Politique de confidentialité
Dernière mise à jour : 26 juin 2026
1. Responsable du traitement
Le responsable du traitement de vos données personnelles est Nestware (ci-après « Nestware », « nous »), éditeur de la plateforme accessible à l'adresse nestware.io. Pour toute question relative à vos données, vous pouvez contacter notre Délégué à la protection des données (DPO) : [email protected].
La présente politique s'applique au site nestware.io et aux services associés. Pour les sites (« vitrines », boutiques, moteurs de réservation) créés par nos clients via Nestware, le client est responsable de traitement des données de ses propres visiteurs ; Nestware agit alors comme sous-traitant (voir l'Accord de traitement des données (DPA)).
2. Données collectées
Nous collectons uniquement les données nécessaires au fonctionnement de nos services :
- Données d'identité et de compte : nom, prénom, adresse email, mot de passe (haché, jamais stocké en clair).
- Données de facturation : coordonnées postales, historique d'abonnement. Les numéros de carte bancaire ne sont jamais stockés par Nestware : ils sont traités directement par Stripe (certifié PCI-DSS niveau 1).
- Données de sécurité : adresse IP et journaux de connexion (réussies/échouées), utilisés pour la prévention de la fraude et la protection des comptes.
- Données de mesure d'audience (soumises à votre consentement) : pages consultées, identifiant de visite pseudonyme, type d'appareil, système et navigateur, pays (déduit de façon approximative). Nous ne stockons pas le user-agent brut.
- Données de support : contenu des messages que vous nous adressez.
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Fourniture des services (compte, hébergement de site) | Exécution du contrat (art. 6.1.b) |
| Facturation et paiement | Exécution du contrat + obligation légale (art. 6.1.b/c) |
| Sécurité, prévention de la fraude | Intérêt légitime (art. 6.1.f) |
| Mesure d'audience | Consentement (art. 6.1.a) |
| Support et emails transactionnels | Exécution du contrat (art. 6.1.b) |
| Respect des obligations comptables/fiscales | Obligation légale (art. 6.1.c) |
Nous n'envoyons pas d'emails marketing sans votre consentement préalable. Les emails que nous envoyons sont transactionnels (vérification, sécurité, factures, confirmations).
4. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte et données associées | Durée du contrat, puis suppression sur demande |
| Factures et pièces comptables | 10 ans (obligation légale) |
| Mesure d'audience | 13 mois maximum (recommandation CNIL) |
| Journaux de sécurité | 12 mois |
| Tentatives de connexion échouées | 7 jours |
| Jetons de vérification / réinitialisation | Jusqu'à expiration (1 à 24 h) |
Une purge automatique applique ces durées. Au-delà, les données sont supprimées ou anonymisées.
5. Destinataires et sous-traitants
Vos données ne sont jamais vendues ni louées. Elles sont hébergées en France (Scaleway, région de Paris) et ne sont transmises qu'à des sous-traitants strictement nécessaires au service, encadrés par contrat. La liste détaillée, à jour, des sous-traitants et de leurs garanties figure sur la page Sous-traitants.
6. Transferts hors de l'Union européenne
L'hébergement (base de données, application, stockage de fichiers, mesure d'audience) est intégralement réalisé en France. Certains sous-traitants nécessaires (Stripe pour le paiement, Resend pour l'email, Cloudflare pour la distribution réseau, et le cas échéant les fournisseurs d'identité Google/Microsoft/Apple) peuvent traiter des données en dehors de l'UE. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne et/ou les cadres d'adéquation applicables (EU-US Data Privacy Framework).
7. Sécurité
- Chiffrement SSL/TLS pour tous les échanges et chiffrement des données au repos.
- Mots de passe hachés (bcrypt) ; authentification à deux facteurs (MFA/TOTP) disponible.
- Cloisonnement strict des données par client (multi-tenant) et contrôles d'accès.
- Journalisation de sécurité, limitation du débit (anti-bruteforce) et audits réguliers.
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès et de rectification.
- Droit à l'effacement (« droit à l'oubli »).
- Droit à la limitation et droit d'opposition au traitement.
- Droit à la portabilité de vos données.
- Droit de retirer votre consentement à tout moment (mesure d'audience).
Depuis votre espace, rubrique Paramètres → Confidentialité, vous pouvez exporter vos données (portabilité) et supprimer votre compte (effacement) de façon autonome. Vous pouvez aussi exercer ces droits en écrivant à [email protected]. Nous répondons dans un délai d'un mois.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).
9. Cookies
Nous utilisons des cookies essentiels (session, authentification, sécurisation des paiements) et, uniquement avec votre consentement, des cookies de mesure d'audience. Nous respectons les signaux navigateur Global Privacy Control et Do Not Track. Vous gérez vos préférences à tout moment depuis la page Gestion des cookies.
10. Mineurs et modifications
Nos services s'adressent à des professionnels et ne ciblent pas les mineurs de moins de 15 ans. La présente politique peut être mise à jour ; toute modification substantielle vous sera notifiée et la date de mise à jour ci-dessus sera actualisée.
