Politique de confidentialité

1. Introduction

TRY (ci-après « nous », « notre » ou « la plateforme ») s'engage à protéger la vie privée de ses utilisateurs. La présente politique de confidentialité décrit comment nous collectons, utilisons, stockons et protégeons vos données personnelles lorsque vous utilisez l'application mobile TRY ou le site web tryhomewear.com.

Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD – UE 2016/679) et à la Loi fédérale suisse sur la protection des données (nLPD), en vigueur depuis le 1er septembre 2023.

2. Responsable du traitement

3. Données personnelles collectées

3.1 Données d'identification

• Nom et prénom
• Adresse e-mail
• Numéro de téléphone
• Adresse de livraison (rue, numéro, code postal, ville)
• Étage et code d'accès à l'immeuble (optionnel)

3.2 Données de paiement

Les données de carte bancaire sont traitées exclusivement par notre prestataire de paiement Stripe Inc. (1 Global Place, Dublin 2, Irlande). TRY ne stocke jamais le numéro de carte, la date d'expiration ni le CVV. Seul un identifiant de paiement tokenisé est conservé pour les futures transactions.

Stripe est certifié PCI DSS niveau 1. Sa politique de confidentialité est disponible sur stripe.com/fr/privacy.

3.3 Données de navigation

• Adresse IP
• Type de navigateur et version du système d'exploitation
• Données de crash et performances de l'application

3.4 Données de commande

• Historique des commandes et articles commandés (nom, prix, taille, quantité)
• Articles gardés ou retournés après essayage
• Montants, frais de livraison, frais de service et pré-autorisations
• Token de notification push Expo (pour les notifications, avec consentement)

3.5 Données non collectées

TRY ne collecte pas les données suivantes :

• Données biométriques ou de santé
• Numéro de carte bancaire, CVV ou date d'expiration (gérés exclusivement par Stripe)
• Localisation GPS en temps réel (l'adresse est saisie manuellement)
• Contacts téléphoniques ou historique de navigation web
• Enregistrements audio ou vidéo

4. Finalités du traitement

5. Durée de conservation

• Données de compte : conservées pour la durée de vie du compte, puis supprimées dans les 30 jours suivant la demande de suppression ou l'inactivité de 24 mois.
• Données de commande : conservées 10 ans conformément aux obligations comptables suisses (CO art. 958f).
• Données de paiement : gérées par Stripe selon leurs propres politiques de conservation.
• Logs de connexion : 1 an maximum.
• Données marketing : jusqu'au retrait du consentement.
• Tokens de notification push : jusqu'à désinscription ou suppression du compte.
• Logs de scan QR (audit livraisons) : 2 ans.
• Messages support : 3 ans.

6. Partage des données

Nous ne vendons jamais vos données personnelles. Nous les partageons uniquement avec les tiers suivants, dans le cadre strict de la fourniture du service :

• Boutiques partenaires : reçoivent uniquement les informations nécessaires à la préparation de votre commande (articles, tailles).
• Livreurs partenaires : reçoivent votre adresse de livraison et votre numéro de téléphone pour la livraison.
• Stripe Inc. : traitement sécurisé des paiements.
• Vercel Inc. : hébergement de l'application et du site web.
• Supabase Inc. : base de données, authentification et stockage. Hébergement AWS région EU (Irlande, eu-west-1). supabase.com/privacy
• Expo / EAS : build de l'application et notifications push. Les tokens push sont transmis à Expo Push API, qui utilise FCM (Google, Android) et APNs (Apple, iOS) comme transport. expo.dev/privacy
• Sentry (si activé) : monitoring des erreurs et crashs, données anonymisées. sentry.io/privacy
• Autorités légales : sur demande légale conforme au droit suisse.

7. Transferts internationaux de données

Certaines de vos données sont traitées par des sous-traitants dont le siège est situé hors de Suisse. Voici comment ces transferts sont encadrés :

Données hébergées dans l'Union européenne

Supabase (base de données principale, authentification, stockage) est hébergé sur AWS région EU Irlande (eu-west-1). Le RGPD s'y applique et ce niveau de protection est considéré comme équivalent à la nLPD suisse. Aucune donnée stockée en base n'est transférée hors de l'UE.

Données transitant par des prestataires hors UE (États-Unis)

• Stripe Inc. — traitement des paiements. Données transmises : email, nom, montant, tokens de carte. Conforme PCI-DSS niveau 1.
• Vercel Inc. — hébergement du site web. Données transmises : logs serveur basiques (IP, user-agent). Aucune donnée personnelle d'utilisateur de l'app.
• Expo / EAS — build et notifications push. Données transmises : tokens push, identifiants d'appareil.
• Firebase Cloud Messaging (Google LLC) — transport push Android. Données transmises : token FCM, contenu de la notification.
• Apple Push Notification Service — transport push iOS. Données transmises : device token APNs, contenu de la notification.
• Sentry — monitoring des erreurs. Données transmises : stack traces, version app, OS (anonymisées).

Garanties applicables

Les États-Unis ne sont pas reconnus par le PFPDT comme offrant une protection équivalente à la Suisse. Ces transferts sont encadrés par des Clauses Contractuelles Types (SCC) et des Data Processing Agreements (DPA) conformes au RGPD et à la nLPD, ainsi que par des mesures techniques complémentaires (chiffrement, minimisation des données).

Vous pouvez demander la liste complète des transferts et vous y opposer en écrivant à contact@tryhomewear.com.

8. Cookies et traceurs

Notre site utilise les types de cookies suivants :

• Cookies techniques essentiels : nécessaires au fonctionnement du site (session, authentification). Pas de consentement requis.
• Cookies analytiques : mesure d'audience anonymisée (ex. Vercel Analytics). Activés uniquement avec votre consentement.
• Cookies Stripe : nécessaires au traitement des paiements.

Vous pouvez gérer vos préférences en matière de cookies via les paramètres de votre navigateur.

9. Vos droits

Conformément au RGPD et à la nLPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données personnelles.
• Droit de rectification : corriger des données inexactes.
• Droit à l'effacement : demander la suppression de vos données (sous réserve d'obligations légales).
• Droit à la portabilité : recevoir vos données dans un format structuré.
• Droit d'opposition : vous opposer au traitement basé sur l'intérêt légitime ou à des fins de marketing.
• Droit à la limitation : demander la suspension du traitement.
• Retrait du consentement : retirer à tout moment un consentement préalablement donné.

Pour exercer ces droits, contactez-nous à : contact@tryhomewear.com. Nous répondrons dans un délai de 30 jours.

Vous avez également le droit de déposer une réclamation auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) en Suisse (www.edoeb.admin.ch), ou de votre autorité de protection des données nationale en Union européenne (ex. CNIL en France).

10. Sécurité des données

Nous mettons en œuvre les mesures suivantes : chiffrement TLS/HTTPS pour tous les échanges, mots de passe hachés via bcrypt (longueur minimale 12 caractères), tokens d'authentification stockés dans le keychain sécurisé de l'appareil (expo-secure-store), Row Level Security (RLS) activé sur toutes les tables de la base de données, et aucun stockage de données de carte bancaire (délégué à Stripe PCI-DSS niveau 1). Les codes d'accès aux immeubles (digicodes) sont exclus du cache local du téléphone. En cas de violation de données susceptible de créer un risque, les utilisateurs concernés et le PFPDT seront notifiés dans les 72 heures.

11. Modifications de cette politique

Nous nous réservons le droit de modifier la présente politique à tout moment. Toute modification significative vous sera notifiée par e-mail ou via l'application. La date de dernière mise à jour est indiquée en haut de cette page.

12. Contact