Politique de confidentialité

Dernière mise à jour : 14 avril 2026. Conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la Loi Informatique et Libertés modifiée.

1. Responsable de traitement

Le responsable du traitement des données personnelles collectées sur ce site est :

MJ (Société par Actions Simplifiée), exploitant la marque Clinique de la Fenêtre.
Siège : 3 Rue de Tremeuge, 93140 Bondy
RCS Bobigny 918 194 853 · SIREN 918 194 853 · TVA FR 84 918194853
Représenté par Yoel Zouari, Président.

Contact RGPD : contact@cliniquedelafenetre.fr

2. Données collectées et finalités

Nous collectons uniquement les données nécessaires :

DonnéeFinalitéBase légale
EmailEnvoi de devis, suivi de commande, relancesExécution contractuelle
Nom, prénomFacturation, livraisonExécution contractuelle
TéléphoneRendez-vous de livraison, SAVExécution contractuelle
Adresse de livraisonTransport des menuiseriesExécution contractuelle
Données de paiementEncaissement via Stripe (aucune donnée bancaire stockée chez nous)Exécution contractuelle
IP & user-agentPreuve légale de l'acceptation des CGV, sécuritéObligation légale
Configuration fenêtreGénération et historique de devisIntérêt légitime

3. Durées de conservation

  • Devis non transformés : 3 ans à compter du dernier contact (prospection B2C).
  • Commandes et facturation : 10 ans à compter de la clôture de l'exercice comptable (art. L123-22 Code de commerce).
  • Comptes utilisateur inactifs : 3 ans après la dernière connexion, puis anonymisation.
  • Acceptation CGV (IP + user-agent + hash) : 10 ans, à titre de preuve juridique.
  • Cookies essentiels : durée de la session + maximum 13 mois.
  • Logs de sécurité (tentatives de connexion, erreurs) : 12 mois.

4. Destinataires et sous-traitants

Vos données sont accessibles, dans la stricte limite de leurs missions, aux sous-traitants suivants :

  • Stripe Payments Europe, Limited — Dublin, Irlande — traitement du paiement, conforme PCI-DSS niveau 1.
  • MongoDB Inc. — cluster Atlas hébergé en zone UE (région Frankfurt) — stockage des devis et comptes.
  • Vercel Inc. — hébergement frontend (zone UE par défaut, fallback US en cas de bascule CDN).
  • Railway Corporation — hébergement backend (région US).
  • Resend (Postmark NL) — envoi des emails transactionnels (zone UE).
  • Telegram Messenger Inc. — notifications internes de nouveau devis (aucune donnée client transférée au-delà du numéro de devis et du total).

Aucune donnée n'est vendue, louée ou partagée à des tiers à des fins publicitaires.

5. Transferts hors Union européenne

Certains sous-traitants (Vercel, Railway, Stripe US backup, Telegram) peuvent traiter vos données depuis des serveurs situés hors de l'Union européenne, principalement aux États-Unis. Ces transferts sont encadrés par :

  • Le EU-U.S. Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) pour les sous-traitants certifiés.
  • Les clauses contractuelles types (CCT) validées par la Commission européenne pour les autres.

Une copie de ces garanties peut être obtenue sur simple demande à contact@cliniquedelafenetre.fr.

6. Cookies

Ce site dépose uniquement des cookies strictement nécessaires à son fonctionnement :

  • access_token / csrf_token : authentification et protection CSRF (httpOnly, SameSite=strict, durée 30 jours max).
  • cookie_consent : mémorisation de votre choix pour ne plus afficher la bannière (durée 12 mois).
  • sessionStorage : sauvegarde temporaire de votre configuration de fenêtre (effacée à la fermeture de l'onglet).

Aucun cookie publicitaire, aucun tracker tiers (ni Google Analytics, ni Meta Pixel, ni TikTok) n'est installé sans votre consentement explicite.

7. Sécurité

Toutes les communications sont chiffrées via TLS 1.3. Les mots de passe sont hashés avec bcrypt (cost 12). Les tokens d'authentification sont stockés en cookies httpOnly sécurisés avec SameSite=strict. Les tentatives de connexion sont rate-limitées (5 essais / 15 minutes par IP). Les comptes administrateurs peuvent activer la double authentification TOTP.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez d'un :

  • Droit d'accès à vos données
  • Droit de rectification
  • Droit à l'effacement (« droit à l'oubli »)
  • Droit à la limitation du traitement
  • Droit à la portabilité
  • Droit d'opposition
  • Droit de ne pas faire l'objet d'une décision individuelle automatisée
  • Droit de définir des directives post-mortem concernant vos données

Pour exercer ces droits, contactez-nous à contact@cliniquedelafenetre.fr. Nous vous répondrons sous un délai maximum d'un mois (prolongeable de deux mois pour les demandes complexes).

9. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés :

CNIL
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site : cnil.fr

10. Modifications de la politique

Cette politique peut être modifiée à tout moment pour refléter les évolutions légales ou les changements de nos pratiques. La version en vigueur est celle publiée sur cette page, datée en tête de document.