Retour à l’accueil

Politique de confidentialité

Version en vigueur depuis le 2 mai 2026

1. Responsable du traitement

Le responsable du traitement des données collectées sur Pastria est :

  • Cogsonomy, SASU au capital de 1 500 €, 6 rue Saint Jean, 85250 Saint-Fulgent, SIRET 82538928100023, TVA intracommunautaire FR64825389281, éditeur et opérateur du service Pastria
  • Représentant légal et directeur de la publication : Xavier Aimé
  • Contact : pastria@cogsonomy.fr

Délégué à la protection des données (DPO) : compte tenu de sa taille et de la nature de ses traitements, l’éditeur n’est pas tenu de désigner un DPO au sens de l’article 37 du RGPD. Toute question relative à la protection des données est adressée à pastria@cogsonomy.fr.

2. Données collectées

Nous collectons uniquement les données nécessaires au fonctionnement du service :

2.1 Données de compte

  • Adresse email, mot de passe (haché via Bcrypt, jamais en clair)
  • Nom de l’établissement, coordonnées professionnelles
  • Secret 2FA (si activé) — chiffré en base

2.2 Données de facturation

  • Informations de paiement traitées par Stripe (PCI-DSS). Nous ne stockons jamais vos numéros de carte.
  • Historique des factures et abonnements

2.3 Données métier

  • Recettes, fiches techniques, ingrédients que vous saisissez
  • Registres HACCP, relevés de températures, plans de nettoyage
  • Historique de stocks, étiquetage, expéditions
  • Feedbacks de dégustation organoleptique (peuvent être anonymisés sur option pour alimenter la calibration produit — cf. § 5)

2.4 Données techniques

  • Adresse IP, type de navigateur, journaux de connexion (à des fins de sécurité)
  • Cookies strictement nécessaires (session, CSRF) — aucun cookie de traçage tiers

3. Finalités et bases légales

FinalitéBase légale
Fournir le service (compte, recettes, HACCP)Exécution du contrat (art. 6.1.b RGPD)
Facturation et abonnementsExécution du contrat / obligation légale (art. 6.1.b et c)
Sécurité et prévention de la fraudeIntérêt légitime (art. 6.1.f)
Newsletter et communications marketingConsentement (art. 6.1.a) — opt-in à l’inscription, opt-out à tout moment
Liste d’attente ELITEConsentement (art. 6.1.a)
Calibration produit via feedbacks anonymisésConsentement explicite (case à cocher dédiée)
Support utilisateurExécution du contrat

4. Destinataires et sous-traitants

Vos données ne sont jamais vendues. Elles peuvent être transmises aux sous-traitants suivants, tous engagés par accord conforme à l’article 28 RGPD :

Sous-traitantFinalitéLocalisation
OVH SASHébergement, sauvegardesFrance (UE)
StripeTraitement des paiementsIrlande (UE) / États-Unis*
Service SMTP [à confirmer avant mise en production]Envoi d’emails transactionnels et marketingUE

* Transferts hors Union européenne : Stripe, Inc. peut traiter certaines données aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914) et, le cas échéant, par l’adhésion de Stripe au Data Privacy Framework (DPF) UE-US.

Les données peuvent également être transmises aux autorités compétentes en cas de réquisition judiciaire.

5. Données anonymisées

Lorsque vous activez explicitement l’option « partager mes feedbacks de dégustation de manière anonymisée » sur la fiche d’une recette, les feedbacks correspondants sont dissociés de votre identité (suppression des identifiants utilisateur, recette et établissement) puis agrégés à des fins d’amélioration des modèles de calibration organoleptique. Les données ainsi anonymisées ne sont plus considérées comme des données personnelles au sens du RGPD et peuvent être conservées sans limitation de durée. Vous pouvez retirer votre consentement à tout moment : cela cesse les futurs partages, mais n’affecte pas les agrégats déjà constitués (par nature non ré-identifiables).

6. Durées de conservation

  • Données de compte : pendant toute la durée de l’abonnement, puis 3 ans après la dernière activité
  • Données métier (recettes, registres HACCP) : jusqu’à 30 jours après résiliation pour permettre l’export, puis suppression. Vous restez maître de leur conservation via export à tout moment.
  • Données de facturation : 10 ans (obligation comptable, art. L123-22 Code de commerce)
  • Journaux techniques (logs, IP, sessions) : 12 mois maximum
  • Liste d’attente ELITE : jusqu’au lancement du produit ou retrait du consentement, puis suppression
  • Données de prospection (newsletter, marketing) : jusqu’au retrait du consentement, et au plus 3 ans après le dernier contact
  • Données anonymisées de calibration : sans limitation de durée (cf. § 5)

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d’accès et de copie de vos données (art. 15)
  • Droit de rectification (art. 16)
  • Droit à l’effacement / « droit à l’oubli » (art. 17)
  • Droit à la limitation du traitement (art. 18)
  • Droit à la portabilité (art. 20) — export complet ZIP/JSON depuis votre espace personnel
  • Droit d’opposition (art. 21)
  • Droit de retirer votre consentement à tout moment (waitlist, communications, calibration anonymisée)
  • Droit de définir des directives post mortem relatives à vos données

Pour exercer ces droits, contactez-nous àpastria@cogsonomy.fr. Une réponse vous est apportée dans un délai maximum d’un (1) mois conformément à l’article 12.3 du RGPD.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :cnil.fr.

8. Sécurité

L’éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données :

  • Mots de passe stockés sous forme hachée (Bcrypt)
  • Communications protégées par HTTPS / TLS
  • Authentification à deux facteurs (2FA) disponible
  • Limitation des tentatives de connexion (rate limiting)
  • Sauvegardes régulières sur serveurs sécurisés en Union européenne
  • Cloisonnement strict des données entre comptes
  • Journalisation des accès sensibles

Notification de violation : en cas de violation de données personnelles susceptible d’engendrer un risque pour vos droits et libertés, l’éditeur notifie la CNIL dans les 72 heures (art. 33 RGPD) et, le cas échéant, vous informe directement (art. 34 RGPD).

9. Cookies

Pastria utilise uniquement des cookies strictement nécessaires au fonctionnement du service (authentification de session, protection CSRF). Aucun cookie publicitaire, analytique tiers ou de traçage n’est déposé. À ce titre, et conformément à l’exemption prévue par l’article 82 de la loi Informatique et Libertés et aux lignes directrices CNIL, aucun bandeau de consentement n’est requis.

10. Modifications

Cette politique peut être mise à jour. Toute modification substantielle vous sera notifiée par email ou via l’application avant son entrée en vigueur. La date de la dernière mise à jour figure en tête de ce document.