Politique de confidentialité
Dernière mise à jour : July 14, 2026 — Version 1.0
Chez LivenBuy, la protection de vos données personnelles est une priorité. La présente politique vous explique, en toute transparence, quelles données nous collectons, pourquoi, sur quelle base légale, combien de temps et qui peut y accéder. Elle est rédigée en application du Règlement (UE) 2016/679 dit « RGPD » et de la loi « Informatique et Libertés » modifiée du 6 janvier 1978.
1. Responsable de traitement
Le responsable de traitement est [À COMPLÉTER — Raison sociale], dont le siège est situé [À COMPLÉTER — Adresse], immatriculée au RCS de [À COMPLÉTER] sous le numéro [À COMPLÉTER].
Délégué à la protection des données (DPO) : un point de contact dédié est à votre disposition à l'adresse privacy@livenbuy.fr (ou par courrier au siège, à l'attention du DPO).
2. Données que nous collectons
2.1. Données d'identification
- Nom, prénom, e-mail, mot de passe (haché, jamais stocké en clair) ;
- Numéro de téléphone (vérifié par SMS via Vonage) ;
- Adresse postale ;
- Date de naissance le cas échéant.
2.2. Données de vérification d'identité (KYC)
- Pièce d'identité (carte d'identité ou passeport) — image chiffrée au repos via Active Record Encryption ;
- Justificatif d'adresse le cas échéant ;
- Pour les Marchands de biens : SIRET, RCS, KBIS, numéro de TVA intracommunautaire (chiffrés en base, certains champs en chiffrement déterministe pour permettre la recherche).
2.3. Données transactionnelles
- Historique des réservations, séjours, ventes ;
- Tokens de paiement et identifiants de transaction Mollie (les données bancaires complètes ne transitent ni ne sont stockées chez LivenBuy) ;
- Identifiants de signatures électroniques SignNow.
2.4. Contenus utilisateurs
- Photos et descriptions de biens (côté Vendeur / Marchand de biens) ;
- Messages échangés via la messagerie interne ;
- Avis post-séjour.
2.5. Données techniques et de navigation
- Adresse IP, type de navigateur, système d'exploitation, langue, fuseau horaire ;
- Cookies et identifiants de session (voir la politique cookies) ;
- Logs de connexion et événements de sécurité ;
- Données de comportement : recherches, favoris, pages consultées.
3. Finalités, bases légales et durées de conservation
| Finalité | Base légale (RGPD art. 6) | Durée de conservation |
|---|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) | Durée du compte + 3 ans à compter de la dernière activité (prospection) |
| Vérification d'identité (KYC) | Obligation légale (art. 6.1.c) et intérêt légitime (lutte contre la fraude, art. 6.1.f) | 5 ans après clôture du compte (référentiel CNIL LCB-FT) |
| Paiement et exécution du séjour-test | Exécution du contrat (art. 6.1.b) | Données comptables : 10 ans (Code de commerce, art. L.123-22) |
| Mise en relation et messagerie | Exécution du contrat (art. 6.1.b) | 3 ans après dernier échange |
| Avis post-séjour | Intérêt légitime (transparence) (art. 6.1.f) | 3 ans, anonymisation au-delà |
| Lutte contre la fraude et la sécurité | Intérêt légitime (art. 6.1.f) | Logs : 12 mois (art. R.10-13 CPCE) ; alertes : 5 ans |
| Mesure d'audience anonyme | Exemption (Plausible) ou consentement (art. 6.1.a) selon outil | 13 mois maximum |
| Newsletter et communication marketing | Consentement (art. 6.1.a) | Jusqu'au retrait + 3 ans |
| Conseiller IA (chatbot DeepSeek) | Exécution du contrat / consentement (art. 6.1.b ou a) | Historique de conversation : 12 mois |
| Réponse aux demandes d'exercice de droits | Obligation légale (art. 6.1.c) | 3 ans à compter de la demande |
4. Destinataires et sous-traitants
Vos données ne sont jamais cédées ni vendues à des tiers à des fins commerciales. Elles peuvent être communiquées à :
- nos collaborateurs habilités, dans la stricte mesure nécessaire à leurs missions ;
- l'autre partie de la transaction (Vendeur / Acheteur), uniquement les informations nécessaires à l'exécution (identité, coordonnées) ;
- les autorités administratives ou judiciaires, sur demande légale ;
- nos sous-traitants techniques, listés ci-dessous, encadrés par un accord de sous-traitance conforme à l'article 28 RGPD.
Liste des sous-traitants principaux
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Mollie | Paiements, séquestre, libération | Pays-Bas (UE) | DPA, RGPD, agrément établissement de paiement |
| SignNow | Signature électronique | UE / États-Unis | DPA, Clauses Contractuelles Types (CCT 2021), DPF si éligible |
| Vonage | Envoi de SMS de vérification | Royaume-Uni / États-Unis | DPA, CCT, décision d'adéquation UK |
| AWS S3 (eu-west-3 Paris) | Stockage de fichiers (photos, KYC chiffrés) | France (UE) | DPA, chiffrement au repos et en transit |
| DeepSeek | Conseiller IA (chatbot) | Hors UE | CCT, minimisation : seuls les messages saisis sont transmis, jamais les identifiants |
| Sentry | Supervision technique des erreurs | UE (option self-host) ou États-Unis | DPA, scrubbing des données sensibles, CCT le cas échéant |
| Mailjet (ou équivalent) | E-mails transactionnels | France / UE | DPA, hébergement UE |
| Pappers / Infogreffe | Vérification d'immatriculation des Marchands de biens | France | Source publique / DPA |
| Hébergeur infrastructure | Serveurs applicatifs et base PostgreSQL | France / UE — [À COMPLÉTER] | DPA, hébergement UE |
| Mapbox | Affichage de cartes | UE / États-Unis | DPA, CCT, données limitées (IP + tile) |
5. Transferts hors Union européenne
Certains traitements impliquent un transfert de données vers des pays situés hors de l'Espace économique européen (notamment SignNow, Vonage, DeepSeek, Sentry et Mapbox lorsque pertinent). Ces transferts sont encadrés par :
- les Clauses Contractuelles Types adoptées par la Commission européenne (Décision 2021/914) ;
- le cas échéant, l'EU-U.S. Data Privacy Framework (DPF) lorsque le sous-traitant en est certifié ;
- des mesures techniques complémentaires (chiffrement, pseudonymisation, minimisation) ;
- une évaluation d'impact des transferts (Transfer Impact Assessment) documentée.
En particulier, pour le conseiller IA (DeepSeek), seuls les messages strictement nécessaires à la formulation d'une réponse sont transmis : aucun identifiant utilisateur, aucune donnée d'identité, aucune donnée de paiement ne sont envoyés au modèle.
6. Sécurité
LivenBuy met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (RGPD art. 32) :
- chiffrement des données au repos via Active Record Encryption (clés gérées séparément) ;
- chiffrement en transit via TLS 1.2+ ;
- Content Security Policy (CSP) appliquée et stricte ;
- authentification à deux facteurs obligatoire pour les comptes Vendeur, Marchand de biens et Administrateur ;
- politique de mots de passe robustes, hachage bcrypt ;
- cloisonnement des accès, journalisation des actions sensibles ;
- sauvegardes régulières chiffrées ;
- supervision continue et alerting Sentry (avec scrubbing PII) ;
- tests de sécurité et revues de code périodiques.
7. Vos droits
Conformément aux articles 12 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.
- Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression, sous réserve de nos obligations légales de conservation.
- Droit à la limitation (art. 18) : demander le gel d'un traitement pendant l'examen d'une contestation.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
- Droit d'opposition (art. 21), notamment à la prospection.
- Droit de retirer votre consentement à tout moment, sans incidence sur les traitements antérieurs.
- Droit de définir des directives post-mortem sur le sort de vos données (art. 85 loi n° 78-17 modifiée).
- Droit de ne pas faire l'objet d'une décision entièrement automatisée produisant des effets juridiques (art. 22). LivenBuy ne prend pas de telles décisions.
Comment exercer vos droits ?
Adressez votre demande à privacy@livenbuy.fr ou par courrier postal au siège (à l'attention du DPO). Nous pourrons vous demander un justificatif d'identité en cas de doute raisonnable. Nous répondons dans un délai d'un mois, prorogeable de deux mois en cas de demande complexe (art. 12.3 RGPD).
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : https://www.cnil.fr/fr/plaintes.
8. Cookies et traceurs
L'usage des cookies et traceurs est décrit dans la politique cookies, qui complète le présent document, conformément à la délibération CNIL n° 2020-091.
9. Mineurs
La Plateforme est réservée aux personnes majeures. Aucune donnée de mineur n'est sciemment collectée. Si vous estimez qu'un mineur a créé un compte, contactez-nous à privacy@livenbuy.fr.
10. Registre des traitements et AIPD
LivenBuy tient un registre des activités de traitement (art. 30 RGPD), accessible à la CNIL sur demande, et procède à des analyses d'impact relatives à la protection des données (AIPD) pour les traitements présentant un risque élevé pour les droits et libertés des personnes (vérifications d'identité, profilage le cas échéant).
11. Notification des violations de données
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, LivenBuy notifie la CNIL dans les 72 heures (art. 33 RGPD) et, en cas de risque élevé, en informe directement les personnes concernées (art. 34 RGPD).
12. Évolution de la politique
La présente politique peut être amendée pour refléter l'évolution de nos services ou de la réglementation. La version applicable est celle figurant en haut de page (date de mise à jour). Les modifications substantielles vous sont notifiées par e-mail ou via un bandeau d'information.
Avertissement : ce document constitue un projet à valider par un professionnel du droit (DPO externe ou avocat spécialisé) et à mettre en cohérence avec votre registre des traitements et vos contrats de sous-traitance avant mise en production.