Politique de confidentialité

Dernière mise à jour : avril 2026 — version v1.0-2026-04

Responsable du traitement

Le responsable de traitement est Vintiz — 6 rue Saint-Jacques, 27200 Vernon, France (responsable unique). La fonction de Délégué à la Protection des Données (DPO) est assurée par notre partenaire Solidarité Textiles ; vous pouvez le contacter à dpo@solidarite-textiles.fr.

Données collectées

Selon votre interaction avec Vintiz, nous collectons les données suivantes :

• Newsletter — adresse e-mail, date, heure et adresse IP du consentement (preuve RGPD).
• Carte de fidélité (souscription en boutique) — prénom, nom, e-mail, téléphone, achats, points de fidélité, niveau de carte, et solde d'avoir éventuel.
• Personal Shopper IA (sur demande) — préférences de style, tailles, marques, dérivées de votre historique d'achats afin de vous proposer des sélections personnalisées.
• Encaissement — chaque vente est enregistrée conformément à la norme NF525 (loi anti-fraude TVA), avec montant, articles, méthode de paiement et chaînage cryptographique.

Finalités et bases légales

• Newsletter — consentement explicite (RGPD art. 6.1.a). Retirable à tout moment via le lien de désinscription.
• Programme fidélité, avoirs, historique d'achats — exécution de la relation commerciale (RGPD art. 6.1.b).
• Personal Shopper IA et profilage — consentement explicite (RGPD art. 6.1.a + art. 22). Vos préférences de style, tailles, couleurs et historique d'achats alimentent un modèle d'embeddings (sous-traitant : Anthropic Ireland pour Claude Haiku 4.5). Durée de conservation 36 mois maximum après le dernier achat. Retrait via le toggle Personal Shopper dans votre espace de gestion des données.
• Alertes nouveautés tendance par email — consentement explicite séparé du profilage. Un produit fraîchement arrivé en boutique et compatible avec votre profil déclenche au maximum un email tous les 7 jours. Retrait 1-clic dans chaque email ou via la page espace client RGPD.
• Souscription carte fidélité au POS — l'équipe boutique enregistre nom, prénom, code postal et email avec votre consentement explicite (newsletter et profilage cochés séparément). Le n° de carte (V######) est généré automatiquement.
• Comptabilité fiscale — obligation légale (CGI, décret 2016-1138 NF525) imposant la conservation 6 ans des transactions.

Cookies

Ce site utilise uniquement des cookies fonctionnels nécessaires à son fonctionnement. Avec votre accord explicite (bandeau de consentement), des cookies de mesure d'audience anonyme (Google Analytics 4 avec IP anonymisée et Consent Mode v2) peuvent être déposés. Aucun cookie publicitaire n'est déposé.

Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Accès et portabilité (art. 15 + 20) — visualiser et télécharger l'ensemble de vos données au format JSON depuis /account/rgpd.
• Rectification (art. 16) — demande à dpo@solidarite-textiles.fr ou directement en boutique.
• Effacement / droit à l'oubli (art. 17) — demande en self-service depuis /account/rgpd. La suppression effective intervient sous 30 jours pour permettre une éventuelle annulation. Les transactions soumises à l'obligation NF525 (6 ans) sont conservées mais anonymisées (votre identité est dissociée du paiement).
• Limitation et opposition (art. 18 + 21) — dpo@solidarite-textiles.fr.
• Réclamation auprès de la CNIL (www.cnil.fr).

Nous répondons à toute demande sous un délai maximum de 30 jours.

Conservation

• Newsletter — jusqu'à désinscription, et au plus tard 3 ans sans interaction (standard CNIL prospection).
• Compte client / carte de fidélité — pendant la durée de la relation commerciale, puis 5 ans après la dernière transaction.
• Données de transaction (NF525) — 6 ans, obligation légale (article L102 B du Livre des procédures fiscales).
• Mesure d'audience — 14 mois.

Destinataires et sous-traitants

Vos données ne sont transmises à aucun tiers commercial. Les sous-traitants techniques utilisés sont :

• Scaleway (hébergement, France) — base de données et application.
• Anthropic (API Claude, AWS Europe) — analyse automatisée des fiches produits et rédaction des recommandations Personal Shopper. Les données envoyées sont strictement fonctionnelles (description du panier ou du produit) et ne sont pas conservées par Anthropic après inférence.
• SumUp (paiement CB) — informations de paiement traitées directement par SumUp ; Vintiz n'a accès qu'à un identifiant de transaction non nominatif.
• Brevo (Sendinblue) — envoi des newsletters, des emails et SMS transactionnels et marketing (adresse e-mail / numéro de téléphone uniquement). Sous-traitant établi dans l'Union européenne.
• Twilio (fournisseur SMS de secours) — uniquement pour l'envoi de votre code de connexion ou de votre ticket par SMS lorsque vous nous le demandez.

Le QR code de votre carte de fidélité est généré localement (dans votre navigateur ou sur nos serveurs) : votre numéro de carte n'est transmis à aucun service tiers.

Aucun transfert hors Union européenne n'est effectué pour les données de profil ; l'API Claude est utilisée via une instance européenne.

Sécurité

Les données sont stockées dans une base de données PostgreSQL sauvegardée quotidiennement (sauvegardes chiffrées). Les accès administratifs sont protégés par authentification forte (mot de passe + PIN cashier 4 chiffres). Toute modification de donnée sensible est journalisée dans un registre d'audit inaltérable. Les transactions de caisse sont chaînées par hash SHA-256 conformément à la norme NF525.

Profilage, Personal Shopper IA et décisions automatisées

Le Personal Shopper IA et les recommandations de produits utilisent un traitement automatisé pour suggérer des articles susceptibles de vous plaire. Aucune décision automatisée produisant un effet juridique ou affectant significativement votre situation n'est prise sur la base de ce profilage : il s'agit uniquement de suggestions, qu'une employée valide systématiquement avant tout envoi personnalisé. Vous pouvez à tout moment retirer votre consentement au profilage depuis votre espace de gestion des données.

Conformité AI Act (UE 2024/1689, art. 50) — le Personal Shopper IA est un système d'intelligence artificielle à risque limité au sens du règlement européen. À ce titre :

• vous êtes informée de manière permanente, dans l'interface de votre espace client, que vous interagissez avec une IA ;
• chaque recommandation produite par l'IA est marquée comme telle (badge visible « IA » et marquage HTMLdata-ai-generated="true"lisible par les outils d'assistance et de transparence) ;
• vous pouvez à tout moment demander l'intervention d'un humain Vintiz pour réviser une recommandation, en écrivant à dpo@solidarite-textiles.fr.

Le modèle utilisé est Claude Haiku 4.5 (Anthropic Ireland Limited, hébergement AWS Union européenne). Les données envoyées au modèle sont strictement nécessaires à la recommandation et ne sont pas conservées par Anthropic après inférence.

Modification de cette politique

Cette politique est versionnée. Chaque modification fait l'objet d'une nouvelle version (visible en haut de cette page) et, lorsqu'elle est substantielle, vous est notifiée par e-mail si vous êtes inscrit·e à la newsletter ou détenteur d'une carte fidélité.