Politique de confidentialité
Dernière mise à jour : 25 mai 2026
1. Responsable de traitement
Le responsable du traitement des données personnelles est :
Fabrice Jolivet — auto-entrepreneur, enseigne Burst Innovation Lab
37 rue Blanqui, 33110 Le Bouscat, France
SIRET : 941 912 255 00010
Email : hello@plotrek.com
« Plotrek » est le nom commercial du site édité par Burst Innovation Lab pour la vente d'affiches topographiques personnalisées.
2. Données collectées
Nous collectons les catégories de données suivantes :
- Données d'identification : prénom, nom, adresse email, adresse postale (uniquement pour les produits physiques).
- Données de paiement : traitées exclusivement par Stripe. Nous ne stockons aucune information bancaire sur nos serveurs.
- Données d'activité GPS : parcours GPX importés par le Client (uploadé manuellement ou récupéré via OAuth Strava). Utilisés uniquement pour générer l'œuvre commandée.
- Données de connexion Strava(le cas échéant) : jeton d'accès OAuth temporaire (6h), athlete_id, prénom et nom Strava. Ces données sont stockées exclusivement dans un cookie chiffré côté navigateur (clé HS256) et ne sont jamais persistées dans notre base de données tant que vous n'avez pas validé une commande payante. Les scopes OAuth demandés sont
readetactivity:readuniquement (lecture seule) ; nous ne demandons jamais l'accès en écriture à vos activités. Voir notre page Strava pour le détail. - Données d'activité Strava liées à une commande : lorsque vous passez commande, nous conservons la polyline GPS, le profil d'altitude, le titre et la date de l'activité Strava choisie ainsi que votre prénom/nom Strava (pour le champ « finisher » du poster). Ces données sont conservées 5 ans pour obligations légales comptables ; vous pouvez demander leur anonymisation à tout moment (voir section 6).
- Données techniques : adresse IP, user-agent, logs applicatifs (anonymisés après 90 jours).
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Exécution de la commande | Exécution du contrat (art. 6.1.b RGPD) |
| Émission de factures et obligations comptables | Obligation légale (art. 6.1.c RGPD) |
| Service client et réponse aux demandes | Intérêt légitime (art. 6.1.f RGPD) |
| Statistiques d'audience anonymisées | Intérêt légitime (art. 6.1.f RGPD) |
4. Destinataires et sous-traitants
Vos données sont accessibles uniquement à Fabrice Jolivet (auto-entrepreneur) et aux sous-traitants techniques suivants :
- Vercel Inc. (USA) — hébergement du site web. Transfert encadré par les Clauses Contractuelles Types de la Commission européenne.
- Railway Corp. (USA) — pipeline de génération des cartes. Mêmes garanties que Vercel.
- Supabase Inc. (Singapour) — base de données et stockage des commandes.
- Cloudflare R2 (USA) — stockage des fichiers générés (PDF, PNG, SVG).
- Stripe Payments Europe Ltd. (Irlande) — traitement des paiements. Stripe est conforme PCI-DSS niveau 1.
- Resend Inc. (USA) — envoi des emails transactionnels (confirmation, expédition).
- Strava Inc. (USA, le cas échéant) — récupération de l'activité GPS via OAuth, uniquement si le Client choisit cette option.
5. Durée de conservation
- Données de commande (Client + adresse + GPX) : 5 ans (durée légale de conservation des données comptables et commerciales).
- Fichiers générés sur R2 : 30 jours après livraison.
- Données de connexion Strava : jusqu'à révocation par le Client ou expiration du jeton OAuth (6 heures pour le token court).
- Logs techniques : 90 jours, puis anonymisation.
- Données fiscales et comptables : 10 ans (article L123-22 du Code de commerce).
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données :
- Droit d'accès — obtenir une copie de vos données.
- Droit de rectification — corriger des données inexactes.
- Droit à l'effacement(« droit à l'oubli ») — sauf obligation légale de conservation.
- Droit à la limitation du traitement.
- Droit à la portabilité — récupérer vos données dans un format structuré et lisible.
- Droit d'opposition au traitement.
- Droit de retrait du consentement à tout moment, pour les traitements fondés sur celui-ci.
- Droit d'introduire une réclamation auprès de la CNIL : cnil.fr.
Pour exercer ces droits, envoyez un email à hello@plotrek.com en précisant votre demande et en joignant un justificatif d'identité. Nous répondons sous 30 jours.
6.1 Données Strava — suppression et révocation
Pour les données issues de l'API Strava :
- Auto-déconnexion immédiate — rendez-vous sur la page /accountet cliquez sur « Se déconnecter de Strava ». Cette action appelle l'endpoint Strava
POST /oauth/deauthorize, révoque notre jeton d'accès et efface votre session locale. Aucune action côté Strava n'est nécessaire ensuite. - Révocation manuelle côté Strava — vous pouvez également révoquer l'autorisation Plotrek via strava.com/settings/apps.
- Anonymisation des commandes — pour effacer les données Strava attachées à une commande payée (avant l'échéance légale de 5 ans), écrivez à hello@plotrek.com. Nous remplaçons le prénom/nom Strava par « Anonymous athlete » et supprimons l'athlete_id du payload de génération ; les obligations comptables imposent de conserver les métadonnées de transaction (date, montant, produit) mais celles-ci ne sont pas nominatives.
- Politique Strava — strava.com/legal/privacy.
7. Cookies
Le site utilise un nombre minimal de cookies :
- Cookies fonctionnels(obligatoires) : maintien de la session, suivi du panier en cours.
- Cookies de mesure d'audience anonymisée(intérêt légitime) : pas de cookies tiers, pas de tracking publicitaire.
Aucun cookie marketing ou publicitaire n'est déposé sans votre consentement explicite.
8. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement TLS systématique, accès aux données restreint, audits réguliers, sauvegardes quotidiennes.
En cas de violation de données susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, nous procéderons à la notification à la CNIL et aux personnes concernées dans les délais prévus par le RGPD (72 heures).
9. Modifications
La présente politique peut être mise à jour pour refléter les évolutions juridiques ou techniques. La date en haut de cette page indique la dernière mise à jour.