Politique de Confidentialité

1. Identité du responsable de traitement

La présente politique de confidentialité (ci-après la « Politique ») est émise par :

Raison sociale	NICECONCEPT SAS
Forme juridique	Société par Actions Simplifiée (SAS)
Capital social	14 000 €
SIREN	988 252 441
SIRET	988 252 441 00015
N° TVA Intracommunautaire	FR59 988 252 441
N° EORI	FR988 252 441 00015
Code NAF	47.91B — Vente à distance sur catalogue spécialisé
RCS	RCS Avignon
Siège social	120 Avenue Ernest Perrin, 84210 Althen-des-Paluds, France
Président	M. Florent Duarte
Email de contact	support@niceconcept.fr
Téléphone	+33 6 46 17 31 96
Date de création	10/06/2025

Partenaire opérationnel en Chine :
Hunan Liuliu Import and Export Co., Ltd.
Représentant légal : Liu Bo (刘波)
District de Yuelu, Changsha, Hunan, Chine
Code de crédit social unifié : 91430104MA4QC7K02G

2. Objet et champ d'application

La présente Politique décrit la manière dont NiceConcept SAS (ci-après « nous », « notre » ou « NiceConcept ») collecte, utilise, stocke, protège et, le cas échéant, partage les données personnelles des utilisateurs (ci-après « vous » ou l'« Utilisateur ») de l'application mobile NiceFactory (ci-après l'« Application »), disponible sur l'App Store d'Apple pour les appareils iOS et iPadOS.

Cette Politique s'applique conformément aux réglementations suivantes :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD »)
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée (« Loi Informatique et Libertés »)
Directive 2002/58/CE du 12 juillet 2002 (« Directive ePrivacy »)
Apple App Store Review Guidelines, Section 5.1 — Privacy
Apple Developer Program License Agreement
Toute autre législation applicable en matière de protection des données personnelles

En utilisant l'Application, vous reconnaissez avoir pris connaissance de la présente Politique et vous acceptez les pratiques de traitement des données qui y sont décrites.

3. Données personnelles collectées

Nous collectons les catégories de données suivantes, classées selon leur nature et leur mode de collecte :

3.1 Données fournies directement par l'Utilisateur

Catégorie	Données	Moment de la collecte
Identité	Prénom, nom	Inscription et profil
Coordonnées	Adresse e-mail	Inscription (Firebase Authentication)
Téléphone	Numéro WhatsApp	Profil utilisateur (optionnel)
Adresse postale	Adresse, code postal, ville	Profil utilisateur (optionnel)
Données entreprise	Raison sociale, SIREN, SIRET, TVA intracommunautaire, N° EORI	Profil utilisateur (optionnel)

3.2 Données générées par l'utilisation de l'Application

Catégorie	Données	Finalité
Identifiant	Firebase UID (identifiant unique)	Authentification et gestion du compte
Recherches	Mots-clés de recherche texte	Interrogation des fournisseurs (API 1688)
Photos	Images uploadées pour la recherche visuelle	Recherche de produits similaires par image
Favoris	Produits enregistrés en favoris	Sauvegarde des préférences utilisateur
Demandes	Demandes de sourcing (produits, projets sur mesure)	Traitement des commandes B2B

3.3 Données NON collectées

L'Application ne collecte pas les données suivantes :

Données de géolocalisation (ni précise, ni approximative)
Identifiant publicitaire (IDFA) ou identifiant de l'appareil
Données de santé, données biométriques
Contacts du carnet d'adresses
Historique de navigation hors application
Données financières ou de paiement (aucun paiement n'est effectué dans l'Application)
Données relatives aux appels, SMS ou e-mails personnels
Données de diagnostic ou de performance (pas de Crashlytics, pas d'analytics tiers)
Données audio, vidéo (hors photos volontairement uploadées par l'Utilisateur)

4. Finalités et bases juridiques du traitement

Conformément à l'article 6 du RGPD, chaque traitement de données repose sur une base juridique légitime :

Finalité	Base juridique (Art. 6 RGPD)	Détail
Création et gestion du compte utilisateur	Exécution du contrat (Art. 6.1.b)	L'inscription est nécessaire pour accéder aux fonctionnalités de l'Application.
Authentification sécurisée	Exécution du contrat (Art. 6.1.b)	Firebase Authentication gère la connexion par email/mot de passe.
Recherche et sourcing de produits	Exécution du contrat (Art. 6.1.b)	Les recherches texte et image sont transmises à notre API pour interroger les fournisseurs.
Gestion des favoris et demandes	Exécution du contrat (Art. 6.1.b)	Stockage des produits favoris et des demandes de sourcing dans Firestore.
Stockage temporaire de photos	Consentement (Art. 6.1.a)	L'Utilisateur choisit volontairement d'uploader une photo pour la recherche visuelle. La photo est stockée temporairement dans Firebase Storage.
Communication avec l'Utilisateur	Intérêt légitime (Art. 6.1.f)	Répondre aux demandes de contact et de support via WhatsApp ou email.
Conformité réglementaire	Obligation légale (Art. 6.1.c)	Conservation des données nécessaires au respect des obligations fiscales et commerciales (facturation, douanes).

5. Destinataires des données

Vos données personnelles peuvent être communiquées aux catégories de destinataires suivantes, dans la stricte mesure nécessaire aux finalités décrites :

Destinataire	Rôle	Données concernées
Google LLC / Firebase	Sous-traitant (hébergement, authentification, stockage)	Email, UID, données de profil, photos, favoris, demandes
Hunan Liuliu Import and Export Co., Ltd.	Partenaire opérationnel (sourcing)	Demandes de sourcing, descriptions produits
Expo / React Native	Éditeur du framework de l'Application	Aucune donnée utilisateur transmise

Aucun courtier de données (data broker) n'a accès à vos données.
Aucune donnée n'est vendue, louée ou partagée à des fins publicitaires.

6. Transferts internationaux de données

L'Application utilise Google Firebase, dont les serveurs sont principalement situés aux États-Unis et dans l'Union européenne.

Les transferts de données vers les États-Unis sont encadrés par :

Le EU-U.S. Data Privacy Framework (DPF), tel qu'adopté par la Commission européenne dans sa décision d'adéquation du 10 juillet 2023
Les Clauses Contractuelles Types (CCT) de la Commission européenne, conformément à l'article 46.2.c du RGPD
Les mesures techniques et organisationnelles complémentaires recommandées par le CEPD (Comité Européen de la Protection des Données)

Les données transmises à notre partenaire opérationnel en Chine (demandes de sourcing uniquement) sont protégées par des Clauses Contractuelles Types et ne concernent que les descriptions de produits recherchés, sans données personnelles directes.

7. Durée de conservation des données

Type de données	Durée de conservation	Justification
Données de compte (identité, email)	Durée d'existence du compte + 3 ans après suppression	Obligation légale de conservation des données commerciales
Données de profil entreprise	Durée d'existence du compte	Exécution du contrat
Photos uploadées (recherche visuelle)	24 heures maximum	Suppression automatique après traitement de la recherche
Historique de recherche	Non conservé côté serveur	Les recherches sont traitées en temps réel et non stockées
Favoris et demandes	Durée d'existence du compte	Exécution du contrat
Données de facturation	10 ans après la transaction	Obligation légale (Code de Commerce, Art. L123-22)

À l'expiration de ces durées, les données sont supprimées de manière irréversible ou anonymisées de sorte qu'elles ne permettent plus d'identifier l'Utilisateur.

8. Sécurité des données

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

Chiffrement en transit : Toutes les communications entre l'Application et nos serveurs sont chiffrées via TLS 1.2 ou supérieur (HTTPS).
Chiffrement au repos : Les données stockées dans Firebase Firestore et Firebase Storage sont chiffrées au repos conformément aux normes Google Cloud (AES-256).
Authentification sécurisée : Firebase Authentication gère les identifiants de connexion avec hachage des mots de passe (bcrypt/scrypt).
Règles de sécurité Firestore : Les données de chaque utilisateur sont isolées et accessibles uniquement par l'utilisateur authentifié propriétaire.
Principe du moindre privilège : Chaque composant de l'Application n'accède qu'aux données strictement nécessaires à son fonctionnement.
HSTS (HTTP Strict Transport Security) : Activé sur l'ensemble de nos services web.
En-têtes de sécurité : CSP (Content-Security-Policy), X-Frame-Options, X-Content-Type-Options configurés sur tous les points d'accès.

En cas de violation de données personnelles (au sens de l'article 33 du RGPD), nous nous engageons à notifier la CNIL dans un délai de 72 heures et à informer les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.

9. Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la Loi Informatique et Libertés, vous disposez des droits suivants :

Droit	Description	Référence
Droit d'accès	Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.	Art. 15 RGPD
Droit de rectification	Demander la correction de données inexactes ou incomplètes.	Art. 16 RGPD
Droit à l'effacement	Demander la suppression de vos données (« droit à l'oubli »), sous réserve des obligations légales de conservation.	Art. 17 RGPD
Droit à la limitation	Demander la suspension du traitement de vos données dans certaines circonstances.	Art. 18 RGPD
Droit à la portabilité	Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON/CSV).	Art. 20 RGPD
Droit d'opposition	Vous opposer au traitement fondé sur l'intérêt légitime.	Art. 21 RGPD
Droit de retrait du consentement	Retirer votre consentement à tout moment (ex : upload de photos).	Art. 7.3 RGPD
Directives post-mortem	Définir des instructions sur le sort de vos données après votre décès.	Art. 85 Loi IL

Comment exercer vos droits ?

Vous pouvez exercer vos droits de l'une des manières suivantes :

Par email : dpo@niceconcept.fr
Par courrier postal : NiceConcept SAS — DPO, 120 Avenue Ernest Perrin, 84210 Althen-des-Paluds, France
Dans l'Application : Onglet Profil → Mon Profil → Modification ou suppression des données

Nous nous engageons à répondre à toute demande dans un délai maximum d'un (1) mois, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité ou de nombre élevé de demandes.

Une pièce d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur (Art. 12.6 RGPD).

10. Cookies et technologies similaires

L'Application mobile NiceFactory n'utilise pas de cookies.

L'Application utilise uniquement le stockage local sécurisé du système d'exploitation (iOS Keychain via Firebase Auth) pour maintenir la session de connexion de l'Utilisateur. Ce stockage est strictement nécessaire au fonctionnement de l'Application et est exempt de consentement au titre de l'article 5.3 de la Directive ePrivacy.

Aucun identifiant publicitaire (IDFA) n'est collecté ou utilisé par l'Application. L'Application ne participe à aucun programme de suivi publicitaire et n'utilise pas le framework App Tracking Transparency (ATT).

11. Données des mineurs

L'Application est destinée à un public professionnel B2B (Business-to-Business). Elle n'est pas conçue pour être utilisée par des personnes de moins de 18 ans.

Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous prenons connaissance qu'un mineur nous a fourni des données personnelles, nous les supprimerons sans délai.

Si vous êtes parent ou tuteur et que vous estimez que votre enfant mineur nous a communiqué des données personnelles, veuillez nous contacter à dpo@niceconcept.fr.

12. Sous-traitants et services tiers

L'Application fait appel aux sous-traitants suivants, conformément à l'article 28 du RGPD :

Sous-traitant	Service	Localisation	Garanties
Google LLC (Firebase)	Authentication, Cloud Firestore (base de données), Firebase Storage (stockage fichiers)	États-Unis / UE	EU-U.S. DPF, CCT, certifications ISO 27001, SOC 2/3
Google Cloud Platform	Cloud Run (API backend), Cloud Functions	europe-west1 (Belgique)	CCT, certifications ISO 27001, SOC 2/3
Expo (Expo.dev)	Build et déploiement mobile (EAS)	États-Unis	Aucune donnée utilisateur traitée — code source uniquement

Un contrat de sous-traitance (Data Processing Agreement) est en place avec chaque sous-traitant, conformément à l'article 28.3 du RGPD.

13. Publicité et suivi (tracking)

L'Application NiceFactory ne contient aucune publicité.

L'Application :

N'affiche aucune publicité, ni tierce ni propriétaire
Ne collecte aucun identifiant publicitaire (IDFA, GAID ou autre)
N'utilise aucun SDK de suivi (pas de Firebase Analytics, pas de Google Analytics, pas de Facebook SDK, pas d'Adjust, pas de AppsFlyer, ni aucun autre)
Ne partage aucune donnée avec des réseaux publicitaires ou des courtiers de données
Ne réalise aucun profilage publicitaire ou comportemental
Ne suit pas les utilisateurs entre applications ou sites web

Par conséquent, l'Application n'est pas soumise à la permission App Tracking Transparency (ATT) d'Apple, conformément aux directives d'Apple et à l'article 5.1.2(i) des App Store Review Guidelines.

14. Modifications de la politique

Nous nous réservons le droit de modifier la présente Politique de confidentialité à tout moment. Toute modification sera :

Publiée sur cette page avec mise à jour de la date de dernière modification
Notifiée dans l'Application en cas de changement substantiel
Communiquée par email si la modification concerne les finalités de traitement ou les catégories de données collectées

Nous vous encourageons à consulter régulièrement cette Politique. L'utilisation continue de l'Application après la publication des modifications vaut acceptation de la Politique révisée.

15. Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD ou de la Loi Informatique et Libertés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

Autorité	Commission Nationale de l'Informatique et des Libertés (CNIL)
Adresse	3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site web	www.cnil.fr
Réclamation en ligne	www.cnil.fr/fr/plaintes
Téléphone	+33 1 53 73 22 22

Nous vous invitons cependant à nous contacter en premier lieu afin de tenter de résoudre votre préoccupation directement.

16. Contact — Délégué à la Protection des Données

Pour toute question relative à la présente Politique de confidentialité, au traitement de vos données personnelles, ou pour exercer vos droits, vous pouvez contacter :

Fonction	Responsable de la Protection des Données (DPO)
Nom	M. Florent Duarte
Email	dpo@niceconcept.fr
Adresse postale	NiceConcept SAS — DPO 120 Avenue Ernest Perrin 84210 Althen-des-Paluds, France
Téléphone	+33 6 46 17 31 96

Sommaire