1. Responsable du traitement
Bonjour Soir, Paris — France, est responsable des traitements opérés via le site bonjoursoir.com et ses sous-domaines. Notre équipe vie privée est joignable à privacy@bonjoursoir.com.
2. Portée de la politique
La présente politique s'applique à toutes les données personnelles traitées lorsque vous visitez le site, vous abonnez à la newsletter, créez un compte, publiez une annonce, passez une commande ou interagissez de quelque manière que ce soit avec Bonjour Soir.
3. Données personnelles collectées
- Données de compte — nom, adresse email et identifiant Google fournis via Google Sign-In ; préférences de langue et de pays ; photo de profil (si fournie par Google).
- Données marketplace — annonces créées (description, photographies, prix, état), historique d'achats et de ventes, messages échangés avec l'équipe, dossiers de litiges.
- Données d'identité & conformité (vendeurs) — informations KYC collectées directement par Stripe Connect (pièce d'identité, date de naissance, adresse, coordonnées bancaires). Bonjour Soir ne reçoit que le statut de vérification et l'identifiant Stripe ; les pièces sous-jacentes restent chez Stripe.
- Données de paiement — adresse de facturation, quatre derniers chiffres de la carte, type de moyen de paiement, identifiant Stripe du paiement. Le numéro complet est traité par Stripe et ne transite jamais par nos serveurs.
- Données d'expédition — adresse postale, téléphone, numéro de suivi, transporteur.
- Données newsletter — adresse email, préférence de langue, événements d'engagement (ouvertures, clics).
- Données techniques & analytiques — adresse IP (tronquée), user-agent, métadonnées du navigateur et de l'appareil, pages visitées, référent, horodatages et statistiques agrégées.
- Données de support — contenu des emails ou messages que vous nous adressez.
4. Finalités & bases légales
- Opérer le site, la marketplace et votre compte — exécution du contrat (art. 6.1.b RGPD).
- Traiter les commandes, paiements et reversements ; gérer authentification, séquestre et litiges — exécution du contrat.
- Prévenir la fraude, les abus et le blanchiment ; respecter les règles de nos partenaires de paiement — intérêt légitime et obligation légale (art. 6.1.c & f RGPD).
- Envoyer les emails transactionnels (confirmation, expédition, remboursement) — exécution du contrat.
- Envoyer la newsletter éditoriale et les emails marketing — votre consentement (art. 6.1.a RGPD), retirable à tout moment via le lien de désinscription.
- Mesure d'audience et amélioration du site — consentement pour les cookies non essentiels ; intérêt légitime pour les statistiques agrégées et respectueuses de la vie privée.
- Répondre à vos demandes de support — intérêt légitime.
- Respecter nos obligations légales (comptabilité, fiscalité, droit de la consommation, obligations de reporting DSA et DAC7) — obligation légale.
5. Sous-traitants & prestataires
Nous nous appuyons sur une liste restreinte de prestataires sélectionnés. Chacun est lié par un accord de traitement et, le cas échéant, par les Clauses Contractuelles Types européennes.
- Vercel Inc. — hébergement, réseau edge et stockage d'images (Vercel Blob).
- Neon, Inc. — base PostgreSQL managée.
- Google LLC — Sign-In (OAuth) et Google Analytics 4 (IP anonymisée).
- Stripe Payments Europe Ltd. & Stripe Inc. — paiement, Stripe Connect, prévention de la fraude (Stripe Radar), KYC vendeurs.
- Resend, Inc. — envoi des emails transactionnels et de la newsletter.
- Entrupy Inc. (le cas échéant) — partenaire d'authentification de certains articles de luxe.
- Transporteurs — pour l'acheminement des commandes vers et depuis notre hub.
7. Transferts hors UE
Certains de nos prestataires sont situés hors EEE (notamment aux États-Unis). Dans ce cas, le transfert est encadré par les Clauses Contractuelles Types de la Commission européenne et, si nécessaire, par des garanties techniques et organisationnelles complémentaires (chiffrement en transit et au repos, pseudonymisation, contrôles d'accès).
8. Durées de conservation
- Données de compte : pendant la durée du compte, puis suppression ou anonymisation dans les 12 mois.
- Données marketplace & transactions : 10 ans à compter de la transaction, conformément aux obligations comptables et droit de la consommation.
- Statut de vérification KYC : 5 ans après la fin de la relation (obligations LCB-FT).
- Abonnement newsletter : jusqu'à désinscription, puis suppression sous 30 jours.
- Analytics : jusqu'à 14 mois pour les événements GA4.
- Correspondance support : jusqu'à 3 ans.
9. Vos droits RGPD
Vous disposez du droit :
- d'accéder à vos données et d'en obtenir copie ;
- de rectifier les données inexactes ou incomplètes ;
- de demander leur effacement (sous réserve des obligations légales) ;
- de limiter un traitement ou de vous y opposer ;
- à la portabilité des données que vous nous avez fournies ;
- de retirer votre consentement à tout moment, sans effet rétroactif ;
- de définir des directives sur le sort de vos données après votre décès.
Pour exercer vos droits, écrivez à privacy@bonjoursoir.com depuis l'adresse email liée à votre compte. Nous répondons sous un mois (extensible à trois mois pour les demandes complexes, art. 12 RGPD).
10. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles conformes à l'état de l'art : chiffrement TLS en transit, chiffrement de la base au repos, contrôles d'accès stricts, rotation des secrets, journalisation et architecture du moindre privilège. En cas d'incident affectant vos données, nous vous notifierons ainsi que l'autorité compétente conformément aux articles 33 et 34 du RGPD.
12. Mineurs
Bonjour Soir s'adresse aux adultes. Nous ne collectons pas sciemment de données concernant des personnes de moins de 18 ans. Si vous pensez qu'un mineur nous a transmis des données, contactez-nous pour suppression.
13. Décisions automatisées
Nous pouvons utiliser des outils automatisés — notamment Stripe Radar et ceux de nos partenaires d'authentification — pour détecter la fraude et le risque de contrefaçon. Ces outils assistent nos opérateurs et ne produisent pas d'effet juridique à votre égard sans décision humaine. Vous disposez du droit d'obtenir une intervention humaine, d'exprimer votre point de vue et de contester la décision.
14. Modifications
Cette politique peut être mise à jour pour refléter l'évolution de nos services, de nos prestataires ou de la loi. Les changements substantiels seront notifiés par email ou via un bandeau in-app avant leur entrée en vigueur.
15. Contact & réclamations
Questions ou demandes : privacy@bonjoursoir.com.
Si vous estimez que vos données n'ont pas été traitées correctement, vous pouvez introduire une réclamation auprès de la CNIL, 3 Place de Fontenoy, 75007 Paris — cnil.fr/fr/plaintes.