Politique de Confidentialité - Antiks

Responsable du traitement

Coordonnées :

Société : Société en cours de création

Adresse : Bourgogne, France

Email : contact@antiks.fr

DPO : Non nommé — contacter contact@antiks.fr

Données collectées et finalités

Données de compte

Donnée	Finalité	Base légale	Conservation
Email	Identification, communication, facturation	Exécution du contrat	Durée de l'abonnement + 3 mois
Mot de passe (hashé bcrypt)	Authentification	Exécution du contrat	Durée du compte
Nom, prénom	Identification	Exécution du contrat	Durée du compte
Téléphone	Contact	Exécution du contrat	Durée du compte
Adresse, ville, code postal, pays	Facturation, identification	Exécution du contrat	Durée du compte
Nom de société	Facturation	Exécution du contrat	Durée du compte + 10 ans (factures)
Site web, biographie	Profil utilisateur	Exécution du contrat	Durée du compte

Données de catalogue

Donnée	Finalité	Base légale	Conservation
Fiches meubles (titres, descriptions, prix, dimensions, matériaux, état, style, période)	Fonctionnement du service	Exécution du contrat	Durée du compte + 30 jours
Photos des meubles (stockées sur disque serveur)	Fonctionnement du service	Exécution du contrat	Durée du compte + 30 jours
Empreintes perceptuelles des photos (pHash)	Détection de doublons	Intérêt légitime	Durée du compte
Templates de meubles	Fonctionnement du service	Exécution du contrat	Durée du compte
Meubles scrappés (importés depuis des marketplaces)	Fonctionnement du service	Exécution du contrat	Durée du compte
Meubles supprimés (corbeille)	Restauration possible	Exécution du contrat	90 jours
Variations de meubles	Fonctionnement du service	Exécution du contrat	Durée du compte
Données de vente (prix, plateforme, date)	Suivi commercial	Exécution du contrat	Durée du compte

Données de publication

Donnée	Finalité	Base légale	Conservation
Identifiants marketplaces : noms d'utilisateur (en clair) et mots de passe (chiffrés Fernet/AES-128-CBC + HMAC-SHA256)	Mise en ligne sur les plateformes au nom de l'utilisateur	Exécution du contrat	Durée de la connexion, supprimés à la déconnexion
Identifiants IMAP : adresse email (en clair), mot de passe (chiffré Fernet), serveur, port	Gestion de la vérification 2FA pour les marketplaces	Exécution du contrat	Durée de la connexion
Historique des tâches de publication (statut, erreurs, durée, logs)	Suivi du service	Exécution du contrat	12 mois
Screenshots des pages marketplace lors des publications	Debug, suivi qualité, preuve de publication	Intérêt légitime	90 jours
Logs de requêtes réseau des tâches de publication	Debug technique	Intérêt légitime	90 jours
Identifiants externes sur les marketplaces (ID d'annonce, URL publiée)	Suivi des publications	Exécution du contrat	Durée du compte

Données IA

Donnée	Finalité	Base légale	Conservation
Photos des meubles (transmises à l'API en base64 JPEG)	Classification et génération de contenu	Exécution du contrat	Non stockées par Anthropic
Prompts envoyés à l'IA (descriptions, dimensions, catégories)	Génération de contenu	Exécution du contrat	12 mois
Réponses de l'IA (texte brut complet)	Historique, amélioration du service	Exécution du contrat	12 mois
Tokens consommés, coût, durée de traitement	Facturation, suivi de consommation	Exécution du contrat	12 mois
Email de l'utilisateur ayant déclenché la génération	Traçabilité	Exécution du contrat	12 mois

Note importante : Les photos des meubles de l'utilisateur sont transmises à l'API Claude (Anthropic, USA) pour analyse visuelle et génération de contenu. Antiks utilise l'API sans rétention des données par Anthropic pour l'entraînement de ses modèles. Seuls les contenus du catalogue sont transmis, aucune donnée personnelle de l'utilisateur (nom, email, adresse) n'est envoyée à Anthropic.

Données du livre de police (tiers concernés)

Le livre de police numérique imposé par la réglementation française (articles R.321-1 à R.321-8 du Code pénal) nécessite la collecte de données personnelles de tiers (vendeurs et acheteurs avec lesquels l'utilisateur réalise des transactions).

Donnée sur les tiers	Finalité	Base légale	Conservation
Nom, prénom	Identification du vendeur/acheteur	Obligation légale	6 ans minimum
Date de naissance	Identification	Obligation légale	6 ans minimum
Adresse complète	Identification	Obligation légale	6 ans minimum
Type et numéro de pièce d'identité	Vérification d'identité	Obligation légale	6 ans minimum
Date d'expiration et autorité de délivrance	Vérification d'identité	Obligation légale	6 ans minimum
Pour les personnes morales : raison sociale, SIRET, siège social, nom et pièce d'identité du représentant	Identification	Obligation légale	6 ans minimum

Données sur les objets : nature, description, marque, modèle, numéro de série, signes distinctifs, provenance, classement monument historique, prix d'achat, valeur estimée, mode de paiement.

Ces données sont stockées de manière inaltérable (chaîne de hachage SHA-256, append-only). Elles ne peuvent être ni modifiées ni supprimées conformément à la loi. Un journal d'audit trace toutes les consultations et actions sur le livre de police.

Données de facturation

Donnée	Finalité	Base légale	Conservation
Nom, email, société de l'utilisateur	Édition de factures	Obligation légale	10 ans
Numéro de facture, montants, TVA	Comptabilité	Obligation légale	10 ans
Période de facturation, détail des lignes	Comptabilité	Obligation légale	10 ans

Données techniques

Donnée	Finalité	Base légale	Conservation
Logs d'activité (15 types d'actions : connexion, déconnexion, création/édition/suppression meuble, publication, dépublication, vente, génération IA, template, upload photo, modification profil)	Sécurité, audit	Intérêt légitime	12 mois
Adresse IP	Sécurité, preuve de consentement	Intérêt légitime / Obligation légale	12 mois (logs) / 13 mois (consentement)
User-Agent du navigateur (tronqué à 500 caractères pour le consentement)	Sécurité, preuve de consentement	Intérêt légitime / Obligation légale	12 mois / 13 mois
Cookie de session Flask	Authentification	Exécution du contrat	Durée de la session
Token CSRF	Sécurité (protection CSRF)	Exécution du contrat	Durée de la session
Consentement cookies (choix, horodatage, version de la politique)	Preuve du consentement RGPD	Obligation légale	13 mois
Identifiant anonyme (UUID pour visiteurs non connectés)	Consentement cookies sans compte	Obligation légale	13 mois
Clés publiques WebAuthn	Authentification biométrique renforcée	Consentement	Durée du compte
Challenges WebAuthn (temporaires)	Processus d'authentification	Exécution du contrat	5 minutes
Abonnements push (endpoint navigateur, clés de chiffrement)	Envoi de notifications push	Consentement	Durée du compte ou jusqu'à désinscription

Emails transactionnels envoyés

Email	Contenu	Déclencheur
Réinitialisation de mot de passe	Lien de réinitialisation (token temporaire)	Demande de l'utilisateur
Invitation de compte	Lien d'activation	Création de compte par l'admin
Alerte de connexion marketplace échouée	Nom du site, type d'erreur	Échec de test de connexion (production uniquement)
Facture	PDF en pièce jointe, détail de la facture	Émission de facture
Génération IA incomplète	Détail de la génération partielle	Échec partiel de génération IA

Les emails sont envoyés via SMTP (serveur configurable, TLS obligatoire). L'adresse email du destinataire est utilisée uniquement pour l'envoi, elle n'est pas transmise à un tiers.

Sous-traitants et destinataires

Sous-traitant	Données concernées	Pays	Garanties
Hébergeur (en cours de finalisation)	Toutes les données	France	Serveur dédié, données hébergées en France
Anthropic (API Claude)	Photos des meubles (base64), textes descriptifs pour génération IA	USA	Clauses contractuelles types, API sans rétention pour entraînement
Fournisseur SMTP (en cours de finalisation)	Adresses email des destinataires, contenu des emails transactionnels	En cours de finalisation	TLS obligatoire
Marketplaces (16 plateformes)	Fiches meubles, photos, prix — transmis au nom de l'utilisateur	Divers (EU, USA, CH)	Nécessaire à l'exécution du service, chaque plateforme a sa propre politique
Services de push navigateur (Google FCM, Apple APNs, Mozilla)	Endpoint de notification, contenu des notifications	USA	Inhérent au fonctionnement du Web Push (standard W3C)

Les identifiants de connexion aux marketplaces ne sont jamais transmis à des tiers. Ils sont utilisés uniquement par les serveurs Antiks pour se connecter aux plateformes au nom de l'utilisateur.

Sécurité des données

Mots de passe des comptes Antiks hashés avec bcrypt
Mots de passe des marketplaces chiffrés avec Fernet (AES-128-CBC + HMAC-SHA256, clé dérivée de variable d'environnement)
Noms d'utilisateur des marketplaces stockés en clair (nécessaire pour la connexion aux plateformes)
Mots de passe IMAP chiffrés avec Fernet (même méthode)
Adresses email IMAP et paramètres serveur stockés en clair (nécessaire pour la connexion)
Communications chiffrées en HTTPS
Accès aux données isolé par utilisateur (chaque utilisateur n'accède qu'à ses propres données)
Base de données avec authentification, pool de connexions sécurisé (50 max)
Livre de police avec chaîne de hachage SHA-256 (intégrité garantie, non-falsifiable, append-only)
Tokens de réinitialisation de mot de passe à durée limitée, supprimés après usage
Authentification biométrique WebAuthn : seules les clés publiques sont stockées côté serveur, aucune donnée biométrique (empreinte, visage) ne quitte l'appareil de l'utilisateur

Droits de l'utilisateur

Conformément au RGPD (articles 15 à 22), l'utilisateur dispose des droits suivants :

                    Vos droits RGPD :
                    Droit d'accès : obtenir une copie de toutes vos données
Droit de rectification : corriger les données inexactes
Droit à l'effacement : demander la suppression de votre compte et de vos données (sauf obligations légales : factures 10 ans, livre de police 6 ans)
Droit à la portabilité : recevoir vos données dans un format structuré (JSON)
Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime
Droit à la limitation : demander le gel du traitement
Droit de retirer son consentement : à tout moment pour les traitements fondés sur le consentement (notifications push, biométrie)

                

Pour exercer ces droits : envoyer un email à contact@antiks.fr avec une pièce d'identité.

Délai de réponse : 30 jours maximum.

Réclamation : en cas de litige, vous pouvez saisir la CNIL (www.cnil.fr).

Données de tiers (livre de police)

Les personnes dont les données sont enregistrées dans le livre de police d'un utilisateur Antiks disposent des mêmes droits d'accès et de rectification. Toutefois, conformément à la réglementation, les données du livre de police ne peuvent pas être supprimées (obligation légale de conservation de 6 ans minimum). Pour toute demande, contacter contact@antiks.fr.

Transferts hors UE

Les données peuvent être transférées hors UE dans les cas suivants :

API Anthropic (USA) : photos et textes des meubles pour génération IA — clauses contractuelles types
Marketplaces internationales (eBay USA, Ricardo Suisse, Etsy USA, etc.) : fiches meubles, photos, prix — nécessaire à l'exécution du service demandé par l'utilisateur
Services de push navigateur (Google, Apple, Mozilla — USA) : endpoints de notification — inhérent au fonctionnement du standard Web Push

Modifications

Cette politique peut être mise à jour. L'utilisateur sera informé par email de toute modification substantielle. La date de dernière mise à jour est indiquée en haut de la page.

Contact

Pour toute question concernant cette politique ou pour exercer vos droits :

Email : contact@antiks.fr