Politique de confidentialité

Le responsable du traitement de vos données personnelles est Aspire Digital LLC, une société immatriculée aux États-Unis. Pour toute question relative à la vie privée, demande d’exercice de droits des personnes concernées ou question relative à la présente Politique, veuillez contacter notre Délégué à la protection des données à l’adresse privacy@stoxbay.com.

Pour les utilisateurs situés dans l’Espace économique européen (EEE), au Royaume-Uni, en Arabie saoudite, aux Émirats arabes unis, en Jordanie, aux États-Unis (y compris la Californie) et au Canada, des droits et protections supplémentaires peuvent s’appliquer comme décrit dans la présente Politique.

2.1 Informations que vous fournissez directement

• Données de compte : nom complet, raison sociale (pour les comptes professionnels), adresse e-mail, numéro de téléphone, rôle du compte (fournisseur d’entrepôt, client professionnel, client particulier), langue préférée et mot de passe.
• Vérification professionnelle : numéros d’immatriculation commerciale, numéros d’identification fiscale et dates d’expiration (pour les fournisseurs d’entrepôts et les clients professionnels).
• Données de profil : photos de profil, avatars, descriptions d’activité et informations sur les membres de l’équipe.
• Données d’annonces d’entrepôts (fournisseurs uniquement) : noms des entrepôts, adresses, descriptions, caractéristiques, tarification, disponibilité, photos et horaires d’ouverture.
• Données transactionnelles : demandes de devis (RFQ), devis, réservations, factures, expéditions, registres d’inventaire et messages échangés sur la plateforme.
• Informations de paiement : traitées directement par notre prestataire de paiement Stripe ; nous ne recevons que les quatre derniers chiffres des cartes de paiement et les métadonnées de transaction, jamais les numéros de carte complets.
• Communications : messages envoyés via nos formulaires de contact, nos canaux d’assistance et les notes de clarification sur la plateforme.
• Préférences marketing : abonnements aux newsletters et paramètres de notification.

2.2 Informations collectées automatiquement

• Données relatives à l’appareil et aux journaux : adresse IP, identifiants de l’appareil, type et version du navigateur, système d’exploitation, informations sur le réseau mobile, modèle de l’appareil et rapports de plantage.
• Données d’utilisation : pages visitées, fonctionnalités utilisées, clics, requêtes de recherche, URL de provenance, durée de session et horodatages.
• Données de localisation : localisation approximative déduite de l’adresse IP pour les résultats de recherche d’entrepôts. La localisation précise n’est collectée que si vous accordez explicitement l’autorisation dans l’application mobile.
• Cookies et technologies similaires : cookies de session, cookies d’authentification et identifiants d’analyse. Voir la section 8 pour plus de détails.
• Jetons de notifications push : identifiants Firebase Cloud Messaging (Android) et Apple Push Notification service (iOS), uniquement si vous avez donné votre accord.

2.3 Informations provenant de tiers

• Partenaires d’intégration : lorsque vous connectez un système ERP ou CRM (tel que SAP, Oracle NetSuite, Microsoft Dynamics 365, Odoo, Salesforce, QuickBooks, Xero ou Zoho) via notre cadre de connecteurs, nous recevons les données que vous autorisez ce système à partager.
• Fournisseurs d’authentification : si vous vous connectez à l’avenir via un fournisseur tiers, nous recevrons les données de profil de base qu’il partage avec nous.
• Prestataire de paiement : Stripe nous communique le statut des transactions, les identifiants de versement et les codes d’erreur.

2.4 Données biométriques

Si vous activez la connexion biométrique (Face ID, Touch ID ou empreinte digitale) dans nos applications mobiles, les données biométriques sont stockées et traitées entièrement sur votre appareil par Apple ou Google. Stoxbay ne reçoit, ne transmet ni ne stocke jamais vos données biométriques. Nous ne recevons qu’un signal de succès ou d’échec du système d’exploitation.

2.5 Catégories sensibles

Nous ne collectons pas intentionnellement de catégories sensibles de données personnelles (telles que l’origine raciale, les opinions politiques, les convictions religieuses, les données de santé ou les données génétiques). Veuillez ne pas soumettre de telles informations via le Service.

Nous traitons vos données personnelles aux fins suivantes. Lorsque le Règlement général sur la protection des données (RGPD) ou des lois similaires s’appliquent, nous identifions la base juridique de chaque finalité :

• Fourniture du Service (nécessité contractuelle) : créer et gérer votre compte, traiter les RFQ et les devis, faciliter les réservations, gérer l’inventaire et les expéditions, émettre des factures et assurer la messagerie sur la plateforme.
• Traitement des paiements (nécessité contractuelle) : transmettre les données de transaction à Stripe, rapprocher les paiements et gérer les règlements des fournisseurs.
• Vérification d’identité et d’éligibilité (obligation légale, intérêt légitime) : vérifier les immatriculations commerciales et fiscales des fournisseurs et des clients professionnels, prévenir la fraude et respecter les exigences en matière de lutte contre le blanchiment d’argent.
• Support client (nécessité contractuelle, intérêt légitime) : répondre aux demandes, résoudre les litiges et fournir une assistance technique.
• Sécurité et intégrité de la plateforme (intérêt légitime) : détecter et prévenir la fraude, les abus, le spam, les tentatives de désintermédiation et les incidents de sécurité.
• Communications marketing (consentement) : envoyer des newsletters, mises à jour produit et contenus promotionnels uniquement lorsque vous avez donné votre accord. Vous pouvez retirer votre consentement à tout moment.
• Analyse et amélioration (intérêt légitime) : mesurer l’utilisation, diagnostiquer les erreurs, comprendre l’adoption des fonctionnalités et améliorer le Service.
• Conformité juridique (obligation légale) : respecter les obligations de déclaration fiscale, les réglementations en matière de facturation électronique (y compris ZATCA en Arabie saoudite), les décisions de justice et les demandes réglementaires.
• Recherche agrégée et analyse comparative (intérêt légitime) : produire des statistiques anonymisées et des analyses de marché ne permettant pas d’identifier une personne.

4.1 Entre les participants de la plateforme

Afin de faciliter les transactions, nous partageons des informations d’identification limitées entre les fournisseurs d’entrepôts et les clients. Les fournisseurs voient le nom de l’entreprise du client, le nom du contact et le type de compte lorsqu’une RFQ est soumise ; les clients voient les noms des fournisseurs et les détails des entrepôts. Nous ne partageons pas les adresses e-mail, numéros de téléphone ou autres coordonnées directes entre les parties, sauf si cela est nécessaire à l’exécution d’une réservation confirmée. Une messagerie intégrée à la plateforme est fournie afin que les parties puissent communiquer sans échanger leurs coordonnées.

4.2 Prestataires de services et sous-traitants

Nous faisons appel à des prestataires de services tiers soigneusement sélectionnés pour exploiter le Service, notamment :

• Supabase (base de données PostgreSQL, authentification, stockage, temps réel) — États-Unis.
• Stripe (traitement des paiements, abonnements) — États-Unis et Irlande.
• Resend (envoi d’e-mails transactionnels) — États-Unis.
• Vercel (hébergement de l’application et diffusion de contenu) — États-Unis.
• Firebase (notifications push, distribution d’applications, rapports de plantage) — Google LLC, États-Unis.
• Apple Push Notification Service (notifications push iOS) — États-Unis.
• Plugins Capacitor pour les fonctionnalités mobiles (appareil photo, biométrie, préférences) — traitement local sur votre appareil.

Chaque sous-traitant est lié par des obligations contractuelles de ne traiter vos données que selon nos instructions et de les protéger de manière appropriée. Une liste actualisée des sous-traitants est disponible sur demande.

4.3 Divulgations légales et de sécurité

Nous pouvons divulguer vos informations lorsque la loi, une décision de justice, une demande gouvernementale l’exige, ou lorsque cela est nécessaire pour protéger nos droits, faire respecter nos Conditions d’utilisation, enquêter sur une fraude ou protéger la sécurité de nos utilisateurs ou du public.

4.4 Transferts d’entreprise

En cas de fusion, acquisition, financement ou cession d’actifs, vos données personnelles pourraient être transférées dans le cadre de cette opération. Nous vous en informerons et continuerons à respecter la présente Politique ou fournirons une politique mise à jour conforme à vos droits.

4.5 Vente de données personnelles

Nous ne vendons pas vos données personnelles à des fins lucratives et ne pratiquons pas de publicité ciblée fondée sur vos données personnelles. Les résidents de Californie disposent du droit de refuser toute vente future en vertu du CCPA/CPRA.

Stoxbay opère à l’échelle mondiale, avec des utilisateurs en Arabie saoudite, aux Émirats arabes unis, en Jordanie, aux États-Unis et au Canada. Notre infrastructure principale est hébergée aux États-Unis. Lorsque vos données personnelles sont transférées depuis l’Espace économique européen, le Royaume-Uni ou toute autre juridiction imposant des restrictions aux transferts de données, nous nous appuyons sur des garanties appropriées, notamment les clauses contractuelles types, les décisions d’adéquation (le cas échéant) et des mesures techniques complémentaires telles que le chiffrement en transit et au repos.

Nous ne conservons vos données personnelles que le temps nécessaire à la réalisation des finalités décrites dans la présente Politique, au respect de nos obligations légales, à la résolution des litiges et à l’exécution de nos accords. Les durées de conservation habituelles sont les suivantes :

• Données de compte : pendant la durée de votre compte, plus 24 mois après sa clôture.
• Documents transactionnels (réservations, factures, paiements) : jusqu’à 7 ans, conformément aux lois fiscales et commerciales en matière de conservation des documents.
• Communications et tickets d’assistance : jusqu’à 36 mois après résolution.
• Préférences marketing : jusqu’au retrait de votre consentement.
• Journaux d’audit et données de sécurité : jusqu’à 24 mois.
• Données anonymisées et agrégées : peuvent être conservées indéfiniment.

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès, modification, divulgation ou destruction non autorisés. Ces mesures comprennent :

• Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256).
• Politiques de sécurité au niveau des lignes sur toutes les tables de la base de données pour appliquer le contrôle d’accès au niveau des données.
• Prise en charge de l’authentification multifacteur (applications d’authentification TOTP).
• Stockage sécurisé des identifiants à l’aide du hachage bcrypt pour les mots de passe et du chiffrement AES-256-GCM pour les identifiants de connecteurs.
• Revues de sécurité régulières, analyse des dépendances et tests d’intrusion.
• Principe du moindre privilège pour l’accès du personnel et journalisation des actions administratives.

Aucun système n’est parfaitement sécurisé. Si nous prenons connaissance d’une violation affectant vos données personnelles, nous vous en informerons ainsi que les autorités de contrôle compétentes dans un délai de 72 heures lorsque la loi l’exige.

Nous utilisons des cookies et des technologies similaires aux fins suivantes :

• Strictement nécessaires : authentification, gestion des sessions, protection CSRF et répartition de charge. Ces cookies ne peuvent pas être désactivés.
• Préférences : mémorisation de votre langue, devise, paramètres régionaux et préférences d’interface.
• Analyse : compréhension de la manière dont les utilisateurs interagissent avec le Service afin de l’améliorer.

Vous pouvez gérer les cookies non essentiels via les paramètres de votre navigateur ou de votre appareil. La désactivation des cookies peut affecter le fonctionnement du Service.

Selon votre juridiction, vous disposez de tout ou partie des droits suivants concernant vos données personnelles :

• Accès : demander une copie des données personnelles que nous détenons à votre sujet.
• Rectification : corriger des informations inexactes ou incomplètes.
• Effacement : demander la suppression de vos données personnelles, sous réserve des obligations légales de conservation.
• Limitation : limiter le traitement dans certaines circonstances.
• Portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
• Opposition : vous opposer au traitement fondé sur l’intérêt légitime ou à des fins de prospection commerciale.
• Retrait du consentement : retirer votre consentement au traitement fondé sur le consentement à tout moment, sans que cela n’affecte la licéité du traitement antérieur.
• Réclamation : introduire une réclamation auprès de votre autorité locale de protection des données.
• Refus de la vente/du partage : les résidents de Californie peuvent refuser la vente ou le partage de leurs données personnelles (nous ne vendons ni ne partageons actuellement vos données à des fins publicitaires).
• Non-discrimination : vous ne ferez l’objet d’aucun traitement discriminatoire pour avoir exercé vos droits.

Pour exercer l’un de ces droits, envoyez un e-mail à privacy@stoxbay.com. Nous répondrons dans un délai de 30 jours (ou dans le délai prescrit par la loi applicable). Nous pourrons être amenés à vérifier votre identité avant de donner suite à votre demande.

10.1 Espace économique européen et Royaume-Uni (RGPD / UK GDPR)

Vous avez le droit d’introduire une réclamation auprès de votre autorité nationale de protection des données. Nos bases juridiques de traitement sont la nécessité contractuelle, les intérêts légitimes, les obligations légales et le consentement, tels qu’identifiés à la section 3.

10.2 Californie (CCPA / CPRA)

Les résidents de Californie disposent du droit de savoir quelles données personnelles nous collectons, du droit de suppression, du droit de rectification, du droit de refuser la vente ou le partage de données personnelles, et du droit de limiter l’utilisation des données personnelles sensibles. Nous n’utilisons pas les données personnelles sensibles à des fins autres que celles raisonnablement attendues par un consommateur.

10.3 Arabie saoudite (PDPL)

En vertu de la loi saoudienne sur la protection des données personnelles, vous disposez du droit d’être informé, d’accéder à vos données, de demander leur rectification et de demander leur destruction. Pour les transferts internationaux de données hors du Royaume d’Arabie saoudite, nous respectons les exigences de la PDPL et de ses règlements d’application.

10.4 Émirats arabes unis (PDPL)

En vertu du décret-loi fédéral n° 45 de 2021 sur la protection des données personnelles des Émirats arabes unis, vous disposez du droit de demander des informations, la rectification, la limitation, l’opposition, la suppression et la portabilité des données.

10.5 Canada (LPRPDE)

En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques, vous avez le droit d’accéder à vos renseignements personnels, de les corriger et de retirer votre consentement au traitement.

Le Service est destiné aux utilisateurs âgés d’au moins 18 ans ou ayant atteint l’âge de la majorité dans leur juridiction. Nous ne collectons pas sciemment de données personnelles auprès d’enfants de moins de 13 ans (ou de moins de 16 ans dans l’Espace économique européen). Si vous pensez que nous avons collecté par inadvertance des informations relatives à un enfant, veuillez nous contacter et nous les supprimerons dans les plus brefs délais.

Le Service peut contenir des liens vers des sites web ou services tiers que nous n’exploitons pas. La présente Politique de confidentialité ne s’applique pas à ces tiers. Nous vous encourageons à consulter leurs politiques de confidentialité avant de leur fournir des données personnelles.

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre afin de refléter les évolutions de nos pratiques, des exigences légales ou du Service. En cas de modification substantielle, nous vous en informerons par e-mail ou par une notification dans l’application et mettrons à jour la date de « Dernière mise à jour » ci-dessus. L’utilisation continue du Service après la date d’effet des modifications vaut acceptation de la Politique mise à jour.

Si vous avez des questions concernant la présente Politique de confidentialité, si vous souhaitez exercer vos droits ou si vous avez une préoccupation relative à la vie privée, veuillez nous contacter :

• E-mail : privacy@stoxbay.com
• Délégué à la protection des données : dpo@stoxbay.com
• Adresse postale : Aspire Digital LLC, 9600 Great Hills Trail, Suite 150W, Austin, TX 78759, États-Unis.