Politique de confidentialité
<p><em>Dernière mise à jour : 11 juin 2026</em></p>
<p>La présente politique de confidentialité décrit la manière dont <strong>GroupDeal</strong> collecte, utilise et protège les données personnelles des utilisateurs de la plateforme accessible à l'adresse <a href="https://groupdeal.app">groupdeal.app</a>. Elle est conforme au Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) et à la loi française n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).</p>
<h2>1. Responsable du traitement</h2>
<p>Les données collectées sont traitées par <strong>GroupDeal</strong>. Les coordonnées complètes du responsable du traitement figurent sur la page <a href="/mentions-legales">Mentions légales</a>.</p>
<p>Pour toute question relative à la protection de vos données ou à l'exercice de vos droits, vous pouvez nous écrire à l'adresse indiquée dans nos mentions légales.</p>
<h2>2. Données collectées et finalités</h2>
<p>GroupDeal collecte les catégories de données suivantes, en fonction de votre type d'utilisation.</p>
<h3>2.1 Visiteurs du site public</h3>
<ul>
<li><strong>Données techniques agrégées et anonymes</strong> : page consultée, système d'exploitation, type de navigateur, type d'appareil, pays.</li>
<li><strong>Finalité</strong> : mesure d'audience anonyme pour comprendre le trafic.</li>
<li><strong>Base légale</strong> : intérêt légitime (art. 6.1.f RGPD). Aucune adresse IP individuelle n'est stockée, aucun cookie tiers n'est posé.</li>
<li><strong>Durée de conservation</strong> : 25 mois maximum, conformément aux recommandations de la CNIL.</li>
</ul>
<h3>2.2 Inscription à la liste d'attente</h3>
<ul>
<li><strong>Données collectées</strong> : adresse email, locale (langue), origine de l'inscription.</li>
<li><strong>Finalité</strong> : vous prévenir de l'ouverture de la plateforme et vous tenir informé(e) des actualités GroupDeal.</li>
<li><strong>Base légale</strong> : consentement explicite (formulaire d'inscription volontaire).</li>
<li><strong>Durée de conservation</strong> : jusqu'à la désinscription ou pendant 3 ans à compter du dernier contact actif.</li>
<li><strong>Désinscription</strong> : un lien de désinscription est présent dans chaque email. Vous pouvez aussi nous contacter directement.</li>
</ul>
<h3>2.3 Création d'un compte (association, CSE, entreprise)</h3>
<ul>
<li><strong>Données collectées</strong> : nom, prénom, email, mot de passe (hashé), téléphone, nom de la structure, SIRET, RNA, adresses, objet de l'association.</li>
<li><strong>Finalité</strong> : exécution du service (gestion du compte, hébergement des données métier, facturation, support).</li>
<li><strong>Base légale</strong> : exécution du contrat (art. 6.1.b RGPD) et obligations légales (facturation, comptabilité).</li>
<li><strong>Durée de conservation</strong> : pendant toute la durée du contrat, puis 5 ans après clôture pour les obligations comptables et fiscales (art. L. 123-22 du Code de commerce).</li>
<li><strong>Vérification SIRET/RNA</strong> : confirmation de l'identifiant via les API officielles (Sirene de l'INSEE pour le SIRET, Pappers pour le RNA). Aucune donnée n'est stockée par ces tiers de notre fait.</li>
</ul>
<h3>2.4 Acheteurs et donateurs (clients finaux)</h3>
<ul>
<li><strong>Données collectées</strong> : nom, prénom, email, classe/groupe éventuel, contenu de commande, montant payé, éventuel don associé.</li>
<li><strong>Finalité</strong> : exécution de la commande, facturation, émission de reçus fiscaux pour les donateurs.</li>
<li><strong>Base légale</strong> : exécution du contrat de vente et obligations légales.</li>
<li><strong>Durée de conservation</strong> : 10 ans pour les pièces comptables (factures, reçus de don), conformément aux obligations légales françaises.</li>
</ul>
<h2>3. Cookies et traceurs</h2>
<p>GroupDeal utilise un nombre limité de cookies, classés en deux catégories.</p>
<h3>3.1 Cookies strictement nécessaires</h3>
<p>Ces cookies sont indispensables au fonctionnement du site et ne nécessitent pas votre consentement (article 82 de la loi Informatique et Libertés) :</p>
<ul>
<li><code>laravel_session</code> : identifiant de session, durée de vie d'une session navigateur.</li>
<li><code>XSRF-TOKEN</code> : protection contre les attaques CSRF, durée de vie d'une session.</li>
<li><code>remember_token</code> : si vous cochez « Se souvenir de moi » lors de la connexion.</li>
<li><code>gd_consent</code> : mémorise votre choix de consentement aux cookies.</li>
</ul>
<h3>3.2 Cookies tiers (paiement, le cas échéant)</h3>
<p>Lorsque vous procédez à un paiement par carte bancaire, notre prestataire de paiement <strong>Stripe</strong> peut déposer des cookies sur votre navigateur pour assurer la sécurité de la transaction et la prévention de la fraude. Ces cookies ne sont déposés qu'à l'ouverture de la page de paiement Stripe et leur usage est régi par la <a href="https://stripe.com/fr/privacy" target="_blank" rel="noopener">politique de confidentialité Stripe</a>.</p>
<p>Aucun cookie publicitaire ni outil de tracking comportemental tiers (Google Analytics, Meta Pixel, etc.) n'est utilisé sur GroupDeal.</p>
<h2>4. Destinataires des données</h2>
<p>Vos données sont accessibles uniquement par :</p>
<ul>
<li>L'équipe GroupDeal, dans le cadre strict de la fourniture du service.</li>
<li><strong>Stripe</strong> (sous-traitant) : pour le traitement des paiements en ligne. Stripe est certifié PCI-DSS niveau 1.</li>
<li><strong>SumUp</strong> (sous-traitant) : pour les paiements par carte bancaire en main propre, uniquement si vous l'avez activé.</li>
<li><strong>L'hébergeur</strong> du serveur sur lequel l'application est déployée (hébergement en Europe).</li>
<li><strong>API gouvernementale Sirene</strong> (INSEE / DINUM) : pour la vérification ponctuelle d'un SIRET, sans transfert de données personnelles.</li>
</ul>
<p>Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.</p>
<h2>5. Transferts hors de l'Union européenne</h2>
<p>Vos données sont hébergées <strong>au sein de l'Union européenne</strong>. Stripe, en tant que prestataire de paiement international, peut effectuer certains traitements aux États-Unis dans le cadre du <em>Data Privacy Framework</em>, avec des garanties contractuelles adéquates.</p>
<h2>6. Sécurité</h2>
<p>GroupDeal met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :</p>
<ul>
<li>Chiffrement des connexions (HTTPS / TLS) sur toutes les pages.</li>
<li>Mots de passe stockés sous forme de hash cryptographique (bcrypt).</li>
<li>Isolation par tenant : chaque structure dispose d'une base de données séparée.</li>
<li>Sauvegardes régulières et restaurables.</li>
<li>Accès aux serveurs limité à un nombre restreint de personnes autorisées.</li>
</ul>
<h2>7. Vos droits</h2>
<p>Conformément au RGPD, vous disposez des droits suivants sur vos données :</p>
<ul>
<li><strong>Droit d'accès</strong> (art. 15) : obtenir une copie des données vous concernant.</li>
<li><strong>Droit de rectification</strong> (art. 16) : corriger des données inexactes ou incomplètes.</li>
<li><strong>Droit à l'effacement</strong> (art. 17) : demander la suppression de vos données. Pour les comptes tenant, un bouton « Supprimer mon compte » est disponible dans l'espace <em>Compte</em>. Pour la liste d'attente, un lien de désinscription est présent dans chaque email.</li>
<li><strong>Droit à la limitation</strong> (art. 18) : suspendre temporairement le traitement de certaines données.</li>
<li><strong>Droit à la portabilité</strong> (art. 20) : recevoir vos données dans un format structuré et réutilisable.</li>
<li><strong>Droit d'opposition</strong> (art. 21) : vous opposer au traitement de vos données pour des motifs légitimes.</li>
<li><strong>Droit de retirer votre consentement</strong> à tout moment lorsque le traitement repose sur cette base.</li>
</ul>
<p>Pour exercer ces droits, écrivez-nous à l'adresse indiquée dans les <a href="/mentions-legales">mentions légales</a> en précisant votre demande. Nous y répondrons dans un délai maximum d'un mois (art. 12.3 RGPD).</p>
<h2>8. Réclamation auprès de la CNIL</h2>
<p>Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la <strong>Commission Nationale de l'Informatique et des Libertés</strong> (CNIL) :</p>
<ul>
<li>Par courrier : 3 place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07</li>
<li>En ligne : <a href="https://www.cnil.fr/fr/plaintes" target="_blank" rel="noopener">www.cnil.fr/fr/plaintes</a></li>
</ul>
<h2>9. Modifications de la présente politique</h2>
<p>La présente politique peut être amenée à évoluer pour refléter des changements techniques, légaux ou organisationnels. Toute modification substantielle sera notifiée aux utilisateurs disposant d'un compte, et la date de mise à jour figurera en haut de la présente page.</p>
<p>La présente politique de confidentialité décrit la manière dont <strong>GroupDeal</strong> collecte, utilise et protège les données personnelles des utilisateurs de la plateforme accessible à l'adresse <a href="https://groupdeal.app">groupdeal.app</a>. Elle est conforme au Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) et à la loi française n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).</p>
<h2>1. Responsable du traitement</h2>
<p>Les données collectées sont traitées par <strong>GroupDeal</strong>. Les coordonnées complètes du responsable du traitement figurent sur la page <a href="/mentions-legales">Mentions légales</a>.</p>
<p>Pour toute question relative à la protection de vos données ou à l'exercice de vos droits, vous pouvez nous écrire à l'adresse indiquée dans nos mentions légales.</p>
<h2>2. Données collectées et finalités</h2>
<p>GroupDeal collecte les catégories de données suivantes, en fonction de votre type d'utilisation.</p>
<h3>2.1 Visiteurs du site public</h3>
<ul>
<li><strong>Données techniques agrégées et anonymes</strong> : page consultée, système d'exploitation, type de navigateur, type d'appareil, pays.</li>
<li><strong>Finalité</strong> : mesure d'audience anonyme pour comprendre le trafic.</li>
<li><strong>Base légale</strong> : intérêt légitime (art. 6.1.f RGPD). Aucune adresse IP individuelle n'est stockée, aucun cookie tiers n'est posé.</li>
<li><strong>Durée de conservation</strong> : 25 mois maximum, conformément aux recommandations de la CNIL.</li>
</ul>
<h3>2.2 Inscription à la liste d'attente</h3>
<ul>
<li><strong>Données collectées</strong> : adresse email, locale (langue), origine de l'inscription.</li>
<li><strong>Finalité</strong> : vous prévenir de l'ouverture de la plateforme et vous tenir informé(e) des actualités GroupDeal.</li>
<li><strong>Base légale</strong> : consentement explicite (formulaire d'inscription volontaire).</li>
<li><strong>Durée de conservation</strong> : jusqu'à la désinscription ou pendant 3 ans à compter du dernier contact actif.</li>
<li><strong>Désinscription</strong> : un lien de désinscription est présent dans chaque email. Vous pouvez aussi nous contacter directement.</li>
</ul>
<h3>2.3 Création d'un compte (association, CSE, entreprise)</h3>
<ul>
<li><strong>Données collectées</strong> : nom, prénom, email, mot de passe (hashé), téléphone, nom de la structure, SIRET, RNA, adresses, objet de l'association.</li>
<li><strong>Finalité</strong> : exécution du service (gestion du compte, hébergement des données métier, facturation, support).</li>
<li><strong>Base légale</strong> : exécution du contrat (art. 6.1.b RGPD) et obligations légales (facturation, comptabilité).</li>
<li><strong>Durée de conservation</strong> : pendant toute la durée du contrat, puis 5 ans après clôture pour les obligations comptables et fiscales (art. L. 123-22 du Code de commerce).</li>
<li><strong>Vérification SIRET/RNA</strong> : confirmation de l'identifiant via les API officielles (Sirene de l'INSEE pour le SIRET, Pappers pour le RNA). Aucune donnée n'est stockée par ces tiers de notre fait.</li>
</ul>
<h3>2.4 Acheteurs et donateurs (clients finaux)</h3>
<ul>
<li><strong>Données collectées</strong> : nom, prénom, email, classe/groupe éventuel, contenu de commande, montant payé, éventuel don associé.</li>
<li><strong>Finalité</strong> : exécution de la commande, facturation, émission de reçus fiscaux pour les donateurs.</li>
<li><strong>Base légale</strong> : exécution du contrat de vente et obligations légales.</li>
<li><strong>Durée de conservation</strong> : 10 ans pour les pièces comptables (factures, reçus de don), conformément aux obligations légales françaises.</li>
</ul>
<h2>3. Cookies et traceurs</h2>
<p>GroupDeal utilise un nombre limité de cookies, classés en deux catégories.</p>
<h3>3.1 Cookies strictement nécessaires</h3>
<p>Ces cookies sont indispensables au fonctionnement du site et ne nécessitent pas votre consentement (article 82 de la loi Informatique et Libertés) :</p>
<ul>
<li><code>laravel_session</code> : identifiant de session, durée de vie d'une session navigateur.</li>
<li><code>XSRF-TOKEN</code> : protection contre les attaques CSRF, durée de vie d'une session.</li>
<li><code>remember_token</code> : si vous cochez « Se souvenir de moi » lors de la connexion.</li>
<li><code>gd_consent</code> : mémorise votre choix de consentement aux cookies.</li>
</ul>
<h3>3.2 Cookies tiers (paiement, le cas échéant)</h3>
<p>Lorsque vous procédez à un paiement par carte bancaire, notre prestataire de paiement <strong>Stripe</strong> peut déposer des cookies sur votre navigateur pour assurer la sécurité de la transaction et la prévention de la fraude. Ces cookies ne sont déposés qu'à l'ouverture de la page de paiement Stripe et leur usage est régi par la <a href="https://stripe.com/fr/privacy" target="_blank" rel="noopener">politique de confidentialité Stripe</a>.</p>
<p>Aucun cookie publicitaire ni outil de tracking comportemental tiers (Google Analytics, Meta Pixel, etc.) n'est utilisé sur GroupDeal.</p>
<h2>4. Destinataires des données</h2>
<p>Vos données sont accessibles uniquement par :</p>
<ul>
<li>L'équipe GroupDeal, dans le cadre strict de la fourniture du service.</li>
<li><strong>Stripe</strong> (sous-traitant) : pour le traitement des paiements en ligne. Stripe est certifié PCI-DSS niveau 1.</li>
<li><strong>SumUp</strong> (sous-traitant) : pour les paiements par carte bancaire en main propre, uniquement si vous l'avez activé.</li>
<li><strong>L'hébergeur</strong> du serveur sur lequel l'application est déployée (hébergement en Europe).</li>
<li><strong>API gouvernementale Sirene</strong> (INSEE / DINUM) : pour la vérification ponctuelle d'un SIRET, sans transfert de données personnelles.</li>
</ul>
<p>Aucune donnée n'est vendue, louée ou cédée à des tiers à des fins commerciales.</p>
<h2>5. Transferts hors de l'Union européenne</h2>
<p>Vos données sont hébergées <strong>au sein de l'Union européenne</strong>. Stripe, en tant que prestataire de paiement international, peut effectuer certains traitements aux États-Unis dans le cadre du <em>Data Privacy Framework</em>, avec des garanties contractuelles adéquates.</p>
<h2>6. Sécurité</h2>
<p>GroupDeal met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :</p>
<ul>
<li>Chiffrement des connexions (HTTPS / TLS) sur toutes les pages.</li>
<li>Mots de passe stockés sous forme de hash cryptographique (bcrypt).</li>
<li>Isolation par tenant : chaque structure dispose d'une base de données séparée.</li>
<li>Sauvegardes régulières et restaurables.</li>
<li>Accès aux serveurs limité à un nombre restreint de personnes autorisées.</li>
</ul>
<h2>7. Vos droits</h2>
<p>Conformément au RGPD, vous disposez des droits suivants sur vos données :</p>
<ul>
<li><strong>Droit d'accès</strong> (art. 15) : obtenir une copie des données vous concernant.</li>
<li><strong>Droit de rectification</strong> (art. 16) : corriger des données inexactes ou incomplètes.</li>
<li><strong>Droit à l'effacement</strong> (art. 17) : demander la suppression de vos données. Pour les comptes tenant, un bouton « Supprimer mon compte » est disponible dans l'espace <em>Compte</em>. Pour la liste d'attente, un lien de désinscription est présent dans chaque email.</li>
<li><strong>Droit à la limitation</strong> (art. 18) : suspendre temporairement le traitement de certaines données.</li>
<li><strong>Droit à la portabilité</strong> (art. 20) : recevoir vos données dans un format structuré et réutilisable.</li>
<li><strong>Droit d'opposition</strong> (art. 21) : vous opposer au traitement de vos données pour des motifs légitimes.</li>
<li><strong>Droit de retirer votre consentement</strong> à tout moment lorsque le traitement repose sur cette base.</li>
</ul>
<p>Pour exercer ces droits, écrivez-nous à l'adresse indiquée dans les <a href="/mentions-legales">mentions légales</a> en précisant votre demande. Nous y répondrons dans un délai maximum d'un mois (art. 12.3 RGPD).</p>
<h2>8. Réclamation auprès de la CNIL</h2>
<p>Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la <strong>Commission Nationale de l'Informatique et des Libertés</strong> (CNIL) :</p>
<ul>
<li>Par courrier : 3 place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07</li>
<li>En ligne : <a href="https://www.cnil.fr/fr/plaintes" target="_blank" rel="noopener">www.cnil.fr/fr/plaintes</a></li>
</ul>
<h2>9. Modifications de la présente politique</h2>
<p>La présente politique peut être amenée à évoluer pour refléter des changements techniques, légaux ou organisationnels. Toute modification substantielle sera notifiée aux utilisateurs disposant d'un compte, et la date de mise à jour figurera en haut de la présente page.</p>