Protection des données

Politique de confidentialité

En vigueurv2.0Mise à jour : 06 mai 2026

La présente politique décrit la manière dont Bold Lab Agency LLC collecte et traite vos données conformément au RGPD, à la loi Informatique et Libertés, au CCPA/CPRA et au droit applicable du Wyoming.

Éditeur

Bold Lab Agency LLC

Wyoming, USA — EIN 32-0843495

Contact

contact@brunch-en-bigorre.fr

+33 6 79 93 71 52

DPO

contact@brunch-en-bigorre.fr

Stéphane Lotto

01Responsable de traitement#

Bold Lab Agency LLC agit en qualité de responsable de traitement au sens de l'article 4-7 du RGPD pour l'ensemble des données à caractère personnel collectées via le Site brunch-en-bigorre.fr.

ResponsableBold Lab Agency LLC — 1309 Coffeen Ave Ste 1200, Sheridan, WY 82801, USA
EIN32-0843495
DPO / Privacy OfficerStéphane Lotto — contact@brunch-en-bigorre.fr
Représentant UE (art. 27 RGPD)Désignation en cours — contact : contact@brunch-en-bigorre.fr

02Activités de traitement liées au Site#

Le Site brunch-en-bigorre.fr poursuit deux activités principales donnant lieu à des traitements distincts :

A. Mise en relation et exécution des prestations

Collecte des informations du devis, attribution de la commande à un Prestataire indépendant local (pâtissier, traiteur, livreur), transmission strictement limitée des informations nécessaires à l'exécution (identité, adresse, allergies, contenu, créneau).

B. Encaissement & facturation

Bold Lab Agency LLC encaisse l'intégralité du paiement client (CB via Stripe ou virement), émet la facture, puis rémunère le Prestataire par virement bancaire après exécution. Les coordonnées bancaires des Prestataires sont conservées dans un registre comptable distinct, jamais accessibles aux Clients.

03Données collectées#

  • Identification : nom, prénom, email, téléphone, adresse de livraison.
  • Commande : panier, formules, allergies, date et lieu de l'événement, nombre de convives, demandes particulières.
  • Paiement carte : collecté directement par Stripe (PAN, CVV, expiration). La Société ne reçoit que le statut, l'ID de transaction, les 4 derniers chiffres et la marque.
  • Paiement virement : nom du donneur d'ordre, IBAN visible sur le relevé bancaire.
  • Communications transactionnelles : historique des emails (confirmation, J-7, J-1, médiation) via Resend.
  • Compte back-office (admins) : email, mot de passe haché (bcrypt), rôle, journal de connexion.
  • Données techniques : adresse IP tronquée, user-agent, pages visitées, horodatage (sous réserve du consentement cookies).
  • Pièce d'identité (cas spécifique) : uniquement en cas de doute raisonnable lors de l'exercice d'un droit ; détruite sous 30 jours.

04Finalités, bases légales & durées de conservation#

FinalitéBase légale (RGPD)Durée activeArchivage légal
Gestion des devis sans suiteMesures précontractuelles (art. 6.1.b)3 ans après dernier contact
Mise en relation Client / Prestataire et exécutionExécution du contrat (art. 6.1.b)Exécution + 3 ans
Encaissement CB (Stripe)Exécution du contratLe temps de la transaction13 mois (preuve, art. L. 133-24 CMF) / 15 mois pour les paiements à débit différé
Encaissement virementExécution du contratRapprochement bancaire10 ans
Facturation, comptabilité, fiscalitéObligation légale (art. 6.1.c — L. 123-22 C. com.)Exercice en cours10 ans
Emails transactionnelsExécution du contrat3 ans après la dernière commande
Relation client & médiation litigesIntérêt légitime (art. 6.1.f)5 ans après clôture du dossier
Cookies de mesure d'audienceConsentement (art. 6.1.a)13 mois cookie / 25 mois données
Prévention fraude au paiementIntérêt légitime & obligation légale13 mois base active5 ans archive intermédiaire
Journaux back-officeIntérêt légitime (sécurité)6 mois1 an archive sécurité
Demandes d'exercice de droitsObligation légale (art. 12 RGPD)3 ans après réponse

05Destinataires, rôles & sous-traitants#

Les tiers ci-dessous interviennent en qualité de sous-traitants au sens de l'article 28 du RGPD, sauf mention contraire.

DestinataireRôle RGPDDonnées traitéesLocalisation
Stripe Payments Europe, Ltd. (Dublin, Irlande)Sous-traitant pour l'encaissement.
Responsable autonome pour la lutte anti-fraude (Radar) et les obligations LCB-FT.		Données de carte, identité du payeur, montant, IP, empreinte navigateurUE — DPA + SCC intra-groupe vers Stripe Inc. (USA). PCI-DSS niveau 1.
Resend, Inc. (Delaware, USA)Sous-traitant — routage des emails transactionnels.Email destinataire, contenu, statut SMTP, horodatageUSA — DPA + SCC. Logs conservés 30 jours côté Resend.
Supabase Inc. (Singapour)Sous-traitant — base de données, authentification, stockage.Ensemble des données back-officeUE (Francfort, AWS eu-central-1). DPA + SCC.
Cloudflare, Inc. (San Francisco, USA)Sous-traitant — hébergement edge, CDN, DDoS, WAF.IP, en-têtes HTTP, requêtes en transitUSA + réseau mondial. DPA, SCC, EU-US DPF.
Prestataires partenaires locauxResponsables autonomes pour leurs obligations propres ; destinataires des seules informations nécessaires.Nom, téléphone, adresse, allergies, contenu, créneauFrance — engagement de confidentialité, suppression à l'issue de la prestation.
Expert-comptable & administration fiscaleDestinataires légaux.Factures, écritures comptablesFrance / USA selon juridiction.

Non-vente, non-location

Les données ne sont jamais cédées, louées ni vendues à des tiers à des fins commerciales ou publicitaires.

06Transferts hors UE#

Certains sous-traitants ou la maison-mère Bold Lab Agency LLC sont établis aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et, lorsque le sous-traitant y a adhéré, par l'EU-US Data Privacy Framework. Une analyse d'impact des transferts (TIA) est tenue à disposition de l'autorité de contrôle.

07Vos droits#

Vous disposez à tout moment des droits suivants :

  • droit d'accès, de rectification, d'effacement (« droit à l'oubli ») ;
  • droit à la limitation et à l'opposition au traitement ;
  • droit à la portabilité ;
  • droit de retirer votre consentement (cookies, newsletter) à tout moment ;
  • droit de définir des directives post-mortem ;
  • pour les résidents de Californie : droits CCPA/CPRA (right to know, delete, correct, opt-out of sale/sharing) ;
  • droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr.

Pour exercer vos droits : page dédiée « Exercer mes droits » ou par email à contact@brunch-en-bigorre.fr. Réponse motivée sous 30 jours (prorogeable de 2 mois pour les demandes complexes, art. 12.3 RGPD). Une pièce d'identité peut être demandée en cas de doute raisonnable.

08Mineurs#

Les services proposés sur le Site ne sont pas destinés aux mineurs de moins de 15 ans. Aucune donnée n'est sciemment collectée auprès de mineurs sans le consentement des titulaires de l'autorité parentale (art. 8 RGPD et art. 7-1 LIL). Si vous constatez qu'un mineur a transmis des données sans autorisation parentale, contactez immédiatement le DPO afin que les données soient supprimées.

09Décisions automatisées & profilage#

Aucune décision produisant des effets juridiques ou affectant le Client de manière significative n'est prise sur la seule base d'un traitement automatisé, à l'exception de la décision automatique de Stripe Radar visant à prévenir la fraude au paiement, conformément à l'article 22.2.a du RGPD (décision nécessaire à la conclusion ou à l'exécution du contrat). Le Client peut obtenir une intervention humaine en écrivant à contact@brunch-en-bigorre.fr.

10Sécurité#

  • chiffrement TLS 1.3 en transit ;
  • chiffrement au repos des bases de données (AES-256) ;
  • hachage des mots de passe (bcrypt/argon2) ;
  • politiques de contrôle d'accès strictes (Row Level Security) ;
  • journalisation des accès administrateurs ;
  • revue régulière des accès et des sous-traitants ;
  • plan de continuité et sauvegardes quotidiennes chiffrées.

11Violation de données#

En cas de violation de données présentant un risque pour les droits et libertés des personnes concernées, Bold Lab Agency LLC notifiera la CNIL dans le délai légal de 72 heures (art. 33 RGPD) et informera les personnes concernées dans les meilleurs délais lorsque le risque est élevé (art. 34 RGPD).

12Cookies#

Le détail des cookies utilisés et la gestion de vos préférences font l'objet d'une politique dédiée. Le bandeau de consentement vous permet d'accepter, refuser ou personnaliser à tout moment.

13Modifications de la présente politique#

La présente politique peut être modifiée à tout moment pour refléter l'évolution de nos pratiques ou de la réglementation. La version applicable est celle publiée sur le Site à la date de la consultation, avec un numéro de version et une date de mise à jour. En cas de modification substantielle, les Clients en seront informés par email ou bandeau sur le Site.

Réclamation ou question ?

Adressez-vous d'abord à notre service client : contact@brunch-en-bigorre.fr. Pour toute question relative à vos données, contactez notre DPO : contact@brunch-en-bigorre.fr.

À défaut de résolution amiable, le consommateur peut saisir le médiateur de la consommation compétent ou la plateforme RLL de la Commission européenne : ec.europa.eu/consumers/odr.

Document version 2.0 · Dernière mise à jour : 06 mai 2026 · © 2026 Bold Lab Agency LLC. Tous droits réservés.