Politique de confidentialité
Dernière mise à jour : 5 mai 2026 · Conforme RGPD (règlement UE 2016/679) · Loi Informatique et Libertés · ePrivacy
1. Responsable du traitement
Artisan'IA (SIREN 919 731 653), représentée par Victorien Binant, contact : contact@gluten-free.fr.
2. Données collectées et finalités
| Catégorie | Données | Finalité | Base légale | Durée |
|---|---|---|---|---|
| Newsletter | Email, date d'inscription, source du formulaire | Envoi d'une newsletter hebdomadaire éditoriale | Consentement (art. 6.1.a RGPD) | Jusqu'à désinscription, et au maximum 3 ans après la dernière interaction (recommandation CNIL) |
| Achat guide | Email, ID Stripe, date d'achat, montant, token de téléchargement | Livraison du produit acheté, comptabilité, relation client | Exécution du contrat (art. 6.1.b) | 10 ans (obligations comptables) |
| Test symptômes | Email (optionnel), score, niveau et symptômes cochés du questionnaire | Envoi du rapport personnalisé si email renseigné | Consentement explicite aux données de santé (art. 9.2.a RGPD) | 30 jours puis suppression automatique (cron quotidien). Aucune inscription newsletter silencieuse. |
| Mesure d'audience | URL visitée, type d'appareil, pays (IP anonymisée), URL de provenance | Statistiques de fréquentation agrégées | Consentement (6.1.a) — uniquement si vous acceptez via la bannière cookies | 12 mois |
3. Sous-traitants (articles 28 RGPD)
Les données sont traitées par les prestataires suivants, tous engagés contractuellement (DPA) :
- Supabase Inc. (base de données PostgreSQL, hébergement UE) — privacy
- OVH SAS (hébergement VPS, gestion DNS, datacenter France : Roubaix / Gravelines) — privacy
- Stripe Payments Europe Ltd (traitement des paiements, Dublin, Irlande) — privacy
- Resend, Inc. (envoi des emails transactionnels et newsletters, infrastructure AWS Ireland / Frankfurt) — privacy · domaine d'envoi vérifié avec DKIM, SPF et DMARC
- Umami (auto-hébergé) — analytics open source installé sur notre propre VPS OVH France (sous-domaine a.artisan-ia.fr). Aucune donnée n'est transmise à un tiers : le logiciel tourne sur notre infrastructure, sans cookies, IP anonymisée.
- Amazon EU S.à r.l. (liens affiliés, redirection vers amazon.fr avec tag) — privacy
4. Cookies et traceurs
Le site utilise le minimum strict :
- Stockage local strictement nécessaire (exempté de consentement CNIL) : mémorisation de votre choix sur la bannière cookies (clé
gf.cookie-consent.v1, durée 13 mois selon recommandation CNIL), favoris produits (clégf.favorites.v1, sur votre appareil uniquement), protection CSRF des formulaires. - Mesure d'audience Umami(auto-hébergé sur notre VPS France) : aucun cookie déposé, IP hashée et anonymisée, pas de profilage, pas de tracking cross-site. Activé uniquement si vous acceptez la mesure d'audience via la bannière.
- Aucun cookie publicitaire, aucun pixel tiers (Meta, Google Ads, TikTok, etc.), aucun tracking cross-device, aucun profilage commercial.
Vous pouvez à tout moment modifier votre choix en cliquant sur « Préférences cookies » dans le footer du site.
5. Transferts hors UE
L'hébergement principal est situé en France (OVH Roubaix / Gravelines). La base de données est hébergée en Union européenne (Supabase, région eu-west-1). Les analytics tournent en France (Umami auto-hébergé sur notre VPS).
Deux sous-traitants peuvent occasionnellement transférer des données hors UE : Stripe (Dublin, Irlande avec back-office aux États-Unis) pour la prévention de fraude, et Resend (société américaine avec infrastructure AWS Ireland / Frankfurt). Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne (CCT 2021/914) et les certifications Data Privacy Framework (DPF)de chacune des entreprises pour les États-Unis. Aucun autre transfert hors UE n'a lieu (hébergement, base de données et analytics restant en France ou en UE).
6. Vos droits (articles 15 à 22 RGPD)
Vous disposez des droits suivants :
- Accès à vos données
- Rectification si inexactes
- Effacement(« droit à l'oubli ») dans les limites légales (comptabilité notamment)
- Limitation du traitement
- Oppositionau traitement fondé sur l'intérêt légitime
- Portabilité (export de vos données dans un format structuré, couramment utilisé et lisible par machine — JSON ou CSV sur demande)
- Retrait du consentement à tout moment
Pour exercer ces droits : contact@gluten-free.fr. Nous répondons sous 30 jours maximum.
7. Réclamation CNIL
En cas de désaccord, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy, 75007 Paris, ou en ligne sur cnil.fr.
8. Sécurité
Les données sont chiffrées en transit (HTTPS/TLS 1.3) et au repos (AES-256 côté Supabase). L'accès aux données administratives est limité au responsable du traitement et protégé par authentification forte.
9. Mineurs
Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, le site ne traite sciemment aucune donnée de personne de moins de 15 anssans le consentement conjoint du titulaire de l'autorité parentale. En vous inscrivant à la newsletter, en utilisant le test d'orientation symptômes ou en achetant le guide, vous déclarez être majeur ou avoir obtenu ce consentement. Si vous constatez que votre enfant a fourni des données sans votre accord, écrivez-nous — les données seront supprimées sans délai.
Le test d'orientation symptômeset les informations médicales du site ne se substituent en aucun cas à un avis médical pédiatrique : pour toute question concernant la santé d'un enfant, consulter un pédiatre ou un gastro-entérologue pédiatre (recommandation ESPGHAN 2020).
10. Violation de données personnelles
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :
- Notifier la CNIL dans les 72 heuressuivant la découverte de l'incident ;
- Vous informer sans délaisi la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, avec description de l'incident, des conséquences probables, et des mesures prises ou proposées.
11. Registre des activités de traitement (article 30 RGPD)
Bien que l'entreprise individuelle Artisan'IA soit en dessous des seuils déclenchant l'obligation systématique du registre (250 employés), un registre des activités de traitementest tenu et mis à jour, conformément à l'article 30.5 RGPD, en raison du traitement régulier de données issues du test d'orientation symptômes (catégorie de données pouvant relever de l'article 9.1 RGPD selon les recommandations EDPB). Ce registre peut être consulté sur demande motivée à contact@gluten-free.fr.
12. Délégué à la protection des données (DPO)
Conformément à l'article 37 RGPD, la désignation d'un DPO n'est pas obligatoire pour la structure actuelle (entreprise individuelle, moins de 10 personnes, traitement non massif de données sensibles). Le responsable du traitement (Victorien Binant) est l'interlocuteur direct pour toute question RGPD à l'adresse contact@gluten-free.fr.
13. Contact dédié RGPD
Pour toute demande relative à vos données personnelles (exercice de vos droits, questions de conformité, signalement de violation), contactez-nous à contact@gluten-free.fr avec en objet « RGPD — [nature de la demande] ». Nous vous répondons dans un délai maximum de 30 jours, prolongeable de 60 jours en cas de demande complexe (art. 12.3 RGPD).