Atelier Lionel Peron

Politique de confidentialité

Cette politique explique comment le site atelier-yo.fr collecte, utilise, conserve et protège les données personnelles des visiteurs et des titulaires de compte (utilisateur, admin, dev), y compris dans le cadre des réservations et de la connexion via Google Auth Platform.

1. Responsable du traitement

Responsable du traitement : Lionel Peron
Contact : contact@atelier-yo.fr
Adresse technique d'envoi automatisé : noreply@atelier-yo.fr (adresse sans réponse)
Site : https://atelier-yo.fr

2. Cadre légal applicable

  • Règlement (UE - Union européenne) 2016/679 (RGPD - Règlement général sur la protection des données).
  • Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 (France).
  • Directive ePrivacy 2002/58/CE (cookies et traceurs).
  • Loi n° 2004-575 du 21 juin 2004 (LCEN - Loi pour la confiance dans l'économie numérique).
  • Code de la consommation (articles L.221-1 et suivants relatifs à la vente à distance).

3. Données collectées

3.1 Données de compte

  • Nom, email, rôle de compte.
  • Mot de passe chiffré (hash), date de mise à jour du mot de passe.
  • État de vérification email, horodatages de création et mise à jour.
  • Horodatage du dernier envoi de code, demandes de réinitialisation de mot de passe et paramètres de sécurité associés.

3.2 Connexion et sécurité

  • Cookie de session authentifiée (`sculptor_session`, HttpOnly, durée 7 jours).
  • Tentatives de connexion, verrouillage temporaire après échecs répétés.
  • Données liées à la 2FA (authentification à deux facteurs, compte dev/admin), et journaux techniques de sécurité.
  • Vérification anti-bot Google reCAPTCHA v2 sur login, inscription, réservation.
  • Courriels de service liés au compte : code de vérification d'adresse email et lien de réinitialisation de mot de passe.

3.3 Connexion via Google Auth Platform

  • Identifiant du fournisseur OAuth (protocole d'autorisation), email, nom, image de profil éventuelle.
  • Métadonnées de compte OAuth (provider, scopes, dates d'expiration techniques).
  • Ces données servent uniquement à l'authentification et à la sécurisation du compte.

3.4 Données de réservation

  • Titre de l'œuvre, référence, statut (REQUESTED, CONFIRMED, CANCELLED, PAID).
  • Nom, email, notes client, notes atelier, dates de création/mise à jour/expiration.
  • Historique des mises à jour nécessaires au suivi de la demande.

3.5 Données techniques et navigation

  • Adresse IP (Internet Protocol, rate-limit, anti-abus, sécurité applicative).
  • Cookies techniques et préférence de consentement stockée en localStorage.
  • Événements de performance et de disponibilité utiles à la supervision.

3.6 Données de commande et de paiement

  • Références des œuvres commandées, montants, statut de paiement et de livraison.
  • Adresse de livraison le cas échéant.
  • Identifiant de session Stripe Checkout (aucune donnée bancaire n'est stockée sur nos serveurs).

3.7 Notifications nouvelles œuvres

  • Email cible, langue préférée, état du consentement et dates associées (confirmation, refus, désinscription).
  • Horodatage du dernier digest envoyé afin d'éviter les doublons.
  • Pour les visiteurs non connectés, preuve du double opt-in par email avant activation.

4. Finalités et bases légales

  • Création et gestion du compte, y compris l'envoi des courriels de service nécessaires au compte (code de vérification, lien de réinitialisation) : exécution de mesures précontractuelles et contractuelles (RGPD, article 6.1.b).
  • Authentification, protection anti-fraude, journalisation sécurité : intérêt légitime de sécurité (RGPD, article 6.1.f).
  • Connexion Google OAuth : exécution du service de connexion demandé par l'utilisateur (article 6.1.b) et intérêt légitime de sécurité (article 6.1.f).
  • Traitement des réservations et échanges atelier/client : exécution contractuelle (article 6.1.b).
  • Traitement et suivi des commandes en ligne, paiements via Stripe : exécution du contrat de vente (article 6.1.b).
  • Notifications optionnelles de nouvelles œuvres : consentement de la personne concernée (article 6.1.a), avec désinscription possible à tout moment.
  • Conservation de certaines preuves et obligations administratives : obligation légale (article 6.1.c) et intérêt légitime (article 6.1.f).

Les emails envoyés depuis noreply@atelier-yo.fr sont des messages de service nécessaires au fonctionnement du compte. Ils sont distincts des courriels de prospection commerciale, qui restent soumis à leur propre base légale lorsque la loi l'exige.

Les emails "nouvelles œuvres" sont optionnels, envoyés uniquement aux personnes ayant exprimé leur consentement. Pour les visiteurs non connectés, l'activation passe par un double opt-in par email.

5. Cookies et technologies similaires

  • Cookie de session (`sculptor_session`) : nécessaire à la connexion.
  • Cookie `locale` : préférence de langue, déposé si consentement accepté.
  • Cookie de panier (`cart_id`) : identifiant anonyme du panier d'achat pour les visiteurs non connectés (durée : 30 jours, cookie HttpOnly).
  • LocalStorage `cookie_consent` : mémorisation du choix sur le bandeau.
  • Cookies tiers Google reCAPTCHA (exemple : `_GRECAPTCHA`) pour distinguer humain/robot.

Les cookies strictement nécessaires à la sécurité et à l'authentification restent indispensables au fonctionnement du service. Le refus des cookies entraînera un accès limité à certaines fonctionnalités du site, notamment pour les réservations.

6. Destinataires et sous-traitants

  • Hébergement : Hetzner Online GmbH (infrastructure serveur).
  • Nom de domaine : OVH SAS.
  • Google : Google reCAPTCHA et Google Auth Platform (OAuth - Open Authorization).
  • Messagerie : Brevo (prestataire SMTP - Simple Mail Transfer Protocol) pour l'envoi des emails transactionnels et techniques. Selon le type de message, l'adresse visible peut être contact@atelier-yo.fr (réservations, échanges contractuels ou juridiques, notifications nouvelles œuvres avec consentement) ou noreply@atelier-yo.fr (vérification email, réinitialisation de mot de passe).
  • Paiement : Stripe, Inc. (prestataire de paiement en ligne, certifié PCI DSS). Les données bancaires sont traitées exclusivement par Stripe et ne transitent jamais par nos serveurs. Politique de confidentialité Stripe : https://stripe.com/fr/privacy.

Certains traitements peuvent impliquer des transferts hors EEE (Espace économique européen) via des services de fournisseurs globaux. Dans ce cas, les mécanismes appropriés (clauses contractuelles types, mesures de sécurité complémentaires) sont appliqués selon la réglementation.

7. Durées de conservation

  • Compte utilisateur : tant que le compte est actif, puis suppression/archivage légal.
  • Session de connexion : 7 jours maximum par cookie de session.
  • Tentatives de connexion et signaux de sécurité : durée proportionnée à la prévention des abus.
  • Codes de vérification et demandes de réinitialisation : conservation limitée à la durée strictement nécessaire à la sécurisation du compte et à la prévention des abus.
  • Réservations non confirmées : conservation opérationnelle, puis purge selon cycle interne.
  • Réservations finalisées : conservation nécessaire au suivi administratif/comptable.
  • Données de commande et factures : 10 ans (article L.123-22 du Code de commerce).
  • Journaux techniques : conservation limitée et proportionnée aux besoins d'exploitation.

8. Vos droits

Vous disposez des droits suivants (RGPD, articles 15 à 22) :

  • Droit d'accès.
  • Droit de rectification.
  • Droit à l'effacement (dans les limites légales).
  • Droit à la limitation du traitement.
  • Droit d'opposition pour motif légitime.
  • Droit à la portabilité des données lorsque applicable.
  • Droit de définir des directives post-mortem (droit français).

Pour exercer vos droits ou pour toute question juridique relative aux emails du site, écrivez à contact@atelier-yo.fr. L'adressenoreply@atelier-yo.fr est réservée aux envois automatiques et n'est pas destinée à recevoir vos demandes. Vous pouvez également saisir la CNIL (Commission nationale de l'informatique et des libertés) : https://www.cnil.fr.

9. Sécurité des données

  • Chiffrement en transit (HTTPS/TLS - HyperText Transfer Protocol Secure / Transport Layer Security).
  • Hash des mots de passe et contrôles d'accès par rôle.
  • Rate limiting, verrouillage temporaire, vérification anti-bot.
  • Ségrégation des accès administrateur/dev et 2FA (authentification à deux facteurs) pour environnements privilégiés.
  • Procédures de sauvegarde et restauration opérationnelles.

10. Mineurs

Le service n'est pas destiné à collecter volontairement des données de mineurs sans autorisation parentale selon la législation applicable.

11. Modifications de la politique

Cette politique peut être mise à jour à tout moment pour tenir compte des évolutions légales, techniques ou opérationnelles. La version en ligne fait foi.

12. Liens utiles

Dernière mise à jour : 12 avril 2026.