Article 1 — Préambule
La présente politique de confidentialité décrit les conditions dans lesquelles Jiko Art collecte, utilise, conserve et protège les données personnelles des utilisateurs de la Plateforme accessible à l'adresse https://www.jikoart.org.
Elle est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (Règlement Général sur la Protection des Données — RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).
Elle complète les Conditions Générales d'Utilisation et les Conditions Générales de Vente, dont elle constitue la source de référence pour toute question relative au traitement des données personnelles.
Article 2 — Responsable de traitement
Le responsable de traitement au sens de l'article 4-7 du RGPD est :
- Kevin Pseudo, auto-entrepreneur, exploitant du site Jiko Art
- Adresse : 05400, Veynes — France
- SIRET : 80943881500023
- Contact RGPD : support@jikoart.org
Compte tenu de la taille de la structure, Jiko Art n'est pas tenue de désigner un Délégué à la protection des données (DPO). Le responsable de traitement assume directement cette mission et répond à toute sollicitation à l'adresse indiquée ci-dessus.
Article 3 — Données collectées
3.1 Données fournies directement par l'Utilisateur
- Données d'identité : nom, prénom, pseudonyme artiste, date de naissance (si renseignée) ;
- Données de contact : adresse email, adresse postale (pour la livraison), numéro de téléphone (si renseigné) ;
- Données de compte : rôle (Acheteur, Artiste, ONG), mot de passe (haché), préférences utilisateur, langue ;
- Données de profil : biographie, photo de profil, photographies d'œuvres, liens vers réseaux sociaux (pour les Artistes et ONG) ;
- Pièces justificatives (ONG) : statuts, récépissé de déclaration, RNA, SIRET ;
- Données de paiement : aucune donnée bancaire (carte, IBAN) n'est collectée par Jiko Art — elles sont traitées exclusivement par Stripe (cf. article 5).
3.2 Données générées par l'utilisation
- Données de transaction : historique des ventes et achats, montants, statuts, dates, informations de livraison et de suivi ;
- Données de navigation : adresse IP, logs de connexion, pages consultées, données techniques (navigateur, OS, type d'appareil) ;
- Données de mesure d'audience : statistiques agrégées et anonymes, sans cookie (cf. article 10 et la page dédiée aux cookies).
3.3 Données collectées auprès de tiers
Jiko Art peut recevoir, dans le cadre d'un paiement, des informations transmises par Stripe(statut du paiement, identifiant de transaction, code pays de la carte). Aucun numéro de carte n'est transmis à Jiko Art.
3.4 Données sensibles
Jiko Art ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, etc.).
Article 4 — Finalités et bases légales
Chaque traitement repose sur une base légale identifiée, conformément à l'article 6 du RGPD :
| Finalité | Base légale |
|---|---|
| Gestion des comptes et authentification | Exécution du contrat |
| Exécution des transactions et paiements | Exécution du contrat |
| Livraison des Œuvres | Exécution du contrat |
| Émission des Certificats Jiko Art | Exécution du contrat |
| Communications transactionnelles (confirmations, suivi) | Exécution du contrat |
| Vérification des comptes ONG | Exécution du contrat + obligation légale |
| Obligations comptables, fiscales et lutte anti-blanchiment | Obligation légale |
| Conservation des logs de connexion | Obligation légale (art. L.34-1 CPCE) |
| Modération et sécurité de la Plateforme | Intérêt légitime |
| Mesure d'audience anonyme du site | Intérêt légitime (exemption CNIL) |
| Amélioration de la Plateforme et analyse fonctionnelle | Intérêt légitime |
| Newsletter et communications marketing | Consentement |
Article 5 — Destinataires et sous-traitants
5.1 Destinataires internes
Les données sont accessibles, dans la stricte limite du besoin d'en connaître, à l'exploitant du site et à toute personne formellement habilitée par lui à exploiter la Plateforme.
5.2 Destinataires externes — Parties à la Transaction
Pour permettre l'exécution d'une vente, certaines données sont nécessairement partagées entre les parties :
- L'adresse de livraison de l'Acheteur est transmise à l'Artiste vendeur pour l'expédition ;
- L'identité et le pseudonyme de l'Artiste sont visibles publiquement sur la fiche de l'Œuvre et sur le Certificat d'authenticité ;
- Le nom de l'ONG bénéficiaire est associé publiquement aux Œuvres concernées.
5.3 Sous-traitants techniques
Jiko Art fait appel aux sous-traitants suivants, liés par des obligations contractuelles de confidentialité et de sécurité conformes à l'article 28 du RGPD :
| Sous-traitant | Rôle | Localisation des données |
|---|---|---|
| Stripe, Inc. | Traitement des paiements (Stripe Connect) | États-Unis — CCT UE |
| Supabase, Inc. | Base de données PostgreSQL et stockage des fichiers | États-Unis — CCT UE |
| Vercel, Inc. | Hébergement du site web (frontend) et mesure d'audience sans cookie | États-Unis — CCT UE |
| Render Services, Inc. | Hébergement de l'API applicative (backend) | Allemagne (Frankfurt) — UE |
| Zoho Corporation B.V. | Emails transactionnels et boîte support | Pays-Bas — UE (Zoho EU) |
Aucune donnée personnelle n'est revendue, échangée ou louée à des tiers à des fins commerciales.
Article 6 — Transferts hors UE
Les sous-traitants Render et Zoho hébergent les données dans l'Union européenne (respectivement Allemagne et Pays-Bas).
Les sous-traitants Stripe, Supabase et Vercel sont établis aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT)approuvées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021), conformément à l'article 46 du RGPD. Le cas échéant, ces sous-traitants peuvent également invoquer leur certification au titre du Data Privacy Framework (décision d'adéquation UE-US du 10 juillet 2023).
Article 7 — Durées de conservation
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte actif | Durée de l'inscription | Exécution du contrat |
| Données après suppression du compte | 3 ans | Prescription des actions contractuelles |
| Données de transaction (factures, justificatifs) | 10 ans | Obligations comptables et fiscales |
| Données du Certificat d'authenticité | Sans limite | Traçabilité de la provenance des Œuvres |
| Données nécessaires au droit de suite | 3 ans | Article R.122-11 CPI |
| Logs de connexion | 12 mois | Article L.34-1 CPCE |
| Données de navigation et d'audience | 13 mois max | Recommandation CNIL |
| Inscription newsletter | Jusqu'à désinscription + 3 ans | Preuve du consentement |
Article 8 — Sécurité des données
Jiko Art met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD :
- Chiffrement des communications en transit (HTTPS / TLS) sur l'ensemble du site et de l'API ;
- Hachage cryptographique des mots de passe (algorithme bcrypt) ;
- Authentification sécurisée par session signée (JWT / NextAuth) ;
- Cloisonnement des accès à la base de données et aux fichiers (Row-Level Security Supabase) ;
- Sauvegardes régulières et chiffrées de la base de données ;
- Sous-traitants certifiés (Stripe PCI-DSS Level 1, Vercel SOC 2, Supabase SOC 2, Render SOC 2).
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, Jiko Art notifiera la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD et informera, le cas échéant, les personnes concernées conformément à l'article 34.
Article 9 — Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie ;
- Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (art. 17), dit « droit à l'oubli », sous réserve des obligations légales de conservation ;
- Droit à la limitation (art. 18) : faire suspendre temporairement le traitement ;
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
- Droit d'opposition (art. 21) au traitement fondé sur l'intérêt légitime ou la prospection commerciale ;
- Droit de retirer son consentement à tout moment, sans que cela n'affecte la licéité du traitement antérieur ;
- Droit de définir des directives relatives au sort de vos données après votre décès (loi Informatique et Libertés, art. 85).
Pour exercer ces droits, écrivez à support@jikoart.orgen précisant votre demande et, le cas échéant, tout justificatif d'identité nécessaire. Une réponse sera apportée dans un délai d'un (1) mois à compter de la réception (délai pouvant être prolongé de deux mois supplémentaires en cas de complexité, avec information préalable).
Article 11 — Décisions automatisées et profilage
Jiko Art ne prend aucune décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou affectant significativement les Utilisateurs au sens de l'article 22 du RGPD.
Aucun profilage publicitaire ou comportemental n'est effectué.
Article 12 — Mineurs
La Plateforme s'adresse à des personnes majeures. L'inscription est réservée aux personnes physiques âgées d'au moins 18 ans (ou aux personnes morales légalement constituées).
Si Jiko Art venait à apprendre qu'un mineur s'est inscrit sans le consentement des titulaires de l'autorité parentale, le compte serait supprimé et les données associées effacées, sous réserve des obligations légales de conservation.
Article 13 — Modification de la politique
La présente politique de confidentialité peut être amenée à évoluer, notamment pour tenir compte de l'évolution législative, réglementaire ou de nouveaux outils mis en œuvre par la Plateforme.
Toute modification substantielle fera l'objet d'une information préalable des Utilisateurs par notification sur la Plateforme et par email, avec un préavis minimum de 15 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en tête de la présente politique.
Article 14 — Réclamation auprès de la CNIL
Si, après nous avoir contactés, vous estimez que vos droits ne sont pas respectés, vous pouvez à tout moment introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — Commission Nationale de l'Informatique et des Libertés
3 place de Fontenoy — TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
www.cnil.fr
Article 15 — Contact
Pour toute question relative à la présente politique de confidentialité ou au traitement de vos données personnelles :
- Email RGPD : support@jikoart.org
- Email général : contact@jikoart.org
- Adresse postale : Kevin Pseudo — 05400, Veynes — France
Voir également les Mentions légales, les Conditions Générales d'Utilisation et les Conditions Générales de Vente.