Politique de confidentialité
Dernière mise à jour : 12 mars 2026
NicheTrackr s'engage à protéger vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés. Cette politique explique quelles données nous collectons, pourquoi, et quels sont vos droits.
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
- NicheTrackr — Micro-entreprise
- Email : [email protected]
2. Données collectées
2.1 Données que vous fournissez
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Prénom et nom | Oui | Identification du compte |
| Adresse email | Oui | Connexion, notifications, support |
| Mot de passe | Oui (sauf OAuth) | Sécurisation de l'accès au compte |
| Date d'acceptation des CGU | Oui | Preuve du consentement (RGPD) |
2.2 Données collectées automatiquement
| Donnée | Finalité |
|---|---|
| Adresse IP | Sécurité (protection anti-abus, Rack::Attack) |
| Cookies de session | Maintien de la connexion |
| Date de dernière connexion | Sécurité et statistiques |
2.3 Données via Google OAuth
Si vous vous connectez via Google, nous recevons : votre nom, prénom, email, et photo de profil. Nous stockons le token d'accès de manière chiffrée (ActiveRecord::Encryption) pour maintenir la session. Nous n'accédons à aucune autre donnée de votre compte Google.
2.4 Données que nous ne collectons PAS
- Identifiants Vinted (login, mot de passe)
- Données bancaires (gérées par Stripe, jamais stockées chez nous)
- Données de géolocalisation
- Données de navigation sur d'autres sites
3. Finalités du traitement
| Finalité | Base légale |
|---|---|
| Gestion de votre compte utilisateur | Exécution du contrat (CGU) |
| Fourniture du service (trackers, scoring, export) | Exécution du contrat |
| Gestion des abonnements et paiements | Exécution du contrat |
| Envoi d'alertes email (changement de score) | Consentement (activation par l'utilisateur) |
| Support client | Intérêt légitime |
| Sécurité et prévention anti-abus | Intérêt légitime |
| Amélioration du service (statistiques anonymes) | Intérêt légitime |
4. Base légale
Nos traitements reposent sur :
- L'exécution du contrat (Article 6.1.b RGPD) : pour fournir le service
- Le consentement (Article 6.1.a) : pour les cookies non-essentiels et les alertes email
- L'intérêt légitime (Article 6.1.f) : pour la sécurité et l'amélioration du service
- L'obligation légale (Article 6.1.c) : conservation des factures (10 ans)
5. Durée de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur | Jusqu'à suppression du compte par l'utilisateur |
| Données de trackers et produits | Jusqu'à suppression du tracker ou du compte |
| Données de paiement (Stripe) | Conservées par Stripe selon leur politique |
| Logs de sécurité | 12 mois |
| Factures | 10 ans (obligation légale) |
Après suppression de votre compte, toutes vos données personnelles sont effacées sous 30 jours. Les sauvegardes automatiques sont purgées sous 90 jours.
6. Destinataires des données
Vos données sont partagées uniquement avec les sous-traitants suivants :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Heroku (Salesforce) | Hébergement de l'application | Union Européenne |
| Stripe | Traitement des paiements | UE / USA (clauses contractuelles types) |
| Google (OAuth) | Authentification | UE / USA (clauses contractuelles types) |
| Crisp | Chat de support (si activé) | France |
| OpenAI | Traitement des messages du chat IA intégré | États-Unis (USA) — Clauses contractuelles types (CCT) conformément au RGPD Art. 46 |
Chat IA : Les messages que vous saisissez dans le chat IA intégré sont transmis à OpenAI pour générer les réponses. Ces messages sont traités aux États-Unis dans le cadre de clauses contractuelles types conformes au RGPD. Ne saisissez pas de données personnelles (nom, email, numéro de téléphone, etc.) dans les messages du chat IA.
Nous ne vendons ni ne louons vos données personnelles à des tiers. Aucune donnée n'est utilisée à des fins publicitaires.
7. Cookies
7.1 Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du Service :
| Cookie | Finalité | Durée |
|---|---|---|
_nichetrackr_session |
Session utilisateur (connexion) | Session du navigateur |
cookie_consent |
Mémoriser votre choix de cookies | 1 an |
7.2 Cookies optionnels (avec consentement)
| Cookie | Finalité | Durée |
|---|---|---|
| Cookies Crisp | Chat de support en ligne | Session |
Vous pouvez modifier vos préférences de cookies à tout moment via la bannière de consentement accessible en bas de page.
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
| Droit | Description | Comment l'exercer |
|---|---|---|
| Accès (Art. 15) | Obtenir une copie de vos données | Paramètres > Télécharger mes données |
| Rectification (Art. 16) | Corriger vos informations | Paramètres > Profil |
| Effacement (Art. 17) | Supprimer votre compte et données | Paramètres > Zone dangereuse |
| Portabilité (Art. 20) | Récupérer vos données en format structuré | Paramètres > Télécharger mes données |
| Opposition (Art. 21) | S'opposer à un traitement | Email à [email protected] |
| Limitation (Art. 18) | Limiter le traitement de vos données | Email à [email protected] |
Pour exercer vos droits, utilisez les fonctionnalités de votre compte ou contactez-nous à [email protected]. Nous répondons sous 30 jours maximum.
En cas de litige, vous pouvez saisir la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.
9. Sécurité
Nous mettons en oeuvre les mesures de sécurité suivantes :
- Chiffrement des communications (HTTPS/TLS obligatoire)
- Chiffrement des tokens OAuth en base de données (ActiveRecord::Encryption)
- Hashage des mots de passe (bcrypt via Devise)
- Protection CSRF sur tous les formulaires
- Content Security Policy (CSP) avec nonces
- Rate limiting (Rack::Attack) contre les attaques par force brute
- Confirmation email obligatoire
10. Contact
Pour toute question relative à la protection de vos données personnelles :
- Email : [email protected]
- Objet : "Protection des données - [votre demande]"
11. Données publiques de tiers (vendeurs Vinted)
NicheTrackr est un outil d'analyse de niches Vinted. Pour fournir ce service, nous collectons et traitons des données publiquement accessibles sur la plateforme Vinted (annonces, prix, photos, pseudos vendeurs visibles sur les pages produit publiques).
11.1 Nature des données collectées
- Titre, description, prix, marque, taille, état des annonces
- Photos publiques des produits (hébergement Vinted, pas chez nous)
- Pseudo public du vendeur (jamais le vrai nom, jamais l'email)
- Statistiques publiques (nombre de likes, date de mise en ligne)
- État de l'annonce (en vente / vendue) déduit de la disponibilité publique
11.2 Base légale (article 6.1.f RGPD)
Intérêt légitime : analyse statistique de marché à partir de données publiquement accessibles. Cet intérêt est mis en balance avec les droits des personnes concernées via les mesures suivantes :
- Aucune donnée d'identification directe collectée (pas d'email, pas de nom réel)
- Pseudonymisation des pseudos vendeurs en base de données
- Durée de rétention limitée (90 jours maximum sur les identifiants vendeurs)
- Pas de profilage individuel des vendeurs (analyse agrégée par niche/marque uniquement)
- Procédure d'effacement immédiat sur demande (cf. 11.4)
11.3 Sous-traitants impliqués (article 28 RGPD)
Les données publiques scrapées peuvent transiter par les sous-traitants suivants :
- Hetzner Cloud (Allemagne, RGPD-compliant) — hébergement serveurs et base de données
- IPRoyal (Lituanie, RGPD-compliant) — proxies résidentiels rotatifs pour la collecte technique
- Cloudflare (USA, certifié EU-US Data Privacy Framework) — CDN et protection DDoS
- Resend (USA, EU-US DPF) — emails transactionnels uniquement (jamais de marketing)
Aucune donnée publique de vendeur Vinted n'est partagée avec un tiers à des fins commerciales, marketing ou publicitaires.
11.4 Procédure d'effacement (article 17 RGPD)
Si vous êtes vendeur sur Vinted et que vous souhaitez que vos données publiques soient supprimées de notre base, vous pouvez exercer votre droit à l'effacement à tout moment :
-
Envoyez un email à [email protected] avec :
- Objet : "Demande d'effacement RGPD - vendeur Vinted"
- Votre pseudo Vinted public (ex: monpseudo123)
- Le lien public de votre profil Vinted (pour vérification : ex.
https://www.vinted.fr/member/123456789-monpseudo123)
- Nous traiterons votre demande sous 30 jours maximum (délai légal)
- Toutes vos données publiques (annonces, pseudo, statistiques) seront supprimées de notre base
- Vous recevrez une confirmation écrite par email
Mesure préventive complémentaire : votre pseudo sera ajouté à une liste d'exclusion permanente, empêchant toute future collecte de vos annonces (même si vous publiez de nouvelles annonces sur Vinted).
11.5 Conformité avec le cadre Vinted
Notre activité de scraping s'appuie sur la jurisprudence hiQ Labs v. LinkedIn (USA, 2022) et la doctrine européenne du scraping de données publiques à des fins d'analyse statistique. Nous ne contournons aucun système d'authentification de Vinted et n'accédons à aucune zone réservée. Toutes les données collectées sont publiquement affichées sans connexion sur vinted.fr.
Si Vinted nous notifie une demande de suppression spécifique pour des données qu'ils considèrent comme protégées, nous nous y conformerons immédiatement.