Protection des données
Politique de Confidentialité
& Traitement RGPD
Neuraweb s'engage à protéger vos données personnelles conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi Informatique et Libertés modifiée (loi n° 78-17 du 6 janvier 1978).
Identité du responsable de traitement
Neuraweb
Micro-entreprise
99129604700020
Rue Sadi Carnot, 59320 Haubourdin
contact@sauvemie.fr
sauvemie.fr
Rôles dans la chaîne de traitement
L'architecture multi-acteurs de Sauve Mie implique une répartition précise des responsabilités conformément aux articles 4, 26 et 28 du RGPD :
Le Boulanger (Client)
Pour les données de ses clients finaux (commandes Click & Collect, e-mails clients). Il définit les finalités et les moyens du traitement.
Neuraweb
Traite les données de production, stocks et commandes au nom et pour le compte du Boulanger. Soumis aux instructions du Responsable de Traitement.
Supabase, Resend, Netlify, Upstash, z.ai
Prestataires techniques de Neuraweb. Chacun a signé ou accepté un DPA conforme au RGPD.
Un Data Processing Agreement (DPA) est disponible sur demande à contact@sauvemie.fr pour les Boulangers souhaitant formaliser la relation sous-traitant.
Données collectées
Sauve Mie collecte les catégories de données suivantes selon le profil de l'utilisateur :
👨🍳 Boulangers (abonnés)
- Adresse e-mail (identifiant unique)
- Données d'établissement (nom, adresse, horaires, logo)
- Données de production (quantités fabriquées par produit et par jour)
- Données de stock (niveaux en rayon, invendus)
- Catalogue produits (nom, prix, coût, allergènes, TVA)
- Historiques de vente et chiffres d'affaires
- Données d'équipe (e-mails des employés, rôles, permissions)
- Journaux d'audit (actions utilisateur horodatées)
- Rapports IA générés par l'assistant Levain
🛍️ Clients finaux (Click & Collect)
- Adresse e-mail (pour l'envoi des Magic Links OTP)
- Historique de commandes (produits, quantités, montants)
- Statut des commandes
- Tokens de notification push (si acceptés)
⚙️ Données techniques (tous)
- Tokens JWT de session (authentification)
- Logs techniques applicatifs
- Informations de connexion (horodatage, navigateur)
- Abonnements push VAPID
📊 Mesure d'audience (Google Analytics 4, si consentement)
- Identifiant client pseudonyme GA4 (cookie _ga)
- Identifiant de session GA4 (cookie _ga_<ID>)
- Adresse IP tronquée (anonymisation activée)
- Événements de navigation agrégés (pages vues, durée, source de trafic)
- Type d'appareil, navigateur, résolution d'écran
- Pays / région (pas de géolocalisation fine)
Sauve Mie ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (données de santé, opinions politiques, origines ethniques, etc.). Aucun profilage automatisé produisant des effets juridiques n'est effectué.
Finalités & bases légales
| Finalité | Base légale (RGPD art. 6) |
|---|---|
| Gestion du compte et accès au Service | Exécution du contrat (art. 6.1.b) |
| Authentification Magic Link & JWT | Exécution du contrat (art. 6.1.b) |
| Traitement des commandes Click & Collect | Exécution du contrat (art. 6.1.b) |
| Envoi d'e-mails transactionnels (commandes, rapports) | Exécution du contrat (art. 6.1.b) |
| Prévisions IA & analyses de production | Exécution du contrat (art. 6.1.b) |
| Facturation & obligations comptables | Obligation légale (art. 6.1.c) |
| Journaux d'audit & traçabilité | Intérêt légitime de sécurité (art. 6.1.f) |
| Notifications push (si activées) | Consentement explicite (art. 6.1.a) |
| Mesure d'audience du site (Google Analytics 4) | Consentement explicite (art. 6.1.a) |
| Amélioration du Service & analyses agrégées | Intérêt légitime (art. 6.1.f) |
Sous-traitants & transferts hors UE
Neuraweb fait appel aux prestataires suivants dans le cadre de la fourniture du Service. Ces sous-traitants ont chacun accepté des conditions de traitement conformes au RGPD :
Supabase Inc.
États-Unis (AWS us-east-1)
Base de données PostgreSQL, authentification, stockage
Toutes les données applicatives, tokens JWT
Clauses Contractuelles Types (CCT) — décision d'adéquation US (Data Privacy Framework)
Resend Inc.
États-Unis
Envoi d'e-mails transactionnels (Magic Links, confirmations)
Adresses e-mail, contenu des e-mails
Clauses Contractuelles Types (CCT)
Netlify Inc.
États-Unis (AWS)
Hébergement de l'application frontend et CDN
Logs de requêtes (IP, user-agent)
Clauses Contractuelles Types (CCT)
Upstash Inc.
Cloud (EU ou US selon région)
Rate limiting (Redis cloud) — protection anti-abus
Compteurs de requêtes anonymisés
DPA disponible — données minimisées et éphémères
z.ai (Zhipu AI)
Chine / Cloud international
Génération de rapports de clôture journaliers (LLM GLM 4.5)
Résumés de KPIs agrégés (sans données personnelles)
Données agrégées et anonymisées transmises — pas de données nominatives
Open-Meteo
Suisse (UE equivalence)
Données météorologiques pour les prévisions de production
Localisation géographique de l'établissement uniquement
API publique — licence CC BY 4.0 — pas de données personnelles
Google Ireland Ltd. (Google Analytics 4)
Irlande (UE) — traitements pouvant impliquer Google LLC (États-Unis)
Mesure d'audience anonyme du site sauvemie.fr — chargé uniquement si l'utilisateur accepte via le bandeau de consentement. Consent Mode v2 activé (consentement refusé par défaut, IP anonymisée, pas de publicité, pas de Google Signals).
Identifiant pseudonyme, IP tronquée, événements de navigation agrégés
Data Privacy Framework (décision d'adéquation UE-USA du 10/07/2023) + Clauses Contractuelles Types de Google
Durée de conservation
| Catégorie de données | Durée de conservation | Motif |
|---|---|---|
| Compte Boulanger actif | Durée de l'abonnement | Exécution du contrat |
| Données de production & stocks | Durée de l'abonnement + 3 ans | Obligations comptables (art. L. 123-22 C. com.) |
| Données clients finaux (Click & Collect) | 3 ans après dernière activité | Prescription civile (art. 2224 C. civ.) |
| Journaux d'audit | Durée de l'abonnement + 1 an | Sécurité & preuve en cas de litige |
| E-mails Magic Link (tokens) | 1 heure (expiration automatique) | Sécurité |
| Tokens JWT de session | Durée de session (configurable) | Authentification |
| Compteurs rate limiting (Upstash) | 24 heures maximum | Données éphémères — sécurité |
| Cookies Google Analytics 4 (_ga, _ga_<ID>) | 13 mois maximum (recommandation CNIL) | Mesure d'audience — durée de vie cookie |
| Données d'événements GA4 (côté Google) | 14 mois maximum | Conservation paramétrée dans la console GA4 |
| Choix de consentement cookies | 6 mois (localStorage navigateur) | Recommandation CNIL — nouveau recueil ensuite |
| Données après résiliation | 30 jours (export disponible) | Portabilité Data Act |
Sécurité technique
Neuraweb met en œuvre les mesures techniques et organisationnelles suivantes pour assurer la sécurité et la confidentialité des données, conformément à l'article 32 du RGPD :
Isolation par Row Level Security
Chaque boulangerie accède exclusivement à ses propres données grâce aux politiques RLS PostgreSQL. Aucune fuite inter-tenant n'est possible au niveau de la base de données.
Authentification sans mot de passe
Les Magic Links OTP via Supabase Auth éliminent le risque de fuite de bases de mots de passe. Chaque lien est à usage unique et expire après 1 heure.
Rate limiting (Upstash Redis)
Protection contre les attaques par force brute et déni de service sur les endpoints publics. Suspension temporaire automatique en cas d'abus détecté.
Journaux d'audit complets
Chaque modification (prix, stock, recette) est horodatée et attribuée à un utilisateur dans la table audit_logs. Ces logs font foi en cas de litige.
HTTPS & en-têtes de sécurité
Communications chiffrées TLS 1.3. En-têtes CSP, HSTS 2 ans, X-Frame-Options DENY, X-Content-Type-Options nosniff sur toutes les réponses.
Clés d'API segmentées
La clé anon (publique) ne peut accéder qu'au catalogue public. La service_role key (accès complet) n'est jamais exposée côté client.
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Neuraweb vous en informera dans les 72 heures conformément à l'article 33 du RGPD, et notifiera la CNIL si requis.
Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants concernant vos données personnelles :
Droit d'accès (art. 15)
Obtenir une copie de vos données personnelles traitées.
/api/me/dataDroit de rectification (art. 16)
Corriger des données inexactes vous concernant.
Via les paramètres du compteDroit à l'effacement (art. 17)
Supprimer vos données dans les conditions prévues par la loi.
/api/me/deleteDroit à la portabilité (art. 20)
Récupérer vos données dans un format structuré (JSON/CSV).
Export depuis les paramètresDroit de limitation (art. 18)
Restreindre le traitement de vos données dans certains cas.
Sur demande écriteDroit d'opposition (art. 21)
S'opposer au traitement basé sur l'intérêt légitime.
Sur demande écritePour exercer vos droits, envoyez une demande à contact@sauvemie.fr en joignant une copie d'un justificatif d'identité. Nous nous engageons à répondre dans un délai d'un mois (art. 12 RGPD), prorogeable à deux mois en cas de demande complexe.
Notifications push (Web Push)
Sauve Mie utilise l'API Web Push (protocole VAPID) pour envoyer des notifications aux boulangers et à leurs clients ayant accepté de les recevoir.
- Les notifications push sont opt-in : elles nécessitent votre consentement explicite via la demande de permission du navigateur.
- Les tokens d'abonnement push sont stockés dans la table
push_subscriptionsde Supabase, associés à votre compte. - Vous pouvez retirer votre consentement à tout moment depuis les paramètres de votre navigateur ou depuis l'interface de l'application.
- Notifications concernées : nouvelle commande reçue, rappel de clôture de journée, disponibilité des Flash Baskets.
Modifications de la politique
Neuraweb se réserve le droit de modifier la présente politique à tout moment, notamment pour se conformer aux évolutions réglementaires (décrets AI Act, nouvelles délibérations CNIL).
En cas de modification substantielle, les Boulangers seront informés par e-mail avec un délai de préavis de 30 jours avant l'entrée en vigueur des nouvelles dispositions. La poursuite de l'utilisation du Service vaut acceptation des modifications.
La présente politique a été établie en tenant compte de l'état du droit au 1 mai 2026.
Contact & réclamation CNIL
Pour toute question relative à vos données personnelles ou pour exercer vos droits :
Contact DPO / RGPD
contact@sauvemie.fr
Réponse sous 30 jours ouvrables
Réclamation auprès de la CNIL
cnil.fr/fr/plaintes
En cas de réponse insatisfaisante
Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous avez le droit de saisir l'autorité de contrôle compétente. En France, il s'agit de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07.