Pribatutasun Politika / Politique de confidentialité
Zure datu pertsonalen babesa — RGPD / Protection de vos données personnelles
Dernière mise à jour : Janvier 2026
VeraTrace SAS (hemendik aurrera « VeraTrace », « gu ») zure pribatutasuna eta datu pertsonalak babesteko konpromisoa du, ERREGLAMENDU (UE) 2016/679 betez. VeraTrace SAS (ci-après « VeraTrace », « nous », « notre ») s'engage à protéger votre vie privée et vos données personnelles. Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos données personnelles conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement Général sur la Protection des Données ou « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
Champ d'application
Cette politique s'applique à toutes les données personnelles que nous collectons via nos sites internet veratrace.xyz (site principal), veratrace.eu (site Europe) et veratrace.net (site international), nos applications mobiles (VeraTrace Producteur, VeraTrace Client), nos formulaires de contact, nos kits IoT et tags NFC, et toute autre interaction avec nos services.
Cette politique ne couvre pas les pratiques de confidentialité des sites tiers vers lesquels nous pourrions créer des liens. Nous vous encourageons à lire les politiques de confidentialité de tout site tiers que vous visitez.
Tratamenduaren arduraduna / Responsable du traitement
Le responsable du traitement de vos données personnelles est :
VeraTrace SAS
35 rue de la République, 95110 Sannois, France
Représentée par Frédéric Georjon, Président
Contact DPO : [email protected]
Notre Délégué à la Protection des Données (DPO) est joignable pour toute question relative à la protection de vos données personnelles. Vous pouvez le contacter à tout moment pour exercer vos droits ou pour toute question concernant le traitement de vos données.
Bildutako datuak / Données collectées
Nous collectons les catégories de données suivantes selon votre profil d'utilisateur et votre interaction avec nos services :
Catégories de données
Données d'identification
Nom, prénom, adresse email, numéro de téléphone, nom de société, SIRET (pour les professionnels), adresse postale
Données professionnelles
Type d'activité (producteur, restaurant, distributeur), taille de l'exploitation, nombre d'employés, certifications détenues (Bio, HVE, AOP, IGP, Label Rouge), appellations, surfaces cultivées
Données de traçabilité
Lots produits, dates de récolte/production, parcours des produits, températures enregistrées, géolocalisation des livraisons, horodatages blockchain
Données de transaction
Historique des commandes, factures, moyens de paiement (tokenisés), points VRT accumulés, statut pionnier
Données de navigation
Adresse IP (anonymisée après 13 mois), type de navigateur, système d'exploitation, pages visitées, durée de visite, source de trafic, actions effectuées
Données de connexion
Identifiants de connexion (hashés), logs de connexion, historique des sessions, appareils utilisés
Données de communication
Contenu des messages envoyés au support, historique des échanges, préférences de communication, consentements newsletter
Données IoT
Identifiants des capteurs, relevés de température, géolocalisation des trackers, état des batteries, alertes déclenchées
Données sensibles
Nous ne collectons pas de données sensibles au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, orientation sexuelle, etc.) sauf si strictement nécessaire et avec votre consentement explicite.
Mineurs
Nos services ne s'adressent pas aux mineurs de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles concernant des mineurs. Si vous êtes parent ou tuteur et que vous pensez que votre enfant nous a fourni des données personnelles, veuillez nous contacter immédiatement à [email protected] pour que nous procédions à leur suppression.
Sources des données
- •Directement auprès de vous (formulaires, saisie manuelle)
- •Automatiquement (cookies, logs, capteurs IoT)
- •Via des tiers (partenaires API, systèmes d'information connectés)
- •Sources publiques (registres officiels pour vérification)
Tratamenduaren helburuak / Finalités du traitement
Vos données personnelles sont traitées pour les finalités suivantes, chacune reposant sur une base légale spécifique :
Fourniture du service de traçabilité
Enregistrer et certifier les données de traçabilité de vos produits, générer les QR codes, permettre la consultation par les clients finaux
Gestion des comptes utilisateurs
Créer et administrer votre compte, gérer vos accès, personnaliser votre expérience
Traitement des commandes et paiements
Gérer vos précommandes, abonnements, factures, livraisons de matériel
Gestion des points et tokens VRT
Calculer, attribuer et suivre vos points de traçabilité, préparer la conversion en tokens
Support client
Répondre à vos demandes, résoudre les problèmes techniques, assurer le service après-vente
Communications marketing
Vous informer sur nos actualités, nouveaux produits, offres spéciales, événements
Amélioration des services
Analyser l'utilisation de la plateforme, développer de nouvelles fonctionnalités, améliorer l'expérience utilisateur
Statistiques et reporting
Produire des statistiques agrégées et anonymisées sur l'utilisation du service, rapports pour les territoires partenaires
Conformité réglementaire
Respecter nos obligations légales (EUDR, DPP, comptabilité, fiscal, HACCP)
Sécurité et prévention des fraudes
Protéger la plateforme contre les accès non autorisés, détecter les comportements frauduleux, assurer l'intégrité des données
Preuve blockchain
Ancrer les hash de traçabilité sur la blockchain pour garantir l'immuabilité des preuves
Bases légales du traitement
Conformément au RGPD, tout traitement de données personnelles doit reposer sur une base légale. Voici les bases légales sur lesquelles nous fondons nos traitements :
Consentement (Art. 6.1.a RGPD)
Pour l'envoi de newsletters, communications marketing, l'utilisation de cookies non essentiels, et le partage de données avec des tiers partenaires. Vous pouvez retirer votre consentement à tout moment sans que cela n'affecte la licéité du traitement effectué avant ce retrait.
Newsletter, cookies analytiques, partage avec partenaires marketing
Exécution contractuelle (Art. 6.1.b RGPD)
Pour l'exécution du contrat qui nous lie : création de compte, fourniture du service de traçabilité, gestion des commandes, support client.
Service de traçabilité, gestion de compte, facturation
Obligation légale (Art. 6.1.c RGPD)
Pour respecter nos obligations légales : conservation des factures (10 ans), conformité EUDR/DPP, réponse aux réquisitions judiciaires.
Archivage fiscal, conformité réglementaire, réquisitions
Intérêt légitime (Art. 6.1.f RGPD)
Pour nos intérêts légitimes qui ne portent pas atteinte à vos droits : amélioration des services, sécurité de la plateforme, statistiques anonymisées, prévention des fraudes.
Analytics, sécurité, amélioration produit
Balance des intérêts
Lorsque nous invoquons l'intérêt légitime, nous avons procédé à une balance entre nos intérêts et vos droits et libertés. Cette analyse est documentée et disponible sur demande auprès de notre DPO.
Durée de conservation
Nous conservons vos données personnelles uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, dans le respect des obligations légales :
| Données | Durée | Justification |
|---|---|---|
| Données de compte (prospects) | 3 ans après le dernier contact actif | Recommandation CNIL |
| Données de compte (clients) | Durée du contrat + 5 ans | Prescription civile |
| Données de traçabilité | 10 ans minimum | Obligations réglementaires alimentaires |
| Données de facturation | 10 ans | Code de commerce (art. L123-22) |
| Données de navigation (cookies) | 13 mois maximum | Recommandation CNIL |
| Logs de connexion | 12 mois | LCEN / Sécurité |
| Consentements (preuves) | Durée du consentement + 5 ans | Preuve en cas de contrôle |
| Données de newsletter | Jusqu'au désabonnement + 3 ans | Gestion des oppositions |
| Tickets support | 3 ans après clôture | Qualité de service |
| Hash blockchain | Permanent | Immuabilité blockchain (seuls les hash, pas les données) |
Archivage
À l'issue des durées de conservation en base active, certaines données peuvent être archivées en base intermédiaire avec accès restreint pour répondre à nos obligations légales ou pour la constatation, l'exercice ou la défense de droits en justice.
Suppression
À l'expiration des délais de conservation et d'archivage, vos données sont supprimées de manière sécurisée ou anonymisées de manière irréversible.
Destinataires des données
Vos données personnelles peuvent être communiquées aux destinataires suivants, dans la stricte limite de ce qui est nécessaire à l'accomplissement des finalités décrites ci-dessus :
En interne
Seuls les membres de l'équipe VeraTrace ayant besoin d'accéder à vos données dans le cadre de leurs fonctions y ont accès :
- •Équipe technique (support, développement)
- •Équipe commerciale (relation client)
- •Équipe administrative (facturation, comptabilité)
- •Direction (supervision)
L'accès est contrôlé selon le principe du moindre privilège et tracé dans nos logs d'audit.
Sous-traitants et prestataires
Nous faisons appel à des prestataires techniques pour le fonctionnement de nos services. Tous sont soumis à des obligations contractuelles strictes (Article 28 RGPD) :
Hetzner Online GmbH
Hébergement du site web et CDN
Données de navigation, logs
Amazon Web Services (AWS)
Infrastructure cloud, stockage des données
Toutes données applicatives
Make (ex-Integromat)
Automatisation des formulaires et workflows
Données de formulaires
Brevo (ex-Sendinblue)
Envoi d'emails transactionnels et newsletters
Email, prénom, préférences
Stripe
Traitement des paiements
Données de paiement (tokenisées)
Blockchain privée VeraTrace
Ancrage des preuves de traçabilité
Hash cryptographiques uniquement
Airtable
CRM et gestion des contacts
Données de contact professionnelles
Cette liste est régulièrement mise à jour. Dernière révision : janvier 2026.
Partenaires (avec votre consentement)
Avec votre consentement explicite, certaines données peuvent être partagées avec nos partenaires :
- •Coopératives agricoles dont vous êtes membre
- •Collectivités territoriales partenaires (données agrégées uniquement)
- •Organismes de certification (pour vérification)
Autorités et obligations légales
Vos données peuvent être communiquées aux autorités compétentes sur demande légale :
- •Administration fiscale (contrôles)
- •Autorités judiciaires (réquisitions)
- •CNIL (contrôles)
- •Autorités de régulation alimentaire (DGCCRF, DDPP)
Vente de données
Nous ne vendons JAMAIS vos données personnelles à des tiers. Nous ne les partageons pas à des fins publicitaires sans votre consentement explicite.
Transferts hors UE
Certains de nos prestataires sont situés en dehors de l'Union Européenne, principalement aux États-Unis. Dans ce cas, nous nous assurons que des garanties appropriées sont mises en place conformément au chapitre V du RGPD :
Garanties mises en place
Clauses contractuelles types (CCT)
Clauses approuvées par la Commission Européenne (décision 2021/914) signées avec nos prestataires américains
Mesures supplémentaires
Chiffrement des données en transit et au repos, pseudonymisation quand possible, évaluation d'impact des transferts (TIA)
Hébergement UE privilégié
Nous privilégions systématiquement les prestataires hébergeant les données dans l'UE
Pays concernés
États-Unis
Stripe, Airtable
CCT + mesures supplémentairesVous pouvez obtenir une copie des clauses contractuelles types ou des garanties mises en place en nous contactant à [email protected]
Décisions automatisées et profilage
Conformément à l'article 22 du RGPD, nous vous informons des traitements impliquant des décisions automatisées :
Calcul du score de traçabilité
Nous calculons automatiquement un score de traçabilité (de A à E) basé sur les données que vous fournissez : complétude des informations, certifications, couverture de la chaîne, etc.
Ce score est informatif et n'a pas d'effet juridique significatif. Il n'affecte pas votre capacité à utiliser le service.
Vous pouvez contester ce score en contactant notre support.
Attribution des points VRT
Les points sont calculés automatiquement selon un algorithme prenant en compte : distance parcourue, certifications, type de produit, chaîne du froid, etc.
Ce calcul affecte le nombre de points que vous accumulez.
Vous pouvez demander une révision manuelle si vous estimez qu'une erreur a été commise.
Absence de décision exclusivement automatisée
Aucune décision produisant des effets juridiques ou vous affectant significativement n'est prise de manière exclusivement automatisée. Une intervention humaine est toujours possible sur demande.
Zure eskubideak / Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès (Art. 15 RGPD)
Obtenir la confirmation que des données vous concernant sont traitées, accéder à ces données et obtenir une copie. Vous pouvez également demander des informations sur les finalités, catégories de données, destinataires, durées de conservation, etc.
Droit de rectification (Art. 16 RGPD)
Faire corriger des données inexactes vous concernant ou compléter des données incomplètes.
Droit à l'effacement (Art. 17 RGPD)
Demander la suppression de vos données dans certains cas : données plus nécessaires, retrait du consentement, opposition, traitement illicite. Ce droit ne s'applique pas si le traitement est nécessaire pour respecter une obligation légale.
Droit à la limitation (Art. 18 RGPD)
Demander la limitation du traitement pendant la vérification de l'exactitude des données, si le traitement est illicite, si nous n'avons plus besoin des données mais que vous en avez besoin pour des droits en justice, ou pendant l'examen d'une opposition.
Droit à la portabilité (Art. 20 RGPD)
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV), et les transmettre à un autre responsable de traitement. Ce droit s'applique aux données fournies sur la base du consentement ou de l'exécution d'un contrat.
Droit d'opposition (Art. 21 RGPD)
Vous opposer à tout moment au traitement de vos données basé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière. Vous pouvez également vous opposer sans motif au traitement à des fins de prospection commerciale.
Droit de retirer votre consentement
Retirer à tout moment votre consentement pour les traitements basés sur celui-ci, sans que cela n'affecte la licéité du traitement effectué avant ce retrait.
Droit de définir des directives post-mortem
Définir des directives relatives à la conservation, la suppression et la communication de vos données personnelles après votre décès.
Droit de ne pas faire l'objet d'une décision automatisée
Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques vous concernant ou vous affectant significativement.
Comment exercer vos droits
Pour exercer vos droits, plusieurs options s'offrent à vous :
En ligne
Via votre espace personnel, section « Mes données » (pour les utilisateurs avec compte)
Par email
En écrivant à [email protected]
Par courrier
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Merci de joindre une copie d'un justificatif d'identité pour toute demande (carte d'identité, passeport). Cette mesure vise à protéger vos données contre les demandes frauduleuses.
Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de la réception. Ce délai peut être prolongé de deux mois compte tenu de la complexité et du nombre de demandes, auquel cas vous serez informé de cette prolongation.
L'exercice de vos droits est gratuit. Toutefois, en cas de demandes manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, nous pouvons exiger le paiement de frais raisonnables ou refuser de donner suite.
Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles constitue une violation de la réglementation, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), l'autorité de contrôle française :
CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
www.cnil.fr
Vous pouvez également déposer une plainte en ligne sur le site de la CNIL.
Cookieak eta trazatzaileak / Cookies et traceurs
Notre site utilise des cookies et technologies similaires (pixels, balises web, stockage local). Un cookie est un petit fichier texte stocké sur votre terminal (ordinateur, smartphone, tablette) lors de la visite d'un site web.
Qu'est-ce qu'un cookie ?
Un cookie permet au site de reconnaître votre navigateur et de mémoriser certaines informations (préférences, session, etc.). Les cookies ne peuvent pas exécuter de programmes ni transmettre de virus.
Types de cookies utilisés
Cookies strictement nécessaires
Indispensables au fonctionnement du site
Session utilisateur, préférences de langue, sécurité (CSRF), panier
Cookies de performance/analytiques
Comprendre comment les visiteurs utilisent le site
Pages vues, durée des visites, parcours utilisateur, erreurs rencontrées
Cookies de préférences
Mémoriser vos choix pour personnaliser l'expérience
Langue, devise, thème sombre/clair, affichage préféré
Ce que nous n'utilisons PAS
- Cookies publicitaires ou de ciblage
- Traceurs de réseaux sociaux (Facebook Pixel, etc.)
- Google Analytics ou tout service Google de tracking
- Cookies tiers à des fins marketing
Gestion des cookies
Vous pouvez à tout moment modifier vos préférences en matière de cookies :
Bannière de consentement
Accessible via le lien « Gérer les cookies » en bas de chaque page
Paramètres du navigateur
Vous pouvez configurer votre navigateur pour refuser tous les cookies ou vous alerter lorsqu'un cookie est envoyé
Liens vers les paramètres des principaux navigateurs
La désactivation de certains cookies peut affecter le fonctionnement du site et votre expérience de navigation.
Datuen segurtasuna / Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation ou l'accès non autorisé :
Mesures techniques
- •Chiffrement des données en transit (HTTPS/TLS 1.3)
- •Chiffrement des données sensibles au repos (AES-256)
- •Hachage des mots de passe (bcrypt avec salt)
- •Authentification forte pour l'accès aux systèmes (2FA obligatoire)
- •Pare-feu applicatif (WAF) et protection DDoS
- •Surveillance et détection des intrusions (IDS/IPS)
- •Sauvegardes chiffrées quotidiennes avec test de restauration mensuel
- •Environnements de développement, test et production séparés
Mesures organisationnelles
- •Contrôle d'accès strict basé sur le principe du moindre privilège
- •Traçabilité des accès aux données (logs d'audit)
- •Formation régulière des équipes à la sécurité et à la protection des données
- •Politique de gestion des incidents de sécurité
- •Revue régulière des droits d'accès
- •Clauses de confidentialité pour tous les employés et prestataires
Tests et audits
Nous procédons régulièrement à des tests de sécurité (tests d'intrusion, scans de vulnérabilité) et à des audits de nos pratiques.
Violation de données
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés :
- Nous notifions la CNIL dans les 72 heures suivant la prise de connaissance de la violation
- Nous vous informons dans les meilleurs délais si le risque est élevé pour vos droits et libertés
- Nous documentons toute violation dans notre registre interne
- Nous prenons les mesures pour remédier à la violation et en limiter les conséquences
Spécificités liées à la blockchain
VeraTrace utilise la technologie blockchain pour certifier les données de traçabilité. Voici ce que vous devez savoir :
Ce qui est stocké sur la blockchain
- •Uniquement des hash cryptographiques (empreintes numériques)
- •Horodatages des enregistrements
- •Identifiants de lots (anonymisés)
Ce qui n'est PAS stocké sur la blockchain
- •Vos données personnelles (nom, adresse, etc.)
- •Les détails commerciaux (prix, volumes)
- •Les données sensibles de votre exploitation
Immuabilité
Les hash enregistrés sur la blockchain sont par nature immuables et ne peuvent pas être supprimés. Cependant, ces hash ne permettent pas de reconstituer vos données personnelles. La suppression de vos données dans nos systèmes rend ces hash inexploitables.
Droit à l'effacement et blockchain
Si vous exercez votre droit à l'effacement, nous supprimons toutes vos données personnelles de nos bases de données. Les hash blockchain subsistent mais ne sont plus rattachables à votre identité et ne permettent pas de reconstituer vos données.
Modifications de la politique
Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment pour refléter les évolutions de nos pratiques ou les changements réglementaires.
Comment vous serez informé
- •Notification par email pour les modifications substantielles (utilisateurs avec compte)
- •Bannière d'information visible sur le site pendant 30 jours
- •Mise à jour de la date de « dernière mise à jour » en haut du document
La poursuite de l'utilisation de nos services après la publication des modifications vaut acceptation de la nouvelle politique.
L'historique des versions est disponible sur demande auprès de notre DPO.
Kontaktatu / Nous contacter
Pour toute question concernant cette politique de confidentialité ou le traitement de vos données personnelles :
Délégué à la Protection des Données (DPO)
Questions RGPD, exercice des droits, réclamations
Adresse postale
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Courrier recommandé pour demandes formelles
5 egun laboralez baino lehen erantzuteko konpromisoa hartzen dugu — Nous nous engageons à répondre à toute demande dans un délai de 5 jours ouvrés pour un premier retour, et dans le délai légal d'un mois pour une réponse complète.