RGPD & mentions légales

En tant que commerçant gérant des données personnelles (clients, IMEI, codes PIN), vous êtes responsable de traitement au sens du RGPD. FixVault est sous-traitant et vous fournit les outils nécessaires à votre conformité.

1. Vos obligations RGPD

En tant que responsable de traitement, vous devez :

Obligation	Comment FixVault aide
Tenir un registre des traitements	Modèle pré-rempli téléchargeable
Informer vos clients (mentions légales)	Pages publiques `/portal/legal/*`
Recueillir le consentement marketing	Case à cocher dédiée création client
Permettre l'accès aux données (Art. 15)	Bouton export portail client
Permettre la suppression (Art. 17)	Bouton suppression portail client
Sécuriser les données	Hébergement France, chiffrement at-rest
Notifier les incidents	Procédure FixVault sous 72 h

2. Configurer ses mentions légales

Réglages → Mentions légales.

Configuration mentions légales

Quatre pages à remplir :

A — Conditions Générales de Vente (CGV)

Modèle pré-rempli adapté à la réparation électronique. Personnalisez :

Délais de réparation.
Conditions de garantie.
Politique de retour / non-réparé.
Droit de rétractation (14 jours hors prestation atelier).

B — Politique de confidentialité

Modèle RGPD pré-rempli. Personnalisez :

Durée de conservation (par défaut 6 ans, légal France).
Sous-traitants utilisés (Resend, Stripe, Enable Banking, etc.).
Coordonnées du DPO si applicable.

C — Mentions légales

Pré-remplies depuis la fiche boutique : SIRET, raison sociale, adresse, hébergeur (FixVault SAS, Hostinger Strasbourg), directeur de publication.

D — Politique cookies

Liste des cookies utilisés (essentiels uniquement par défaut).

💡 Astuce — Une fois les 4 pages remplies, FixVault génère un score de conformité (0-100). Visez 100 avant d'accepter votre premier client en ligne.

3. Pages publiques

Vos mentions sont accessibles publiquement :

https://app.fixvault.fr/portal/mentions-legales/<votre-slug>
https://app.fixvault.fr/portal/cgv/<votre-slug>
https://app.fixvault.fr/portal/confidentialite/<votre-slug>
https://app.fixvault.fr/portal/cookies/<votre-slug>

📌 Note — Liez-les depuis le footer de votre site web. C'est obligatoire pour tout site marchand français.

4. Consentement marketing

Lors de la création d'un client, deux cases à cocher distinctes :

J'accepte la communication transactionnelle (statut ticket, factures — base légale : exécution du contrat, pas de consentement requis).
J'accepte la communication marketing (campagnes, promotions — base légale : consentement explicite RGPD).

Cases consentement à la création client

Les campagnes marketing n'envoient jamais aux clients sans consentement marketing actif. La date du consentement est tracée.

5. Droit d'accès (RGPD article 15)

Le client peut demander l'export de toutes ses données personnelles.

Depuis le portail client

Le client se connecte sur app.fixvault.fr/portal → Mon compte → Exporter mes données.

ZIP généré contenant :

Coordonnées et historique fiche.
Tous ses tickets (sans commentaires privés).
Toutes ses factures et devis (PDF).
Tous les SMS / emails / WhatsApp envoyés.
Audit log de ses connexions au portail.

Demande par email

Si le client n'utilise pas le portail :

Vous recevez l'email à votre adresse de contact.
Vous avez 1 mois pour répondre.
Dans Fiche client → ⋯ → Exporter données RGPD : génère le ZIP.
Envoyez par email avec accusé de réception.

⚠️ Attention — Vérifiez l'identité du demandeur avant export (pièce d'identité par email, ou signature en boutique). Sinon risque de fuite.

6. Droit à l'effacement (RGPD article 17)

Le client peut demander la suppression de ses données.

Cas où vous DEVEZ supprimer

Pas d'opération en cours (tickets, factures impayées).
Pas d'obligation légale de conservation (factures = 10 ans).

Cas où vous POUVEZ refuser

Factures en cours de paiement.
Litige judiciaire en cours.
Obligation comptable (factures payées doivent rester 10 ans).

Procédure

Fiche client → ⋯ → Supprimer (RGPD).

FixVault propose 2 modes :

Mode	Effet
Anonymisation (recommandé)	Nom remplacé par « Client anonymisé », email/mobile vidés. Factures conservées (obligation légale) mais sans lien nominatif.
Suppression complète	Si aucune facture émise. La fiche disparaît totalement.

L'opération est tracée dans l'audit log avec mention de la base juridique.

7. Conservation des données

Donnée	Durée	Base légale
Fiche client active	Tant que relation commerciale	Contrat
Fiche client inactive	3 ans après dernier achat	Prospection commerciale CNIL
Factures	10 ans	Code de commerce L123-22
Z-Reports	6 ans	NF525 / Bofip
FEC	10 ans	LPF L102 B
Audit log connexions	1 an	RGPD sécurité
Sauvegardes	30 jours	RGPD minimisation

FixVault applique automatiquement ces durées (purge auto à échéance pour les sauvegardes et l'audit log).

8. Sécurité

Côté FixVault :

Chiffrement at-rest : disque chiffré LUKS sur le serveur.
Chiffrement in-transit : HTTPS TLS 1.3 partout.
Mot de passe : bcrypt 12 rounds, jamais stocké en clair.
2FA TOTP disponible et recommandé pour les ADMIN.
Account lockout : 5 échecs → blocage 15 min.
Sauvegardes : quotidiennes, 30 jours rétention, NAS off-site (chiffré GPG).

Côté vous :

Activez le 2FA sur tous les comptes ADMIN.
Utilisez des mots de passe uniques par employé.
Désactivez les comptes des employés sortants dans la journée.
N'utilisez pas FixVault sur des PC partagés non sécurisés.

9. Notification d'incident

En cas de fuite de données détectée par FixVault, vous êtes notifié sous 72 h max par email + alerte dashboard, avec :

Nature de l'incident.
Données concernées.
Mesures correctrices.
Recommandations pour vos clients.

À votre charge : déclaration à la CNIL si l'incident présente un risque pour les personnes (modèle de déclaration fourni).

10. Sous-traitants utilisés

Liste à jour de tous les sous-traitants qui peuvent accéder à vos données :

Sous-traitant	Rôle	Hébergement
Hostinger	Hébergement serveur	France (Strasbourg)
Resend	Email transactionnel	UE
SpotHit / OVH SMS	SMS	France
Stripe	Paiements abonnement	UE / US (DPF)
Enable Banking	Open Banking	UE
Anthropic / OpenAI / Google	IA assist	US (DPF)

L'accord DPA (Data Processing Agreement) est disponible sur simple demande à privacy@fixvault.fr.

📌 Note — Pour les transferts hors UE (US), FixVault s'appuie sur le Data Privacy Framework et les clauses contractuelles types de la Commission européenne.

← Précédent : Mon abonnement · Sommaire

1. Vos obligations RGPD​

2. Configurer ses mentions légales​

A — Conditions Générales de Vente (CGV)​

B — Politique de confidentialité​

C — Mentions légales​

D — Politique cookies​

3. Pages publiques​

4. Consentement marketing​

5. Droit d'accès (RGPD article 15)​

Depuis le portail client​

Demande par email​

6. Droit à l'effacement (RGPD article 17)​

Cas où vous DEVEZ supprimer​

Cas où vous POUVEZ refuser​

Procédure​

7. Conservation des données​

8. Sécurité​

9. Notification d'incident​

10. Sous-traitants utilisés​