Document émis par Agent 12
Politique de confidentialité — Agent 12
Version : confidentialite-2026-05-15-v2 — Dernière mise à jour : 15 mai 2026
Préambule
La présente Politique de confidentialité décrit la manière dont les données personnelles des Acheteurs sont collectées, traitées, conservées et protégées dans le cadre de l'utilisation de la boutique Agent 12 hébergée sur la Plateforme ShoppyCrush opérée par QIANOV.
Elle est conforme au règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« loi Informatique et Libertés »).
Architecture marketplace : la Plateforme ShoppyCrush met à disposition de Vendeurs indépendants l'environnement technique permettant d'opérer leur boutique. À ce titre, certains traitements de données personnelles relèvent de la co-responsabilité entre QIANOV et le Vendeur (article 26 du RGPD), d'autres relèvent exclusivement de l'un ou l'autre des acteurs. Cette répartition est précisée à l'article 4 ci-après.
1. Identification des Co-Responsables
1.1 Co-Responsable Plateforme — QIANOV
- Dénomination : QIANOV
- Forme juridique : SAS
- SIREN : 940 207 012
- Siège social : 4 allée des informaticiens, 13290 Aix-en-Provence
- Délégué à la protection des données (DPO) : dpo@qianov.fr
- Point de contact unique pour l'exercice des droits :
dpo@qianov.fr
1.2 Co-Responsable Vendeur
- Dénomination commerciale : Agent 12
- Raison sociale : [Raison sociale non renseignée]
- SIREN : [SIREN non renseigné]
- Adresse : [Adresse légale non renseignée]
- Coordonnées de contact : voir Mentions légales de la boutique
2. Conformément à l'article 26 du RGPD — accord de co-responsabilité
QIANOV et le Vendeur ont conclu, par la signature de la Charte Vendeur (en Annexe 1), un accord formalisant la répartition de leurs responsabilités au titre de l'article 26 du RGPD pour les traitements mis en œuvre conjointement.
Les grandes lignes de cet accord sont reproduites à l'article 4 ci-après. Sa version intégrale est accessible sur demande auprès du point de contact unique mentionné en 1.1.
Conformément à l'article 26.1 du RGPD, et nonobstant la répartition opérationnelle, les personnes concernées peuvent exercer l'ensemble de leurs droits auprès de chacun des Co-Responsables. Pour faciliter l'exercice de ces droits, QIANOV est désignée point de contact unique.
3. Données collectées et finalités
3.1 Données d'identification du compte client
| Donnée | Source | Finalité | Base légale |
|---|---|---|---|
| Adresse email | Inscription, formulaire de commande | Création de compte, communication transactionnelle, vérification d'identité | Exécution du contrat (art. 6.1.b RGPD) |
| Mot de passe (haché) | Inscription | Authentification sécurisée | Exécution du contrat |
| Civilité, prénom, nom | Inscription, formulaire de commande | Personnalisation, facturation | Exécution du contrat |
| Téléphone | Formulaire de commande, profil | Suivi de livraison, contact post-vente | Exécution du contrat |
| Langue préférée | Choix utilisateur, navigation | Personnalisation interface, langue de communication | Intérêt légitime (UX) |
3.2 Données de commande
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Adresse de livraison, adresse de facturation | Exécution de la commande, livraison | Exécution du contrat | 10 ans (obligations comptables) |
| Détail des articles commandés | Exécution, facturation, SAV, garanties légales | Exécution du contrat | 10 ans |
| Montant, devise, date de transaction | Comptabilité, fiscalité | Obligation légale (art. L123-22 Code commerce) | 10 ans |
| Identifiant Stripe de transaction | Suivi paiement, remboursement | Exécution du contrat | 10 ans |
| Statut de commande, historique des statuts | Suivi de commande, traçabilité litiges | Exécution du contrat | 10 ans |
3.3 Données de paiement
Les données bancaires (numéro de carte, cryptogramme) sont saisies directement dans l'environnement sécurisé du prestataire de paiement Stripe et ne sont jamais accessibles à QIANOV ni au Vendeur. Stripe est seul responsable du traitement de ces données, conformément à ses propres conditions et à sa politique de confidentialité (https://stripe.com/fr/privacy).
QIANOV reçoit uniquement le token ou l'identifiant de la transaction Stripe, qui ne contient aucune donnée bancaire utilisable.
3.4 Données techniques de navigation
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse IP | Sécurité, prévention de fraude, journalisation | Intérêt légitime (sécurité) |
| User-Agent, type de navigateur | Compatibilité technique | Intérêt légitime |
| Logs d'authentification, pages consultées (techniques) | Sécurité, traçabilité incidents | Intérêt légitime / obligation légale |
| Cookies essentiels | Voir Politique cookies | Article 82-II loi Informatique et Libertés |
3.5 Données de produits numériques téléchargés
| Donnée | Finalité | Base légale |
|---|---|---|
| Liens de téléchargement signés, horodatages | Mise à disposition sécurisée des fichiers | Exécution du contrat |
| Journaux d'accès (téléchargements réussis, refusés) | Sécurité, lutte contre la fraude, audit | Intérêt légitime / contrat |
| Signalements (litiges, motif, commentaire) | Traitement réclamation | Exécution du contrat |
3.6 Données issues de communications transactionnelles
Les emails transactionnels (confirmation de commande, notification expédition, magic link, vérification email, password reset, signalement) génèrent un journal d'envoi (EmailLog) conservant la trace de l'envoi à des fins de fiabilité (anti-doublon, audit).
3.7 Données de newsletter (abonnement à la liste de diffusion du Vendeur)
L'Acheteur peut s'abonner à la newsletter du Vendeur depuis la boutique. Ce traitement est fondé sur le consentement explicite de l'Acheteur (art. 6.1.a RGPD) et sur les règles relatives au démarchage par voie électronique (article L34-5 CPCE).
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Adresse email | Envoi de newsletters commerciales par le Vendeur | Consentement (art. 6.1.a RGPD) | Jusqu'au désabonnement, puis 2 ans maximum |
| Texte du consentement (snapshot) | Preuve du consentement obtenu, conformité CNIL | Obligation légale (art. 7.1 RGPD) | 2 ans après désabonnement |
| Date et heure d'inscription | Traçabilité du consentement | Obligation légale | 2 ans après désabonnement |
| Statut de l'abonnement (PENDING, CONFIRMED, UNSUBSCRIBED) | Gestion du cycle de vie de l'abonnement | Intérêt légitime (gestion liste) | Voir durées ci-dessous |
| Token de confirmation (hashé SHA-256) | Vérification de possession de l'adresse email (double opt-in) | Consentement | 48 heures, puis suppression automatique |
Double opt-in : tout abonnement donne lieu à un email de confirmation. L'abonnement n'est activé qu'après clic sur le lien de confirmation. Un compte non confirmé dans un délai de 48 heures est automatiquement supprimé.
Droit au désabonnement : chaque newsletter comporte un lien de désabonnement à usage unique (token HMAC). Le désabonnement est immédiatement effectif. Les données de l'Acheteur désabonné sont conservées 2 ans à des fins probatoires (preuve du consentement préalablement obtenu), puis supprimées.
Purge automatique :
- Abonnements en attente de confirmation expirés depuis plus de 30 jours → suppression automatique.
- Abonnements désabonnés depuis plus de 2 ans (730 jours) → suppression automatique.
3.8 Données relatives aux codes promo (utilisation d'un code de réduction)
Lorsque l'Acheteur utilise un code promo lors de son achat, Agent 12 collecte et traite les données suivantes.
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Code promo utilisé (snapshot) | Traçabilité du rabais consenti, conformité CGI art. 242 nonies A (mention obligatoire sur facture) | Obligation légale et exécution du contrat (art. 6.1.b RGPD) | Durée légale de conservation des documents comptables (10 ans) |
| Montant de la remise appliquée | Calcul exact du prix TTC, édition de la facture | Obligation légale | 10 ans (pièce comptable) |
| Identifiant de la commande associée | Audit trail anti-fraude, vérification des limites d'usage par commande | Intérêt légitime (prévention de la fraude) | Durée de conservation de la commande |
| Date et heure d'utilisation | Vérification des conditions de validité (dates, limite d'usages) | Exécution du contrat | Durée de conservation de la commande |
Les codes promo ne donnent lieu à aucun profilage comportemental. L'historique d'utilisation est strictement utilisé à des fins comptables et de prévention de la fraude.
4. Répartition des responsabilités opérationnelles (article 26 RGPD)
| Catégorie de traitement | Co-Responsable opérationnel | Précisions |
|---|---|---|
| Création du compte client | QIANOV (infrastructure auth) + Vendeur (données spécifiques per-shop) | Compte rattaché à l'email + données spécifiques per-shop (firstName, lastName, addresses, phone) isolées |
| Passation de commande | Vendeur (responsable principal de la transaction) + QIANOV (infrastructure technique) | Le Vendeur est responsable du traitement contractuel ; QIANOV opère l'infrastructure |
| Paiement | Stripe (responsable autonome) — QIANOV intermédiaire technique | Aucune donnée bancaire utilisable n'est conservée par QIANOV ou le Vendeur |
| Communication transactionnelle (emails) | QIANOV (infrastructure d'envoi, journal EmailLog, anti-doublon) |
Le Vendeur définit le contenu commercial via les Variables Vendeur |
| Téléchargement produits numériques | QIANOV (infrastructure tokens signés, journal d'accès, signalements) | Le Vendeur fournit les fichiers ; QIANOV opère la sécurisation |
| Sécurité (chiffrement, accès, journalisation) | QIANOV | Mesures techniques infrastructurelles |
| Sous-traitance technique | QIANOV (sous-traitants : hébergeur, Stripe, fournisseur d'emails, CDN) | Le Vendeur n'introduit pas de sous-traitant additionnel |
| Notification de violation de données | QIANOV (détection, qualification, notification CNIL et personnes) | Le Vendeur signale toute violation portée à sa connaissance |
| Réponse aux droits des personnes | QIANOV en point de contact unique, Vendeur sur les éléments spécifiques per-shop | Coordination assurée par QIANOV |
| Tenue du registre des activités | Chacun des Co-Responsables tient son propre registre | Pour leurs périmètres respectifs |
| Comptabilité, fiscalité, archivage légal | Vendeur (responsable autonome, hors co-responsabilité) | Le Vendeur agit pour son propre compte |
Important : les traitements à finalité comptable, fiscale ou de lutte contre la fraude mis en œuvre par QIANOV pour son propre compte (facturation de la commission de marketplace, déclarations TVA QIANOV) ne relèvent pas de la co-responsabilité ; QIANOV agit alors en qualité de responsable de traitement autonome.
5. Destinataires des données
Les données personnelles sont communiquées :
- Au Vendeur ([Raison sociale non renseignée]) pour les données nécessaires à l'exécution de la commande (nom, adresse, articles, montant) ;
- À QIANOV pour les données nécessaires à la fourniture de l'infrastructure ;
- Aux sous-traitants de QIANOV, dans le strict cadre de leurs missions :
- Stripe Payments Europe Limited (Irlande) — prestataire de paiement
- Hébergeur (Infomaniak Network SA) — infrastructure d'hébergement
- Fournisseur d'emails (configuré par le Vendeur ou la Plateforme : SMTP / Resend) — envoi d'emails transactionnels
- La Poste / Colissimo — pour la livraison des produits physiques
- Aux autorités publiques sur réquisition légale ou décision judiciaire.
Aucune donnée personnelle n'est cédée à des tiers à des fins commerciales ou publicitaires.
6. Transferts hors Union européenne
Les données personnelles sont, dans la mesure du possible, hébergées et traitées au sein de l'Union européenne.
Certains sous-traitants techniques (notamment des prestataires CDN ou de monitoring) peuvent occasionnellement opérer des transferts hors Union européenne. Dans ce cas, ces transferts sont encadrés par les garanties appropriées prévues aux articles 44 à 49 du RGPD :
- Décisions d'adéquation de la Commission européenne ;
- Clauses contractuelles types adoptées par la Commission (CCS 2021/914) ;
- Mesures techniques complémentaires (chiffrement, pseudonymisation).
7. Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte client actif | Durée d'utilisation + 3 ans à compter du dernier contact actif |
| Données de commande | 10 ans à compter de la commande (obligations comptables et fiscales) |
| Données comptables (factures, avoirs) | 10 ans (article L123-22 Code commerce) |
| Logs techniques de sécurité | 12 mois maximum (recommandation CNIL) |
| Cookies et choix de consentement | 13 mois maximum |
| Snapshots contractuels (commande, CGV, Charte) | Durée légale de conservation des contrats (5 ans, étendue 10 ans pour l'audit fiscal) |
Journaux d'envoi d'emails (EmailLog) |
3 ans (sécurité, audit, anti-doublon) |
| Tokens de réinitialisation de mot de passe, vérification email | 24h à 30 minutes selon le type, puis suppression automatique |
| Données de prospect (compte non confirmé, panier abandonné) | 3 ans à compter de la création |
| Abonnés newsletter CONFIRMED | Jusqu'au désabonnement + 2 ans (730 jours) puis suppression automatique |
| Abonnés newsletter PENDING non confirmés | 48 heures (expiration token), puis purge automatique après 30 jours supplémentaires de grâce |
| Snapshot consentement newsletter | 2 ans après désabonnement (preuve du consentement préalable) |
Historique utilisation codes promo (PromoCodeUsage) |
10 ans (pièce comptable — CGI art. 242 nonies A) |
À l'issue des durées prévues, les données sont supprimées ou anonymisées de manière irréversible, sous réserve des obligations légales.
8. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, l'Acheteur dispose des droits suivants sur ses données personnelles :
- Droit d'accès (art. 15) : obtenir confirmation que des données le concernant sont traitées et en obtenir une copie ;
- Droit de rectification (art. 16) : faire corriger les données inexactes ou incomplètes ;
- Droit à l'effacement (art. 17) : obtenir la suppression des données dans les cas prévus par la loi ;
- Droit à la limitation du traitement (art. 18) : faire suspendre temporairement un traitement contesté ;
- Droit d'opposition (art. 21) : s'opposer à un traitement fondé sur un intérêt légitime ;
- Droit à la portabilité (art. 20) : recevoir les données dans un format structuré, couramment utilisé et lisible par machine ;
- Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés) : organiser le sort des données après le décès ;
- Droit de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement.
8.1 Modalités d'exercice — point de contact unique
Pour exercer ces droits, l'Acheteur s'adresse au point de contact unique :
📧 Email : dpo@qianov.fr
📬 Courrier : QIANOV — Délégué à la protection des données — 4 allée des informaticiens, 13290 Aix-en-Provence
L'Acheteur peut être amené à fournir une preuve de son identité afin que la demande soit traitée en toute sécurité. La Plateforme s'engage à répondre dans un délai d'un mois à compter de la réception de la demande, prolongeable de deux mois en cas de complexité (article 12.3 RGPD).
8.2 Réclamation auprès de la CNIL
Si l'Acheteur estime que ses droits ne sont pas respectés, il peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Site :
www.cnil.fr/fr/plaintes
9. Sécurité des données
QIANOV met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque (article 32 RGPD), notamment :
- Chiffrement des données en transit (TLS 1.2+) et au repos sur les disques d'infrastructure ;
- Hachage sécurisé des mots de passe (bcrypt) ;
- Authentification forte du backoffice vendeur et du super-admin ;
- Contrôle des accès strict (multi-tenant, isolation par sous-domaine) ;
- Journalisation (logs Pino) avec masquage des données sensibles (emails masqués) ;
- Sauvegardes régulières et plan de reprise d'activité ;
- Gestion des incidents : procédure de notification CNIL dans les 72 heures (art. 33) et information des personnes en cas de risque élevé (art. 34) ;
- Sensibilisation et formation des collaborateurs ayant accès aux données.
10. Cookies
L'utilisation de cookies sur la boutique est régie par la Politique cookies accessible depuis le pied de page. Le consentement de l'utilisateur est recueilli, lorsque requis, dans les conditions des recommandations CNIL en vigueur.
L'Acheteur peut à tout moment modifier ses préférences cookies via le lien « Préférences cookies » en pied de page.
11. Profilage et décisions automatisées
La Plateforme ne met pas en œuvre de prise de décision exclusivement automatisée produisant des effets juridiques à l'égard des Acheteurs ou les affectant de manière significative (article 22 RGPD).
Aucune segmentation comportementale automatisée n'est mise en œuvre. Les communications commerciales éventuellement adressées à l'Acheteur par le Vendeur (par exemple coupons promotionnels personnels) sont décrites à la section 11bis ci-dessous et reposent sur le cadre légal du « client similaire » (article L34-5 du Code des Postes et Communications Électroniques).
Si à l'avenir des traitements de profilage étaient mis en œuvre (par exemple recommandations de produits par scoring), une information dédiée serait fournie aux Acheteurs et leur consentement serait recueilli lorsque requis.
11bis. Communications commerciales de la boutique (« client similaire » – Art. L34-5 CCE)
Le Vendeur de la boutique peut adresser à l'Acheteur, à l'adresse email associée à son compte, des communications commerciales relatives à des produits ou services analogues à ceux que l'Acheteur a déjà commandés ou consultés sur la même boutique (par exemple : coupons de remise personnels, offres exclusives clients).
Ce traitement repose sur le cadre légal du « client similaire » prévu à l'article L34-5 du Code des Postes et Communications Électroniques (LCEN) et à l'article 21 RGPD :
- L'envoi est limité aux personnes ayant déjà la qualité de client de la boutique (au moins une commande passée OU compte créé sur ladite boutique).
- L'objet des communications porte exclusivement sur des produits/services analogues vendus par la même boutique.
- Aucun transfert de l'adresse email n'est opéré à des tiers à des fins de prospection.
- L'Acheteur dispose à tout moment d'un droit d'opposition simple et gratuit (« opt-out ») :
- via un lien de désabonnement marketing dédié présent dans chaque communication commerciale ;
- ou via demande adressée à QIANOV (cf. section « Droits des Acheteurs » et « Contact »).
Le refus de recevoir ces communications n'a aucune incidence sur la fourniture du Service ni sur l'exécution des commandes. Les emails strictement transactionnels (confirmation de commande, suivi d'expédition, factures, support) restent envoyés indépendamment de cet opt-out.
La base légale de ce traitement est l'intérêt légitime du Vendeur à informer ses propres clients (article 6.1.f RGPD) dans le cadre dérogatoire L34-5, l'opt-out simple constituant la garantie compensatoire requise.
12. Mineurs
La Plateforme ne s'adresse pas spécifiquement aux mineurs. Toute personne mineure accédant à la Plateforme doit le faire avec l'accord et sous la responsabilité de son représentant légal.
Aucune donnée d'identification personnelle n'est sciemment collectée auprès de mineurs sans consentement parental. Si la Plateforme constatait qu'une donnée concernant un mineur a été collectée sans consentement parental, elle procéderait à sa suppression.
13. Évolution de la Politique de confidentialité
La présente Politique peut évoluer à tout moment, notamment pour tenir compte de l'évolution de la réglementation, des recommandations des autorités de contrôle, ou des fonctionnalités de la Plateforme.
Toute évolution substantielle sera notifiée à l'Acheteur via son espace personnel ou par email, avec un préavis raisonnable avant entrée en vigueur. La poursuite de l'utilisation de la Plateforme après l'entrée en vigueur vaudra acceptation de la nouvelle version.
14. Contact
Pour toute question relative à la présente Politique de confidentialité ou au traitement de ses données personnelles, l'Acheteur peut contacter :
- Délégué à la protection des données (point de contact unique) :
dpo@qianov.fr - Vendeur : voir Mentions légales de la boutique
- CNIL :
www.cnil.fr/fr/plaintes
Politique de confidentialité de la boutique Agent 12 — version confidentialite-2026-05-15-v2 — 15 mai 2026