Politique de confidentialité

Le responsable du traitement est l'éditeur du service Metia, dont les coordonnées figurent sur la page mentions légales. Pour toute question relative à vos données, vous pouvez écrire à dpo@metia.fr.

2.1 Données du gérant de boutique (utilisateur)

• Identité & contact : prénom, nom, email professionnel, téléphone, adresse de la boutique. Finalité : créer et gérer votre compte. Base légale : exécution du contrat.
• Données société : raison sociale, SIRET, SIREN, n° TVA. Finalité : émission des factures NF525 conformes. Base légale : obligation légale.
• Données de paiement : numéro de carte bancaire traité directement par Stripe (PCI-DSS) — Metia ne stocke ni les numéros de carte ni les CVV. Finalité : facturation de l'abonnement. Base légale : exécution du contrat.
• Données techniques : adresse IP, logs de connexion, user-agent. Finalité : sécurité et lutte contre la fraude. Base légale : intérêt légitime.

2.2 Données des clients de la boutique (vos clients)

En tant qu'utilisateur de Metia, vous saisissez les données de vos propres clients (nom, contact, appareil, historique de réparation, factures). Vous êtes le responsable du traitement de ces données ; Metia agit en tant que sous-traitant au sens de l'article 28 RGPD. Un contrat de sous-traitance (DPA) est mis à votre disposition sur demande à dpo@metia.fr.

2.3 Données du livre de police (rachat de téléphones d'occasion)

Si vous utilisez la fonctionnalité de rachat à des particuliers, vous collectez et stockez (via Metia) les données d'identité du vendeur (nom, prénom, date de naissance, type et numéro de pièce d'identité, photo de la pièce). Ces données sont conservées pendant 6 ans à compter de l'opération en application de l'article L321-7 du Code de commerce, qui prime sur le droit à l'effacement.

Vos données ne sont jamais vendues. Elles peuvent être transmises aux sous-traitants suivants, strictement pour les finalités indiquées :

• Supabase Inc. — hébergement de la base de données et de l'authentification (UE / Francfort).
• Vercel Inc. — hébergement de l'application web (États-Unis, Data Processing Agreement signé, transferts encadrés par les Clauses Contractuelles Types de la Commission européenne).
• Stripe Payments Europe Ltd. — traitement des paiements par carte (Irlande, certifié PCI-DSS niveau 1).
• Resend Inc. — envoi d'emails transactionnels (États-Unis, CCT signées).
• OVH SAS — envoi de SMS transactionnels (France).
• Google LLC (Gemini API) — traitement IA pour l'import intelligent de stock, sur déclenchement explicite de l'utilisateur uniquement (États-Unis, CCT signées).

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :

• Droit d'accès : obtenir une copie de vos données.
• Droit de rectification : faire corriger des données inexactes.
• Droit à l'effacement ("droit à l'oubli") : sous réserve des durées de conservation légales (factures, livre de police).
• Droit à la portabilité : récupérer vos données au format JSON / CSV.
• Droit d'opposition et de limitation du traitement.
• Droit de définir des directives post-mortem.

Pour exercer ces droits :

• Depuis votre compte : Paramètres → Compte & RGPD (export des données et demande de suppression).
• Par email : dpo@metia.fr (réponse sous 1 mois maximum).

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris — www.cnil.fr).

Metia met en œuvre des mesures techniques et organisationnelles pour protéger vos données : chiffrement TLS 1.3 en transit, chiffrement au repos (AES-256 côté Supabase / AWS), Row Level Security sur toutes les tables multi-tenants, journalisation des accès, sauvegardes quotidiennes chiffrées.

La présente politique peut être modifiée pour refléter les évolutions du service ou de la réglementation. Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur.