Politique de confidentialité
Dernière mise à jour : avril 2026
La présente politique de confidentialité (ci-après la « Politique ») décrit la manière dont vos données à caractère personnel sont collectées, traitées et protégées dans le cadre de votre utilisation de la plateforme DeviantKink (ci-après la « Plateforme »), marketplace spécialisée dans la vente de produits pour adultes, accessible à l'adresse www.deviantkink.com.
Cette Politique est établie conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »), ainsi qu'à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée (ci-après la « Loi Informatique et Libertés »).
En utilisant la Plateforme, vous reconnaissez avoir pris connaissance de la présente Politique. Nous vous invitons à la lire attentivement.
1. Responsable du traitement
Le responsable du traitement des données à caractère personnel est :
- Identité : Voir mentions légales
- Statut : Entrepreneur individuel
- Adresse : Dijon, France
- Email de contact : contact@deviantkink.com
Le responsable du traitement détermine les finalités et les moyens du traitement des données à caractère personnel collectées sur la Plateforme, conformément à l'article 4, point 7, du RGPD.
2. Définitions
Au sens de la présente Politique et conformément au RGPD, les termes suivants sont définis comme suit :
- Donnée à caractère personnel (« donnée personnelle ») : toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (article 4, point 1, du RGPD).
- Traitement : toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction (article 4, point 2, du RGPD).
- Responsable du traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement (article 4, point 7, du RGPD).
- Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (article 4, point 8, du RGPD).
- Personne concernée : toute personne physique dont les données à caractère personnel font l'objet d'un traitement.
- Destinataire : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel (article 4, point 9, du RGPD).
- Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement (article 4, point 11, du RGPD).
- Violation de données : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données (article 4, point 12, du RGPD).
- Profilage : toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique (article 4, point 4, du RGPD).
3. Données collectées
Dans le cadre du fonctionnement de la Plateforme, nous collectons et traitons les catégories de données à caractère personnel suivantes :
3.1. Données d'identification
- Adresse email
- Pseudonyme (nom d'utilisateur choisi lors de l'inscription)
- Date de naissance (aux fins de vérification de la majorité, la Plateforme étant réservée aux personnes âgées de 18 ans et plus)
- Photo de profil (facultatif)
- Identifiant unique de compte
3.2. Données de contact
- Adresse postale de livraison (nom, prénom, rue, code postal, ville, pays)
- Adresse postale de facturation, le cas échéant
- Numéro de téléphone (facultatif, pour le suivi de livraison)
3.3. Données transactionnelles
- Historique des achats (produits commandés, dates, quantités, statuts)
- Historique des ventes (pour les vendeurs)
- Montants des transactions
- Moyens de paiement utilisés (type de carte, quatre derniers chiffres — les données complètes de carte bancaire ne sont jamais stockées sur nos serveurs et sont traitées exclusivement par Stripe)
- Factures et avoirs
- Historique des remboursements et litiges
3.4. Données techniques
- Adresse IP
- Type et version du navigateur (user-agent)
- Système d'exploitation
- Résolution d'écran et type d'appareil
- Journaux de connexion (logs d'authentification, horodatage)
- Données de cookies et traceurs (voir section 13)
- Jetons d'authentification
- Résultats de vérification CAPTCHA (Cloudflare Turnstile)
3.5. Données de navigation
- Pages visitées et URL consultées
- Actions effectuées (clics, recherches, ajouts au panier)
- Temps passé sur les pages
- Source de trafic (referrer)
- Termes de recherche saisis sur la Plateforme
3.6. Données de messagerie
- Contenu des conversations entre vendeurs et acheteurs via la messagerie interne
- Pièces jointes échangées dans le cadre de ces conversations
- Horodatage des messages
- Statut de lecture des messages
3.7. Données spécifiques aux vendeurs
- Numéro SIRET ou numéro d'identification fiscale
- Coordonnées bancaires transmises via Stripe Connect (IBAN, titulaire du compte — ces données sont traitées et stockées par Stripe ; DeviantKink n'a pas accès aux coordonnées bancaires complètes)
- Informations relatives à la boutique (nom, description, logo, bannière)
- Catalogue de produits (titres, descriptions, images, prix, catégories)
- Statistiques de vente et de performance
- Documents d'identité le cas échéant (vérification Stripe Connect / KYC)
4. Finalités du traitement et bases légales
Conformément à l'article 6 du RGPD, tout traitement de données à caractère personnel doit reposer sur une base légale. Le tableau ci-dessous détaille chaque finalité de traitement ainsi que la base légale correspondante :
| Finalité | Description | Base légale (art. 6 RGPD) |
|---|---|---|
| Gestion des comptes utilisateurs | Création, gestion et suppression des comptes acheteurs et vendeurs ; authentification et gestion des sessions. | Exécution du contrat (art. 6.1.b) — nécessaire à l'exécution des conditions générales d'utilisation acceptées par l'utilisateur. |
| Traitement des commandes | Gestion du processus de commande de bout en bout : validation, préparation, expédition, suivi de livraison, gestion des retours et remboursements. | Exécution du contrat (art. 6.1.b) — nécessaire à l'exécution du contrat de vente entre l'acheteur et le vendeur. |
| Paiement et versement aux vendeurs | Traitement des paiements par carte bancaire via Stripe, gestion des versements aux vendeurs via Stripe Connect, émission de factures. | Exécution du contrat (art. 6.1.b). |
| Messagerie interne | Permettre la communication entre acheteurs et vendeurs concernant les produits, les commandes et le service après-vente. | Exécution du contrat (art. 6.1.b) — fonctionnalité nécessaire au bon déroulement des transactions. |
| Emails transactionnels | Envoi de confirmations de commande, notifications d'expédition, confirmations de paiement, alertes de sécurité (connexion suspecte, changement de mot de passe), notifications de messages reçus. | Exécution du contrat (art. 6.1.b). |
| Emails marketing et newsletter | Envoi de communications commerciales, promotions, nouveautés, recommandations personnalisées de produits. | Consentement (art. 6.1.a) — l'utilisateur doit avoir expressément consenti à recevoir ces communications. Le consentement peut être retiré à tout moment. |
| Prévention de la fraude | Détection et prévention des activités frauduleuses, des tentatives de paiement frauduleux, des usurpations d'identité et des abus de la Plateforme. | Intérêt légitime (art. 6.1.f) — intérêt légitime du responsable du traitement à protéger la Plateforme et ses utilisateurs contre la fraude. |
| Sécurité de la Plateforme | Protection contre les attaques informatiques, les intrusions, les tentatives de piratage ; journalisation des accès ; limitation du nombre de requêtes (rate limiting) ; vérification CAPTCHA. | Intérêt légitime (art. 6.1.f) — intérêt légitime à assurer la sécurité et la disponibilité de la Plateforme. |
| Amélioration des services | Analyse de l'utilisation de la Plateforme afin d'améliorer l'ergonomie, les fonctionnalités et l'expérience utilisateur ; tests A/B ; optimisation des performances. | Intérêt légitime (art. 6.1.f) — intérêt légitime à améliorer continuellement la qualité de la Plateforme. |
| Statistiques anonymisées | Production de statistiques agrégées et anonymisées sur l'utilisation de la Plateforme (nombre de visiteurs, volumes de vente, catégories populaires). Ces données ne permettent pas l'identification des personnes. | Intérêt légitime (art. 6.1.f). Lorsque les données sont véritablement anonymisées, le RGPD ne s'applique plus (considérant 26). |
| Obligations légales (facturation, fiscalité) | Conservation des données de facturation conformément au Code général des impôts et au Code de commerce ; transmission d'informations aux autorités fiscales le cas échéant ; respect des obligations de facturation électronique. | Obligation légale (art. 6.1.c). |
| Modération du contenu | Vérification de la conformité des annonces, descriptions de produits, images et messages aux conditions générales d'utilisation et à la réglementation applicable ; suppression des contenus illicites. | Intérêt légitime (art. 6.1.f) et obligation légale (art. 6.1.c) — notamment au titre de la loi pour la confiance dans l'économie numérique (LCEN) et du règlement européen sur les services numériques (DSA). |
5. Base légale détaillée
Conformément à l'article 6, paragraphe 1, du RGPD, le traitement de données à caractère personnel n'est licite que si et dans la mesure où au moins une des conditions suivantes est remplie :
- a) Consentement (art. 6.1.a) : la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. Sur DeviantKink, le consentement est requis pour l'envoi d'emails marketing et de la newsletter. Ce consentement est recueilli par un mécanisme d'opt-in actif (case à cocher non pré-cochée) et peut être retiré à tout moment via les paramètres du compte ou le lien de désinscription présent dans chaque email.
- b) Exécution du contrat (art. 6.1.b) : le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci. Cette base légale fonde notamment la gestion des comptes, le traitement des commandes, les paiements, la messagerie interne et les emails transactionnels.
- c) Obligation légale (art. 6.1.c) : le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis. Cela concerne notamment la conservation des données de facturation (article L. 123-22 du Code de commerce), les obligations fiscales et la modération des contenus au titre de la LCEN et du DSA.
- f) Intérêt légitime (art. 6.1.f) : le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement, à condition que ces intérêts ne soient pas supplantés par les intérêts ou les libertés et droits fondamentaux de la personne concernée. Nous avons réalisé une mise en balance des intérêts pour chaque traitement fondé sur cette base. Les intérêts légitimes poursuivis incluent : la sécurité de la Plateforme, la prévention de la fraude, l'amélioration des services et la production de statistiques.
6. Durée de conservation
Les données à caractère personnel sont conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l'article 5, paragraphe 1, point e), du RGPD (principe de limitation de la conservation).
Les durées de conservation applicables sont les suivantes :
| Type de données | Durée de conservation | Fondement |
|---|---|---|
| Données du compte utilisateur | Durée de la relation commerciale + 3 ans après la suppression du compte | Prescription civile |
| Données de facturation et comptables | 10 ans à compter de la clôture de l'exercice | Art. L. 123-22 du Code de commerce |
| Données de transaction (commandes) | 5 ans à compter de la transaction | Prescription civile de droit commun (art. 2224 du Code civil) |
| Contenu de la messagerie | 1 an après la dernière activité de la conversation, ou suppression du compte | Finalité contractuelle |
| Données de connexion et logs de sécurité | 12 mois | Décret n° 2011-219 du 25 février 2011 relatif à la conservation des données de connexion |
| Adresse IP (journalisation) | 12 mois | LCEN et décret n° 2011-219 |
| Cookies et données de navigation | 13 mois maximum à compter du dépôt du cookie | Recommandation CNIL sur les cookies |
| Données de prospection commerciale | 3 ans à compter du dernier contact actif | Recommandation CNIL |
| Données des vendeurs (SIRET, KYC) | Durée de la relation commerciale + 5 ans | Obligations légales et prescription |
| Données relatives aux litiges | 5 ans à compter de la résolution du litige | Prescription civile |
| Justificatifs de consentement | 5 ans à compter du retrait du consentement | Charge de la preuve (art. 7.1 RGPD) |
| Demandes d'exercice de droits | 5 ans à compter de la réponse | Obligation de documentation (accountability) |
À l'expiration des durées de conservation, les données sont supprimées de manière sécurisée ou anonymisées de manière irréversible afin d'être utilisées à des fins statistiques uniquement.
7. Sous-traitants et partage des données
Conformément à l'article 28 du RGPD, nous faisons appel à des sous-traitants qui traitent des données à caractère personnel pour notre compte, dans le strict respect de nos instructions et des finalités décrites dans la présente Politique. Des contrats de sous-traitance conformes à l'article 28 du RGPD ont été conclus avec chacun de ces prestataires.
La liste de nos sous-traitants est la suivante :
| Sous-traitant | Finalité | Données traitées | Localisation | Garanties |
|---|---|---|---|---|
| Stripe, Inc. | Traitement des paiements par carte bancaire et versement aux vendeurs (Stripe Connect) | Données de paiement, coordonnées bancaires des vendeurs, données KYC | États-Unis | Clauses contractuelles types (CCT) ; certification sous le EU-US Data Privacy Framework |
| Supabase, Inc. | Hébergement de la base de données, authentification, stockage de fichiers | Ensemble des données utilisateurs et transactionnelles | EU West — AWS Frankfurt (Allemagne) | Données hébergées dans l'UE ; contrat de sous-traitance conforme art. 28 RGPD |
| Vercel, Inc. | Hébergement de l'application web, CDN, fonctions serverless | Données techniques (IP, user-agent), données transitant par les fonctions serveur | États-Unis (réseau mondial CDN) | Clauses contractuelles types (CCT) ; DPA conforme au RGPD |
| Brevo (ex-Sendinblue) | Envoi d'emails transactionnels et marketing | Email, pseudonyme, historique d'envois, taux d'ouverture | France (UE) | Données hébergées en France ; certification ISO 27001 ; conforme RGPD |
| Algolia, Inc. | Moteur de recherche de la Plateforme (indexation et recherche de produits) | Données de catalogue produits, termes de recherche | États-Unis / UE | CCT ; données indexées pouvant être répliquées en UE ; DPA conforme au RGPD |
| Sentry (Functional Software, Inc.) | Monitoring des erreurs et suivi de la performance applicative | Données techniques (stack traces, IP anonymisée, user-agent, identifiant session) | États-Unis | CCT ; anonymisation des données sensibles avant transmission ; DPA |
| Cloudflare, Inc. (Turnstile) | Protection anti-bot et CAPTCHA | Adresse IP, données de navigation, empreinte du navigateur | États-Unis (réseau mondial) | CCT ; certification sous le EU-US Data Privacy Framework ; DPA |
| Upstash, Inc. | Rate limiting, cache Redis, protection contre les abus | Adresse IP, identifiants de session, compteurs de requêtes | UE (AWS Frankfurt) | Données hébergées dans l'UE ; DPA conforme au RGPD |
En dehors des sous-traitants listés ci-dessus, vos données à caractère personnel ne sont communiquées à aucun tiers, sauf dans les cas suivants :
- Communication aux vendeurs : lorsque vous passez une commande, certaines de vos données (pseudonyme, adresse de livraison) sont communiquées au vendeur concerné afin de permettre l'exécution de la commande. Le vendeur agit en qualité de responsable de traitement distinct pour les données qu'il reçoit.
- Obligation légale : nous pouvons être amenés à communiquer vos données aux autorités judiciaires, administratives ou fiscales compétentes, lorsque la loi l'exige (réquisition judiciaire, contrôle fiscal, etc.).
- Protection des droits : en cas de litige, nous pouvons être amenés à communiquer des données aux juridictions compétentes et à nos conseils juridiques.
8. Transferts internationaux de données
Certains de nos sous-traitants sont établis en dehors de l'Espace économique européen (EEE), notamment aux États-Unis. Conformément au chapitre V du RGPD (articles 44 à 49), tout transfert de données à caractère personnel vers un pays tiers ne peut avoir lieu que si des garanties appropriées sont mises en œuvre.
Les transferts de données hors UE sont encadrés par les mécanismes suivants :
- Clauses contractuelles types (CCT) : adoptées par la Commission européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021), ces clauses sont intégrées dans nos contrats avec les sous-traitants concernés (Stripe, Vercel, Algolia, Sentry, Cloudflare). Elles garantissent un niveau de protection des données équivalent à celui offert par le RGPD.
- EU-US Data Privacy Framework : certains de nos sous-traitants américains (Stripe, Cloudflare) sont certifiés sous le EU-US Data Privacy Framework, reconnu comme offrant un niveau de protection adéquat par la décision d'adéquation de la Commission européenne du 10 juillet 2023.
- Hébergement dans l'UE : dans la mesure du possible, nous privilégions des sous-traitants hébergeant les données dans l'Union européenne (Supabase sur AWS Frankfurt, Brevo en France, Upstash sur AWS Frankfurt).
Des mesures supplémentaires sont mises en place le cas échéant, conformément aux recommandations du Comité européen de la protection des données (CEPD) n° 01/2020 sur les mesures complémentaires aux instruments de transfert.
9. Sécurité des données
Conformément à l'article 32 du RGPD, nous mettons en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement.
Les mesures de sécurité mises en place incluent notamment :
9.1. Mesures techniques
- Chiffrement en transit : toutes les communications entre votre navigateur et nos serveurs sont chiffrées via le protocole TLS 1.2 minimum (HTTPS).
- Chiffrement au repos : les données stockées dans la base de données Supabase sont chiffrées au repos (AES-256).
- Row Level Security (RLS) : des politiques de sécurité au niveau des lignes de la base de données garantissent que chaque utilisateur ne peut accéder qu'à ses propres données.
- Rate limiting : des mécanismes de limitation du nombre de requêtes (via Upstash Redis) protègent contre les attaques par force brute et les abus.
- CAPTCHA : Cloudflare Turnstile est utilisé pour protéger les formulaires sensibles (inscription, connexion, contact) contre les attaques automatisées.
- Authentification sécurisée : mots de passe hachés avec des algorithmes robustes (bcrypt) via Supabase Auth ; possibilité d'activer l'authentification à deux facteurs (2FA).
- Tokens JWT : les sessions sont gérées via des jetons JWT signés avec une durée de validité limitée.
- Protection CSRF et XSS : mise en œuvre de protections contre les attaques de type Cross-Site Request Forgery et Cross-Site Scripting.
- En-têtes de sécurité HTTP : Content Security Policy (CSP), X-Content-Type-Options, X-Frame-Options, Strict-Transport-Security (HSTS).
9.2. Mesures organisationnelles
- Accès aux données limité aux seules personnes habilitées, selon le principe du moindre privilège.
- Procédures de gestion des incidents de sécurité et de notification des violations de données conformément aux articles 33 et 34 du RGPD.
- Sauvegardes régulières des données avec procédures de restauration testées.
- Veille sécuritaire et mise à jour régulière des dépendances logicielles.
- Revue périodique des accès et des habilitations.
10. Droits des personnes
Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la Loi Informatique et Libertés, vous disposez des droits suivants sur vos données à caractère personnel :
10.1. Droit d'accès (art. 15 RGPD)
Vous avez le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel vous concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, l'accès auxdites données ainsi que les informations suivantes : les finalités du traitement, les catégories de données concernées, les destinataires, la durée de conservation envisagée, l'existence des autres droits, le droit d'introduire une réclamation auprès d'une autorité de contrôle, et la source des données lorsqu'elles n'ont pas été collectées directement auprès de vous.
10.2. Droit de rectification (art. 16 RGPD)
Vous avez le droit d'obtenir, dans les meilleurs délais, la rectification des données à caractère personnel vous concernant qui sont inexactes. Vous avez également le droit d'obtenir que les données incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.
10.3. Droit à l'effacement — « droit à l'oubli » (art. 17 RGPD)
Vous avez le droit d'obtenir l'effacement, dans les meilleurs délais, de vos données à caractère personnel lorsque l'un des motifs suivants s'applique :
- Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées.
- Vous retirez le consentement sur lequel est fondé le traitement et il n'existe pas d'autre fondement juridique au traitement.
- Vous exercez votre droit d'opposition et il n'existe pas de motif légitime impérieux pour le traitement.
- Les données ont fait l'objet d'un traitement illicite.
- Les données doivent être effacées pour respecter une obligation légale.
Ce droit ne s'applique pas lorsque le traitement est nécessaire au respect d'une obligation légale (par exemple, conservation des données de facturation pendant 10 ans) ou à la constatation, l'exercice ou la défense de droits en justice.
10.4. Droit à la limitation du traitement (art. 18 RGPD)
Vous avez le droit d'obtenir la limitation du traitement lorsque l'un des éléments suivants s'applique :
- Vous contestez l'exactitude des données, pendant la durée permettant au responsable du traitement de vérifier l'exactitude des données.
- Le traitement est illicite et vous vous opposez à l'effacement des données et exigez à la place la limitation de leur utilisation.
- Le responsable du traitement n'a plus besoin des données, mais celles-ci vous sont encore nécessaires pour la constatation, l'exercice ou la défense de droits en justice.
- Vous vous êtes opposé au traitement en vertu de l'article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.
10.5. Droit à la portabilité des données (art. 20 RGPD)
Vous avez le droit de recevoir les données à caractère personnel vous concernant que vous avez fournies au responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV). Vous avez le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données ont été communiquées y fasse obstacle.
Ce droit s'applique lorsque le traitement est fondé sur le consentement ou sur l'exécution d'un contrat et que le traitement est effectué à l'aide de procédés automatisés.
Vous pouvez exercer ce droit directement depuis votre espace compte en utilisant la fonctionnalité d'export de données.
10.6. Droit d'opposition (art. 21 RGPD)
Vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de vos données à caractère personnel fondé sur l'intérêt légitime (art. 6.1.f). Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée.
Lorsque les données à caractère personnel sont traitées à des fins de prospection commerciale, vous avez le droit de vous opposer à tout moment au traitement des données vous concernant à de telles fins, y compris au profilage lié à une telle prospection. Ce droit d'opposition est absolu et ne nécessite aucune justification.
10.7. Droit au retrait du consentement (art. 7.3 RGPD)
Lorsque le traitement est fondé sur le consentement, vous avez le droit de retirer votre consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. Vous pouvez retirer votre consentement :
- Depuis les paramètres de votre compte (section « Préférences de communication »).
- Via le lien de désinscription présent dans chaque email marketing.
- En nous contactant directement à l'adresse indiquée à la section 15.
10.8. Droit de ne pas faire l'objet d'une décision automatisée (art. 22 RGPD)
Vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon similaire. Pour plus de détails, voir la section 12 ci-dessous.
10.9. Modalités d'exercice des droits
Pour exercer l'un de ces droits, vous pouvez nous adresser votre demande par email à l'adresse suivante : contact@deviantkink.com.
Votre demande doit comporter :
- Votre nom ou pseudonyme sur la Plateforme
- Votre adresse email associée au compte
- La description précise du droit que vous souhaitez exercer
- Un justificatif d'identité pourra être demandé en cas de doute raisonnable sur votre identité (art. 12.6 RGPD)
Délai de réponse : nous nous engageons à répondre à votre demande dans un délai d'un (1) mois à compter de la réception de celle-ci, conformément à l'article 12, paragraphe 3, du RGPD. Ce délai peut être prolongé de deux (2) mois supplémentaires compte tenu de la complexité et du nombre de demandes. Dans ce cas, vous en serez informé dans le délai d'un mois.
Gratuité : l'exercice de ces droits est gratuit. Toutefois, en cas de demandes manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut exiger le paiement de frais raisonnables ou refuser de donner suite à la demande (art. 12.5 RGPD).
10.10. Recours auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : CNIL — 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
- Par téléphone : 01 53 73 22 22
11. Données des mineurs
La Plateforme DeviantKink est un site de commerce en ligne de produits pour adultes. Son accès et son utilisation sont strictement réservés aux personnes âgées de 18 ans et plus.
Nous ne collectons pas sciemment de données à caractère personnel auprès de mineurs de moins de 18 ans. La date de naissance est collectée lors de l'inscription afin de vérifier que l'utilisateur est majeur.
Si nous apprenons que des données à caractère personnel concernant un mineur de moins de 18 ans ont été collectées, nous prendrons les mesures nécessaires pour supprimer ces données dans les meilleurs délais. Si vous êtes parent ou tuteur légal et que vous constatez que votre enfant mineur s'est inscrit sur la Plateforme, veuillez nous contacter immédiatement à l'adresse contact@deviantkink.com afin que nous procédions à la suppression du compte et des données associées.
12. Profilage et décisions automatisées
Conformément à l'article 22 du RGPD, nous vous informons que la Plateforme peut utiliser des traitements automatisés dans les cas suivants :
12.1. Classement des produits (ranking)
Les résultats de recherche et les produits affichés sur la Plateforme sont classés selon des critères automatisés prenant en compte notamment : la pertinence par rapport à la requête de recherche, la popularité du produit (nombre de ventes, consultations), la note et les avis des acheteurs, la date de mise en ligne et la qualité de la fiche produit.
Ce classement ne constitue pas une décision produisant des effets juridiques à l'égard des utilisateurs au sens de l'article 22 du RGPD. Il vise uniquement à améliorer la pertinence des résultats présentés.
12.2. Scoring et détection de fraude
Des mécanismes automatisés de détection de fraude peuvent être utilisés pour identifier des comportements suspects (tentatives de paiement frauduleux, création de comptes multiples abusifs, etc.). Ces mécanismes peuvent conduire à un blocage temporaire du compte ou d'une transaction, auquel cas une vérification humaine est systématiquement effectuée avant toute décision définitive.
12.3. Recommandations personnalisées
La Plateforme peut afficher des recommandations de produits basées sur votre historique de navigation et vos achats précédents. Ces recommandations sont des suggestions non contraignantes et ne produisent aucun effet juridique.
Vous pouvez vous opposer au profilage à des fins de prospection commerciale en exerçant votre droit d'opposition (voir section 10.6).
13. Cookies et traceurs
La Plateforme utilise des cookies et autres traceurs dans le cadre de son fonctionnement. Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, tablette, smartphone) lors de la consultation d'un site web.
Conformément à l'article 82 de la Loi Informatique et Libertés et aux lignes directrices de la CNIL sur les cookies et autres traceurs (délibération n° 2020-091 du 17 septembre 2020), nous distinguons :
- Les cookies strictement nécessaires : indispensables au fonctionnement de la Plateforme (authentification, panier, sécurité). Ils ne nécessitent pas votre consentement.
- Les cookies de mesure d'audience : permettant de mesurer l'audience de la Plateforme et d'analyser la navigation. Soumis à votre consentement.
- Les cookies tiers : déposés par nos sous-traitants (Stripe, Cloudflare) dans le cadre de leurs services. Soumis à votre consentement lorsqu'ils ne sont pas strictement nécessaires.
Pour une information complète sur les cookies utilisés, leur finalité et les modalités de gestion de votre consentement, veuillez consulter notre Politique relative aux cookies.
14. Modification de la présente politique
Nous nous réservons le droit de modifier la présente Politique à tout moment afin de l'adapter aux évolutions législatives et réglementaires, aux décisions de la CNIL ou du CEPD, ou aux modifications apportées au fonctionnement de la Plateforme.
En cas de modification substantielle, nous vous en informerons par email et/ou par une notification sur la Plateforme au moins trente (30) jours avant l'entrée en vigueur de la nouvelle version. La date de dernière mise à jour est indiquée en haut du présent document.
Nous vous invitons à consulter régulièrement cette page pour prendre connaissance des éventuelles modifications. La poursuite de l'utilisation de la Plateforme après l'entrée en vigueur de la version modifiée vaut prise de connaissance de la nouvelle Politique.
15. Contact — Délégué à la protection des données
Pour toute question relative à la présente Politique, au traitement de vos données à caractère personnel ou pour exercer vos droits, vous pouvez nous contacter :
- Par email : contact@deviantkink.com
- Par courrier : DeviantKink — Dijon, France
- Via le formulaire de contact : page de contact
Conformément à l'article 37 du RGPD, la désignation d'un délégué à la protection des données (DPO) n'est pas obligatoire pour notre structure. Néanmoins, toute demande relative à la protection des données sera traitée avec la plus grande attention par le responsable du traitement, qui assure personnellement le suivi des demandes relatives à la protection des données.
La présente politique de confidentialité est régie par le droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence des juridictions françaises.