Politique de confidentialité

Préambule

Liink (« nous », « notre », « nos ») édite une plateforme SaaS B2B de gestion d'opérations joaillières destinée aux marques et fabricants. La présente Politique de Confidentialité explique comment nous collectons, utilisons, conservons et protégeons les données à caractère personnel de nos utilisateurs, conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi Informatique et Libertés modifiée. En utilisant Liink, vous acceptez les traitements décrits dans la présente politique.

1. Responsable du traitement

Le responsable du traitement est Liink, société en cours d'immatriculation. Coordonnées : contact disponible via la page Contact du site. Vous pouvez joindre notre Délégué à la Protection des Données (DPO) à l'adresse privacy@liink.ink. Pour toute demande relative à vos données, voir la section « Vos droits » ci-dessous.

2. Données collectées

Selon votre usage, nous collectons les catégories de données suivantes :

• Données d'identification : nom, prénom, adresse e-mail, numéro de téléphone, photo de profil (facultatif).
• Données professionnelles : nom de la société, fonction, SIRET, adresse de facturation, numéro de TVA.
• Données d'authentification : mot de passe haché (jamais en clair), facteurs 2FA (TOTP/OTP), tokens API.
• Données métier : commandes, articles, fabrications, mouvements de stock, entrées de livre de police, comptes poids, factures, devis. Certaines de ces données peuvent inclure des informations sur des tiers (clients finaux de la marque, contreparties externes).
• Données techniques : adresse IP, type de navigateur, pages visitées, logs d'erreurs, métriques de performance.
• Données de paiement : nous ne stockons jamais vos coordonnées bancaires complètes. Le traitement des paiements est délégué à Stripe (voir section « Sous-traitants »).

3. Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

• Fournir et maintenir le service (gestion de compte, accès aux fonctionnalités, support utilisateur).
• Gérer les abonnements et la facturation (via Stripe).
• Communiquer avec vous (notifications transactionnelles, alertes, support).
• Améliorer le service (mesure d'audience anonymisée, détection de bugs, optimisation des performances).
• Respecter nos obligations légales et réglementaires (livre de police art. 537 CGI, comptabilité, conservation factures).
• Prévenir et détecter la fraude, les abus et les incidents de sécurité.

4. Base légale (RGPD art. 6)

Chaque finalité repose sur une base légale précise :

• Exécution du contrat (art. 6.1.b) : compte utilisateur, abonnement, prestation de service.
• Obligation légale (art. 6.1.c) : livre de police, conservation factures (10 ans), comptabilité.
• Intérêt légitime (art. 6.1.f) : prévention fraude, sécurité applicative (logs), amélioration produit anonymisée. Vous pouvez vous opposer à ces traitements à tout moment.
• Consentement (art. 6.1.a) : cookies analytiques (PostHog, Google Analytics), e-mails marketing, communications optionnelles. Vous pouvez retirer votre consentement à tout moment via la bannière cookies ou les paramètres de votre compte.

5. Durée de conservation

Les durées de conservation sont adaptées à chaque finalité :

• Compte utilisateur : pendant toute la durée de votre abonnement, puis 3 ans après la fin de la relation contractuelle (prescription civile).
• Données de facturation : 10 ans à compter de l'émission (art. L123-22 Code de commerce).
• Livre de police : 6 ans après la dernière inscription (art. 537 CGI). Les entrées sont immuables et hashées en chaîne (SHA-256).
• Logs d'erreurs et de sécurité : 12 mois maximum, anonymisés au-delà.
• Cookies analytiques : 13 mois maximum (recommandation CNIL).
• Tokens d'authentification : 7 jours (cookie de session), révocables à tout moment via la déconnexion.

6. Sous-traitants et destinataires

Nous faisons appel aux sous-traitants suivants, tous engagés par un contrat de sous-traitance conforme à l'art. 28 RGPD :

• Vercel Inc. (USA) — hébergement applicatif, CDN, fonctions serveur. Données traitées en région UE (fra1). Clauses contractuelles types UE + Data Privacy Framework.
• Neon Inc. (USA) — hébergement de la base de données PostgreSQL. Région UE Frankfurt. Données chiffrées au repos.
• Stripe Payments Europe Ltd (Irlande) — traitement des paiements et abonnements. Conforme PCI-DSS niveau 1. Liink ne reçoit jamais vos numéros de carte complets.
• Resend Inc. (USA) — envoi d'e-mails transactionnels (notifications, vérification). Clauses contractuelles types UE.
• Upstash Inc. (USA) — Redis pour rate-limiting. Aucune donnée personnelle stockée (uniquement des compteurs anonymisés).
• PostHog Inc. (région UE) — analytique produit, opt-in CNIL. Anonymisation IP activée.
• Sentry Inc. (USA) — observabilité applicative. PII scrubber configuré côté Liink pour retirer e-mails, noms, adresses avant transmission. Intérêt légitime.
• Inngest Inc. (USA) — orchestration des tâches asynchrones (envois e-mails différés, audits cron). Aucune donnée métier stockée.

7. Cookies et traceurs

Liink utilise trois catégories de cookies : nécessaires (authentification, sécurité CSRF, préférences de consentement — toujours actifs car indispensables au service), mesure d'audience (PostHog, Google Analytics — soumis à votre consentement explicite via la bannière), et marketing (actuellement non utilisé, réservé pour usage futur). Vous pouvez modifier vos préférences à tout moment via la bannière cookies ou en effaçant les cookies de votre navigateur. La durée de vie des cookies de mesure d'audience est limitée à 13 mois conformément à la recommandation CNIL.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (art. 15) : obtenir copie des données vous concernant.
• Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes. Accessible directement via les paramètres de votre compte.
• Droit à l'effacement (art. 17) : demander la suppression de vos données. Attention : les entrées du livre de police sont conservées 6 ans (obligation légale). Votre compte sera anonymisé et non hard-deleted pour préserver l'intégrité de la chaîne de hash légale.
• Droit à la limitation du traitement (art. 18) : geler temporairement le traitement de vos données.
• Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré et lisible par machine (export JSON).
• Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime (logs, amélioration produit).
• Droit de retirer votre consentement à tout moment (art. 7.3) : sans effet sur la licéité des traitements antérieurs.
• Droit de définir des directives post-mortem (Loi Informatique et Libertés).

9. Sécurité

Nous mettons en œuvre les mesures de sécurité techniques et organisationnelles suivantes : chiffrement des connexions (TLS 1.3 sur toutes les routes), chiffrement de la base de données au repos (AES-256), mots de passe hachés (Argon2/bcrypt), 2FA optionnelle (TOTP/OTP e-mail), Content Security Policy nonce-based, séparation stricte des couches applicatives, audit hebdomadaire d'intégrité de la chaîne de hash du livre de police, rate-limiting distribué, monitoring d'erreurs (Sentry) avec scrubbing PII automatique, sauvegardes quotidiennes de la base de données (rétention 7 jours).

10. Transferts hors UE

Certains de nos sous-traitants sont établis hors Union Européenne (Vercel, Stripe, Resend, Sentry, Upstash, Inngest aux USA). Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission Européenne et, lorsque disponible, par l'adhésion du sous-traitant au Data Privacy Framework UE-USA. Vous pouvez obtenir une copie de ces garanties en nous contactant à privacy@liink.ink.

11. Mineurs

Liink est un service B2B destiné aux professionnels de la joaillerie. Nous ne collectons pas sciemment de données concernant des personnes de moins de 16 ans. Si vous estimez qu'un mineur nous a transmis des données, contactez-nous à privacy@liink.ink et nous procéderons à leur suppression sans délai.

12. Évolution de la présente politique

Nous pouvons mettre à jour cette politique pour refléter des évolutions techniques, juridiques ou de notre service. La date de dernière mise à jour figure en haut de la page. En cas de modification substantielle (nouveau sous-traitant majeur, nouvelle finalité, modification des durées de conservation), nous vous en informerons par e-mail au moins 30 jours avant l'entrée en vigueur.

13. Contact et réclamation CNIL

Pour toute question relative à vos données ou pour exercer vos droits : privacy@liink.ink. Nous nous engageons à répondre sous 30 jours (RGPD art. 12). Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07, www.cnil.fr.