Politique de confidentialité

En vigueur le : 03 mai 2026

§ 1 Préambule et champ d'application

La présente politique de confidentialité vous informe sur la nature, l'étendue et la finalité du traitement des données personnelles dans le cadre du site owntheorder.com, du portail Partenaire qui y est exploité ainsi que du logiciel de commande en marque blanche fourni sous la marque OwnTheOrder (ci-après « le Service »).

La politique s'applique à tous les visiteurs du site, à tous les Partenaires professionnels disposant d'un compte dans le Service ainsi qu'au traitement des données des clients finaux dans le cadre de la boutique du Partenaire. Pour les boutiques clients finaux exploitées par les Partenaires sous leur propre nom de domaine, le Partenaire est responsable de traitement ; sa propre politique de confidentialité s'applique sur ces sites.

Sont applicables le Règlement Général sur la Protection des Données (Règlement (UE) 2016/679, « RGPD ») et la loi fédérale allemande sur la protection des données (BDSG).

§ 2 Responsable de traitement

Le responsable de traitement au sens de l'art. 4 point 7 du RGPD est :

4unit SI GmbH
Jahnstraße 36
34582 Borken (Hesse), Allemagne
Téléphone : +49 5682 73 48 26
E-mail : info@4unit.com

4unit SI GmbH n'est pas actuellement légalement tenue de désigner un délégué à la protection des données au sens de l'art. 37 RGPD. Pour toute demande relative à la protection des données, veuillez utiliser l'adresse e-mail ci-dessus.

§ 3 Définitions

Les termes « données personnelles », « responsable de traitement », « sous-traitant », « traitement », « personne concernée » et « consentement » sont employés conformément aux définitions de l'art. 4 RGPD. Spécifiquement :

  • Partenaire : client professionnel disposant d'un compte dans le Service ; ses données sont traitées par 4unit SI GmbH en qualité de responsable de traitement.
  • Client final : personne physique passant une commande auprès d'un Partenaire via la boutique de celui-ci ; ses données sont traitées par 4unit SI GmbH exclusivement en qualité de sous-traitant pour le compte du Partenaire.

§ 4 Bases juridiques générales

Sauf indication contraire, le traitement de vos données repose sur l'une des bases juridiques suivantes :

  • Art. 6(1)(a) RGPD – consentement ;
  • Art. 6(1)(b) RGPD – exécution d'un contrat ou de mesures précontractuelles ;
  • Art. 6(1)(c) RGPD – respect d'une obligation légale (notamment obligations de conservation commerciale et fiscale) ;
  • Art. 6(1)(f) RGPD – intérêt légitime, en particulier pour le fonctionnement sûr et stable du Service ainsi que la protection contre les abus ;
  • Art. 28 RGPD – sous-traitance (pour les données des clients finaux des boutiques Partenaire).

§ 5 Accès au site et fichiers journaux

À chaque accès au site, le serveur enregistre dans un fichier journal, pour une durée maximale de sept jours, les données suivantes : adresse IP de l'appareil demandeur, date et heure, URL appelée, code d'état HTTP, volume de données transféré, identifiant du navigateur (User-Agent) et système d'exploitation.

Ce traitement sert à la fourniture technique du site, à l'analyse d'erreurs et à la défense contre les attaques (rate limiting, détection de schémas suspects). Base juridique : art. 6(1)(f) RGPD ; l'intérêt légitime réside dans la sécurité du Service. Les données journalisées ne sont pas associées à votre personne ni analysées à des fins marketing.

§ 6 Cookies et technologies similaires

Le Service n'utilise que des cookies strictement nécessaires. Aucun consentement n'est requis car ces cookies sont indispensables au bon fonctionnement. Les cookies suivants sont notamment utilisés :

  • JSESSIONID : cookie de session identifiant la session de connexion. Propriétés : HttpOnly, Secure (HTTPS uniquement), SameSite=Lax. Durée : jusqu'à la fermeture du navigateur ou la fin de la session (15 minutes d'inactivité dans la zone d'administration).
  • XSRF-TOKEN : protection contre la falsification de requêtes intersites (Spring Security). Propriétés : HttpOnly, Secure, SameSite=Lax. Durée : session.
  • locale : stocke la langue choisie (DE/TR/EN/FR). Durée : 12 mois.

Aucun cookie de suivi, d'analyse ou de publicité n'est utilisé. Aucun service tel que Google Analytics, Meta Pixel, TikTok Pixel ou traceur comparable n'est intégré. Pour plus de détails, voir notre Cookies.

§ 7 Inscription du Partenaire et exécution du contrat

Lorsque vous créez un compte Partenaire, les catégories suivantes sont traitées : prénom et nom, adresse e-mail (également identifiant), numéro de téléphone, mot de passe (stocké comme empreinte BCrypt, jamais en clair), nom de l'entreprise, adresse, numéros fiscal et RCS, coordonnées bancaires (IBAN, BIC) ainsi que les données du représentant autorisé (nom, fonction, date de naissance, numéro de pièce d'identité, adresse privée, contact).

Ces données sont traitées pour la conclusion et l'exécution du contrat SaaS, l'identification auprès des prestataires de paiement, la facturation et le respect des obligations légales (notamment § 14 UStG, § 147 AO). Base juridique : art. 6(1)(b) et (c) RGPD.

Lors de l'onboarding, un contrôle est effectué par rapport aux listes de sanctions pertinentes. Ce contrôle est réalisé par le prestataire de paiement (cf. § 10) sous sa propre responsabilité ; 4unit SI GmbH transmet les données nécessaires.

§ 8 Facturation de l'abonnement et frais de plateforme

Pour la facturation mensuelle du Forfait choisi, des données de comptabilité et de paiement sont générées (numéro de facture, lignes, montant, taux de TVA, échéance, moyen de paiement, statut). Les pièces sont conservées pendant 10 ans conformément aux obligations légales (§ 147(3) AO, § 257 HGB).

Les frais de plateforme pour les commandes des clients finaux ne sont pas facturés séparément, mais retenus automatiquement par le prestataire de paiement (Stripe Connect : application_fee_amount, Iyzico : subMerchantPrice). Les chiffres agrégés sont visibles dans le tableau de bord partenaire.

§ 9 Commandes des clients finaux (sous-traitance pour le Partenaire)

Lorsqu'un client final passe une commande dans la boutique d'un Partenaire, les catégories suivantes sont traitées dans notre système pour le compte du Partenaire : nom, adresse de livraison/facturation, e-mail, téléphone, horodatage, contenu du panier, moyen de paiement, statut de paiement, délai de livraison et, le cas échéant, commentaires. Pour les clients finaux enregistrés en outre : identifiant client, empreinte BCrypt du mot de passe, langue et carnet d'adresses, historique de commandes.

Le responsable de traitement au sens du RGPD pour ce traitement est le Partenaire concerné. 4unit SI GmbH agit pour ces données exclusivement en qualité de sous-traitant au sens de l'art. 28 RGPD ; le traitement s'effectue sur instruction sur la base d'un accord de sous-traitance distinct (DPA) qui prend effet à l'acceptation des conditions.

§ 10 Traitement des paiements via Stripe Connect et Iyzico

Pour le paiement client final, une fenêtre de paiement (iframe) fournie par le prestataire de paiement concerné est intégrée à la boutique. Les données complètes du titulaire de la carte (PAN, CVC, date d'expiration) sont saisies exclusivement dans le navigateur du client final, sur l'infrastructure conforme PCI-DSS du prestataire, et transmises à ses serveurs. Ces données ne sont jamais reçues ni stockées par 4unit SI GmbH. Sur les serveurs de 4unit SI GmbH ne sont stockés que des jetons non sensibles (identifiant PaymentMethod / transaction, marque de la carte, quatre derniers chiffres, mois d'expiration).

Prestataires de paiement intégrés :

  • Stripe Payments Europe Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlande (marché allemand, Stripe Connect). Catégories traitées : prénom/nom et e-mail du client final, montant de la commande, données du compte Stripe du Partenaire, adresse IP pour l'évaluation des risques. Politique de confidentialité : https://stripe.com/fr/privacy.
  • Iyzico Ödeme Hizmetleri A.Ş., Maslak Mahallesi, Sümer Sokak, No: 4, Daire: 7-12, 34485 Sarıyer/İstanbul, Turquie (marché turc, sous-marchand). Catégories traitées : prénom/nom et e-mail du client final, lignes de panier avec subMerchantPrice, données de base du sous-marchand. Politique de confidentialité : https://www.iyzico.com/gizlilik-politikasi.
  • PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, 2449 Luxembourg (uniquement si activé par le Partenaire, en mode marketplace). Politique de confidentialité : https://www.paypal.com/fr/legalhub/privacy-full.

La vérification d'identité (KYC), les contrôles anti-blanchiment et de listes de sanctions ainsi que les procédures de chargeback relèvent exclusivement du prestataire de paiement concerné. Bases juridiques : art. 6(1)(b) RGPD (exécution du contrat) et 6(1)(c) RGPD (obligations légales).

§ 11 Envoi et vérification d'e-mails

Lors de l'inscription, nous envoyons un lien de vérification à l'adresse e-mail indiquée. Le jeton est stocké chez nous uniquement sous forme d'empreinte SHA-256 ; seul le destinataire de l'e-mail en connaît la valeur en clair. Le jeton expire automatiquement après 24 heures.

Par ailleurs, des e-mails transactionnels sont envoyés (factures, signature de contrat, rappels, alertes de sécurité). 4unit SI GmbH n'envoie pas de newsletter ni de campagnes commerciales de masse. Pour l'envoi, un prestataire SMTP situé dans l'UE est utilisé (sous-traitant au sens de l'art. 28 RGPD ; le prestataire concret peut être obtenu sur demande à l'adresse du § 2).

§ 12 Géocodage d'adresses (Nominatim)

Pour calculer les zones de livraison et afficher les emplacements sur une carte, des données d'adresse sont transmises côté serveur au service de géocodage Nominatim de l'OpenStreetMap Foundation, St John's Innovation Centre, Cowley Road, Cambridge CB4 0WS, Royaume-Uni. Seule la chaîne d'adresse à vérifier est transmise ; aucune adresse IP du client final ne parvient à Nominatim car les requêtes proviennent du serveur. Politique de confidentialité : https://wiki.osmfoundation.org/wiki/Privacy_Policy. Base juridique : art. 6(1)(b) RGPD.

§ 13 Provisionnement de domaine (Plesk)

Si le Partenaire choisit un sous-domaine attribué par 4unit SI GmbH, des requêtes internes sont envoyées à un serveur d'hébergement Plesk de 4unit SI GmbH afin de configurer ce sous-domaine (nom de domaine, identifiant Partenaire, certificat SSL choisi). Aucune donnée client final n'est transmise à ce sous-système. Les accès à Plesk sont enregistrés dans un journal d'audit interne.

§ 14 Hébergement et sous-traitants

Le Service est exploité dans un centre de données situé dans l'Union européenne. Un accord de sous-traitance au titre de l'art. 28 RGPD est conclu avec l'hébergeur. La base de données (MariaDB / MySQL) est hébergée chiffrée dans le même centre ; les sauvegardes sont également conservées chiffrées au sein de l'UE.

Une liste complète des sous-traitants utilisés est disponible sur demande à l'adresse du § 2.

§ 15 Transferts vers des pays tiers

Un transfert de données vers des pays hors EEE n'a lieu que dans les cas techniques nécessaires suivants :

  • Iyzico traite des données en Turquie. Le transfert est fondé sur des Clauses Contractuelles Types conformément à l'art. 46(2)(c) RGPD.
  • Stripe peut transférer des données au sein de son groupe vers les États-Unis. Stripe est certifié au titre du EU–US Data Privacy Framework (art. 45 RGPD en lien avec la décision d'exécution (UE) 2023/1795) ; des Clauses Contractuelles Types s'appliquent à titre complémentaire.
  • PayPal : comparable à Stripe (groupe US, Clauses Contractuelles Types lorsque non couvertes par une décision d'adéquation).

En dehors de ces trois cas, aucune donnée n'est transférée vers des pays tiers. Aucun fournisseur cloud américain n'est utilisé pour l'hébergement ou l'analyse.

§ 16 Durée de conservation

Les données personnelles ne sont pas conservées plus longtemps que nécessaire à la finalité concernée. Délais concrets :

  • Fichiers journaux serveur : 7 jours, puis suppression automatique.
  • Jeton de vérification d'e-mail : 24 heures, puis expiration automatique.
  • Sessions de connexion : 15 minutes d'inactivité dans la zone d'administration ; pour les Partenaires jusqu'à la déconnexion.
  • Jetons WebSocket (JWT) : 1 heure.
  • Données de base Partenaire : durée du contrat plus délais légaux.
  • Factures, contrats, pièces fiscales : 10 ans après la fin de l'exercice (§ 147(3) AO, § 257 HGB).
  • Données de commande client final en sous-traitance : selon instruction du Partenaire, en règle générale durée du contrat + 3 ans (prescription) ou jusqu'à 10 ans si la commande fait partie d'une facture.
  • Demandes de support : 3 ans après la clôture.
  • Journaux d'audit des accès liés à la sécurité : 12 mois.

À l'expiration du délai correspondant, les données sont irrévocablement supprimées ou anonymisées.

§ 17 Mesures techniques et organisationnelles de sécurité

4unit SI GmbH met en œuvre, pour la protection de vos données, des mesures reconnues à l'état de l'art, notamment :

  • Connexion chiffrée (TLS) pour tous les accès au site, au tableau de bord et à l'API ; HTTPS imposé.
  • Cookies de sécurité avec les attributs HttpOnly, Secure et SameSite=Lax.
  • Stockage des mots de passe uniquement sous forme d'empreinte BCrypt avec sel individuel ; aucun stockage en clair.
  • Chiffrement des données de base sensibles (notamment clés API et clés sous-marchand) au repos avec AES-256 (CBC ou GCM) et clé maîtresse en configuration protégée.
  • Système de rôles et de permissions selon le principe du moindre privilège.
  • Rate limiting (méthode token-bucket) contre force brute et abus.
  • Protection contre la falsification de requête intersite (jeton CSRF), Content Security Policy sans scripts externes ni CDN.
  • Sauvegardes quotidiennes chiffrées au sein de l'UE ; conservation infalsifiable pendant 30 jours.
  • Journalisation des événements liés à la sécurité (connexions, échecs, modifications de droits).

§ 18 Décisions automatisées, profilage

Aucune décision automatisée au sens de l'art. 22 RGPD ayant un effet juridique sur la personne concernée n'est prise. Aucun profilage destiné à évaluer des aspects personnels n'est mis en œuvre. Le rate limiting décrit ci-dessus sert uniquement à protéger contre les abus et entraîne au plus une limitation à court terme du débit de requêtes.

§ 19 Droits des personnes concernées

Vous disposez à notre égard des droits suivants concernant les données personnelles vous concernant :

  • Droit d'accès (art. 15 RGPD) ;
  • Droit de rectification de données inexactes ou incomplètes (art. 16 RGPD) ;
  • Droit à l'effacement (« droit à l'oubli », art. 17 RGPD), sauf obligation de conservation contraire ;
  • Droit à la limitation du traitement (art. 18 RGPD) ;
  • Droit à la portabilité dans un format structuré, couramment utilisé et lisible par machine (art. 20 RGPD) ;
  • Droit d'opposition à un traitement fondé sur l'intérêt légitime (art. 21 RGPD) ;
  • Retrait d'un consentement donné, avec effet pour l'avenir (art. 7(3) RGPD).

Lorsque sont concernées des données de clients finaux d'une boutique Partenaire, votre interlocuteur principal pour exercer ces droits est le Partenaire en tant que responsable de traitement. 4unit SI GmbH soutient le Partenaire conformément à l'art. 28(3)(e) et (f) RGPD.

§ 20 Droit de réclamation

Sans préjudice d'autres recours, vous avez le droit de déposer une réclamation auprès d'une autorité de contrôle. L'autorité compétente pour 4unit SI GmbH est :

Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 31 63
65021 Wiesbaden, Allemagne
Téléphone : +49 611 1408-0
E-mail : poststelle@datenschutz.hessen.de

§ 21 Obligation de fournir les données

Dans le cadre de la relation d'affaires, vous devez fournir les données personnelles nécessaires à l'établissement, à l'exécution et à la résiliation de la relation contractuelle ainsi qu'au respect des obligations contractuelles et légales associées. Sans ces données, le contrat ne peut généralement pas être conclu ni poursuivi.

§ 22 Modifications de la présente politique

Nous adaptons la présente politique en cas d'évolution juridique, technique ou des traitements dans le Service. La version en vigueur est toujours disponible sur owntheorder.com/privacy ; la date en tête indique la version applicable.