Politique de confidentialité
Dernière mise à jour : 2 juin 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via l'application et le site Marmott (ci-après « Marmott ») est :
SAS MARMOTT, société par actions simplifiée au capital de 1 000 €, immatriculée au RCS d'Antibes sous le numéro 999 565 393(SIRET 999 565 393 00017, TVA intracommunautaire FR70 999 565 393), dont le siège social est situé 3030 chemin de Saint-Bernard, 06220 Vallauris.
Contact : support@marmott.app
2. Données collectées
Marmott collecte les catégories de données suivantes :
- Identification : nom, prénom, email, numéro de téléphone, mot de passe (haché)
- Données professionnelles : SIRET, raison sociale, adresse de l'établissement
- Vérification d'identité (KYC) : pièce d'identité, selfie, données biométriques traitées par Stripe Identity (sous-traitant)
- Données de paiement : traitées exclusivement par Stripe (PCI-DSS), Marmott ne stocke aucune donnée de carte
- Contenu utilisateur : photos de montures, messages échangés via la messagerie interne, demandes de monture
- Données techniques : token de notification push, logs d'authentification, version de l'app, type d'appareil
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion du compte | Exécution du contrat |
| Vérification d'identité (KYC) | Obligation légale (LCB-FT) |
| Mise en relation et messagerie | Exécution du contrat |
| Traitement des paiements | Exécution du contrat |
| Notifications push transactionnelles | Intérêt légitime |
| Lutte contre la fraude | Intérêt légitime |
4. Destinataires et sous-traitants
Vos données sont transmises aux sous-traitants suivants, soumis à des engagements contractuels conformes au RGPD :
- Stripe Payments Europe Ltd (Irlande) — paiements et vérification d'identité
- Cloudflare R2 — stockage des fichiers (photos, documents)
- Resend — envoi des emails transactionnels
- Supabase (UE) — base de données PostgreSQL
- Render — hébergement de l'API
- Expo — service de notifications push
- Vercel — hébergement du site web
Certains de ces sous-traitants peuvent transférer des données hors UE. Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne ou des décisions d'adéquation.
5. Durée de conservation
- Compte actif : tant que le compte existe
- Compte supprimé : anonymisation sous 30 jours, sauf obligations légales
- Données KYC : 5 ans après la fin de la relation contractuelle (LCB-FT)
- Données de facturation : 10 ans (Code de commerce)
- Logs techniques : 12 mois
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès, de rectification, d'effacement
- Droit à la limitation et à l'opposition au traitement
- Droit à la portabilité de vos données
- Droit de retirer votre consentement à tout moment
- Droit de définir des directives post-mortem
Pour exercer ces droits :support@marmott.app. Vous disposez également du droit d'introduire une réclamation auprès de laCNIL.
7. Sécurité
Marmott met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS, mots de passe hachés (bcrypt/argon2), authentification à deux facteurs disponible, limitation du débit (rate limiting), audits de sécurité réguliers.
8. Cookies
L'application mobile Marmott n'utilise pas de cookies. Le site web peut utiliser des cookies strictement nécessaires au fonctionnement (session, préférences). Aucun cookie publicitaire ou de tracking tiers n'est déposé sans consentement.
9. Modifications
La présente politique peut être modifiée. Les utilisateurs seront notifiés de toute modification substantielle par email ou notification dans l'application.