bonmoment.app
Registre des activités de traitement
Article 30 RGPD — Mars 2026
Document établi conformément à l'article 30 du Règlement Général sur la Protection des Données (RGPD — UE 2016/679). Ce registre doit être tenu à jour et présenté à la CNIL sur demande.
Informations générales
| Responsable de traitement | Manon LISSE |
| Qualité | Auto-entrepreneur — Éditeur de la plateforme bonmoment.app |
| Adresse | 7 rue du Chesne, 27190 Nogent-le-Sec |
| Email DPO / Contact RGPD | bonmomentapp@gmail.com |
| Date de création du registre | Mars 2026 |
| Dernière mise à jour | Mars 2026 |
Traitement n°1
Gestion des comptes clients (Habitants)
| Finalité | Création et gestion des comptes clients — Personnalisation des offres affichées |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Clients habitants inscrits sur la plateforme |
| Données traitées | Email, prénom, photo de profil, villes suivies, commerces favoris, historique des réservations, badge de fidélité |
| Destinataires | Supabase (stockage BDD) — Vercel (hébergement) — Brevo (emails) |
| Transferts hors UE | Vercel Inc. (USA) — CCT Commission Européenne |
| Durée de conservation | Durée de la relation contractuelle + 30 jours après suppression du compte |
| Mesures de sécurité | HTTPS/TLS, OAuth (Google/Facebook/Apple/Microsoft), RLS Supabase, chiffrement AES-256, serveurs EU |
Traitement n°2
Gestion des comptes commerçants
| Finalité | Inscription, gestion du profil commerce, publication d'offres, statistiques |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Commerçants inscrits sur la plateforme |
| Données traitées | Email, nom du commerce, adresse, Place ID Google, photo du commerce, historique des offres publiées |
| Destinataires | Supabase — Vercel — Stripe (paiement) — Brevo (emails) — Google Places API |
| Transferts hors UE | Vercel Inc. (USA) — Stripe Inc. (USA) — Google LLC (USA) — CCT Commission Européenne |
| Durée de conservation | Durée de la relation contractuelle + 3 mois après résiliation |
| Mesures de sécurité | HTTPS/TLS, OAuth (Google/Facebook/Apple/Microsoft), RLS Supabase, aucun mot de passe stocké |
Traitement n°3
Gestion des réservations (Bons)
| Finalité | Enregistrement des réservations de bons, validation en caisse, prévention des fraudes |
| Base légale | Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Clients ayant réservé au moins un bon |
| Données traitées | ID utilisateur, ID offre, code de validation à 6 chiffres, statut du bon, date de réservation, date d'utilisation |
| Destinataires | Supabase — Vercel — Commerçant concerné (accès limité à la validation) |
| Transferts hors UE | Vercel Inc. (USA) — CCT Commission Européenne |
| Durée de conservation | 2 ans à compter de la date de réservation |
| Mesures de sécurité | RLS Supabase — accès restreint par rôle — HTTPS/TLS |
Traitement n°4
Facturation et paiements (Commerçants)
| Finalité | Gestion des abonnements payants, facturation, comptabilité |
| Base légale | Obligation légale (Art. 6.1.c RGPD) + Exécution du contrat (Art. 6.1.b RGPD) |
| Catégories de personnes | Commerçants ayant souscrit un abonnement payant |
| Données traitées | Email, nom, adresse de facturation, données d'abonnement (palier, date, montant). Les données bancaires sont traitées exclusivement par Stripe et jamais stockées par BONMOMENT |
| Destinataires | Stripe Inc. (traitement paiements — PCI-DSS Level 1) — Expert-comptable si applicable |
| Transferts hors UE | Stripe Inc. (USA) — CCT Commission Européenne — Stripe est certifié Privacy Shield |
| Durée de conservation | 10 ans — obligation comptable légale (Article L.123-22 du Code de commerce) |
| Mesures de sécurité | Données bancaires non stockées par BONMOMENT — Stripe certifié PCI-DSS Level 1 |
Traitement n°5
Envoi de notifications et emails
| Finalité | Envoi d'emails transactionnels (confirmations, alertes, récapitulatifs quotidiens) |
| Base légale | Consentement (Art. 6.1.a RGPD) pour les notifications marketing — Exécution du contrat pour les emails transactionnels |
| Catégories de personnes | Clients et commerçants ayant accepté les notifications |
| Données traitées | Adresse email, préférences de notification, contenu personnalisé selon les abonnements villes/commerces |
| Destinataires | Brevo (Sendinblue) — prestataire d'envoi d'emails |
| Transferts hors UE | Brevo est une société française — données stockées en UE |
| Durée de conservation | Logs d'envoi : 12 mois. Préférences : durée du compte |
| Mesures de sécurité | Chiffrement TLS des emails — Gestion des désinscriptions conforme à la loi RGPD |
Traitement n°6
Logs d'accès et sécurité
| Finalité | Sécurité de la plateforme, détection des intrusions, résolution des incidents techniques |
| Base légale | Intérêt légitime (Art. 6.1.f RGPD) — sécurité informatique |
| Catégories de personnes | Tous les utilisateurs de la plateforme |
| Données traitées | Adresse IP, horodatage des connexions, actions effectuées (logs serveur) |
| Destinataires | Vercel (hébergement) — Supabase (BDD) |
| Transferts hors UE | Vercel Inc. (USA) — CCT Commission Européenne |
| Durée de conservation | 12 mois — suppression automatique |
| Mesures de sécurité | Accès restreint aux logs (administrateur uniquement) — HTTPS/TLS |
Sous-traitants — Tableau récapitulatif
| Sous-traitant | Rôle et garanties RGPD |
|---|---|
| Supabase Inc. | Stockage base de données PostgreSQL — Région EU West — DPA disponible sur supabase.com |
| Vercel Inc. | Hébergement et CDN — USA — CCT Commission Européenne — DPA disponible sur vercel.com |
| Stripe Inc. | Traitement des paiements — USA — PCI-DSS Level 1 — DPA disponible sur stripe.com |
| Brevo (Sendinblue) | Envoi emails transactionnels — France/UE — DPA disponible sur brevo.com |
| Google LLC | OAuth + Places API — USA — CCT Commission Européenne — DPA disponible sur cloud.google.com |
| Meta Platforms Inc. | OAuth Facebook — USA — CCT Commission Européenne |
| Apple Inc. | Sign in with Apple — USA — CCT Commission Européenne |
| Microsoft Corporation | OAuth Outlook/Microsoft — USA — CCT Commission Européenne — DPA disponible sur microsoft.com |
Obligations à remplir avant le lancement
Liste de contrôle de conformité RGPD :
- ✓Remplir le présent registre des traitements (Article 30 RGPD)
- ✓Publier la Politique de confidentialité sur le site
- ✓Publier les CGU avec lien vers la politique de confidentialité
- ○Mettre en place le bouton « Supprimer mon compte » dans l'interface client
- ○Activer le Row Level Security (RLS) sur toutes les tables Supabase
- ○Configurer toutes les clés API en variables d'environnement Vercel
- ○Sélectionner la région EU West lors de la création du projet Supabase
- ○Sélectionner la région EU lors de la configuration Vercel
- ○Tester l'exercice du droit d'accès avant le lancement
- ○Tester l'exercice du droit d'effacement avant le lancement
Procédure en cas de violation de données
En cas de violation de données à caractère personnel :
- Documenter immédiatement la violation (nature, données concernées, personnes affectées)
- Évaluer le risque pour les droits et libertés des personnes
- Si risque avéré : notifier la CNIL sous 72 heures via : cnil.fr/fr/notifier-une-violation-de-donnees
- Si risque élevé pour les personnes : informer directement les personnes concernées
- Documenter les mesures correctives prises
Registre établi le Mars 2026 — Manon LISSE — 7 rue du Chesne, 27190 Nogent-le-Sec — À conserver et tenir à jour. Présentable à la CNIL sur demande.