Politique de confidentialité
Comment Toffy collecte, utilise et protège vos données personnelles.
1. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
| Société | TOFFY (PROO'POIL), SAS |
| RCS | Nanterre B 999 834 138 |
| Siège | 191 avenue Charles de Gaulle, 92200 Neuilly-sur-Seine |
| Représentant légal | Dan BENECH, Président |
| Contact RGPD | rgpd@toffy.fr |
2. Données collectées
2.1 Pour tous les utilisateurs
- Identité : nom, prénom, email, téléphone
- Données de connexion : adresse IP, logs, type d'appareil et navigateur
- Données de navigation : pages consultées, durée des sessions, clics
- Préférences : langue, notifications, paramètres d'affichage
2.2 Données spécifiques aux acheteurs
- Code postal et ville (rayon de recherche)
- Préférences animales (espèce, race, sexe, budget)
- Réponses à la pré-qualification IA (cadre de vie, expérience, foyer)
- Conversations avec les éleveurs
- Historique des transactions
2.3 Données spécifiques aux éleveurs
- SIREN, SIRET, numéro ACACED, numéro d'élevage SCC/LOOF
- RIB / IBAN (transmis directement à Stripe, non stockés par Toffy)
- Pièces d'identité (transmises à Stripe pour KYC, non stockées par Toffy)
- Informations sur les animaux (photos, descriptions, prix)
- Statistiques de vente
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Gestion du compte utilisateur | Exécution du contrat (CGU) |
| Mise en relation acheteur/éleveur | Exécution du contrat |
| Génération des contrats de vente | Exécution du contrat + obligation légale |
| Paiement séquestre | Exécution du contrat |
| Newsletter et communications marketing | Consentement (opt-in) |
| Lutte contre la fraude | Intérêt légitime |
| Statistiques et analyses | Intérêt légitime |
4. Destinataires des données
Vos données peuvent être transmises à :
- Stripe (États-Unis, certifié RGPD) : pour le traitement des paiements et le KYC des éleveurs
- Heomi (France) : pour la souscription à la mutuelle (uniquement avec votre consentement explicite)
- Oodrive (France) : pour la signature électronique des contrats
- OVH (France) : hébergeur de la Plateforme
- Anthropic / Mistral : pour les fonctionnalités IA (les conversations sont anonymisées)
- Autorités compétentes : sur réquisition judiciaire
5. Durées de conservation
- Compte actif : tant que le compte est actif
- Compte inactif : 3 ans après la dernière connexion (suppression automatique)
- Données de transaction : 10 ans (obligation comptable)
- Données de prospection : 3 ans après le dernier contact
- Cookies : 13 mois maximum
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données
- Droit de rectification : corriger vos données inexactes
- Droit à l'effacement ("droit à l'oubli")
- Droit à la portabilité : récupérer vos données dans un format structuré
- Droit d'opposition au traitement
- Droit de limitation du traitement
- Droit de retirer votre consentement à tout moment
Pour exercer vos droits : rgpd@toffy.fr ou par courrier au siège social.
Vous pouvez également déposer une réclamation auprès de la CNIL.
7. Sécurité des données
Toffy met en œuvre les mesures de sécurité suivantes :
- Chiffrement des connexions (HTTPS/TLS 1.3)
- Hashage des mots de passe (bcrypt)
- Chiffrement des données sensibles au repos
- Hébergement français sécurisé (OVH, ISO 27001)
- Audits de sécurité réguliers
- Logs d'accès et alertes en cas d'activité suspecte
9. Transferts hors UE
Certains de nos prestataires (Stripe, Anthropic) sont basés aux États-Unis. Les transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne, garantissant un niveau de protection équivalent au RGPD.
10. Mineurs
L'utilisation de Toffy est interdite aux mineurs de moins de 16 ans. Pour les mineurs entre 16 et 18 ans, l'autorisation parentale est requise.
11. Réclamations
En cas de désaccord persistant, vous pouvez saisir la CNIL :
CNIL
3 Place de Fontenoy, TSA 80715, 75334 Paris cedex 07
www.cnil.fr
12. Modifications
La présente Politique peut être modifiée. Toute modification substantielle sera notifiée par email et affichée sur la Plateforme au moins 30 jours avant son entrée en vigueur.