Politique de
confidentialité.

Les données collectées sur Supral sont traitées par Mattheo SALA (entreprise en cours d'immatriculation au registre INPI, dossier en cours), domicilié à Bordeaux (Gironde, France).

Contact : mattheo@thesupral.com

Note : tant que l'entreprise n'est pas immatriculée, les obligations RGPD sont assumées personnellement par le fondateur. Dès la création formelle de la société, cette page sera mise à jour avec la dénomination sociale, le SIRET, et le cas échéant les coordonnées du DPO désigné.

Sur la waitlist (aujourd'hui) :

• Adresse email (obligatoire pour vous prévenir de l'ouverture)
• Type de profil (artisan ou client)
• Métadonnées techniques : adresse IP, type de navigateur (user agent), source de l'inscription
• Horodatage de l'inscription

À l'ouverture publique (été 2026) :

• Nom, prénom, téléphone
• Pour les artisans : SIRET, raison sociale, code NAF, attestation décennale, RIB pour les versements Stripe
• Pour les clients : adresse du chantier, photos du chantier, description des travaux souhaités
• Données de transaction : montants, jalons validés, références Stripe
• Échanges via la messagerie intégrée

Vos données sont utilisées uniquement pour :

• Vous prévenir de l'ouverture publique de Supral et de l'avancement du projet (mailing waitlist)
• Faire fonctionner la marketplace à l'ouverture : mise en relation, signature électronique des devis, paiements séquestrés, médiation en cas de litige
• Lutter contre la fraude et le contournement de plateforme (analyse algorithmique des échanges)
• Améliorer le service (analyse statistique anonymisée)

Vos données ne sont jamais vendues à des tiers et ne servent pas à de la publicité ciblée externe à Supral.

• Consentement : pour l'inscription waitlist et les emails de mise à jour. Vous pouvez le retirer à tout moment.
• Exécution d'un contrat : pour les transactions effectuées à l'ouverture (paiements, devis signés, médiation).
• Obligation légale : conservation des preuves transactionnelles (Code du commerce L.123-22, 10 ans).
• Intérêt légitime : lutte contre la fraude et la sécurité de la plateforme.

Vos données sont accessibles uniquement par les sous-traitants techniques de Supral, encadrés par des accords de traitement (DPA — Data Processing Agreements) signés ou en cours :

Pour les sous-traitants hors UE (Vercel, Resend), les transferts de données sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne.

• Inscrits waitlist non convertis : 3 ans à compter de la dernière interaction (clic email, visite du site).
• Comptes utilisateurs actifs : pendant toute la durée du compte, puis 3 ans après dernière connexion.
• Preuves transactionnelles (devis signés, factures, échanges relatifs à un chantier) : 10 ans conformément au Code du commerce (article L.123-22).
• Données comptables : 10 ans conformément au Code de commerce.
• Logs techniques (IP, user-agent) : 12 mois maximum.

À tout moment, vous pouvez exercer les droits suivants :

• Droit d'accès : obtenir une copie de toutes les données vous concernant.
• Droit de rectification : corriger des données inexactes.
• Droit à l'effacement : demander la suppression de vos données (sauf obligation légale de conservation, ex : preuves transactionnelles 10 ans).
• Droit à la portabilité : récupérer vos données dans un format structuré (JSON ou CSV).
• Droit d'opposition : vous opposer au traitement, notamment au marketing direct.
• Droit à la limitation du traitement : geler temporairement le traitement de vos données.

Pour exercer ces droits, envoyez un email à mattheo@thesupral.com avec une preuve d'identité (copie pièce d'identité, floutée hormis nom/prénom).

Délai de réponse : 1 mois maximum (RGPD article 12), prolongeable de 2 mois pour les demandes complexes (avec notification).

Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une réclamation auprès de la CNIL.

• Chiffrement TLS 1.3 en transit sur l'ensemble des échanges client/serveur
• Mots de passe stockés hachés (bcrypt ou équivalent), jamais en clair
• Sauvegardes automatiques quotidiennes de la base de données Supabase
• Accès aux données restreints au strict nécessaire (principe du moindre privilège)
• Variables d'environnement sensibles (clés API, secrets) marquées Sensitive et jamais loguées
• Logs d'audit conservés pour traçabilité (qui a accédé à quoi, quand)

En cas de violation de données (data breach), nous nous engageons à vous notifier dans les 72 heures par email, conformément à l'article 34 du RGPD.

Supral utilise uniquement les cookies suivants :

• Cookies techniques essentiels (session, préférence de thème) : aucun consentement requis, durée de vie limitée à la session.
• Vercel Analytics et Meta Pixel (optionnel) : statistiques anonymisées. Activables/désactivables via le bandeau cookies à votre premier passage sur le site.

Vous pouvez modifier vos préférences à tout moment depuis la page Mentions légales.

Nous nous réservons le droit de modifier cette politique pour refléter des changements légaux, techniques ou organisationnels. Toute modification substantielle sera notifiée par email aux utilisateurs concernés au moins 30 jours avant son entrée en vigueur, vous laissant le temps de réagir (refus, suppression de compte, etc.).

Les versions précédentes restent consultables sur demande à mattheo@thesupral.com.

Pour toute question relative à cette politique ou à vos données personnelles :

Email : mattheo@thesupral.com
Délai de réponse : 24 h ouvrées maximum.

Vous pouvez également déposer plainte auprès de l'autorité de contrôle française, la CNIL.