Politique de confidentialité — Données Amazon SP-API Date d’effet : 28 mai 2026 Dernière mise à jour : 28 mai 2026 Responsable du traitement : Raven Industries (entreprise individuelle), France 1. Champ d’application La présente politique décrit comment Raven Industries collecte, traite, stocke, partage et supprime les données personnelles obtenues via l’API Amazon Selling Partner (SP-API), notamment les données de commandes relevant des rôles « Direct-to-Consumer Shipping » et « Tax Invoicing ». 2. Données collectées via SP-API Amazon Pour chaque commande Amazon, nous traitons : Nom du client (acheteur) Adresse postale de livraison (rue, code postal, ville, pays) Adresse email du client Numéro de téléphone (si fourni par l’acheteur) Lignes de commande, quantités, totaux Adresse de facturation Identifiants de commande (Amazon order ID, marketplace, ASIN, SKU) 3. Base légale du traitement (RGPD Art. 6) Exécution du contrat (Art. 6.1.b) : livraison des biens achetés. Obligation légale (Art. 6.1.c) : facturation et comptabilité (CGI Art. 289 — conservation 10 ans des factures uniquement). 4. Finalités du traitement Les données personnelles sont utilisées exclusivement pour : Génération des étiquettes d’expédition Colissimo / La Poste. Routage des commandes vers la bonne zone d’expédition. Envoi des notifications de suivi de livraison. Génération des factures conformes au droit français. Traitement des retours et remboursements. Aucune utilisation à des fins de marketing, profilage, analytics, ni partage avec des tiers en dehors du §6. 5. Stockage et sécurité Chiffrement au repos : champs sensibles (nom, adresse, email, téléphone) chiffrés en AES-256-GCM (libsodium, authenticated encryption avec contexte AAD) avant écriture en base MySQL. Gestion des clés : clés stockées en fichiers SOPS chiffrés (age + ChaCha20-Poly1305), clé maître hors ligne, rotation annuelle. Chiffrement en transit : TLS 1.3 pour tous les transports. Contrôle d’accès : opérateur unique avec 2FA (Authelia TOTP + WebAuthn). Accès base de données restreint au réseau Docker interne. Sauvegardes : chiffrées restic AES-256, local + offsite (Backblaze B2 datacenter UE). Hébergement : serveur dédié en France. 6. Partage de données Les données personnelles ne sont partagées qu’avec : Colissimo (La Poste) — génération étiquettes d’expédition. Strictement limité aux données nécessaires à la livraison. Administration fiscale française — données de facture, uniquement si requis par la loi. Aucune donnée partagée avec des réseaux marketing, fournisseurs analytics, services d’IA, ou tout autre sous-traitant. 7. Durée de conservation PII commandes : purgées automatiquement 30 jours après livraison confirmée. Factures : conservées 10 ans (obligation légale française — CGI Art. L102B). Logs d’audit accès API : 18 mois. Données Sentry : 90 jours, PII redacted avant stockage. Script de purge automatique mensuel. 8. Droits des personnes concernées (RGPD Chap. III) Vous pouvez exercer vos droits en écrivant à security@ravenindustries.fr : Accès (Art. 15) Rectification (Art. 16) Effacement (Art. 17) Limitation (Art. 18) Portabilité (Art. 20) Opposition (Art. 21) Réponse sous 30 jours, gratuite. Droit de réclamation auprès de la CNIL — https://www.cnil.fr/fr/plaintes 9. Notification d’incident En cas de violation de données : Amazon : security@amazon.com sous 24h. CNIL : sous 72h (RGPD Art. 33). Personnes concernées : sans délai en cas de risque élevé (RGPD Art. 34). 10. Contact Responsable IR (Incident Management POC) : HASNA GATOUFI security@ravenindustries.fr +33 7 68 88 52 93 (24/7 incidents sécurité) Responsable du traitement : Raven Industries Email : contact@ravenindustries.fr An English version of this policy is available here.