1. Responsable du traitement
Agence Debord EURL, dont le siège est situé 9 rue des Colonnes, 75002 Paris, France. Email du DPO : bonjour@agencedebord.com.
2. Données collectées
- Email : nécessaire à l'envoi des liens de connexion (magic-link) et à la livraison des cartes achetées. Conservé tant que le compte est actif, puis 3 ans après dernière connexion à des fins de réactivation, conformément à la doctrine CNIL.
- Données de facturation (nom, raison sociale, adresse, n° SIRET / TVA, numéro de mandat administratif éventuel) : collectées lors de l'achat par notre partenaire Lemon Squeezy, Merchant of Record. Conservées 10 ans (obligation comptable et fiscale, articles L. 123-22 du Code de commerce).
- Configuration des cartes (mode, identifiants de territoires, options de rendu) : stockée pour permettre la régénération et le re-téléchargement à vie.
- Logs techniques (adresse IP, user-agent au moment du téléchargement) : utilisés pour la lutte contre l'abus et la traçabilité forensique des livrables. Conservés 12 mois maximum.
3. Finalités
- Authentification (magic-link)
- Exécution du contrat (livraison des cartes)
- Facturation et obligations comptables
- Sécurité et lutte contre les abus
Aucune utilisation marketing en dehors des emails strictement transactionnels (lien de connexion, confirmation d'achat). Pas de newsletter automatique. Pas de cookies de tracking.
4. Base légale
- Exécution du contrat (RGPD art. 6.1.b) — pour la livraison des cartes et la facturation.
- Obligation légale (RGPD art. 6.1.c) — pour la conservation comptable.
- Intérêt légitime (RGPD art. 6.1.f) — pour la lutte contre l'abus et la traçabilité des livrables.
5. Sous-traitants et destinataires
- Scaleway (hébergement, France) — données stockées en France métropolitaine, sous certification ISO 27001.
- Lemon Squeezy (paiement, Merchant of Record). Accord-cadre conforme au RGPD ; transferts hors UE sous Clauses Contractuelles Types.
- Brevo (envoi d'emails transactionnels, France).
- geo.api.gouv.fr (Etalab/DINUM) — aucune donnée personnelle transmise, uniquement les recherches d'autocomplete sur les noms et codes postaux de communes.
- CDN IGN (Scaleway Object Storage) — aucune donnée personnelle transmise, uniquement les requêtes de contours administratifs (fichiers GeoJSON statiques).
- Umami (mesure d'audience, instance hébergée en UE, sans cookie ni identifiant persistant) — IP tronquée et user-agent uniquement, aucune donnée personnelle directement identifiante.
6. Cookies
Le site n'utilise qu'un seul cookie strictement nécessaire
(carto_session) pour maintenir l'authentification après
clic sur un magic-link. Aucun cookie de tracking ou publicitaire.
Umami fonctionne sans cookie ni identifiant persistant côté client.
7. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données et à la Loi Informatique et Libertés, vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. Pour exercer ces droits, écrivez à bonjour@agencedebord.com. Une réponse vous est apportée sous un mois maximum.
Vous pouvez également introduire une réclamation auprès de la CNIL (cnil.fr).
8. Sécurité
Les données sont chiffrées en transit (TLS 1.3) et au repos (chiffrement Scaleway Object Storage). Les sessions utilisateur sont signées (JWT) et stockées dans des cookies httpOnly avec attribut Secure en production. Les accès aux fichiers téléchargeables passent par des URLs signées à durée limitée.