase (session), service analytics (si activé) |
| Durée de conservation | Session (fonctionnels) / 13 mois max (analytiques) |
| Transfert hors UE | Selon le service analytics utilisé |
3.18 Communications marketing (optionnelles)
| Champ | Détail |
|---|
| Finalité | Envoi de newsletters et communications promotionnelles |
| Base légale | Consentement (art. 6.1.a) — case opt-in distincte à l'inscription |
| Données traitées | Email, prénom, préférences de communication |
| Destinataires | Resend Inc. |
| Durée de conservation | Jusqu'au désabonnement + 3 ans |
| Transfert hors UE | Resend (États-Unis) — CCT UE |
4. Sous-traitants (art. 28 RGPD)
Tous les sous-traitants ont signé un accord de traitement des données conforme à l'art. 28.
| Sous-traitant | Rôle | Pays | Garantie |
|---|
| Supabase Inc. | Base de données, auth, stockage, realtime | 🇩🇪 Allemagne (eu-west-3) | DPA RGPD signé |
| Stripe Inc. | Paiements, Billing, Connect, Radar | 🇺🇸 États-Unis | CCT UE + Privacy Shield 2.0 |
| Resend Inc. | Emails transactionnels | 🇺🇸 États-Unis | CCT UE |
| OneSignal Inc. | Notifications push | 🇺🇸 États-Unis | CCT UE |
| Vercel Inc. | Hébergement application web | 🇺🇸/🇪🇺 | CCT UE |
| Twilio Inc. | SMS OTP (Twilio Verify) | 🇺🇸 États-Unis | CCT UE |
| OpenSanctions | Vérification listes sanctions | 🇩🇪 Allemagne | RGPD natif |
5. Transferts hors Union Européenne (art. 44-49 RGPD)
Les transferts vers les États-Unis sont encadrés par :
- Clauses Contractuelles Types (CCT) — Décision d'exécution (UE) 2021/914 de la Commission Européenne
- Cadre EU-US Data Privacy Framework — Décision d'adéquation du 10 juillet 2023
Pour chaque transfert, Toveria s'assure que le sous-traitant offre des garanties suffisantes de protection.
6. Droits des personnes concernées
6.1 Tableau des droits
| Droit | Base légale | Conditions | Délai |
|---|
| Accès (art. 15) | — | Identification requise | 30 jours |
| Rectification (art. 16) | — | — | 30 jours |
| Effacement (art. 17) | — | Sauf obligations légales de conservation | 30 jours |
| Limitation (art. 18) | — | Pendant contestation ou réclamation | 30 jours |
| Portabilité (art. 20) | Contrat ou consentement | Format JSON/CSV | 30 jours |
| Opposition (art. 21) | Intérêt légitime ou mission d'intérêt public | Motifs légitimes à faire valoir | 30 jours |
| Retrait du consentement | Consentement | À tout moment, sans effet rétroactif | Immédiat |
| Directives post-mortem | Loi informatique et libertés (France) | — | — |
Par email : dpo@toveria.com
Objet conseillé : [Droit RGPD] Votre nom — Type de demande
Par courrier :
Toveria — Service RGPD
12 Rue de la Part-Dieu, 69003 Lyon, France
Pièce d'identité : une copie peut être demandée pour vérifier votre identité (scannée, sans numéro de document si préféré).
Délai de réponse : 30 jours calendaires. Prorogeable de 60 jours supplémentaires pour les demandes complexes, avec information préalable.
6.3 Droit de réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés :
CNIL — Commission Nationale de l'Informatique et des Libertés
🌐 cnil.fr/fr/plaintes
📮 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
📞 +33 (0)1 53 73 22 22
7. Durées de conservation
| Catégorie | Durée | Base |
|---|
| Données de compte actif | Durée de vie du compte | Contrat |
| Données de compte (après clôture) | Suppression à la clôture (données sous obligation légale conservées séparément) | Minimisation / obligations légales |
| Données de transactions | 10 ans | Code de commerce (art. L.123-22) |
| Factures BtoB | 10 ans | Code général des impôts |
| Données DAC7 et fiscales | 10 ans | Directive DAC7 |
| Données douanières | 5 ans | Code des douanes de l'Union |
| Annonces supprimées par le membre | 180 jours (médias retirés immédiatement) | Minimisation |
| Annonces vendues / liées à une commande | Jusqu'à 5 ans | Preuve de transaction |
| Conversations entre membres | 6 mois actifs, puis archivage intermédiaire restreint, puis suppression à 24 mois (sans commande) / 5 ans (avec commande) | Minimisation / prescription civile |
| Avis et notations | Anonymisation après 5 ans | Intérêt légitime |
| Litiges | 5 ans après clôture | Prescription légale |
| Journaux techniques (erreurs API) | 90 jours (purge auto quotidienne) | Minimisation |
| Tentatives de paiement (anti-fraude) | 7 jours (purge auto quotidienne) | Minimisation |
| Autres logs de sécurité | 12 mois | Recommandation CNIL |
| Documents KYC (Stripe) | 5 ans | Obligation Stripe / LCB-FT |
| Alertes sanctions | 5 ans | Obligation réglementaire |
| Cookies analytiques | 13 mois maximum | Recommandation CNIL |
| Consentements (opt-in marketing) | 3 ans après dernière interaction | Recommandation CNIL |
Archivage intermédiaire (CNIL) : après leur phase active, les conversations passent par une archive à accès restreint (réservée aux obligations légales / litiges) avant suppression définitive.
Legal hold : toute donnée liée à un litige ouvert, une obligation légale ou une demande d'autorité est conservée jusqu'à la fin de cette obligation, par dérogation aux durées ci-dessus.
8. Sécurité des données (art. 32 RGPD)
8.1 Mesures techniques
| Mesure | Mise en œuvre |
|---|
| Chiffrement en transit | HTTPS / TLS 1.3 sur toutes les communications |
| Chiffrement au repos | Base de données Supabase chiffrée (AES-256) |
| Contrôle d'accès base de données | Row Level Security (RLS) — accès par ligne selon l'utilisateur authentifié |
| Authentification | Email OTP + SMS OTP obligatoires à l'inscription |
| Double authentification | TOTP (Google Authenticator compatible) — optionnel pour les utilisateurs |
| Codes de secours 2FA | Hashés SHA-256 en base de données |
| Données bancaires | Déléguées à Stripe (PCI DSS Level 1) — jamais stockées par Toveria |
| Tokens JWT | Supabase Auth — durée de vie limitée |
| Nettoyage session | Effacement de 15 clés localStorage + cookies à la déconnexion |
| Vérification signatures webhooks | HMAC-SHA256 sur tous les webhooks entrants (Stripe) |
8.2 Mesures organisationnelles
| Mesure | Détail |
|---|
| Accès aux données personnelles | Limité aux seuls employés habilités selon le principe du moindre privilège |
| Formation | Sensibilisation RGPD de tous les collaborateurs ayant accès aux données |
| Audit | Audit RLS Supabase prévu avant le lancement commercial |
| Journalisation | Logs d'accès aux données sensibles conservés 12 mois |
| Test de pénétration | Pentest prévu avant le lancement (budget 3 000-10 000 €) |
| Bug bounty | Programme de signalement responsable en cours de création |
8.3 Procédure de notification en cas de violation
Conformément à l'art. 33 RGPD, Toveria s'engage à notifier la CNIL dans les 72 heures suivant la constatation d'une violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes.
Si la violation est susceptible d'engendrer un risque élevé, les personnes concernées sont également informées sans délai injustifié (art. 34 RGPD).
Procédure interne :
- Détection → alerte immédiate au DPO
- Qualification du risque (< 4h)
- Notification CNIL si nécessaire (< 72h)
- Notification des personnes si risque élevé (< 72h)
- Documentation de l'incident (registre des violations)
9. Analyse d'Impact (AIPD / DPIA — art. 35 RGPD)
Une Analyse d'Impact sur la Protection des Données est requise pour les traitements présentant un risque élevé.
| Traitement | AIPD requise | Statut |
|---|
| Vérification sanctions (scoring) | Oui — profilage | ⏳ À réaliser |
| Données fiscales DAC7 | Oui — données sensibles + grande échelle | ⏳ À réaliser |
| KYC vendeurs (pièce d'identité) | Oui — données biométriques potentielles | ⏳ Déléguée à Stripe |
| Tracking comportemental (si analytics) | Oui — si déployé | À évaluer |
10. Données des mineurs
La plateforme Toveria est strictement réservée aux personnes âgées de 18 ans ou plus.
La date de naissance est collectée à l'inscription pour vérifier la majorité. Toute inscription d'un mineur entraîne la suppression immédiate du compte et des données associées.
Signalement : dpo@toveria.com — Objet : [Mineur]
11. Cookies et traceurs
Cookies strictement nécessaires (pas de consentement requis)
| Cookie | Finalité | Durée |
|---|
sb-auth-token | Session authentification Supabase | Session / 1 semaine |
toveria-ref | Lien de parrainage | 30 jours |
toveria-lang | Langue d'affichage | 1 an |
toveria-mr-rates | Tarifs transporteurs (localStorage) | Jusqu'à effacement |
Cookies analytiques (avec consentement préalable)
À activer uniquement après implémentation d'un bandeau cookies conforme CNIL (recommandation CNIL du 1er octobre 2020).
12. Modifications de la présente politique
Les modifications substantielles sont notifiées par email avec un préavis de 30 jours.
La date de dernière mise à jour figure en en-tête. L'utilisation continue de la plateforme après l'entrée en vigueur vaut acceptation.
Marketplace européenne BtoC, CtoC, CtoB et BtoB — Vente depuis l'Europe vers le monde entier
Vente depuis l'Europe vers le monde entier
Enregistrement CNIL n° : [À compléter après déclaration]
Dernière mise à jour : Juin 2026
