Mercanta / Légal / Politique de confidentialité

Politique de confidentialité.

Cette politique explique quelles données personnelles Mercanta SASU collecte, pourquoi, comment nous les utilisons, avec qui nous les partageons, et les droits dont vous disposez. Nous visons un langage clair et des exemples concrets.

Dernière mise à jour · 17 mai 2026 Conforme RGPD · CCPA · PIPEDA
i

Version courte. Nous collectons ce qui est nécessaire pour faire fonctionner les Services. Nous ne vendons pas vos données. Les numéros de carte ne touchent jamais nos serveurs — Stripe les gère directement. Vous pouvez demander une copie ou la suppression de vos données à tout moment en écrivant à contact@mercanta.io.

01Qui nous sommes

Le responsable de traitement des données personnelles est :

Mercanta SASU
47 rue Vivienne, 75002 Paris, France
France
contact@mercanta.io

Pour toute question relative à cette politique ou pour exercer vos droits, contactez-nous à contact@mercanta.io. Mercanta n'est pas une institution de paiement régulée. Tous les paiements, payouts et fonctions merchant-of-record sont assurés par Stripe, Inc.

02Informations que nous collectons

Informations que vous nous fournissez directement

  • Informations de compte : nom, e-mail, raison sociale, adresse professionnelle, téléphone, hash du mot de passe.
  • Informations de facturation : adresse de facturation et 4 derniers chiffres de votre carte. Les détails complets de carte sont soumis directement à Stripe et n'atteignent jamais les serveurs Mercanta.
  • Communications : e-mails, tickets de support, messages de chat, et toute information que vous choisissez de partager.

Informations collectées automatiquement

  • Données d'usage : pages visitées, fonctionnalités utilisées, requêtes vers notre API, horodatages, adresse IP, user-agent du navigateur, URL référente.
  • Données d'appareil : système d'exploitation, version du navigateur, taille d'écran.
  • Cookies : voir Politique cookies pour la liste complète, l'objet et la durée de chaque cookie.

Informations issues de tiers

  • De Stripe : métadonnées de transaction (montants, statuts, IDs clients) pour affichage dans votre dashboard.
  • De partenaires d'intégration : si vous connectez Shopify, WooCommerce ou d'autres plateformes, nous recevons les données que vous autorisez.

03Comment nous utilisons les informations

Nous traitons les données personnelles aux finalités et bases légales suivantes (article 6 RGPD) :

  • Pour fournir les Services (exécution contractuelle) : vous authentifier, afficher les dashboards, router les requêtes API, envoyer les notifications transactionnelles.
  • Pour vous facturer (exécution contractuelle) : calculer et collecter les frais via Stripe.
  • Pour améliorer les Services (intérêt légitime) : analytics agrégées, diagnostic de bugs, usage des fonctionnalités.
  • Pour communiquer (intérêt légitime / consentement pour le marketing) : répondre aux demandes, envoyer des mises à jour produit, e-mails marketing (désinscription possible à tout moment via le lien présent dans chaque e-mail).
  • Pour prévenir la fraude et les abus (intérêt légitime / obligation légale) : détecter les activités inhabituelles, se conformer aux programmes de risque Stripe et aux lois applicables.
  • Pour se conformer à la loi (obligation légale) : répondre aux demandes légales, conserver les registres à des fins fiscales et comptables.

Nous ne pratiquons pas de décision automatisée produisant des effets juridiques ou significatifs vous concernant.

04Comment nous partageons les informations

Nous ne partageons les données personnelles qu'avec les catégories de destinataires suivantes, et uniquement dans la mesure nécessaire :

  • Sous-traitants / prestataires :
    • Stripe, Inc. (traitement des paiements) — États-Unis & Irlande
    • Amazon Web Services, Inc. (hébergement) — Union européenne, région principale eu-central-1 (Francfort)
    • Cloudflare, Inc. (CDN, protection DDoS) — edge mondial
    • Postmark (e-mails transactionnels) — États-Unis
    • Plausible Analytics (analytics privacy-friendly, hébergées UE, sans cookies)
    • Google Workspace (e-mail interne et SSO) — UE / États-Unis
  • Conseils professionnels : avocats, comptables, auditeurs, soumis à des obligations de confidentialité.
  • Acquéreurs ou successeurs : dans le cadre d'une fusion, acquisition, financement ou cession d'actifs, sous réserve de notification préalable.
  • Autorités & régulateurs : lorsque la loi l'exige ou pour protéger des droits, la sécurité, et la propriété.

Nous ne vendons ni ne louons les données personnelles.

05Cookies & tracking

Nous utilisons un ensemble minimal de cookies (strictement nécessaires + analytics privacy-friendly). Voir la Politique cookies complète pour la liste, l'objet, la durée de chaque cookie, et la manière de les contrôler.

06Conservation des données

Nous conservons les données personnelles aussi longtemps que votre compte est actif, plus une période complémentaire requise par les obligations légales, fiscales et comptables :

  • Registres de compte & transactionnels : 10 ans après la clôture du compte (Code de commerce, art. L123-22).
  • Tickets de support : 3 ans après la clôture.
  • Sauvegardes : rétention glissante de 30 jours ; les données supprimées persistent dans les sauvegardes jusqu'à 30 jours avant purge.
  • Communications marketing : jusqu'à votre désinscription + 30 jours.

Nous pouvons anonymiser les données et conserver la forme anonymisée à des fins analytiques pour une durée indéfinie.

07Vos droits

Pour tous les utilisateurs

Vous pouvez demander : (a) l'accès aux données personnelles que nous détenons à votre sujet ; (b) la rectification d'informations inexactes ; (c) la suppression de vos données ; (d) l'exportation dans un format portable ; (e) la limitation ou l'opposition à certains traitements ; (f) le retrait du consentement à tout moment lorsque le traitement repose sur le consentement.

Adressez vos demandes à contact@mercanta.io. Nous répondons sous 30 jours (prorogeable de 60 jours pour les demandes complexes, art. 12.3 RGPD).

Résidents UE / Royaume-Uni (RGPD / UK GDPR)

Vous disposez des droits listés ci-dessus, plus le droit d'introduire une réclamation auprès de votre autorité de contrôle. Pour les résidents français, l'autorité compétente est la CNIL (cnil.fr).

Résidents Californie (CCPA / CPRA)

Vous avez le droit de connaître les catégories de données personnelles que nous collectons, leurs sources, les finalités commerciales et les catégories de tiers avec qui nous partageons. Vous avez le droit de vous opposer à toute « vente » ou « partage » — nous ne faisons ni l'un ni l'autre. Pour exercer ces droits, écrivez à contact@mercanta.io avec pour objet « CCPA Request ».

08Transferts internationaux de données

Mercanta est établie en France ; notre région d'hébergement principale est l'UE (AWS eu-central-1, Francfort, avec réplication eu-west-3 Paris). Certains de nos sous-traitants opèrent depuis les États-Unis (notamment Stripe et Cloudflare). Lorsque requis, nous nous appuyons sur les Clauses Contractuelles Types (CCT) de la Commission européenne et, le cas échéant, sur les certifications EU-US Data Privacy Framework.

09Enfants

Les Services ne sont pas destinés aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si vous pensez qu'un enfant nous a transmis des informations, écrivez à contact@mercanta.io et nous les supprimerons.

10Sécurité

Nous protégeons les données personnelles par des mesures administratives, techniques et physiques, notamment TLS 1.2+ en transit, chiffrement au repos AES-256, contrôle d'accès basé sur les rôles, journalisation d'audit, et test d'intrusion trimestriel post-lancement. Voir notre page Sécurité pour le détail. Aucun système n'est parfaitement sûr ; nous notifierons les utilisateurs concernés sans retard injustifié en cas de violation, conformément à la loi applicable (article 33 RGPD, sous 72h).

11Modifications de cette politique

Nous pouvons mettre à jour cette politique de temps à autre. La date de « Dernière mise à jour » en haut de page reflète la dernière révision. Les modifications matérielles seront communiquées par e-mail et notification in-dashboard au moins 30 jours avant leur entrée en vigueur.

12Nous contacter

Questions confidentialité ou exercice de vos droits :

Mercanta SASU · Attn : Confidentialité
47 rue Vivienne, 75002 Paris, France
France
contact@mercanta.io