Préambule
Les Jardins de Naskur attachent une importance fondamentale au respect de la vie privée et à la protection des données personnelles de leurs clients et visiteurs. La présente politique de confidentialité a pour objet de vous informer, de manière transparente et complète, sur la manière dont vos données personnelles sont collectées, utilisées, conservées et protégées lorsque vous visitez le site lesjardinsdenaskur.fr ou y effectuez un achat.
Elle est rédigée en application du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données (RGPD) et de la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».
Identité du responsable de traitement
| Information | Valeur |
|---|---|
| Nom commercial | Les Jardins de Naskur |
| Exploitant | Vanessa Zimolo, Entrepreneur Individuel (EI) |
| SIRET | 498 551 035 00021 |
| Adresse postale | 6 route de Monassut, 64330 Garlin, France |
| Email RGPD | rgpd@lesjardinsdenaskur.fr |
| Email contact général | contact@lesjardinsdenaskur.fr |
Délégué à la protection des données (DPO) : aucun DPO n'a été désigné, la désignation n'étant pas obligatoire au sens de l'article 37 du RGPD (l'activité ne consiste pas en un suivi régulier et systématique à grande échelle ni en un traitement à grande échelle de données sensibles, et l'exploitant n'est pas un organisme public). Pour toute question relative à vos données, vous pouvez écrire à l'adresse rgpd@lesjardinsdenaskur.fr.
Données collectées par finalité
| Finalité | Données collectées | Source |
|---|---|---|
| Création et gestion du compte client (authentification par lien magique) | Adresse email, jetons de session, historique de connexion | Vous |
| Traitement et livraison de votre commande | Nom, prénom, adresse postale de livraison et de facturation, produits commandés | Vous |
| Émission de la facture et tenue de la comptabilité | Nom, prénom, adresse, montant, date, référence commande | Généré automatiquement |
| Encaissement du paiement | Aucune donnée bancaire n'est jamais visible ni stockée par Les Jardins de Naskur : le paiement est intégralement traité par Stripe (voir Destinataires et sous-traitants) | Tunnel de paiement Stripe |
| Sécurité et prévention de la fraude | Adresse IP, user-agent, horodatages des connexions, journaux serveur | Automatique (Vercel) |
| Statistiques d'audience anonymes | Hash anonyme régénéré chaque jour (sans cookie, sans identifiant persistant) | Vercel Analytics |
| Réponse aux demandes d'information et au service client | Contenu de votre message, email | Vous |
Aucun profilage publicitaire, aucune prise de décision automatisée produisant des effets juridiques au sens de l'article 22 RGPD n'est mis en œuvre.
Bases légales
| Traitement | Base légale | Article du RGPD |
|---|---|---|
| Création et gestion du compte client | Exécution du contrat / mesures précontractuelles | 6.1.b |
| Traitement et livraison de la commande | Exécution du contrat | 6.1.b |
| Facturation et comptabilité | Obligation légale (Code de commerce, CGI) | 6.1.c |
| Service client et réponse aux demandes | Exécution du contrat / intérêt légitime | 6.1.b / 6.1.f |
| Sécurité, journaux, lutte contre la fraude | Intérêt légitime | 6.1.f |
| Analytics Vercel (sans cookie, hash anonyme) | Intérêt légitime | 6.1.f |
Destinataires et sous-traitants
Vos données sont communiquées aux sous-traitants suivants, strictement nécessaires au fonctionnement du site et de la commande. Chacun est lié à Les Jardins de Naskur par un Data Processing Agreement (DPA) conforme à l'article 28 du RGPD.
| Sous-traitant | Rôle | Pays | Cadre du transfert |
|---|---|---|---|
| Vercel, Inc. | Hébergement web (Edge Network), exécution applicative et authentification (Auth.js), logs serveurs, Vercel Analytics | États-Unis | Data Privacy Framework (certifié actif) + Clauses contractuelles types (décision UE 2021/914) |
| Neon, Inc. | Base de données PostgreSQL applicative (comptes utilisateurs, commandes, réservations de stock, métadonnées de paiement) | États-Unis (siège) / Union européenne (données stockées : AWS Francfort, eu-central-1) | Clauses contractuelles types (décision UE 2021/914) ; données localisées dans l'Union européenne |
| GitHub, Inc. | Hébergement du code source applicatif et exécution du traitement automatisé de libération des réservations de stock expirées (toutes les 5 minutes) | États-Unis | Data Privacy Framework (certifié actif) + Clauses contractuelles types |
| Stripe, Inc. / Stripe Payments Europe Ltd | Traitement du paiement et prévention de la fraude (Stripe Radar) | États-Unis + Irlande pour le périmètre européen | Data Privacy Framework (certifié actif) + Clauses contractuelles types ; conformité PCI-DSS niveau 1 |
| Cloudinary Inc. | Hébergement et délivrance des images produits (CDN) | États-Unis | Data Privacy Framework (certifié actif) + Clauses contractuelles types |
| Resend (Plus Five Five, Inc.) | Envoi des emails transactionnels (confirmation de commande, magic link, suivi de livraison) | États-Unis | Data Privacy Framework (certifié actif) + Clauses contractuelles types |
| OVH SAS | DNS, registrar du domaine lesjardinsdenaskur.fr, boîte e-mail Zimbra contact@ (réception des correspondances clients) | France | Au sein de l'Union européenne, RGPD directement applicable |
| Transporteurs (Mondial Relay, La Poste/Colissimo) | Acheminement physique des plantes | France | Au sein de l'Union européenne, RGPD directement applicable |
Aucune donnée n'est vendue, louée ou échangée à des tiers à des fins commerciales. Aucune donnée n'est transmise à des partenaires publicitaires.
Transferts hors Union européenne
La localisation des sous-traitants et le régime de transfert applicable sont les suivants :
- Sous-traitants établis aux États-Unis (Vercel, Cloudinary, Resend, GitHub) : ces transferts sont encadrés par deux mécanismes cumulatifs. D'une part, la décision d'adéquation EU-US Data Privacy Framework (décision d'exécution (UE) 2023/1795 de la Commission européenne du 10 juillet 2023), dont la validité a été confirmée par le Tribunal de l'Union européenne dans l'arrêt Latombe contre Commission, affaire T-553/23, rendu le 3 septembre 2025 ; ces sous-traitants sont certifiés actifs au registre du US Department of Commerce (consultable sur dataprivacyframework.gov). D'autre part, les clauses contractuelles types (décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021), intégrées de manière subsidiaire en cas d'invalidation future du DPF.
- Neon, Inc. : bien que la société soit de droit américain, les données de la base sont physiquement stockées dans l'Union européenne (infrastructure AWS, région
eu-central-1, Francfort). Il n'y a donc pas de transfert physique de données hors de l'Union européenne ; les clauses contractuelles types (décision (UE) 2021/914) encadrent néanmoins la relation au regard de la juridiction américaine de la société mère. - Stripe : le périmètre européen des paiements est traité par Stripe Payments Europe Ltd, établie à Dublin (Irlande, Union européenne). Tout transfert subsidiaire vers Stripe, Inc. (États-Unis) est encadré par le Data Privacy Framework et les clauses contractuelles types.
- OVH SAS : société française, données traitées au sein de l'Union européenne ; aucun transfert hors UE.
Vous pouvez obtenir copie des garanties applicables en écrivant à l'adresse rgpd@lesjardinsdenaskur.fr.
Durées de conservation
| Catégorie de données | Base active | Archivage intermédiaire (accès restreint) | Fondement juridique |
|---|---|---|---|
| Compte client (email magic link, sessions, préférences) | Durée de vie du compte + 3 ans à compter du dernier contact | — | Référentiel CNIL « gestion activités commerciales » |
| Données de commande (panier, livraison, suivi) | Pendant l'exécution de la commande + délai de rétractation | 5 ans (prescription civile, art. 2224 C. civ.) | Référentiel CNIL |
| Factures et données comptables | Exercice en cours | 10 ans à compter de la clôture de l'exercice | Art. L. 123-22 Code de commerce, Art. L. 213-1 Code de la consommation |
| Données de paiement (numéro de carte, cryptogramme) | Jamais conservées par Les Jardins de Naskur — Stripe les conserve 13 mois pour preuve | — | Recommandation CNIL n° 2018-303 |
| Journaux serveur, adresses IP | 12 mois | — | Recommandation CNIL |
| Token de magic link non utilisé | 15 minutes | — | Bonne pratique de sécurité |
| Données prospect (aucun achat) | 3 ans à compter du dernier contact | — | Référentiel CNIL |
| Échanges avec le service client | Durée nécessaire au traitement de la demande + 3 ans | — | Intérêt légitime |
Au terme de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès (article 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification (article 16) : faire corriger des données inexactes ou compléter des données incomplètes.
- Droit à l'effacement (« droit à l'oubli ») (article 17) : faire effacer vos données, sous réserve des obligations légales de conservation (notamment la conservation des factures pendant 10 ans).
- Droit à la limitation du traitement (article 18).
- Droit à la portabilité (article 20) : recevoir vos données dans un format structuré et machine-lisible.
- Droit d'opposition (article 21) : vous opposer au traitement fondé sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment (lorsque la base est le consentement).
- Droit de définir des directives post mortem quant au sort de vos données après votre décès (article 85 loi Informatique et Libertés).
Articulation du droit à l'effacement et des obligations légales
Lorsque vous demandez l'effacement de vos données, votre compte client et l'ensemble des données non comptables sont supprimés sans délai. Les données strictement nécessaires aux factures émises (nom, prénom, adresse de facturation, montants, dates) sont conservées en archivage intermédiaire isolé, avec accès restreint, pendant la durée légale de 10 ans à compter de la clôture de l'exercice concerné, puis supprimées définitivement.
Modalités d'exercice
Vous pouvez exercer vos droits en écrivant à : rgpd@lesjardinsdenaskur.fr ou par courrier à Les Jardins de Naskur, 6 route de Monassut, 64330 Garlin.
Conformément aux lignes directrices du Comité européen de la protection des données (CEPD) et à l'article 12.6 du RGPD, une pièce d'identité ne vous sera demandée qu'en cas de doute sérieux et non surmontable autrement sur votre identité. La demande de justificatif ne constitue pas une étape systématique. Une réponse vous sera adressée dans un délai d'un mois (prorogeable de deux mois en cas de complexité), conformément à l'article 12.3 du RGPD.
Droit de réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés :
CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07 www.cnil.fr
Sécurité des données
Les Jardins de Naskur mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (article 32 RGPD) :
- Chiffrement systématique en transit (HTTPS / TLS 1.3) sur l'ensemble des échanges.
- Chiffrement AES-256 au repos sur la base de données Neon (PostgreSQL) et les sauvegardes.
- Authentification sans mot de passe par lien magique : jeton à usage unique à entropie cryptographique, expirant automatiquement 15 minutes après son émission, invalidé dès première utilisation, évitant tout risque lié au stockage de mots de passe.
- Délégation du paiement à Stripe (PCI-DSS niveau 1) : aucune donnée bancaire ne transite jamais par les serveurs des Jardins de Naskur.
- Sauvegardes automatiques régulières des bases de données.
- Journalisation et surveillance des accès, conservation des logs limitée à 12 mois.
- Accès aux données limité aux seules personnes habilitées et engagées par une obligation de confidentialité.
- Procédure de notification des violations de données à la CNIL dans les 72 heures (article 33 RGPD) et information des personnes concernées en cas de risque élevé (article 34 RGPD).
Cookies et traceurs
Le site lesjardinsdenaskur.fr utilise un nombre minimal de cookies, tous strictement nécessaires au fonctionnement du service et donc exemptés de consentement préalable au sens de l'article 82 de la loi Informatique et Libertés :
| Cookie / traceur | Finalité | Durée |
|---|---|---|
| Cookie de session panier | Conservation du contenu de votre panier | Session |
| Cookie d'authentification (post magic link) | Maintien de votre session connectée | 30 jours rolling |
| Cookie de préférence | Mémorisation de vos choix | 6 mois |
Aucun cookie publicitaire, aucun cookie de mesure d'audience tiers (Google Analytics, Facebook Pixel, etc.) n'est utilisé. Les statistiques de fréquentation sont assurées par Vercel Analytics, qui n'utilise pas de cookie ni d'identifiant persistant : un hash anonyme régénéré chaque jour est généré côté serveur à partir de la requête entrante, ce qui ne permet aucune identification de l'utilisateur ni aucun suivi entre les sites.
Si à l'avenir le site venait à intégrer des outils analytiques ou publicitaires non exemptés de consentement, un bandeau de gestion des cookies conforme aux lignes directrices de la CNIL serait mis en place avant tout dépôt.
Mineurs
Le site lesjardinsdenaskur.fr est destiné à un public majeur (18 ans et plus). Les mineurs ne peuvent y effectuer un achat qu'avec l'autorisation et l'utilisation des moyens de paiement de leur représentant légal.
Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, le traitement des données personnelles d'un mineur de moins de 15 ans n'est licite que si le consentement est donné conjointement par le mineur et le titulaire de l'autorité parentale. Les Jardins de Naskur ne collectent pas sciemment de données concernant des mineurs de moins de 15 ans. Si vous estimez qu'un mineur de moins de 15 ans nous a transmis ses données sans accord parental, veuillez nous contacter à rgpd@lesjardinsdenaskur.fr pour suppression immédiate.
Modifications de la politique
La présente politique de confidentialité peut être modifiée pour tenir compte d'évolutions législatives, réglementaires, jurisprudentielles ou techniques. La version applicable est celle en ligne à la date de votre visite. En cas de modification substantielle, les utilisateurs disposant d'un compte seront informés par email à l'adresse renseignée.
| Version | Date | Modifications |
|---|---|---|
| 1.1 | 2 juin 2026 | Ajout des sous-traitants Neon, GitHub et OVH. Correction de la mention « Vercel Postgres » et réécriture de la section « Transferts hors UE » pour refléter la localisation réelle des données (base applicative Neon stockée en UE, région Francfort). |
| 1.0 | 24 mai 2026 | Version initiale |
Contact et réclamation
Pour toute question relative à la présente politique ou à vos données personnelles :
- Email RGPD : rgpd@lesjardinsdenaskur.fr
- Email contact général : contact@lesjardinsdenaskur.fr
- Adresse postale : Les Jardins de Naskur, 6 route de Monassut, 64330 Garlin
- Autorité de contrôle : Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07 — www.cnil.fr
Document mis à jour le 2 juin 2026. Version 1.1.