Politique de Confidentialité

1. Responsable du traitement

Le responsable du traitement de vos données à caractère personnel est :

Nous ne sommes pas tenus de désigner un Délégué à la Protection des Données (DPD) en vertu de l'article 38 de la BDSG, étant donné que moins de 20 personnes participent régulièrement au traitement automatisé de données à caractère personnel. Pour toute question relative à la protection des données, veuillez nous contacter aux coordonnées indiquées ci-dessus.

2. Données collectées

Nous collectons les catégories suivantes de données à caractère personnel :

• Données de compte : nom, adresse e-mail, numéro de téléphone, mot de passe (haché)
• Données commerciales : nom de la boulangerie, emplacements, informations du personnel
• Données opérationnelles : commandes, registres d'inventaire, recettes, fichiers clients
• Données d'utilisation : horodatages de connexion, utilisation des fonctionnalités, type de navigateur
• Données techniques : adresse IP, informations sur l'appareil, identifiants de session

Nous ne collectons pas de données à caractère personnel sensibles (par exemple, données de santé, données biométriques) sauf si vous les fournissez explicitement dans vos registres commerciaux.

Collecte indirecte de données (Art. 14 RGPD) : Lorsque vous utilisez le Service pour gérer votre boulangerie, vous pouvez saisir des données à caractère personnel de vos propres clients, employés et fournisseurs (par exemple, noms, coordonnées, adresses de livraison). Nous traitons ces données en votre nom en qualité de sous-traitant au titre de l'Accord de Traitement des Données (DPA). Vous, en tant que responsable du traitement, êtes responsable d'informer ces personnes du traitement de leurs données à caractère personnel et d'obtenir les consentements nécessaires. Nous n'utilisons ces données collectées indirectement à aucune autre fin que la fourniture du Service.

La fourniture de vos données de compte (nom, e-mail, mot de passe) est une exigence contractuelle nécessaire pour créer votre compte et fournir le Service. Sans ces données, nous ne pouvons pas vous offrir l'accès à BakeWind. Toutes les autres données que vous saisissez dans le Service (données commerciales, fichiers clients, commandes) sont fournies volontairement dans le cadre de votre utilisation de la plateforme.

3. Utilisation de vos données et base juridique (RGPD)

Nous traitons vos données à caractère personnel aux fins énumérées ci-dessous. Chaque finalité est associée à sa base juridique au titre du RGPD :

• Fourniture et maintenance du Service — Exécution du contrat (Art. 6(1)(b))
• Traitement de votre abonnement et facturation — Exécution du contrat (Art. 6(1)(b))
• Envoi d'e-mails transactionnels (vérification de compte, réinitialisation de mot de passe, notifications de commande) — Exécution du contrat (Art. 6(1)(b))
• Fourniture du support client — Exécution du contrat (Art. 6(1)(b))
• Amélioration du Service et correction des bogues sur la base de schémas d'utilisation agrégés — Intérêt légitime (Art. 6(1)(f)) : notre intérêt à maintenir et améliorer un service fiable
• Garantie de la sécurité, prévention de la fraude et détection des accès non autorisés — Intérêt légitime (Art. 6(1)(f)) : notre intérêt à protéger le Service et ses utilisateurs
• Conservation des registres de facturation et des factures — Obligation légale (Art. 6(1)(c)) : droit fiscal allemand (§ 147 AO, § 14b UStG)
• Communications marketing (newsletters, mises à jour produit) — Consentement (Art. 6(1)(a)), que vous pouvez retirer à tout moment. Nous n'envoyons actuellement pas d'e-mails marketing ; en cas d'introduction, cela nécessitera votre consentement explicite préalable

4. Droit d'opposition (Art. 21 RGPD)

Lorsque nous traitons vos données sur la base de l'intérêt légitime (Art. 6(1)(f)), vous avez le droit de vous opposer à tout moment pour des raisons tenant à votre situation particulière. Dès réception de votre opposition, nous cesserons le traitement, sauf si nous pouvons démontrer des motifs légitimes impérieux prévalant sur vos intérêts, droits et libertés, ou si le traitement est nécessaire à la constatation, l'exercice ou la défense de droits en justice.

Pour exercer votre droit d'opposition, contactez-nous à privacy@bakewind.com.

5. Partage des données

Nous ne vendons pas vos données à caractère personnel. Nous partageons les données uniquement avec :

• Hetzner Online GmbH (Falkenstein, Allemagne) — Hébergement d'infrastructure et stockage de données. Toutes les données sont hébergées au sein de l'Union européenne.
• Stripe, Inc. (États-Unis / Union européenne) — Traitement des paiements et facturation des abonnements (conforme PCI DSS). Stripe agit également en tant que responsable du traitement indépendant pour ses propres obligations de prévention de la fraude et de conformité réglementaire, conformément à sa propre politique de confidentialité.
• Mailtrap par Railsware Products, Inc. (États-Unis) — Envoi d'e-mails transactionnels (vérification de compte, réinitialisation de mot de passe, notifications).
• Autorités légales — Lorsque la loi, une ordonnance judiciaire ou une demande réglementaire l'exige

Tous les sous-traitants tiers sont liés par des Accords de Traitement des Données (DPA) conformément à l'article 28 du RGPD. Pour plus de détails sur les sous-traitants ultérieurs et les transferts internationaux de données, consultez notre Accord de Traitement des Données.

6. Cookies et analytiques

BakeWind utilise Umami, un outil d'analyse open source respectueux de la vie privée, auto-hébergé sur notre propre infrastructure au sein de l'UE. Umami n'utilise pas de cookies, ne suit pas les utilisateurs entre les sites web et ne stocke pas de données à caractère personnel. Les adresses IP sont traitées de manière transitoire pour la géolocalisation mais ne sont ni stockées ni journalisées.

Nous utilisons uniquement des cookies internes strictement nécessaires à l'authentification. Ces cookies sont exemptés de consentement au titre de l'article 25(2) de la TTDSG et de la Directive ePrivacy car ils sont indispensables au fonctionnement du Service. Les cookies spécifiques que nous définissons sont :

• bw_access — Finalité : authentification (jeton d'accès JWT). Durée : 15 minutes. Type : httpOnly, secure, sameSite: lax, cookie interne.
• bw_refresh — Finalité : renouvellement de session (jeton de rafraîchissement JWT). Durée : 7 jours lorsque « se souvenir de moi » est sélectionné, sinon session uniquement (expire à la fermeture du navigateur). Type : httpOnly, secure, sameSite: lax, cookie interne.

Nous n'utilisons pas de cookies publicitaires, de scripts de suivi tiers, ni aucun cookie nécessitant le consentement de l'utilisateur.

7. Vos droits (RGPD)

En vertu du RGPD, vous disposez des droits suivants concernant vos données à caractère personnel :

• Droit d'accès (Art. 15) : Demander une copie de vos données à caractère personnel
• Droit de rectification (Art. 16) : Corriger des données inexactes ou incomplètes
• Droit à l'effacement (Art. 17) : Demander la suppression de vos données (« droit à l'oubli »)
• Droit à la limitation du traitement (Art. 18) : Limiter le traitement dans certaines circonstances
• Droit à la portabilité des données (Art. 20) : Recevoir vos données dans un format structuré et lisible par machine (JSON ou CSV)
• Droit d'opposition (Art. 21) : S'opposer au traitement fondé sur l'intérêt légitime — voir Section 4 ci-dessus pour les détails
• Droit de retrait du consentement : Retirer votre consentement à tout moment sans affecter la licéité du traitement antérieur
• Droit de ne pas faire l'objet d'une décision automatisée (Art. 22) : Nous n'utilisons pas de prise de décision automatisée ni de profilage produisant des effets juridiques ou des effets similaires significatifs vous concernant
• Droit de réclamation (Art. 77) : Déposer une réclamation auprès d'une autorité de contrôle — voir Section 12 ci-dessous

Pour exercer l'un de vos droits, contactez-nous à privacy@bakewind.com. Nous répondrons sans retard injustifié et en tout état de cause dans un délai d'un mois à compter de la réception de votre demande, conformément à l'Art. 12(3) du RGPD. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, compte tenu de la complexité et du nombre de demandes.

8. Conservation des données

Nous conservons vos données à caractère personnel aussi longtemps que votre compte est actif ou que nécessaire pour fournir le Service. Après la résiliation du compte :

• Données de compte et commerciales : Supprimées dans les 30 jours suivant la résiliation du compte
• Registres de facturation (factures, références de paiement) : Conservés pendant 10 ans conformément au droit fiscal allemand (§ 147 AO, § 14b UStG). Seules les données financières sont conservées ; les données à caractère personnel associées sont minimisées.
• Données d'utilisation (horodatages de connexion, utilisation des fonctionnalités) : Conservées pendant la durée du compte. Supprimées dans les 30 jours suivant la résiliation du compte.
• Journaux de sécurité (événements d'authentification, journaux d'accès) : Conservés pendant 90 jours pour la prévention de la fraude et la surveillance de la sécurité
• Données techniques (adresses IP, identifiants de session) : Conservées pendant 90 jours, puis automatiquement purgées
• Sauvegardes : Les sauvegardes chiffrées suivent un cycle de rétention de 7 quotidiennes, 4 hebdomadaires et 12 mensuelles. Après la suppression des données du système actif, celles-ci peuvent persister dans les sauvegardes existantes jusqu'à leur rotation — jusqu'à un maximum de 12 mois pour la sauvegarde mensuelle la plus ancienne. Les sauvegardes sont chiffrées et leur accès est restreint.

9. Sécurité des données

Nous mettons en oeuvre des mesures techniques et organisationnelles appropriées pour protéger vos données, notamment :

• Chiffrement AES-256-GCM pour les données sensibles au repos
• Chiffrement TLS/HTTPS pour toutes les données en transit
• Mots de passe hachés avec bcrypt et salage
• Contrôle d'accès basé sur les rôles avec le principe du moindre privilège
• Audits de sécurité et évaluations de vulnérabilité réguliers
• Liste noire et rotation des jetons pour la gestion des sessions

10. Transferts internationaux de données

Vos données sont principalement hébergées sur des serveurs situés au sein de l'Union européenne (Hetzner, Falkenstein, Allemagne). Certains sous-traitants ultérieurs (Stripe, Mailtrap) peuvent transférer des données limitées vers les États-Unis pour le traitement des paiements et l'envoi d'e-mails. Ces transferts sont protégés par des Clauses Contractuelles Types (CCT) et, dans le cas de Stripe, par la certification au titre du Cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework). Pour plus de détails sur les mécanismes de transfert par sous-traitant ultérieur, consultez notre Accord de Traitement des Données (Section 8).

11. Modifications de la présente politique

Nous pouvons mettre à jour la présente Politique de Confidentialité de temps à autre. Nous vous informerons des modifications substantielles par e-mail ou par un avis dans le Service au moins 30 jours avant leur entrée en vigueur.

La dernière version de la présente politique est toujours disponible sur notre site web.

12. Contact et réclamations

Pour toute question, préoccupation ou pour exercer vos droits en matière de protection des données, contactez-nous à :

Si vous estimez que vos droits en matière de protection des données ont été violés, vous avez le droit de déposer une réclamation auprès d'une autorité de contrôle. L'autorité compétente pour Berlin est :