Politique de confidentialité

Politique de confidentialité

Dernière mise à jour : 18 juin 2026.

Qui est responsable de tes données ?

LE 28, exploitant du site le28.tharsan.me, est responsable du traitement des données personnelles collectées via ce site.

Adresse : 28 rue Pasteur, 94800 Villejuif, France.
Contact pour toute question relative à tes données : bonjour@tharsan.me.

Quelles données et pour quoi faire ?

On collecte le minimum nécessaire à chaque finalité.

TraitementDonnéesBase légaleDurée
Compte clientemail, prénom, nom, téléphoneExécution du contrat (art. 6.1.b)3 ans après dernière commande
Commande Click & Collectidentité, contact, contenu de la commande, créneau, paiementExécution du contrat + obligation comptable (art. 6.1.b et 6.1.c)10 ans (art. L123-22 Code de commerce)
Demande traiteuridentité, contact, société, détails de l'événementMesures précontractuelles (art. 6.1.b)3 ans après dernier contact
Formulaire de contactidentité, contact, contenu du messageIntérêt légitime (art. 6.1.f)1 an
Authentification (code OTP)email, code à usage unique hachéExécution du contrat (art. 6.1.b)10 minutes
Session de connexionidentifiant de session, IP, user-agentExécution du contrat (art. 6.1.b)7 jours
Journal de sécurité (admin)action effectuée, IP, user-agent de l'administrateurIntérêt légitime (art. 6.1.f) — sécurité du back-office et traçabilité6 mois, puis IP et user-agent anonymisés

Si tu paies en ligne, Stripe peut t'envoyer un reçu de paiement à l'adresse email que tu as fournie, c'est une fonctionnalité directement gérée par Stripe.

Caractère obligatoire des informations

Pour passer une commande Click & Collect, ton prénom, ton nom, ton email et ton téléphone sont nécessaires : sans eux, on ne peut pas confirmer la commande, te recontacter en cas de souci ni te fournir une facture conforme. Pour les demandes traiteur, l'email est indispensable pour répondre et le lieu de l'événement est nécessaire pour évaluer la logistique (livraison, installation) ; la société et le budget sont facultatifs et nous aident simplement à mieux calibrer la proposition.

Avec qui sont-elles partagées ?

Aucune donnée n'est revendue ni utilisée à des fins publicitaires. On utilise uniquement des sous-traitants reconnus, sous contrat (DPA).

  • Stripe Payments Europe Ltd (Irlande, UE) — paiement en ligne. Entité européenne : aucun transfert hors UE.
  • Resend, Inc. (États-Unis, région UE activée) — envoi des emails transactionnels (confirmation, OTP). Transfert encadré par le Data Privacy Framework (DPF) si certifié, à défaut par les clauses contractuelles types (CCT) 2021.
  • Supabase, Inc. (hébergement région UE, société américaine) — hébergement des données applicatives. Transfert encadré par les CCT 2021.
  • Vercel, Inc. (États-Unis, certifié DPF) — hébergement du site et des fonctions serveur (région Paris cdg1). Transfert encadré par le DPF.
  • Cloudflare R2 (région UE) — stockage des images produits (aucune donnée personnelle). CCT pour les flux résiduels.
  • Upstash, Inc. (région UE, société Delaware) — limitation de débit et stockage temporaire (rate-limit, codes OTP). Transfert encadré par les CCT 2021.
  • Sentry (région UE — ingest.de.sentry.io) — supervision des erreurs ; les emails et tokens y sont automatiquement masqués avant envoi. Transfert encadré par les CCT 2021 entre Sentry Inc. (US) et son entité UE.
  • IGN — Géoplateforme (API Adresse / BAN) (service public français, hébergement en France) — suggestions d'adresses pendant la saisie du lieu de l'événement sur le formulaire traiteur. Seuls les caractères saisis dans ce champ et ton adresse IP transitent vers ce service ; rien n'y est conservé par Le 28. Aucun transfert hors UE.

Cookies

Le site utilise uniquement des cookies strictement nécessaires à son fonctionnement : maintien de session après connexion, panier en cours, vérification anti-CSRF. Ces cookies sont exemptés de consentement par la CNIL.

Pour t'éviter de tout ressaisir, ton panier et les informations de la commande en cours (tes coordonnées, l'étape où tu en es) sont aussi mémorisés localement dans ton navigateur. Ces données ne sont jamais transmises à des tiers et sont effacées automatiquement dès que la commande est finalisée, que le panier est vidé, ou au bout de 24 heures.

Aucun cookie publicitaire, ni de mesure d'audience, ni de réseau social n'est déposé.

Tes droits

Conformément au RGPD, tu peux à tout moment :

  • accéder à tes données et en demander une copie (art. 15) ;
  • les rectifier (art. 16) ;
  • les faire effacer (art. 17), dans la limite des obligations comptables. Les commandes payées sont conservées 10 ans pour répondre à l'obligation comptable (art. L123-22 Code de commerce). Lors de la suppression du compte, le lien avec le compte client, le numéro de téléphone et la note libre sont effacés ; seules les informations strictement nécessaires à la facturation sont conservées (nom, email, contenu de la commande, montant, date) en archivage à accès restreint.
  • en limiter le traitement (art. 18) ;
  • les récupérer dans un format structuré (portabilité, art. 20) ;
  • t'opposer à un traitement fondé sur l'intérêt légitime (art. 21) ;
  • définir des directives sur le sort de tes données après ton décès, soit auprès d'un tiers de confiance certifié, soit par instructions précises à bonjour@tharsan.me (LIL art. 85).

Depuis ta page Mon compte, tu peux exporter tes données ou supprimer ton compte en un clic. Pour toute autre demande, écris à bonjour@tharsan.me ; on répond sous un mois maximum. Ce délai peut être prolongé de deux mois si la demande est complexe, on t'en informera dans le mois initial, en indiquant le motif.

Si tu estimes que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès de la CNIL, cnil.fr/fr/plaintes.

Pas de décision automatisée

Aucune décision t'affectant n'est prise de manière automatisée à partir de tes données (art. 22 RGPD). Tu n'es pas profilé.

Sécurité

Les données sont chiffrées en transit (HTTPS / HSTS). Les mots de passe administrateurs sont hachés. Les codes de connexion sont hachés en base. L'accès aux données est strictement limité aux personnes habilitées (équipe Le 28) et journalisé. Le site applique une politique de sécurité de contenu (CSP), un rate-limit anti-bruteforce et une protection CSRF.

Le service n'est pas destiné aux mineurs de moins de 15 ans (art. 45 loi Informatique et Libertés). Si tu as moins de 15 ans, demande à un parent ou tuteur de passer la commande.

Évolution de cette politique

Cette politique peut être mise à jour pour suivre les évolutions techniques ou légales. La date en haut de cette page indique la dernière révision.