Politique de confidentialité — RGPD
La présente Politique de confidentialité décrit comment DOMINO ACTION SAS (ci-après « HDDH ») collecte, utilise et protège les données personnelles dans le cadre du service hddh.fr.
Elle est conforme au Règlement Général sur la Protection des Données (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la Loi Informatique et Libertés du 6 janvier 1978 modifiée.
1. Responsable de traitement
DOMINO ACTION SAS (RCS Bobigny 894 582 147), dont le siège social est situé 25 rue du Landy, 93400 Saint-Ouen-sur-Seine, agit en qualité de responsable de traitement pour les données des marchands utilisateurs de la plateforme HDDH.
Pour les données des acheteurs finaux transmises via WhatsApp, formulaire web ou inbox, HDDH agit en qualité de sous-traitant des marchands (qui sont les responsables de traitement).
Contact protection des données : dpo@hddh.fr ou par courrier à l'adresse ci-dessus.
2. Données collectées
2.1 Côté marchand
| Catégorie | Exemples | Source |
|---|---|---|
| Identification | Nom, prénom, e-mail, nom de la boutique | Inscription via Clerk |
| Professionnelles | Marché des Puces, plan d'abonnement | Création de compte |
| Bancaires | Empreinte CB chiffrée (4 derniers chiffres) | Stripe (HDDH ne stocke pas le numéro complet) |
| Techniques | IP, user-agent, journaux de connexion | Connexion à hddh.fr |
| Usage | Nombre de master pieces, leads, messages | Utilisation du Service |
2.2 Côté acheteur final (sous-traitance)
| Catégorie | Exemples | Source |
|---|---|---|
| Identification | Nom WhatsApp, numéro de téléphone | Message WhatsApp reçu |
| Conversation | Messages, photos, intentions d'achat | Conversation avec les agents IA |
| Achat | Prix, mode de paiement, adresse de livraison | Tunnel de commande Stripe |
3. Finalités et bases légales
| Finalité | Base légale (art. 6 RGPD) |
|---|---|
| Création et gestion du compte marchand | Exécution du contrat (b) |
| Facturation des abonnements | Exécution du contrat (b) + obligation légale comptable (c) |
| Analyse des pièces par les agents IA | Exécution du contrat (b) |
| Routage des messages WhatsApp et estimations | Exécution du contrat (b) |
| Notifications de service (incidents, maintenance) | Intérêt légitime (f) |
| Amélioration du produit (anonymisée) | Intérêt légitime (f) |
| Lutte contre la fraude (Stripe Radar) | Intérêt légitime (f) |
| Marketing par e-mail (newsletter) | Consentement (a) |
| Tracking analytics (PostHog, optionnel) | Consentement (a) |
4. Sous-traitants et destinataires
HDDH fait appel aux sous-traitants suivants. Tous ont signé un Data Processing Agreement (DPA) et sont conformes au RGPD.
| Sous-traitant | Rôle | Localisation | DPA |
|---|---|---|---|
| Clerk Inc. | Authentification multi-tenant | États-Unis | DPA + SCC + DPF |
| Anthropic PBC | LLM Claude (agents IA) | États-Unis | DPA + SCC |
| OpenAI Inc. (optionnel) | LLM auxiliaire | États-Unis | DPA + SCC |
| Stripe Payments Europe Ltd. | Paiements + facturation | Irlande (UE) | DPA |
| Supabase Inc. | PostgreSQL (DB principale) | Allemagne (UE) | DPA |
| Render Services Inc. | Hébergement API | États-Unis (région exécution UE Frankfurt) | DPA + SCC |
| Vercel Inc. | Hébergement frontend | États-Unis | DPA + SCC |
| HeyGen Inc. | Avatars temps réel | États-Unis | DPA + SCC |
| Meta Platforms Ireland | WhatsApp Business | Irlande (UE) | API Terms |
| Google Ireland Ltd. | Google Drive (intégration) | Irlande (UE) | DPA |
Les transferts hors UE sont encadrés par les Clauses Contractuelles Types (CCT/SCC) approuvées par la Commission européenne (décision 2021/914) et, pour les transferts vers les États-Unis, par le Data Privacy Framework (DPF) lorsque le sous-traitant y est certifié.
5. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte marchand actif | Durée de l'abonnement + 3 ans (prescription commerciale) |
| Compte marchand inactif > 24 mois | Suppression automatique |
| Données bancaires (Stripe) | Durée de l'abonnement (anonymisation au-delà) |
| Factures et pièces comptables | 10 ans (art. L.123-22 Code de commerce) |
| Logs de connexion | 1 an (art. L.34-1 CPCE) |
| Conversations WhatsApp / chat | Durée de l'abonnement marchand |
| Données de marketing direct | 3 ans à compter du dernier contact |
6. Droits des personnes
Conformément au RGPD, vous disposez des droits suivants :
- Accès (art. 15) : obtenir une copie de vos données ;
- Rectification (art. 16) : corriger des données inexactes ;
- Effacement (art. 17) : « droit à l'oubli » ;
- Limitation du traitement (art. 18) ;
- Portabilité (art. 20) : recevoir vos données dans un format structuré ;
- Opposition (art. 21) : refuser un traitement fondé sur l'intérêt légitime ;
- Retrait du consentement (art. 7) à tout moment, sans rétroactivité ;
- Décisions automatisées (art. 22) : aucune décision purement automatisée n'est prise sur la base de vos données.
Pour exercer ces droits : envoyer un e-mail à dpo@hddh.fr accompagné d'une copie d'une pièce d'identité. Réponse sous 30 jours maximum.
En cas de litige, vous pouvez introduire une réclamation auprès de la CNIL (3 Place de Fontenoy, 75007 Paris, www.cnil.fr).
7. Sécurité
HDDH met en œuvre des mesures techniques et organisationnelles appropriées :
- Chiffrement TLS 1.3 en transit ;
- Chiffrement AES-256 at rest côté Supabase, Vercel, Render ;
- Tokens API et clés Stripe stockés chiffrés (jamais en clair dans le code) ;
- Webhooks signés HMAC (Stripe, Clerk, n8n, OAuth state) ;
- Authentification forte via Clerk (TOTP / passkeys disponibles) ;
- Logs d'audit pour toutes les actions sensibles (cf. backoffice admin) ;
- Sauvegardes quotidiennes Supabase (PITR 7 jours) ;
- Tests de pénétration annuels (cible : ISO 27001 à horizon 18 mois).
8. Notification de violation
En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, HDDH notifie la CNIL dans un délai de 72 heures (art. 33 RGPD) et, le cas échéant, les personnes concernées dans les meilleurs délais (art. 34 RGPD).
9. Cookies
Voir la Politique de cookies dédiée.
10. Modifications
HDDH se réserve le droit de modifier la présente Politique. La date de dernière mise à jour figure en bas de cette page. Les modifications substantielles font l'objet d'une notification par e-mail.
Version 1.0 — Dernière mise à jour : 28 mai 2026.
Questions juridiques : contact@hddh.app · Protection des données : dpo@hddh.app