My Order

Politique de Confidentialité et Protection des Données Personnelles

Date de dernière mise à jour : Février 2026

La présente Politique de Confidentialité a pour but d’informer les utilisateurs (ci-après les « Utilisateurs » ou « Vous ») de la plateforme B2B My Order (ci-après la « Plateforme » ou le « Site »), éditée par la société HEAVEN AGENCY, sur les moyens mis en œuvre pour collecter, traiter et protéger vos données à caractère personnel, dans le strict respect du Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et de la Loi Informatique et Libertés n°78-17 du 6 janvier 1978.

La Plateforme s’adressant exclusivement à des professionnels (B2B), les données traitées concernent principalement les représentants légaux, les employés ou les contacts commerciaux des entreprises clientes et des distributeurs.

1. Identité du Responsable de Traitement

Le responsable du traitement de vos données à caractère personnel est :

HEAVEN AGENCY (SASU)

RCS / SIRET : 895 361 129 00011

Siège social : 3 PLACE DE VALOIS, 94220 CHARENTON-LE-PONT

Contact DPO / Privacy : no-reply@my-order.fr

2. Données Personnelles Collectées

Conformément au principe de minimisation (article 5.1.c du RGPD), nous ne collectons que les données strictement nécessaires au bon fonctionnement technique et commercial de la Plateforme SaaS et aux obligations légales associées :

2.1. Lors de la création de compte et l’utilisation (Données Profil)

  • Données d’identification : Nom, Prénom, adresse email professionnelle, numéro de téléphone, avatar.
  • Données professionnelles et comptables : Dénomination sociale, numéro de SIRET, numéro de TVA intracommunautaire, adresses physiques de livraison et de facturation, rôle dans l’entreprise, chiffres clés (CA, effectifs).

2.2. Lors de l’utilisation de l’application (Données Techniques et Logs)

  • Données de connexion : Adresse IP, type de navigateur (User-Agent), identifiants de session (Jetons JWT générés par NextAuth), horodatages de connexion.
  • Journaux d’activités (Logs) : Traçabilité des actions sensibles (historique de commandes, créations/modifications de comptes) via notre module de logs internes, pour des raisons de sécurité et de débogage.

2.3. Lors des transactions (Données de Paiement)

Nous gérons l’initiation des paiements (Panier, Montants, Devises). Toutefois, les paiements effectifs sont entièrement gérés sous forme de terminaux virtuels cryptés par notre partenaire Stripe.

La Plateforme « My Order » ne stocke et ne transite à aucun moment les numéros de cartes bancaires (PAN) complets.

Nous ne conservons que des alias techniques (ex: les 4 derniers chiffres ou stripeCustomerId et stripe_connected_account_id) nécessaires au rapprochement comptable (facturation et commissions Marketplace).

3. Finalités des Traitements (Pourquoi collectons-nous vos données ?)

Vos données sont traitées pour les finalités suivantes :

  • Fourniture du service SaaS : Authentification, création des catalogues, mise en relation fournisseurs/acheteurs, gestion des commandes B2B.
  • Exécution des commandes et Livraisons : Transmission des informations d’expédition, gestion des partiels (splitOrderIds), édition des bons de livraison et factures PDF.
  • Gestion Financière et Facturation : Acheminement des flux de paiements vers les distributeurs (Marketplace Transfers), prélèvement des commissions techniques, édition de la comptabilité.
  • Sécurité Informatique : Protection des comptes contre les accès non autorisés, détection de la fraude, maintien de l’intégrité de l’infrastructure de base de données.
  • Gestion de la Relation Client (Support/SAV) : Traitement des requêtes de retour (ReturnRequests), communication technique (emails liés au statut des commandes).

Bases légales du traitement

  • Exécution du contrat (article 6.1.b du RGPD) : fourniture du service SaaS et exécution des commandes.
  • Obligation légale (article 6.1.c du RGPD) : conservation des pièces comptables (article L.123-22 du Code de commerce).
  • Intérêt légitime (article 6.1.f du RGPD) : sécurité des systèmes d’information, prévention de la fraude.

4. Sous-traitants et Destinataires des Données

HEAVEN AGENCY s’engage à ne jamais vendre ni louer vos données à des tiers. Vos données sont toutefois partagées avec des prestataires technologiques de confiance, hébergés en Union Européenne ou présentant des garanties adéquates au sens du RGPD (Chapitre V, articles 44 à 49) :

  • Supabase / Amazon Web Services (AWS) : Hébergement de l’infrastructure Cloud, de la base de données relationnelle (PostgreSQL) et stockage des fichiers médias (Preuves de paiement, documents PDF, images). Les serveurs sont localisés en région parisienne (eu-west-3).
  • Stripe : Tiers de confiance pour le traitement des paiements sécurisés (CARD, SEPA, BANK_TRANSFER) et la gestion des flux de place de marché. Certifié PCI-DSS Level 1. Conforme à la Directive DSP2 (Directive (UE) 2015/2366) pour l’authentification forte (SCA).
  • IONOS / Nodemailer : Service SMTP pour l’envoi des communications par email strictement transactionnelles.
  • Google LLC (Google Places API) : Pour le service spécifique d’aide à la saisie des adresses physiques. Transferts encadrés par les clauses contractuelles types (CCT) de la Commission européenne (Décision d’exécution (UE) 2021/914).

5. Durées de Conservation

Vos données sont conservées pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées :

Type de donnéesDurée de conservationBase légale
Données liées aux transactions et facturation10 ans après la clôture de l’exercice comptableArticle L.123-22 du Code de commerce
Données rattachées au Profil UtilisateurDurée du compte + 3 ans après désactivationIntérêt légitime B2B + prescription civile (art. 2224 Code civil)
Journalisation technique (Logs et IP)1 an glissant maximumLCEN art. 6-II, Décret n°2011-219 du 25 février 2011

6. Utilisation des Cookies et Traceurs Techniques

La plateforme « My Order » réduit l’usage des cookies au strict nécessaire technique.

  • Nous utilisons des cookies de « Session » (jetons de sécurité next-auth.session-token gérés par le protocole JWT) essentiels au maintien de votre connexion sécurisée d’une durée technique de 30 jours.
  • Étant strictement nécessaires à la fourniture du service expressément demandé par l’Utilisateur professionnel, ces cookies de session ne requièrent pas de recueil du consentement préalable (exemption au titre de l’article 82 de la Loi Informatique et Libertés).
  • La Plateforme n’intègre aucun cookie de profilage publicitaire tiers.

7. Vos Droits Informatique et Libertés

Conformément à la réglementation applicable (articles 15 à 22 du RGPD), vous disposez des droits suivants sur vos données :

  • Droit d’accès (article 15 RGPD) : Connaître les données dont nous disposons sur vous.
  • Droit de rectification (article 16 RGPD) : Modifier ou corriger des données incomplètes ou obsolètes.
  • Droit à l’effacement (article 17 RGPD - Droit à l’oubli) : Demander la suppression de votre compte (hors données dont la conservation répond à une obligation légale comptable).
  • Droit à la limitation (article 18 RGPD) et Droit d’opposition (article 21 RGPD) : Restreindre l’usage de certaines données ou vous opposer au traitement pour motifs légitimes.
  • Droit à la portabilité (article 20 RGPD) : Récupérer une copie exportable de vos données brutes dans un format structuré, couramment utilisé et lisible par machine.
  • Droit de définir des directives post-mortem (article 85 Loi Informatique et Libertés) : Définir des directives relatives à la conservation, l’effacement et la communication de vos données après votre décès.

Pour exercer ces droits, vous pouvez modifier directement une partie de vos données dans l’onglet Profil de l’application, ou nous adresser une demande formelle :

  • Par email à l’adresse dédiée : no-reply@my-order.fr
  • Par courrier postal strict : HEAVEN AGENCY, DPO, 3 PLACE DE VALOIS, 94220 CHARENTON-LE-PONT

HEAVEN AGENCY s’engage à répondre dans un délai maximum de 30 jours calendaires conformément à l’article 12.3 du RGPD.

Vous avez également le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente en France : la Commission Nationale de l’Informatique et des Libertés (CNIL) - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 - www.cnil.fr

8. Transferts Internationaux de Données

Les données traitées dans le cadre de la Plateforme sont hébergées principalement au sein de l’Union Européenne (région AWS eu-west-3, Paris).

Dans l’hypothèse où des données seraient transférées en dehors de l’Espace Économique Européen (notamment vers les États-Unis pour les services Stripe et Google), ces transferts sont encadrés par :

  • Les clauses contractuelles types (CCT) adoptées par la Commission européenne (Décision d’exécution (UE) 2021/914 du 4 juin 2021).
  • Le cadre EU-US Data Privacy Framework (Décision d’adéquation de la Commission européenne du 10 juillet 2023) pour les entités américaines certifiées.
  • Des mesures supplémentaires techniques et organisationnelles conformément aux recommandations du CEPD (Comité Européen de la Protection des Données).

Base légale : Articles 44 à 49 du RGPD.

9. Mesures de Sécurité Techniques et Organisationnelles

Conformément à l’article 32 du RGPD, HEAVEN AGENCY met en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, notamment :

  • Chiffrement des mots de passe par hachage irréversible (bcrypt avec sel cryptographique).
  • Protocole HTTPS (TLS 1.2+) pour l’ensemble des communications réseau.
  • Jetons d’authentification signés cryptographiquement (JWT) avec rotation régulière.
  • Séparation stricte des environnements de production et de développement.
  • Politique d’accès réduit (principe du moindre privilège) aux bases de données et systèmes internes.
  • Protection CSRF (Cross-Site Request Forgery) intégrée.
  • Délégation de la gestion des données de paiement à Stripe (environnement certifié PCI-DSS Level 1).

10. Notification en cas de Violation de Données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, HEAVEN AGENCY s’engage à :

  • Notifier la CNIL dans un délai de 72 heures suivant la prise de connaissance de la violation.
  • Informer les personnes concernées dans les meilleurs délais si la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.
  • Documenter toute violation dans un registre interne conformément à l’article 33.5 du RGPD.

11. Mise à jour de la présente Politique

La présente Politique de Confidentialité peut être mise à jour à tout moment afin de refléter les évolutions réglementaires, jurisprudentielles ou techniques. Les utilisateurs seront informés de toute modification substantielle par notification au sein de l’Application ou par email. La date de dernière mise à jour figure en haut du présent document.

© 2026 HEAVEN AGENCY - My Order. Tous droits réservés.