Politique de confidentialité
Protection de vos données personnelles — RGPD
Dernière mise à jour : Janvier 2026
VeraTrace SAS (ci-après « VeraTrace », « nous », « notre ») s'engage à protéger votre vie privée et vos données personnelles. Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos données personnelles conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés. Elle s'applique à toutes les données collectées via notre site veratrace.xyz, nos applications mobiles, nos formulaires et nos dispositifs IoT.
Campo d'aplicación
Esta política aplícase a todos os datos persoais que recollemos a través dos nosos sitios internet veratrace.xyz (sitio principal), veratrace.eu (sitio Europa) e veratrace.net (sitio internacional), as nosas aplicacións móbiles (VeraTrace Producteur, VeraTrace Client), os nosos formularios de contacto, os nosos kits IoT e tags NFC, e calquera outra interacción cos nosos servizos.
Esta política non cobre as prácticas de confidencialidade dos sitios terceiros aos que poidamos crear ligazóns. Animámolo a ler as políticas de confidencialidade de calquera sitio terceiro que visite.
Responsable du traitement
Le responsable du traitement de vos données personnelles est :
VeraTrace SAS
35 rue de la République, 95110 Sannois, Francia
Representada por Frédéric Georjon, Presidente
Contact DPO : [email protected]
O noso Delegado de Protección de Datos (DPO) está dispoñible para calquera pregunta relativa á protección dos seus datos persoais. Pode contactalo en calquera momento para exercer os seus dereitos ou para calquera pregunta relativa ao tratamento dos seus datos.
Données collectées
Recollemos as seguintes categorías de datos segundo o seu perfil de usuario e a súa interacción cos nosos servizos:
Categorías de datos
Datos de identificación
Apelido, nome, enderezo de correo electrónico, número de teléfono, nome de empresa, SIRET (para profesionais), enderezo postal
Datos profesionais
Tipo de actividade (produtor, restaurante, distribuidor), tamaño da explotación, número de empregados, certificacións posuídas (Bio, HVE, AOP, IGP, Label Rouge), denominacións, superficies cultivadas
Datos de trazabilidade
Lotes producidos, datas de colleita/produción, percorrido dos produtos, temperaturas rexistradas, xeolocalización das entregas, selos temporais blockchain
Datos de transacción
Historial de pedidos, facturas, medios de pagamento (tokenizados), puntos VRT acumulados, estado Pioneer
Datos de navegación
Enderezo IP (anonimizado despois de 13 meses), tipo de navegador, sistema operativo, páxinas visitadas, duración da visita, fonte de tráfico, accións realizadas
Datos de conexión
Credenciais de conexión (con hash), rexistros de conexión, historial de sesións, dispositivos utilizados
Datos de comunicación
Contido das mensaxes enviadas ao soporte, historial de intercambios, preferencias de comunicación, consentimentos de boletín
Datos IoT
Identificadores dos sensores, lecturas de temperatura, xeolocalización dos rastrexadores, estado das baterías, alertas disparadas
Datos sensibles
Non recollemos datos sensibles no sentido do artigo 9 do RXPD (orixe racial ou étnica, opinións políticas, conviccións relixiosas, datos de saúde, orientación sexual, etc.) salvo se é estritamente necesario e co seu consentimento explícito.
Menores
Os nosos servizos non se dirixen a menores de 16 anos. Non recollemos conscientemente datos persoais referentes a menores. Se vostede é pai, nai ou titor e pensa que o seu fillo nos proporcionou datos persoais, contacte connosco inmediatamente en [email protected] para que procedamos á súa eliminación.
Fontes dos datos
- •Directamente de vostede (formularios, entrada manual)
- •Automaticamente (cookies, rexistros, sensores IoT)
- •A través de terceiros (API socios, sistemas de información conectados)
- •Fontes públicas (rexistros oficiais para verificación)
Finalités du traitement
Vos données personnelles sont traitées pour les finalités suivantes, chacune reposant sur une base légale spécifique :
Fourniture du service de traçabilité
Enregistrer et certifier les données de traçabilité de vos produits, générer les QR codes, permettre la consultation par les clients finaux.
Gestion des comptes utilisateurs
Créer et administrer votre compte, gérer vos accès, personnaliser votre expérience.
Traitement des commandes et paiements
Gérer vos précommandes, abonnements, factures, livraisons de matériel.
Gestion des points et tokens VRT
Calculer, attribuer et suivre vos points de traçabilité, préparer la conversion en tokens.
Support client
Répondre à vos demandes, résoudre les problèmes techniques, assurer le service après-vente.
Communications marketing
Vous informer sur nos actualités, nouveaux produits, offres spéciales, événements.
Amélioration des services
Analyser l'utilisation de la plateforme, développer de nouvelles fonctionnalités.
Conformité réglementaire
Respecter nos obligations légales : EUDR, DPP, comptabilité, fiscal, HACCP.
Sécurité et prévention des fraudes
Protéger la plateforme contre les accès non autorisés, détecter les comportements frauduleux.
Preuve blockchain
Ancrer les hash de traçabilité sur la blockchain pour garantir l'immuabilité des preuves. Seuls les hash sont stockés, pas vos données personnelles.
Bases légales du traitement
En conformidade co RGPD, todo tratamento de datos persoais debe basearse nunha base legal. Velaquí as bases legais sobre as que fundamentamos os nosos tratamentos :
Consentement (Art. 6.1.a RGPD)
Pour l'envoi de newsletters, communications marketing, l'utilisation de cookies non essentiels. Vous pouvez retirer votre consentement à tout moment via les liens de désinscription ou en nous contactant.
Exécution contractuelle (Art. 6.1.b RGPD)
Pour l'exécution du contrat qui nous lie : création de compte, fourniture du service de traçabilité, gestion des commandes, support client, attribution des points VRT.
Obligation légale (Art. 6.1.c RGPD)
Pour respecter nos obligations légales : conservation des factures 10 ans (Code de commerce), conformité EUDR/DPP, logs de connexion 12 mois (LCEN), réponse aux réquisitions judiciaires.
Intérêt légitime (Art. 6.1.f RGPD)
Pour nos intérêts légitimes qui ne portent pas atteinte à vos droits : amélioration des services, sécurité de la plateforme, statistiques anonymisées, prévention des fraudes.
Balance dos intereses
Cando invocamos o interese lexítimo, procedemos a un balance entre os nosos intereses e os seus dereitos e liberdades. Esta análise está documentada e dispoñible a pedido ante o noso DPO.
Durée de conservation
Conservamos os seus datos persoais unicamente durante o tempo necesario para as finalidades para as que foron recollidos, no respecto das obrigas legais:
| Données | Durée | Justification |
|---|---|---|
| Datos de conta (prospectos) | 3 anos despois do último contacto activo | Recomendación CNIL |
| Datos de conta (clientes) | Duración do contrato + 5 anos | Prescrición civil |
| Datos de trazabilidade | 10 anos mínimo | Obrigas regulamentarias alimentarias |
| Datos de facturación | 10 anos | Código de comercio (art. L123-22) |
| Datos de navegación (cookies) | 13 meses máximo | Recomendación CNIL |
| Rexistros de conexión | 12 meses | LCEN / Seguridade |
| Consentimentos (probas) | Duración do consentimento + 5 anos | Proba en caso de control |
| Datos de newsletter | Ata a anulación + 3 anos | Xestión das oposicións |
| Tickets de soporte | 3 anos despois do peche | Calidade de servizo |
| Hash blockchain | Permanente | Inmutabilidade blockchain (só os hash, non os datos) |
Arquivado
Ao remate das duracións de conservación en base activa, certos datos poden ser arquivados en base intermedia con acceso restrinxido para responder ás nosas obrigas legais ou para a constatación, o exercicio ou a defensa de dereitos en xustiza.
Supresión
Á expiración dos prazos de conservación e arquivado, os seus datos son suprimidos de xeito seguro ou anonimizados de xeito irreversible.
Destinatarios dos datos
Os seus datos persoais poden ser comunicados aos seguintes destinatarios, no estrito límite do que é necesario para o cumprimento das finalidades descritas arriba :
Internamente
Só os membros do equipo VeraTrace que precisan acceder aos seus datos no marco das súas funcións teñen acceso :
- •Equipo técnico (soporte, desenvolvemento)
- •Equipo comercial (relación co cliente)
- •Equipo administrativo (facturación, contabilidade)
- •Dirección (supervisión)
O acceso é controlado segundo o principio do menor privilexio e rexistrado nos nosos logs de auditoría.
Subcontratistas e provedores
Recorremos a provedores técnicos para o funcionamento dos nosos servizos. Todos están suxeitos a obrigas contractuais estritas (Artigo 28 RGPD) :
Hetzner Online GmbH
Aloxamento do sitio web e CDN
Datos de navegación, logs
Amazon Web Services (AWS)
Infraestrutura cloud, almacenamento de datos
Todos os datos aplicativos
Make (ex-Integromat)
Automatización de formularios e workflows
Datos de formularios
Brevo (ex-Sendinblue)
Envío de emails transaccionais e boletíns
Email, nome, preferencias
Stripe
Procesamento de pagamentos
Datos de pagamento (tokenizados)
Blockchain privée VeraTrace
Ancoraxe das probas de trazabilidade
Só hash criptográficos
Airtable
CRM e xestión de contactos
Datos de contacto profesionais
Esta lista actualízase regularmente. Última revisión : xaneiro 2026.
Socios (co seu consentimento)
Co seu consentimento explícito, certos datos poden ser compartidos cos nosos socios :
- •Cooperativas agrícolas das que é membro
- •Colectividades territoriais socias (datos agregados só)
- •Organismos de certificación (para verificación)
Autoridades e obrigas legais
Os seus datos poden ser comunicados ás autoridades competentes baixo petición legal :
- •Administración fiscal (controis)
- •Autoridades xudiciais (requisicións)
- •CNIL (controis)
- •Autoridades de regulación alimentaria (DGCCRF, DDPP)
Venda de datos
NUNCA vendemos os seus datos persoais a terceiros. Non os compartimos con fins publicitarios sen o seu consentimento explícito.
Transferencias fóra da UE
Algúns dos nosos prestadores están situados fóra da Unión Europea, principalmente nos Estados Unidos. Neste caso, asegurámonos de que se establezan garantías apropiadas conforme ao capítulo V do RGPD:
Garantías establecidas
Cláusulas contractuais tipo (CCT)
Cláusulas aprobadas pola Comisión Europea (decisión 2021/914) asinadas cos nosos prestadores estadounidenses
Medidas suplementarias
Cifrado dos datos en tránsito e en repouso, pseudonimización cando é posible, avaliación de impacto das transferencias (TIA)
Aloxamento UE privilexiado
Privilexiamos sistematicamente os prestadores que aloxan os datos na UE
Países concernidos
Estados Unidos
Stripe, Airtable
CCT + medidas suplementariasPode obter unha copia das cláusulas contractuais tipo ou das garantías establecidas contactando connosco en [email protected]
Decisións automatizadas e perfilado
De acordo co artigo 22 do RGPD, informámolo dos tratamentos que implican decisións automatizadas:
Cálculo da puntuación de trazabilidade
Calculamos automaticamente unha puntuación de trazabilidade (de A a E) baseada nos datos que proporciona: completude da información, certificacións, cobertura da cadea, etc.
Esta puntuación é informativa e non ten efecto xurídico significativo. Non afecta á súa capacidade de usar o servizo.
Pode impugnar esta puntuación contactando co noso soporte.
Atribución de puntos VRT
Os puntos calcúlanse automaticamente segundo un algoritmo que ten en conta: distancia percorrida, certificacións, tipo de produto, cadea de frío, etc.
Este cálculo afecta ao número de puntos que acumula.
Pode solicitar unha revisión manual se considera que se cometeu un erro.
Ausencia de decisión exclusivamente automatizada
Ningunha decisión que produza efectos xurídicos ou que o afecte significativamente se toma de maneira exclusivamente automatizada. Unha intervención humana é sempre posible baixo petición.
Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès (Art. 15 RGPD)
Obtenir la confirmation que des données vous concernant sont traitées, accéder à ces données et obtenir une copie. Vous pouvez également demander des informations sur les finalités, catégories de données, destinataires, durées de conservation, etc.
Droit de rectification (Art. 16 RGPD)
Faire corriger des données inexactes vous concernant ou compléter des données incomplètes.
Droit à l'effacement (Art. 17 RGPD)
Demander la suppression de vos données dans certains cas : données plus nécessaires, retrait du consentement, opposition, traitement illicite. Ce droit ne s'applique pas si le traitement est nécessaire pour une obligation légale.
Droit à la limitation (Art. 18 RGPD)
Demander la limitation du traitement pendant la vérification de l'exactitude des données, si le traitement est illicite, ou pendant l'examen d'une opposition.
Droit à la portabilité (Art. 20 RGPD)
Recevoir vos données dans un format structuré (JSON, CSV) et les transmettre à un autre responsable de traitement.
Droit d'opposition (Art. 21 RGPD)
Vous opposer au traitement basé sur l'intérêt légitime. Vous pouvez vous opposer sans motif au traitement à des fins de prospection commerciale.
Droit de retirer votre consentement
Retirer à tout moment votre consentement pour les traitements basés sur celui-ci, sans affecter la licéité du traitement antérieur.
Droit de définir des directives post-mortem
Définir des directives relatives à la conservation et communication de vos données après votre décès.
Droit de ne pas faire l'objet d'une décision automatisée
Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques vous concernant ou vous affectant significativement.
Comment exercer vos droits
Para exercer os vosos dereitos, varias opcións se vos ofrecen :
En liña
A través do voso espazo persoal, sección « Os meus datos » (para os usuarios con conta)
Por email
Escribindo a [email protected]
Por correo
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, Francia
Rógase xuntar unha copia dun xustificante de identidade para toda solicitude (tarxeta de identidade, pasaporte). Esta medida ten como obxectivo protexer os vosos datos contra as solicitudes fraudulentas.
Comprometémonos a responder á vosa solicitude nun prazo dun mes a contar desde a recepción. Este prazo pode ser prolongado por dous meses tendo en conta a complexidade e o número de solicitudes, nese caso seredes informado desta prolongación.
O exercicio dos vosos dereitos é gratuíto. Non obstante, en caso de solicitudes manifestamente infundadas ou excesivas, particularmente debido ao seu carácter repetitivo, podemos esixir o pagamento de gastos razoables ou negarnos a dar curso.
Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles constitue une violation de la réglementation, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), l'autorité de contrôle française :
CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
www.cnil.fr
Tamén podedes presentar unha queixa en liña no sitio da CNIL.
Cookies et traceurs
O noso sitio usa cookies e tecnoloxías similares (píxeles, balizas web, almacenamento local). Unha cookie é un pequeno arquivo de texto almacenado no seu terminal (ordenador, smartphone, tableta) durante a visita a un sitio web.
Que é unha cookie?
Unha cookie permite ao sitio recoñecer o seu navegador e memorizar certa información (preferencias, sesión, etc.). As cookies non poden executar programas nin transmitir virus.
Tipos de cookies utilizados
Cookies estritamente necesarias
Indispensables para o funcionamento do sitio
Sesión de usuario, preferencias de idioma, seguridade (CSRF), carriño
Cookies de rendemento/analíticas
Entender como os visitantes usan o sitio
Páxinas vistas, duración das visitas, percorrido do usuario, erros atopados
Cookies de preferencias
Memorizar as súas eleccións para personalizar a experiencia
Idioma, moeda, tema escuro/claro, visualización preferida
O que NON usamos
- Cookies publicitarias ou de segmentación
- Rastrexadores de redes sociais (Facebook Pixel, etc.)
- Google Analytics ou calquera servizo Google de rastrexo
- Cookies de terceiros con fins de marketing
Xestión das cookies
Pode modificar en calquera momento as súas preferencias en materia de cookies:
Banner de consentimento
Accesible a través da ligazón «Xestionar as cookies» na parte inferior de cada páxina
Parámetros do navegador
Pode configurar o seu navegador para rexeitar todas as cookies ou alertalo cando se envíe unha cookie
Ligazóns aos parámetros dos principais navegadores
A desactivación de certas cookies pode afectar o funcionamento do sitio e a súa experiencia de navegación.
Sécurité des données
Implementamos medidas técnicas e organizativas apropiadas para protexer os seus datos persoais contra a destrución accidental ou ilícita, a perda, a alteración, a divulgación ou o acceso non autorizado:
Medidas técnicas
- •Cifrado dos datos en tránsito (HTTPS/TLS 1.3)
- •Cifrado dos datos sensibles en repouso (AES-256)
- •Hash dos contrasinais (bcrypt con salt)
- •Autenticación forte para o acceso aos sistemas (2FA obrigatorio)
- •Firewall de aplicación (WAF) e protección DDoS
- •Vixilancia e detección de intrusións (IDS/IPS)
- •Copias de seguridade cifradas diarias con proba de restauración mensual
- •Ambientes de desenvolvemento, proba e produción separados
Medidas organizativas
- •Control de acceso estrito baseado no principio do mínimo privilexio
- •Trazabilidade dos accesos aos datos (rexistros de auditoría)
- •Formación regular dos equipos en seguridade e protección de datos
- •Política de xestión dos incidentes de seguridade
- •Revisión regular dos dereitos de acceso
- •Cláusulas de confidencialidade para todos os empregados e provedores
Probas e auditorías
Realizamos regularmente probas de seguridade (probas de intrusión, escaneos de vulnerabilidade) e auditorías das nosas prácticas.
Violación de datos
En caso de violación de datos de carácter persoal susceptible de xerar un risco para os seus dereitos e liberdades:
- Notificamos á CNIL nas 72 horas seguintes ao coñecemento da violación
- Informámolo canto antes se o risco é elevado para os seus dereitos e liberdades
- Documentamos toda violación no noso rexistro interno
- Tomamos as medidas para remediar a violación e limitar as súas consecuencias
Especificidades ligadas á blockchain
VeraTrace emprega a tecnoloxía blockchain para certificar os datos de trazabilidade. Velaquí o que debe saber :
O que se almacena na blockchain
- •Unicamente hash criptográficos (pegadas dixitais)
- •Marcas temporais dos rexistros
- •Identificadores de lotes (anonimizados)
O que NON se almacena na blockchain
- •Os seus datos persoais (nome, enderezo, etc.)
- •Os detalles comerciais (prezos, volumes)
- •Os datos sensibles da súa explotación
Inmutabilidade
Os hash rexistrados na blockchain son por natureza inmutables e non poden ser eliminados. Porén, estes hash non permiten reconstituír os seus datos persoais. A supresión dos seus datos nos nosos sistemas fai que estes hash sexan inutilizables.
Dereito de supresión e blockchain
Se exerce o seu dereito de supresión, eliminamos todos os seus datos persoais das nosas bases de datos. Os hash blockchain permanecen mais xa non son vinculables á súa identidade e non permiten reconstituír os seus datos.
Modificacións da política
Reservámonos o dereito de modificar esta política de privacidade en calquera momento para reflectir as evolucións das nosas prácticas ou os cambios regulamentarios.
Como será informado
- •Notificación por correo electrónico para as modificacións substanciais (usuarios con conta)
- •Banner informativo visible no sitio durante 30 días
- •Actualización da data de « última actualización » na parte superior do documento
A continuación do uso dos nosos servizos despois da publicación das modificacións supón a aceptación da nova política.
O historial de versións está dispoñible a petición ao noso DPO.
Contáctenos
Para calquera pregunta sobre esta política de confidencialidade ou o tratamento dos seus datos persoais :
Delegado de Protección de Datos (DPO)
Preguntas RGPD, exercicio dos dereitos, reclamacións
Enderezo postal
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Correo certificado para solicitudes formais
Comprometémonos a responder a calquera solicitude nun prazo de 5 días hábiles para unha primeira confirmación, e no prazo legal dun mes para unha resposta completa.