Politique de confidentialité

Dernière mise à jour : 28 mai 2026 — version 1.2 (SSO Shopify pur)

1. Préambule

La présente Politique de confidentialité décrit la façon dont JOLUVIA SAS (« nous », « Lucasstack »), société par actions simplifiée immatriculée au RCS de Niort, dont le siège est sis 7 rue de La Grange Laidet, 79000 Niort, France, collecte, utilise et protège les données personnelles dans le cadre du service Lucasstack.

Le traitement est conforme au Règlement (UE) 2016/679 (« RGPD ») et à la loi Informatique et Libertés modifiée. Nous appliquons les principes de minimisation, de limitation des finalités et de sécurité par défaut.

2. Responsable de traitement et DPO

Responsable de traitement : JOLUVIA SAS, représentée par sa Présidente, Johanna Poitevin.

Délégué à la protection des données (DPO) : dpo@lucasstack.com

Pour les données que nous traitons pour le comptedes Tenants (par exemple les clients finaux d'une boutique Shopify), le Tenant reste responsable de traitement et Lucasstack est sous-traitantau sens de l'article 28 RGPD. Voir notre Accord de traitement des données.

3. Données collectées

  • Compte utilisateur (via OAuth Shopify) :à l'installation de l'app, Lucasstack récupère depuis Shopify le domaine de la boutique (acme.myshopify.com), l'email de contact de la boutique, le nom d'affichage de la boutique, ainsi qu'un access token chiffré en AES-256-GCM (Supabase Vault) pour les appels API ultérieurs. Aucun mot de passe n'est créé ni stocké par Lucasstack— l'authentification s'appuie entièrement sur le compte Shopify du marchand.
  • Session : cookie HTTP-only ls_session d'une durée de 30 jours, renouvelé silencieusement via Shopify à expiration.
  • Données d'usage : logs serveur, adresses IP, user agent, dates et URL consultées (pour la sécurité et le débogage).
  • Facturation : raison sociale, adresse, identifiant Stripe. Aucune donnée bancaire n'est stockée chez nous ; elle est traitée directement par Stripe.
  • Données métier : produits, stocks, commandes, étiquettes (importées depuis Shopify ou créées sur Lucasstack).

4. Finalités et bases légales (Art. 6 RGPD)

FinalitéBase légale
Fourniture du Service (compte, stock, étiquettes)Exécution du contrat (Art. 6.1.b)
Facturation et recouvrementObligation légale (Art. 6.1.c)
Sécurité, prévention de la fraude, logsIntérêt légitime (Art. 6.1.f)
Mesure d'audience et amélioration produitConsentement (Art. 6.1.a)
Communications marketingConsentement (Art. 6.1.a)
Réponse aux demandes des autoritésObligation légale (Art. 6.1.c)

5. Destinataires

Les données sont accessibles uniquement à :

  • l'équipe technique habilitée de JOLUVIA SAS (principe du moindre privilège, journalisation des accès) ;
  • nos sous-traitants techniques (Vercel, Supabase, Stripe, Shopify, OVH), liés par DPA ;
  • les autorités administratives ou judiciaires sur demande légalement fondée.

6. Transferts hors Union européenne

La majorité des données est traitée et stockée en UE (Supabase, Stockholm). Certains sous-traitants peuvent transférer des données vers les États-Unis (Vercel, Shopify) ; ces transferts sont encadrés par les clauses contractuelles types (SCC) approuvées par la Commission européenne. Détail : /legal/sub-processors.

7. Durées de conservation

  • Compte actif : durée de l'abonnement.
  • Après résiliation : 3 ans pour la gestion des litiges éventuels, 10 ans pour les pièces comptables (obligation légale).
  • Logs serveur : 12 mois glissants.
  • Données stock / commandes du Tenant : durée de vie du Tenant + 30 jours pour export, puis suppression définitive.
  • Cookies de consentement : 13 mois maximum (voir Politique cookies).

8. Tes droits

Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants sur tes données personnelles :

  • Accès — obtenir une copie de tes données.
  • Rectification — corriger une donnée inexacte.
  • Effacement (« droit à l'oubli »).
  • Portabilité — récupérer tes données dans un format structuré (JSON/CSV).
  • Opposition et limitation du traitement.
  • Retrait du consentement à tout moment (sans effet rétroactif).
  • Plainte auprès de la CNIL cnil.fr/plaintes.

9. Comment exercer tes droits

Toute demande peut être adressée par email à dpo@lucasstack.com. Nous répondons sous 30 joursmaximum (prorogeable de 2 mois en cas de complexité, avec notification motivée). Nous pouvons demander une pièce d'identité en cas de doute raisonnable sur l'identité du demandeur, et la détruisons immédiatement après vérification.

10. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées :

  • Isolation multi-tenant stricte par PostgreSQL Row Level Security (chaque ligne porte un tenant_id) ;
  • Chiffrement at-rest de la base Supabase et chiffrement AES-256-GCM des tokens Shopify ;
  • TLS 1.2+ pour tous les échanges (HSTS activé) ;
  • Journalisation des actions sensibles (admin, paiement) ;
  • Sauvegardes chiffrées quotidiennes, conservées 30 jours ;
  • Notification de violation à la CNIL sous 72 h en cas d'incident.

11. Cookies

La gestion des cookies est détaillée sur la page dédiée : Politique cookies. Un bandeau de consentement est affiché lors de la première visite ; tu peux modifier tes choix à tout moment.

12. Modifications de la politique

Cette politique peut évoluer. Toute modification substantielle sera notifiée par email aux utilisateurs. La version en vigueur est toujours celle accessible sur cette page. La date de dernière mise à jour figure en haut du document.

13. Intégration Shopify — détails techniques

Cette section précise spécifiquement les traitements liés à la connexion entre Lucasstack et une boutique Shopify, telle qu'exigée par le programme partenaires Shopify et son règlement de confidentialité.

13.1 Scopes OAuth demandés

Au moment où le marchand connecte sa boutique via le bouton Connecter Shopify, Lucasstack demande les permissions (« scopes ») strictement nécessaires au service :

  • read_products + write_products — lire et synchroniser le catalogue produit (SKU, prix, titre, image, statut).
  • read_inventory + write_inventory — lire les niveaux de stock et les mettre à jour dans Shopify quand le marchand modifie son stock dans Lucasstack.
  • read_orders + write_orders — recevoir les nouvelles commandes via webhooks et créer des fulfillments Shopify quand une étiquette d'expédition est imprimée.

Le marchand peut à tout moment révoquer ces permissions depuis l'administration de sa boutique Shopify (Apps and sales channels → Lucasstack → Uninstall). La désinstallation déclenche automatiquement la suppression de ses données (cf. § 13.4).

13.2 Données lues depuis Shopify

  • Boutique : nom, domaine .myshopify.com, devise, fuseau horaire, identifiant numérique Shopify.
  • Produits : SKU, titre, variants, prix, niveau de stock, statut (active/draft), image principale.
  • Commandes: numéro de commande, date, total, line items (SKU + quantité), adresse de livraison (nom, adresse, code postal, ville, pays, téléphone, email du client), méthode d'expédition demandée, état (paid/cancelled).
  • Aucun moyen de paiement, mot de passe ou identifiant client Shopify n'est jamais accédé ni stocké.

13.3 Base légale et finalités

Pour les données du marchand : exécution du contratde service Lucasstack (Art. 6.1.b RGPD). Pour les données de ses clients finaux (adresses de livraison notamment) : le marchand est responsable de traitement, Lucasstack est sous-traitant au sens de l'Art. 28 RGPD ; voir le DPA. Finalité unique : permettre la préparation et l'expédition de la commande. Aucune donnée Shopify n'est utilisée à des fins marketing ou de profilage.

13.4 Webhooks de conformité (GDPR/CCPA)

Conformément aux exigences Shopify, Lucasstack répond aux 3 webhooks de conformité mandatory :

  • customers/data_request— quand un client final d'une boutique exerce son droit d'accès, nous fournissons au marchand un export des données dont nous disposons sur ce client (commandes traitées, adresse de livraison) sous 30 jours.
  • customers/redact— quand un client final exerce son droit à l'effacement, nous anonymisons immédiatement ses données dans nos shipments (nom, adresse, téléphone, email remplacés par [REDACTED]). Les enregistrements comptables sont conservés en pseudonymisé pour respecter les obligations légales (10 ans).
  • shop/redact— 48 heures après la désinstallation de l'app par un marchand, Shopify nous notifie et nous supprimons définitivement toutes les données de cette boutique (token OAuth, produits synchronisés, shipments, parcels), avec effet en cascade.

13.5 Sécurité du token OAuth

Le jeton d'accès Shopify (access_token) est chiffré au repos dans notre base via AES-256-GCM(Supabase Vault). Il n'est déchiffré qu'au moment d'un appel API Shopify, en mémoire serveur uniquement, et n'est jamais transmis au navigateur ni journalisé.

13.6 Facturation hors Shopify

L'abonnement Lucasstack est facturé directement par Lucasstack via Stripe, hors du système de facturation Shopify Billing. Aucune commission Shopify n'est appliquée sur le pricing. Voir nos Tarifs et nos CGU.