Politique de confidentialite
Derniere mise a jour : 20 mars 2026
1. Responsable du traitement
Le responsable du traitement des donnees personnelles collectees via la plateforme Vekra est :
Vekra
E-mail : contact@vekra.fr
Dans le cadre de l'utilisation de Vekra par un professionnel du detailing (ci-apres "l'Utilisateur"), celui-ci agit en tant que responsable du traitement pour les donnees de ses propres clients. Vekra agit alors en tant que sous-traitant au sens de l'article 28 du RGPD. Les conditions de ce sous-traitement sont definies dans notre Accord de traitement des donnees (DPA) .
2. Categories de donnees personnelles collectees
Nous collectons les categories de donnees suivantes en fonction de votre utilisation de la plateforme :
2.1 Donnees des utilisateurs professionnels (detailers)
- Donnees d'identification : nom, prenom, adresse e-mail, numero de telephone
- Donnees d'entreprise : raison sociale, SIRET, numero de TVA intracommunautaire, adresse, IBAN
- Donnees de connexion : adresse e-mail, mot de passe (hache), adresse IP, agent utilisateur
- Donnees de facturation : informations de paiement via Stripe (carte bancaire geree par Stripe, pas stockee par Vekra)
- Donnees d'utilisation : journaux d'erreurs, pages consultees (via Sentry, sans cookies de suivi)
2.2 Donnees des clients finaux (clients des detailers)
- Donnees d'identification : nom, prenom, adresse e-mail, numero de telephone
- Donnees d'adresse : adresse postale
- Donnees de vehicule : marque, modele, immatriculation
- Donnees de facturation : devis, factures, paiements
- Donnees de rendez-vous : dates, heures, prestations choisies
- Donnees d'avis : notes et commentaires laisses apres prestation
3. Finalites et bases legales du traitement
Conformement aux articles 13 et 14 du RGPD, nous vous informons des finalites et bases legales de chaque traitement :
| Finalite | Base legale | Donnees concernees |
|---|---|---|
| Creation et gestion du compte utilisateur | Execution du contrat (Art. 6.1.b) | E-mail, mot de passe, donnees d'entreprise |
| Fourniture du service SaaS (gestion clients, devis, factures, rendez-vous) | Execution du contrat (Art. 6.1.b) | Toutes les donnees metier |
| Traitement des paiements (abonnement SaaS et paiements clients) | Execution du contrat (Art. 6.1.b) | Donnees de facturation, informations Stripe |
| Envoi d'e-mails transactionnels (confirmations, rappels, avis) | Execution du contrat (Art. 6.1.b) | Adresse e-mail, nom |
| Synchronisation Google Calendar | Consentement (Art. 6.1.a) | Donnees de rendez-vous, tokens OAuth (chiffres AES-256-GCM) |
| Page de reservation publique | Interet legitime (Art. 6.1.f) | Donnees d'entreprise publiques, prestations, horaires |
| Suivi des erreurs et stabilite du service | Interet legitime (Art. 6.1.f) | Journaux d'erreurs anonymises (Sentry) |
| Respect des obligations legales (facturation, comptabilite) | Obligation legale (Art. 6.1.c) | Factures, donnees d'entreprise |
4. Durees de conservation
Vos donnees sont conservees pendant les durees suivantes :
- Donnees de compte : pendant toute la duree de l'abonnement, puis supprimees dans un delai de 30 jours apres la suppression du compte
- Donnees de facturation et comptables : 10 ans a compter de la cloture de l'exercice, conformement au Code de commerce (Art. L123-22)
- Donnees de paiement Stripe : gerees et conservees par Stripe selon sa propre politique de conservation
- Journaux d'erreurs (Sentry) : 90 jours maximum
- Journaux d'e-mails : 12 mois
- Donnees de Google Calendar (tokens) : supprimees a la revocation de l'acces ou a la suppression du compte
5. Sous-traitants et transferts de donnees
Pour fournir nos services, nous faisons appel aux sous-traitants suivants :
| Sous-traitant | Role | Localisation | Garanties |
|---|---|---|---|
| Supabase | Base de donnees et authentification | UE (AWS eu-west) | DPA, chiffrement au repos et en transit |
| Stripe | Paiements (abonnements SaaS et paiements clients via Connect) | UE / US | Certifie PCI DSS niveau 1, DPA, clauses contractuelles types |
| Resend | Envoi d'e-mails transactionnels | US | DPA, clauses contractuelles types |
| Vercel | Hebergement de l'application | UE / US (edge) | DPA, clauses contractuelles types |
| Sentry | Suivi des erreurs et monitoring | US | DPA, clauses contractuelles types, donnees minimisees |
Pour les transferts de donnees vers des pays tiers (hors EEE), nous nous appuyons sur les clauses contractuelles types (CCT) approuvees par la Commission europeenne, conformement a l'article 46.2.c du RGPD.
6. Cookies et technologies similaires
Vekra utilise exclusivement des cookies strictement necessaires au fonctionnement du service :
- Cookies d'authentification Supabase : necessaires pour maintenir votre session de connexion. Ces cookies sont essentiels au fonctionnement du service et ne necessitent pas de consentement (Art. 82 de la loi Informatique et Libertes).
Vekra n'utilise aucun cookie de suivi, publicitaire ou analytique. Le service de suivi des erreurs (Sentry) fonctionne sans deposer de cookies sur votre navigateur.
7. Vos droits
Conformement au RGPD (articles 15 a 22) et a la loi Informatique et Libertes, vous disposez des droits suivants :
- Droit d'acces (Art. 15) : obtenir la confirmation que vos donnees sont traitees et en recevoir une copie
- Droit de rectification (Art. 16) : corriger des donnees inexactes ou incompletes
- Droit a l'effacement (Art. 17) : demander la suppression de vos donnees, sous reserve des obligations legales de conservation
- Droit a la limitation du traitement (Art. 18) : demander la suspension du traitement dans certains cas
- Droit a la portabilite (Art. 20) : recevoir vos donnees dans un format structure, couramment utilise et lisible par machine
- Droit d'opposition (Art. 21) : vous opposer au traitement fonde sur l'interet legitime
- Droit de retirer votre consentement (Art. 7.3) : a tout moment pour les traitements fondes sur le consentement (ex. Google Calendar)
Comment exercer vos droits
Vous pouvez exercer vos droits de plusieurs manieres :
- Suppression du compte : directement depuis les parametres de votre compte (Parametres > Compte > Supprimer le compte). Cette action supprime definitivement toutes vos donnees.
- Par e-mail : en ecrivant a privacy@vekra.fr en precisant votre demande et votre adresse e-mail de connexion.
Nous nous engageons a repondre a toute demande dans un delai maximum de 30 jours.
8. Securite des donnees
Nous mettons en oeuvre des mesures techniques et organisationnelles appropriees pour proteger vos donnees, notamment :
- Chiffrement des donnees en transit (TLS 1.2+) et au repos
- Chiffrement AES-256-GCM des secrets sensibles (tokens Google Calendar)
- Mots de passe haches via des algorithmes securises (bcrypt via Supabase Auth)
- Donnees de paiement gerees exclusivement par Stripe (certifie PCI DSS niveau 1) — jamais stockees sur nos serveurs
- Acces restreint aux donnees selon le principe du moindre privilege
- En-tetes de securite HTTP (CSP, HSTS, X-Frame-Options, etc.)
- Isolation des donnees par tenant (chaque utilisateur n'accede qu'a ses propres donnees)
9. Delegue a la protection des donnees
Pour toute question relative a la protection de vos donnees personnelles, vous pouvez contacter notre referent donnees personnelles :
Referent donnees personnelles — Vekra
E-mail : privacy@vekra.fr
10. Droit de reclamation aupres de la CNIL
Si vous estimez que le traitement de vos donnees constitue une violation du RGPD, vous avez le droit d'introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL) :
CNIL — Commission Nationale de l'Informatique et des Libertes
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site web : www.cnil.fr
11. Modifications de la politique
Nous pouvons mettre a jour cette politique de confidentialite pour refleter des modifications de nos pratiques ou pour des raisons operationnelles, legales ou reglementaires. En cas de modification substantielle, nous vous en informerons par e-mail ou par une notification dans l'application.
La date de derniere mise a jour est indiquee en haut de cette page.