Politique de confidentialité

ATTENTION : ce document contient des marqueurs [À COMPLÉTER : …] que le titulaire doit renseigner avant toute exploitation commerciale. Document indicatif en attente de relecture par un avocat inscrit au barreau.

Cette politique décrit la manière dont Stelvia traite les données personnelles collectées via stelvia.space, conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi organique espagnole 3/2018 du 5 décembre relative à la protection des données personnelles et aux droits numériques (LOPDGDD).

1. Responsable du traitement

Responsable : [À COMPLÉTER : nom complet ou raison sociale, identique aux mentions légales]. NIF/CIF : [À COMPLÉTER]. Adresse : [À COMPLÉTER]. Courriel de contact et exercice des droits : [À COMPLÉTER : adresse, p. ex. confidentialite@stelvia.space]. Délégué à la protection des données (DPO) : non désigné. Stelvia n'est pas une entité publique, n'effectue pas de traitements à grande échelle de catégories particulières de données et son activité principale ne consiste pas en des opérations exigeant un suivi régulier et systématique à grande échelle (art. 37 RGPD), de sorte que les conditions de désignation obligatoire ne sont pas réunies. Cette appréciation sera revue périodiquement.

2. Données collectées

Nous collectons les données suivantes : (a) données d'identification et de contact de l'acheteur (nom, adresse e-mail) ; (b) données de facturation lorsqu'elles sont nécessaires pour l'émission d'une facture ou demandées par la passerelle de paiement (Stripe peut demander nom, adresse postale et pays) ; (c) données de paiement : gérées directement par Stripe ; Stelvia ne stocke pas les données complètes de carte ; (d) contenu fourni librement par l'acheteur : nom choisi pour l'étoile et dédicace, qui peuvent contenir des données personnelles du destinataire ; (e) données techniques : adresse IP, identifiants de session, type de navigateur et d'appareil, collectées via des cookies strictement nécessaires ; (f) données d'utilisation agrégées via PostHog Cloud EU (serveurs à Francfort) à des fins analytiques et d'amélioration du produit, pseudonymisées, capturées uniquement si vous avez accepté la catégorie « Analyse » dans la bannière de cookies ; (g) données techniques de diagnostic d'erreurs via Sentry (type de navigateur, route, message et trace de l'incident), sans cookies propres et avec une configuration « sans PII » afin de garantir la continuité opérationnelle et la sécurité du site.

3. Finalités du traitement

Nous traitons les données pour : (a) exécuter le contrat de vente, générer le certificat, attribuer l'étoile et assurer la livraison numérique ; (b) respecter nos obligations comptables et fiscales en application du Code de commerce et de la législation fiscale ; (c) gérer les demandes, réclamations et l'exercice des droits ; (d) prévenir la fraude, détecter les erreurs techniques et garantir la sécurité et la continuité opérationnelle du site (cela inclut le diagnostic technique d'incidents via Sentry) ; (e) le cas échéant, et avec le consentement préalable, envoyer des communications commerciales sur nos produits ; (f) avec votre consentement granulaire et révocable donné via la bannière de cookies, mesurer l'utilisation agrégée du site via PostHog Cloud EU afin d'améliorer le tunnel de conversion et l'expérience produit.

4. Bases juridiques

(a) Exécution d'un contrat (art. 6.1.b RGPD) : traitement des données de l'acheteur et de la dédicace pour livrer le produit ; (b) Respect d'une obligation légale (art. 6.1.c RGPD) : conservation comptable et fiscale ; (c) Intérêt légitime (art. 6.1.f RGPD) : sécurité du site, prévention de la fraude et diagnostic technique d'erreurs via Sentry (données pseudonymisées, sans cookies propres, configuration « sans PII »), après mise en balance des intérêts ; (d) Consentement (art. 6.1.a RGPD) : cookies analytiques — actuellement, PostHog Cloud EU pour des métriques d'utilisation agrégées — et communications commerciales, lorsqu'ils sont activés.

5. Durées de conservation

Les données de l'acheteur sont conservées pendant la durée de la relation contractuelle puis pendant les délais légaux applicables : 6 ans pour la documentation comptable et commerciale (art. 30 du Code de commerce espagnol) ; 4 ans pour les obligations fiscales (art. 66 de la Loi générale espagnole sur les impôts) ; 5 ans pour la conformité à la réglementation sur la protection des données. La dédicace est conservée tant que le certificat et la page unique de l'étoile existent ; l'acheteur peut en demander la suppression à tout moment. Les dédicaces publiées sur la carte céleste publique sont conservées tant que subsiste le consentement exprès de l'acheteur à leur diffusion.

6. Destinataires et sous-traitants

Pour fournir le service nous faisons appel aux sous-traitants suivants, tous établis dans l'Union européenne ou liés par des garanties appropriées : Stripe Payments Europe Ltd. (Irlande, UE) pour le traitement des paiements ; Supabase Inc. avec une infrastructure à Francfort (Allemagne, UE) pour le stockage et la base de données ; Resend Inc. avec des serveurs dans la région européenne (Irlande) pour l'envoi d'e-mails transactionnels ; Vercel Inc. avec calcul déployé en régions européennes pour l'hébergement du frontend ; Inngest Inc. pour l'exécution de tâches asynchrones ; PostHog Inc. (Cloud EU, Francfort) pour la mesure agrégée de l'utilisation du site lorsque vous avez accepté la catégorie « Analyse » ; et Functional Software, Inc. d/b/a Sentry pour le diagnostic technique d'erreurs [À COMPLÉTER : confirmer la région de traitement — Sentry SaaS traite par défaut aux États-Unis ; si une résidence UE est requise, souscrire au plan EU Data Residency]. Les sous-traitants accèdent aux données uniquement pour fournir leur service sur instructions documentées, dans le cadre d'un contrat conforme à l'art. 28 RGPD.

7. Transferts internationaux

Nous avons sélectionné des prestataires disposant d'une infrastructure européenne afin d'éviter tout transfert international inutile. Toutefois, certains d'entre eux sont des entités américaines (Resend Inc., Vercel Inc., Inngest Inc., Stripe Inc. dans son groupe). Lorsqu'un transfert vers les États-Unis est inévitable pour des opérations de support technique ou de continuité opérationnelle de la maison mère, ce transfert est encadré par les Clauses Contractuelles Types adoptées par la Commission européenne (Décision 2021/914) au titre de l'article 46.2.c RGPD, ou par l'adhésion du prestataire au Cadre UE-États-Unis sur la protection des données lorsqu'il est disponible, avec des mesures supplémentaires conformes à l'arrêt Schrems II.

8. Droits des personnes concernées

Vous avez le droit d'accéder à vos données, de les rectifier, de les effacer, de vous opposer au traitement, d'en limiter le traitement et d'en demander la portabilité. Vous pouvez exercer ces droits en écrivant à [À COMPLÉTER : adresse e-mail dédiée, p. ex. confidentialite@stelvia.space] en précisant le droit que vous souhaitez exercer et en joignant une copie d'une pièce d'identité. Nous répondrons dans un délai d'un mois, prolongeable de deux mois en cas de complexité ou de volume. Vous avez également le droit d'introduire une réclamation auprès de l'Agence espagnole de protection des données (AEPD, https://www.aepd.es) si vous estimez que le traitement n'est pas conforme.

Alertes de visibilité de votre étoile (éphémérides)

Si vous vous abonnez volontairement aux éphémérides, nous vous envoyons un seul e-mail par an : la nuit où votre étoile atteint sa meilleure visibilité. Finalité : vous envoyer cette alerte annuelle. Données traitées : votre adresse e-mail et une latitude approximative que nous calculons à partir du pays et, si vous l'indiquez, de la ville que vous sélectionnez manuellement dans le formulaire ; nous n'utilisons ni le GPS ni la géolocalisation du navigateur, et nous ne déposons aucun cookie pour cette fonction. Base juridique : votre consentement (art. 6.1.a RGPD), donné lors de l'abonnement par double confirmation. Conservation : tant que votre consentement reste valable ; si vous vous désabonnez, nous supprimons ces données. Droits : vous pouvez accéder à vos données, les rectifier, vous y opposer ou les effacer comme indiqué dans le reste de cette politique, et vous désabonner en un seul clic depuis le lien inclus dans chaque alerte.

9. Mineurs

Stelvia ne vend pas à des personnes de moins de 18 ans. En passant commande, l'utilisateur déclare être majeur et avoir la capacité juridique de contracter. Si nous détections que des données d'un mineur ont été collectées sans le consentement des titulaires de l'autorité parentale, nous les supprimerons immédiatement.

10. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables pour protéger les données : chiffrement en transit (HTTPS/TLS), chiffrement au repos en base de données, contrôle d'accès par rôles, journaux d'activité et revue périodique des prestataires. En cas de violation de sécurité présentant un risque pour vos droits, nous notifierons l'AEPD dans un délai de 72 heures et, si nécessaire, vous informerons directement.

11. Modifications

Nous pouvons modifier cette politique pour l'adapter aux évolutions réglementaires ou de service. La date de dernière mise à jour figure à la fin du document. Les modifications substantielles seront communiquées par e-mail si nous disposons de votre adresse.