Politique de confidentialité

Dernière mise à jour : avril 2026. Conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés modifiée.

1. Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées via NOLOST est NOLOST SAS, dont le siège social est situé en France. Contact DPO / délégué à la protection des données : privacy@nolost.fr

2. Données collectées

NOLOST collecte uniquement les données strictement nécessaires au fonctionnement de la plateforme :

  • Données d'identification : prénom, nom, adresse email, identifiant unique (username), numéro de téléphone (optionnel)
  • Données professionnelles : raison sociale, SIRET (pour les vendeurs souhaitant afficher leur statut professionnel)
  • Données de transaction : annonces publiées, commandes passées, montants, dates, références de suivi
  • Données de connexion : adresse IP, type de navigateur, pages visitées, horodatage des connexions
  • Données de paiement : traitées exclusivement par Stripe Inc. NOLOST ne stocke aucun numéro de carte bancaire

Les données sont collectées lors de l'inscription, de la publication d'annonces, des transactions et de l'utilisation générale de la plateforme.

3. Bases légales et finalités du traitement

Exécution du contrat (Art. 6.1.b RGPD)

Gestion du compte utilisateur, publication et consultation d'annonces, traitement des commandes, paiements sécurisés via Stripe, communication relative aux transactions.

Intérêt légitime (Art. 6.1.f RGPD)

Sécurité de la plateforme, prévention de la fraude, amélioration de nos services, analyses statistiques agrégées et anonymisées.

Obligation légale (Art. 6.1.c RGPD)

Conservation des données comptables et de transaction conformément aux obligations légales françaises (art. L. 123-22 du Code de commerce : 10 ans).

4. Durées de conservation

  • Données de compte actif : durée de la relation contractuelle
  • Données de compte inactif : 3 ans à compter de la dernière connexion, puis suppression ou anonymisation
  • Données de transaction : 10 ans (obligation comptable)
  • Logs de connexion : 12 mois (obligation légale LCEN)
  • Données marketing : 3 ans à compter du dernier contact, si consentement donné

5. Destinataires des données

Vos données sont transmises aux sous-traitants suivants dans le cadre de la fourniture du service :

  • Supabase Inc. — hébergement de la base de données (Région UE)
  • Vercel Inc. — hébergement de l'application
  • Stripe Inc. — traitement des paiements (certifié PCI-DSS)

Ces transferts vers des pays tiers (États-Unis) sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD.

NOLOST ne vend pas, ne loue pas et ne cède pas vos données personnelles à des tiers à des fins commerciales.

6. Vos droits

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie des données vous concernant
  • Droit de rectification : corriger des données inexactes ou incomplètes
  • Droit à l'effacement : obtenir la suppression de vos données (sous réserve des obligations légales)
  • Droit à la portabilité : recevoir vos données dans un format structuré et lisible
  • Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime
  • Droit à la limitation : demander la suspension temporaire d'un traitement

Pour exercer ces droits, contactez-nous à privacy@nolost.fr. Nous répondons dans un délai d'un mois. En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

7. Sécurité

NOLOST met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement en transit (TLS 1.3), chiffrement au repos (AES-256), politiques de sécurité au niveau des lignes (Row Level Security) sur la base de données, authentification multi-facteurs disponible, accès restreint aux données selon le principe du moindre privilège.