Politique de counfidentialité
Protectiaon de vos données personnelles — RGPD
Dernière mise à jour : Janvyi 2026
VeraTrace SAS (ci-après « VeraTrace », « j'», « note ») s'engage à protégier vote vie privée et vos données personnelles. C'te politique de counfidentialité explique coument j'collectons, utilisons, stockons et protégeons vos données personnelles coumformément au Règlement (UE) 2016/679 (RGPD) et à la lei n° 78-17 du 6 janvyi 1978 modifiée relative à l'informatique, aux fichiers et aux libertés. A s'applique à toutes les données collectées via note site veratrace.xyz, nos applicâtions mobiles, nos formulaires et nos dispositifs IoT.
Champ d'application
Cette politique s'applique à toutes les dounnées personnelles que nous collectons par nos sites internet veratrace.xyz (site prîncipal), veratrace.eu (site Europe) et veratrace.net (site întèrnâtiounal), nos applications mobiles (VeraTrace Producteur, VeraTrace Client), nos formulaires de contact, nos kits IoT et tags NFC, et toute autre întéraction auve nos services.
Cette politique ne couvre pon les pratiques de confidentialité des sites tiers vers lesqueus nous pouôrriouns créer des lians. Je vos encouôrageons à liéthe les politiques de confidentialité de tout site tiers que vos visitez.
Responsabe du traitement
Le responsabe du traitement de vos données personnelles est :
VeraTrace SAS
35 rue de la République, 95110 Sannois, France
Représentaée par Frédéric Georjon, Président
Contact DPO : [email protected]
Note Délégué à la Protection des Donnaées (DPO) est joignabl'ye pour toute questchion relative à la protection de vos donnaées personnelles. Ou pouvez l'contacter à tout moment pour exercer vos drets ou pour toute questchion concernant l'traitement de vos donnaées.
Données collectées
Nous collectons les catégories de dounnées suivantes sélon vot' profil d'utilisateu et vot' interaction auve nos services :
Catégories de dounnées
Dounnées d'identification
Nom, prénom, adresse email, numéro de téléphoune, nom de souciété, SIRET (pouor les professionnels), adresse postale
Dounnées professionnelles
Type d'activité (producteu, restaurant, distributeu), taille de l'exploitation, nombre d'emplyés, certifications détenues (Bio, HVE, AOP, IGP, Label Rouge), appellations, surfaces cultivées
Dounnées de traçabilité
Lots produits, dates de récolte/production, parcours des produits, températures enregistrées, géolocalisation des livraisons, horodatages blockchain
Dounnées de transaction
Histouaire des commandes, factures, moyens de paiement (tokenisés), points VRT accumulés, statut Pioneer
Dounnées de navigâtion
Adresse IP (anounymisée auprès 13 mais), type de navigateu, système d'exploitation, pages visitées, durée de visite, source de trafic, actions faites
Dounnées de connexion
Identifiants de connexion (hachés), logs de connexion, histouaire des sessions, appareils utilisés
Dounnées de communication
Contenu des messages envyés au support, histouaire des échanges, préférences de communication, consentements newsletter
Dounnées IoT
Identifiants des capteurs, relevés de température, géolocalisation des trackers, état des batteries, alertes déclenchées
Dounnées sensibles
Nous ne collectons pas de dounnées sensibles au sens de l'article 9 du RGPD (ourigène raciale ou ethnique, opinions politiques, convictions religieuses, dounnées de santé, orientation sexuelle, etc.) saoûf si strictement nécessaire et auve vot' consentement explicite.
Minus
Nos services ne s'adressent pas aux minus de mains de 16 ans. Nous ne collectons pas sciemment de dounnées personnelles concernant des minus. Si ouos êtes parent ou tuteu et que ouos pensez que vot' êfant nous a fourni des dounnées personnelles, veuillez nous contacter immédiatement à [email protected] pouor que nous procédions à lus suppression.
Sources des dounnées
- •Directement auprès de ouos (formulaires, saisie manuelle)
- •Automatiquement (cookies, logs, capteurs IoT)
- •Via des tiers (partenaires API, systèmes d'information connectés)
- •Sources publiques (registres officiels pouor vérification)
Finalités du traitement
Vos données personnelles sont traitées pour les finalités suivantes, chacune r'posant sus eune base légale spécifique :
Fourniture du service de traçabileté
Enregistrer et certifier les données de traçabileté de vos produits, générer les QR codes, permettre la counsultâtion par les clients finaux.
Gestiaon des coumptes utilisateurs
Créer et administrer vote coumpte, gérer vos accès, personnaliser vote expérience.
Traitement des coumandes et paiements
Gérer vos précoumandes, abonnements, factures, livrâisons de matériel.
Gestiaon des poéints et tokens VRT
Calculer, attribuer et suivre vos poéints de traçabileté, préparer la counversiaon en tokens.
Support client
Répondre à vos demandes, résoudre les problèmes techniques, assurer le service après-vente.
Coumunicâtions marketing
Vous informer sus nos actualités, nouvés produits, offres spéciales, événements.
Améliorâtion des services
Analyser l'utilisâtion de la plateforme, dév'lopper de nouvelles fonctionnalités.
Coumformité réglementaire
Respecter nos obligâtions légales : EUDR, DPP, coumptabilité, fiscal, HACCP.
Sécurité et préventiaon des fraudes
Protégier la plateforme countre les accès non autorisés, détecter les coumportements frauduleux.
Preuve blockchain
Ancrer les hash de traçabileté sus la blockchain pour garantir l'immuabileté des preuves. Seuls les hash sont stockés, pas vos données personnelles.
Bases légales du traitement
Conformément au RGPD, tout traitement de données personnelles dait reposer sus une base légale. Véchîn les bases légales sus lesquelles nous fondons nos traitements :
Counsentement (Art. 6.1.a RGPD)
Pour l'envei de newsletters, coumunicâtions marketing, l'utilisâtion de cookies non essentiels. Vous pouvez r'tirer vote counsentement à tout moment via les liens de désinscriptiaon ou en nous countactant.
Exécutiaon countractuelle (Art. 6.1.b RGPD)
Pour l'exécutiaon du countrat qui nous lie : créâtion de coumpte, fourniture du service de traçabileté, gestiaon des coumandes, support client, attribûtion des poéints VRT.
Obligâtion légale (Art. 6.1.c RGPD)
Pour respecter nos obligâtions légales : counservâtion des factures 10 ans (Code de coumerce), coumformité EUDR/DPP, logs de connexiaon 12 mais (LCEN), réponse aux réquisitiaons judiciaires.
Intérêt légitime (Art. 6.1.f RGPD)
Pour nos intérêts légitimes qui n'portent pas atteinte à vos dreits : améliorâtion des services, sécurité de la plateforme, statistiques anonymisées, préventiaon des fraudes.
Balance des întérêts
Lorsque nous învoquons l'întérêt légitime, nous avons procédé à eune balance entre nos întérêts et vos drets et libertés. Chette analyse est documentée et disponibl'ye sus demande auprès de nout' DPO.
Durée de counservâtion
Nous conservons vos dounnées persounnelles seulement pendant la durée nécessaire ès finalités pour lesquelles oulles ount 'té collectées, dans l'respect des oblligations légales :
| Données | Durée | Justification |
|---|---|---|
| Dounnées de compte (prospects) | 3 ans auprès l'dernyi contact actif | Recommandâtion CNIL |
| Dounnées de compte (clients) | Durée du contrat + 5 ans | Prescription civile |
| Dounnées de traçabilitaé | 10 ans minimum | Oblligations réglementaithes alimentaithes |
| Dounnées de facturâtion | 10 ans | Code de commerce (art. L123-22) |
| Dounnées de navigâtion (cookies) | 13 mais maximum | Recommandâtion CNIL |
| Logs de connexion | 12 mais | LCEN / Sécuritaé |
| Consentements (preuves) | Durée du consentement + 5 ans | Preuve en cas de contrôle |
| Dounnées de newsletter | Jusqu'au désabounnement + 3 ans | Gestion des oppositions |
| Tickets support | 3 ans auprès clôture | Qualitaé de service |
| Hash blockchain | Permanent | Immuabilitaé blockchain (seulement les hash, pas les dounnées) |
Archivage
À la fin des durées de conservâtion en base active, certaines dounnées peuvent être archivées en base intermédiaithe auvec accès restreint pour répondre à nos oblligations légales ou pour la constatâtion, l'exercice ou la défense de drets en justice.
Suppression
À l'expirâtion des délais de conservâtion et d'archivage, vos dounnées sount supprimées d'manière sécurisée ou ananymisées d'manière irréversibllye.
Destinataires des dounnées
Vos dounnées personnelles peuvent êt' couminiqu'yies ès destinataires siévants, dans la stricte limite de chein qui est nécessaithe à l'accomplichement des finalités décrites ci-d'ssus :
En înterne
Ryin qu'les membres de l'équippe VeraTrace ayant bésouîn d'accéder à vos dounnées dans lé cadre de lus fonctions y ont accès :
- •Équippe technique (support, dévelopement)
- •Équippe couméthciale (relation client)
- •Équippe administrative (facturâtion, comptabilité)
- •Direction (supervision)
L'accès est contrôlé selon lé prîncipe du mouaindre privilège et tracé dans nos logs d'audit.
Sous-traitants et prestataithes
Nou fait appel à des prestataithes techniques pouor lé fonctionnement de nos sèrvices. Touos sont soumis à des oblyigâtions contractuelles strictes (Article 28 RGPD) :
Hetzner Online GmbH
Hébergement du site web et CDN
Dounnées de navigation, logs
Amazon Web Services (AWS)
Înfrastructuthe cloud, stockage des dounnées
Toutes dounnées applicatives
Make (ex-Integromat)
Automatisation des formulaithes et workflows
Dounnées de formulaithes
Brevo (ex-Sendinblue)
Envé d'emails transactionnels et newsletters
Email, prénom, préférences
Stripe
Traitement des paiements
Dounnées de paiement (tokenisées)
Blockchain privée VeraTrace
Ancrage des preuves de traçabilité
Hash cryptographiques seulement
Airtable
CRM et gestion des contacts
Dounnées de contact professionnelles
Chutte liste est régulièrement mise à jour. Dèrnié révision : janvyi 2026.
Partenaithes (auve votre consentement)
Auve votre consentement explicite, certaines dounnées peuvent êt' partagies auve nos partenaithes :
- •Coopérâtives agricoles dont ous êtes membre
- •Collectivités territoriales partenaithes (dounnées agrégies seulement)
- •Organnismes de certification (pouor vérification)
Autorités et oblyigâtions légales
Vos dounnées peuvent êt' couminiqu'yies ès autorités coumpétentes sus d'mande légale :
- •Administrâtion fiscale (contrôles)
- •Autorités judiciaithes (réquisitions)
- •CNIL (contrôles)
- •Autorités de régulâtion alimentaithe (DGCCRF, DDPP)
Vente de dounnées
Nou ne vend JAMAIS vos dounnées personnelles à des tiers. Nou n'les partage pon à des fins publicitaithes sans votre consentement explicite.
Transferts hors UE
Châque uns d'nos prestataithes sont situés en dehors dé l'Union Ûropéenne, prîncipalement ès États-Unis. Dans chu cas, nous nous assuthons qué des gathanties appropriées sont mises en plyaiche conformément au chapitre V du RGPD :
Gathanties mises en plyaiche
Cliauses contractuelles types (CCT)
Cliauses approuvées par la Commission Ûropéenne (décision 2021/914) signées auve nos prestataithes améthicains
Mesuthes supplémentaithes
Chiffrement des données en transit et au repos, pseudonymisâtion quand possibl'ye, évaluâtion d'împact des transferts (TIA)
Hébergement UE privilégi
Nous privilégions systématiquement les prestataithes hébergeant les données dans l'UE
Pays conchernés
États-Unis
Stripe, Airtable
CCT + mesuthes supplémentaithesOu pouvez obtenin eune copie des cliauses contractuelles types ou des gathanties mises en plyaiche en nous contactant à [email protected]
Décisions automatisées et profilage
Conformément à l'article 22 du RGPD, nous vos informons des traitements împliquant des décisions automatisées :
Calcul du score de traçabilité
Nous calculons automatiquement un score de traçabilité (d'A à E) basé sus les données que vos fournissez : complétude des informations, certifications, couverture de la chaîne, etc.
Chu score est informatif et n'a pas d'effet juridique significatif. I n'affecte pas vot' capacité à utilisaer le service.
Vos pouvez contester chu score en contactant nout support.
Attribution des points VRT
Les points sont calculés automatiquement s'lon un algorithme prenant en compte : distance parcourue, certifications, type de produit, chaîne du frid, etc.
Chu calcul affecte le nombre de points que vos accumulez.
Vos pouvez d'mander eune révision manuelle si vos estimez qu'eune erreur a 'té commise.
Absence de décision exclusivement automatisée
Aucheune décision produisant des effets juridiques ou vos affectant significativement n'est prinse de manière exclusivement automatisée. Eune întervention humaine est touqours possible sus d'mande.
Vos dreits
Coumformément au RGPD et à la lei Informatique et Libertés, vous dispôsez des dreits suivants sus vos données personnelles :
Dreit d'accès (Art. 15 RGPD)
Obtenir la counfirmâtion que des données vous councernant sont traitées, accéder à ces données et obtenir eune copie. Vous pouvez itou d'mander des informâtions sus les finalités, catégories de données, destinataires, durées de counservâtion, etc.
Dreit de rectificâtion (Art. 16 RGPD)
Faire corriger des données inexactes vous councernant ou coumpléter des données incoumplètes.
Dreit à l'effacement (Art. 17 RGPD)
D'mander la suppressiaon de vos données dans certains cas : données pus nécessaires, r'trait du counsentement, oppositiaon, traitement illicite. C'te dreit s'applique pas si le traitement est nécessaire pour eune obligâtion légale.
Dreit à la limitâtion (Art. 18 RGPD)
D'mander la limitâtion du traitement pendant la vérificâtion de l'exactitude des données, si le traitement est illicite, ou pendant l'examen d'eune oppositiaon.
Dreit à la portabileté (Art. 20 RGPD)
R'ceveî vos données dans un format structuré (JSON, CSV) et les transmettre à un aôtre responsabe de traitement.
Dreit d'oppositiaon (Art. 21 RGPD)
Vous opposer au traitement basé sus l'intérêt légitime. Vous pouvez vous opposer sans motif au traitement à des fins de prospectiaon coumerciale.
Dreit de r'tirer vote counsentement
R'tirer à tout moment vote counsentement pour les traitements basés sus celui-ci, sans affecter la licéité du traitement antérieur.
Dreit de définir des directives post-mortem
Définir des directives relatives à la counservâtion et coumunicâtion de vos données après vote décès.
Dreit de n'pas faire l'objet d'eune décisiaon automatisée
N'pas faire l'objet d'eune décisiaon foundée exclusivement sus un traitement automatisé produisant des effets juridiques vous councernant ou vous affectant significativement.
Coument exercer vos dreits
Pour exercer vos dreits, pliusieurs options s'offrent à vous :
En lligne
Via vot' espache personnel, section « Mes dounnées » (pour les utilisateurs atouo un comptye)
Par email
En écrivant à [email protected]
Par courryi
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Merci de jouindre une copie d'un justificatif d'identité pour toute demande (carte d'identité, passeport). Chutte meusure vise à protéger vos dounnées countre les demandes fraouduleuses.
J'nos engageouns à répoundre à vot' demande dans un délai d'un mais à compter de la réception. Che délai peut être prolloungé de deux mais compte tenu de la complexité et du noumbre de demandes, aocas ou serez înformé de chutte prolloungâtion.
L'exercice de vos dreits est gratuit. Toutefais, en cas de demandes manifestement înfounndées ou excessives, notamment en raison de lus caractère répétitif, j'pouvouns exiger le paiement de frais raisounnabllles ou refuser de dounner suite.
Réclamâtion auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles countitue eune violâtion de la réglementâtion, vous avez le dreit d'introduire eune réclamâtion auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), l'autorité de contrôle française :
CNIL - 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
www.cnil.fr
Ou pouvez itou déposer une pliainte en lligne sus le site de la CNIL.
Cookies et traceurs
Note site eimplyie des cookies et des téchnologies similaires (pixels, balyises web, stoquage local). Un cookie est un p'tit fichi téxte stocqui sus vote terminal (ordinateu, smartphone, tabliette) à la veisite d'un site web.
Qu'est-che qu'un cookie ?
Un cookie permet au site dé r'connaître vote navigateu et dé mémorisi chèrtaines informâtions (préférences, session, etc.). Lé cookies n'peuvent pas exécutair dé programmes ni transmettre dé virus.
Types dé cookies eimplyiés
Cookies stricc'tement nécessaithes
Indispensablyes au fonctionn'ment du site
Session utilisateu, préférences dé langue, sécuritai (CSRF), pannyi
Cookies dé performance/analytiques
Comprendre coumme lé veisiteurs eimplyient le site
Pages veues, dûrée des veisites, parcours utilisateu, ès erreurs trouvées
Cookies dé préférences
Mémorisi vos chouaix pour personnalisi l'expéthienche
Langue, devise, thème sombre/cliai, affichage préféthé
Che qué j'n'eimplyions PAS
- Cookies publicitaithes ou dé chiblyage
- Traceurs dé rézeaux souociaux (Facebook Pixel, etc.)
- Google Analytics ou tout service Google dé tracking
- Cookies tiers à des fins marketing
Gestion des cookies
Ous pouvez à tout moment modifier vos préférences en matière dé cookies :
Bannyère dé consent'ment
Accessiblye par lé lien « Gérer lé cookies » en bas dé chaque page
Paramètres du navigateu
Ous pouvez configuther vote navigateu pour r'fuser touos lé cookies ou ous alerter quand un cookie est envyé
Liens vers lé paramètres des principaux navigateurs
La désactivâtion dé chèrtains cookies peut affecter le fonctionn'ment du site et vote expéthienche dé navigâtion.
Sécurité des données
Nous mettons en oeuvre des mesuthes techniques et organisationnelles appropriées pouor protéger vos dounnées personnelles contre la destruction accidentelle ou illicite, la pèrte, l'altération, la divulgation ou l'accès non autorisé :
Mesuthes techniques
- •Chiffrement des dounnées en transit (HTTPS/TLS 1.3)
- •Chiffrement des dounnées sensibl'yes au r'pos (AES-256)
- •Hachage des mots de passe (bcrypt auve salt)
- •Authentification forte pouor l'accès ès systèmes (2FA obligatouaithe)
- •Pâre-feu applicatif (WAF) et protection DDoS
- •Surveillance et détection des intrusions (IDS/IPS)
- •Sauvegardes chiffrées journalières auve test de restauration mensuel
- •Environnements de développement, test et production séparés
Mesuthes organisationnelles
- •Contrôle d'accès strict basé sus le prîncipe du mouorre privilège
- •Traçabilité des accès ès dounnées (logs d'audit)
- •Formâtion régulyiéthe des équipes à la sécuthité et à la protection des dounnées
- •Politique de gestion des incidents de sécuthité
- •Revue régulyiéthe des drouaits d'accès
- •Clauses de confidentialité pouor touos les emplyés et prestataithes
Tests et audits
Nous procédons régulyiéthement à des tests de sécuthité (tests d'intrusion, scans de vulnérabilité) et à des audits de nos pratiques.
Violâtion de dounnées
En cas de violâtion de dounnées à caractéthe personnel susceptibl'ye d'engendrer un risque pouor vos drouaits et libèrtés :
- Nous notifions la CNIL dans les 72 heuthes siévant la prinse de connaissance de la violâtion
- Nous vous informons dans les melleurs délais si le risque est élevé pouor vos drouaits et libèrtés
- Nous documentons toute violâtion dans not' registre înt'rne
- Nous prannons les mesuthes pouor remédier à la violâtion et en limiter les conséquences
Spécificités liées à la blockchain
VeraTrace emplie la tecnologie blockchain pouor certifier les données de traçabilité. Vechîn chein qu'ou dev'ez saver :
Chein qu'est stocké su la blockchain
- •Raîque des hash cryptographiques (empreintes numériques)
- •Horodatages des enregistrements
- •Identifiants de lots (anonymisés)
Chein qui n'est PAS stocké su la blockchain
- •Vos données personnelles (nom, adresse, etc.)
- •Les détaits commerciaux (prix, volumes)
- •Les données sensibyes de vot' exploitâtion
Immuabilitaé
Les hash enregistrés su la blockchain sount par nature immuabyes et ne peuvent pas êt' supprimés. Cépendant, chès hash ne permettent pas de reconstituer vos données personnelles. La suppression de vos données dauns nos systèmes rend chès hash inexploitabyes.
Drait à l'effachement et blockchain
Si ou exerchiz vot' drait à l'effachement, je supprimons toutes vos données personnelles de nos bases de donnaées. Les hash blockchain subsistent mais ne sount pus rattachabyes à vot' identitaé et ne permettent pas de reconstituer vos données.
Modificâtions d'la politique
Nous nous réservons lé dréit dé modifier chette politique dé confidentialité à tout moment pouor reflièter l'évolution dé nos pratiques ou les changements réglementaires.
Comment vous s'rez informé
- •Notificâtion par email pouor les modificâtions substantielles (utilisateurs auve compte)
- •Bannyire d'informâtion visibye sus l'site pendant 30 jours
- •Mise à jour dé la date dé « dreine mise à jour » en haut du document
La poursuite dé l'utilisâtion dé nos services après la publicâtion des modificâtions vaut acceptâtion dé la nouvelle politique.
L'histouaithe des versions est dispounibye sus d'mande auprès d'not' DPO.
Nouos contacter
Pouor toute tchestion concernant chette politique de confidentialité ou l'traitement d'vos dounnées pèrsonnelles :
Délégué à la Protectioun des Dounnées (DPO)
Tchestions RGPD, exercice des drouaits, réclamatiouns
Adresse postale
VeraTrace SAS - DPO, 35 rue de la République, 95110 Sannois, France
Courryi recommandé pouor demandes formelles
Nouos nouos engageons à répondre à toute demande dans un délai de 5 jouors ouvrés pouor un preunmié retouor, et dans l'délai légal d'un mais pouor une réponse complète.