Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 11 avril 2026

La présente politique explique comment Karu Reserv collecte, utilise, protège et partage vos données personnelles lorsque vous visitez notre site karu-reserv.fr ou utilisez notre service de gestion de commandes pour commerces de proximité. Elle est rédigée conformément au Règlement général sur la protection des données (RGPD, UE 2016/679), à la loi française Informatique et Libertés et aux recommandations de la CNIL.

1. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

  • Dénomination : Karu Reserv — [Raison sociale à compléter]
  • SIRET : [à compléter]
  • Adresse : [Adresse complète], Guadeloupe (971), France
  • Contact dédié RGPD : rgpd@karu-reserv.fr

Aucun Délégué à la Protection des Données (DPO) n'a été désigné à ce jour, conformément à l'article 37 du RGPD qui ne l'impose qu'aux organismes dont l'activité principale consiste en un suivi à grande échelle ou en un traitement de catégories particulières.

2. Données collectées et finalités

2.1 — Lors de la création d'un compte

  • Nom, prénom et adresse email professionnelle de l'administrateur
  • Mot de passe (stocké sous forme de hash PBKDF2, jamais en clair)
  • Informations du commerce : nom, SIRET, adresse postale, téléphone, type d'activité

2.2 — Lors de l'utilisation du service

  • Données de commandes que vous créez : produits, quantités, montants, statuts, historique des modifications
  • Données de vos clients que vous enregistrez : nom, téléphone, préférences, historique d'achats (vous en êtes le responsable de traitement vis-à-vis d'eux ; nous agissons comme sous-traitant au sens de l'article 28 du RGPD)
  • Comptes de vos employés que vous créez (nom, email, matricule, rôle)

2.3 — Lors de la navigation sur le site

  • Adresse IP et horodatage des connexions (logs de sécurité, rétention limitée)
  • User-Agent (navigateur et système d'exploitation)
  • Préférence de thème clair/sombre et langue choisie (stockées localement dans votre navigateur)

3. Bases légales du traitement

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale précise :

  • Exécution d'un contrat (art. 6.1.b) : fourniture du service, gestion du compte, assistance technique
  • Intérêt légitime (art. 6.1.f) : sécurité du service, prévention des fraudes, amélioration continue de la plateforme
  • Obligation légale (art. 6.1.c) : conservation des pièces comptables (10 ans, Code de commerce), réponse aux réquisitions judiciaires
  • Consentement (art. 6.1.a) : dépôt de cookies non essentiels (analytics, marketing), envoi de communications commerciales par email

4. Destinataires et sous-traitants

Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles sont accessibles :

  • Aux équipes techniques de Karu Reserv, dans la stricte limite de leurs missions (support, maintenance, sécurité)
  • À nos sous-traitants techniques, chacun lié par un Data Processing Agreement conforme à l'article 28 du RGPD :
    • Vercel Inc. (États-Unis) — hébergement du site marketing et du backoffice
    • [Hébergeur de la base PostgreSQL] — stockage des données de votre commerce (à compléter selon le choix final)
    • Vonage (Royaume-Uni / UE) — envoi des SMS clients, si vous activez cette fonctionnalité
    • Google Workspace (Irlande / États-Unis) — envoi des emails transactionnels (confirmation, réinitialisation de mot de passe)

5. Durées de conservation

  • Données de compte : pendant toute la durée de la relation contractuelle, puis 3 ans à compter du dernier contact (prospection commerciale autorisée)
  • Données de commandes et factures : 10 ans à compter de leur création (obligation comptable, art. L123-22 du Code de commerce)
  • Logs de connexion et de sécurité : 12 mois maximum (art. L34-1 du Code des postes et communications électroniques)
  • Cookie de consentement : 6 mois (durée maximale recommandée par la CNIL)
  • Jetons d'authentification : 8 heures (access token), 30 jours (refresh token)

6. Transferts hors Union européenne

Certains de nos sous-traitants sont établis hors de l'Union européenne, notamment aux États-Unis (Vercel, Google). Ces transferts sont encadrés par :

  • Les clauses contractuelles types (CCT) adoptées par la Commission européenne le 4 juin 2021
  • L'adhésion de ces prestataires au Data Privacy Framework (cadre transatlantique approuvé par la Commission le 10 juillet 2023)
  • Des mesures techniques supplémentaires : chiffrement en transit (TLS 1.3) et au repos (AES-256), pseudonymisation partielle

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie
  • Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes
  • Droit à l'effacement (art. 17) : demander la suppression de vos données (sous réserve des obligations légales de conservation)
  • Droit à la limitation du traitement (art. 18)
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV)
  • Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection
  • Droit de définir des directives post-mortem : conformément à l'article 85 de la loi Informatique et Libertés

Pour exercer ces droits, adressez votre demande à rgpd@karu-reserv.fr en précisant vos nom, prénom et une copie d'une pièce d'identité (pour éviter toute usurpation). Nous vous répondrons dans un délai maximum d'un mois. En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL, autorité de contrôle française.

8. Cookies et traceurs

Cette section détaille l'ensemble des cookies et technologies similaires (localStorage) utilisés sur le site, leur finalité, leur durée et la base légale associée. Conformément aux recommandations de la CNIL, les cookies non essentiels ne sont déposés qu'après votre consentement explicite, recueilli via notre module de gestion des préférences.

8.1 — Cookies strictement nécessaires (consentement non requis)

Ces cookies sont indispensables au bon fonctionnement du service et ne nécessitent pas votre consentement conformément à l'article 82 de la loi Informatique et Libertés.

  • kes_access_token (HttpOnly, Secure, SameSite=Lax) — jeton d'authentification chiffré (JWE AES-256). Durée : 8 heures.
  • kes_refresh_token (HttpOnly, Secure, SameSite=Lax) — jeton de renouvellement d'authentification. Durée : 30 jours.
  • kes_company_code (HttpOnly) — code à 6 chiffres de votre entreprise, requis pour identifier le tenant au login.
  • kes_cookie_consent — cookie interne qui mémorise vos choix de consentement cookies. Durée : 6 mois.
  • NEXT_LOCALE — mémorise la langue choisie (FR/EN/ES). Durée : 1 an.

Stockage local (localStorage) à visée strictement fonctionnelle, non soumis à consentement : kes_authenticated (drapeau de session côté client), kes_company_name (nom de l'entreprise pour l'affichage), theme (préférence clair/sombre).

8.2 — Cookies de mesure d'audience (consentement requis)

Aucun cookie de cette catégorie n'est actuellement déposé. Cette catégorie est préparée pour une future intégration d'un outil de mesure d'audience (par exemple Vercel Analytics, Plausible ou une solution équivalente respectueuse de la vie privée). Si un tel outil est ajouté, il ne sera activé qu'après votre consentement explicite via le module de gestion des cookies, et la présente politique sera mise à jour avec les noms exacts, finalités et durées.

8.3 — Cookies marketing et personnalisation (consentement requis)

Aucun cookie de cette catégorie n'est actuellement déposé. Cette catégorie est réservée à de possibles futures campagnes de retargeting, pixels sociaux (Meta, LinkedIn) ou outils de personnalisation avancée. Leur activation sera conditionnée à votre consentement explicite.

8.4 — Modifier vos choix

Vous pouvez modifier vos préférences de cookies à tout moment en cliquant sur , ou depuis le lien « Gérer les cookies » situé dans le pied de page du site. Le refus des cookies non essentiels n'a aucun impact sur les fonctionnalités du service.

9. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles conformes à l'état de l'art :

  • Isolation multi-tenant : chaque commerce dispose d'une base de données PostgreSQL dédiée — aucune donnée n'est partagée entre les tenants.
  • Chiffrement en transit : HTTPS/TLS 1.3 sur l'intégralité des échanges.
  • Chiffrement au repos : les chaînes de connexion aux bases tenants sont chiffrées via ASP.NET Data Protection (AES-256-CBC + HMAC-SHA256) avant stockage en base master.
  • Jetons d'authentification chiffrés : JSON Web Encryption (JWE) AES-256-CBC-HMAC-SHA512, empêchant toute lecture du contenu même par un client malveillant.
  • Mots de passe : hachés avec PBKDF2 (SHA-512, 10 000 itérations minimum), jamais stockés en clair.
  • Journalisation : toutes les connexions et actions sensibles sont tracées pour permettre la détection d'incidents.

10. Paiements (section préparée)

Aucun traitement de paiement n'est actif à ce jour sur le site. Lorsque nous intégrerons une solution de paiement en ligne (Stripe envisagé), cette section sera mise à jour pour décrire :

  • Le prestataire de paiement retenu, son statut (établissement de paiement agréé) et sa politique de confidentialité
  • Les données bancaires collectées et transmises directement au prestataire (jamais stockées sur nos serveurs)
  • Les cookies techniques que le prestataire dépose sur votre appareil pour sécuriser la transaction et lutter contre la fraude — ces cookies, bien que déposés par un tiers, sont considérés comme strictement nécessaires au sens de la CNIL (Délibération CNIL du 17 septembre 2020) lorsqu'ils sont indispensables à la finalisation d'un paiement initié par l'utilisateur.
  • Les bases légales et durées de conservation propres aux données bancaires (généralement 13 mois pour les preuves de paiement).

11. Modifications de la politique

Nous pouvons être amenés à modifier cette politique pour refléter l'évolution de nos traitements ou du cadre légal. Toute modification significative (ajout d'une nouvelle catégorie de données, d'un sous-traitant, d'un type de cookie) fera l'objet d'une notification en haut de page pendant 30 jours et, le cas échéant, d'une nouvelle demande de consentement pour les cookies non essentiels.

12. Contact

Pour toute question relative à cette politique ou à la protection de vos données :