Politique de confidentialité

Cette politique détaille comment Mini Train Store traite vos données et les mesures de haute sécurité mises en place pour les protéger, conformément au Règlement Général sur la Protection des Données (RGPD).

1. Quelles données collectons-nous ?

Nous collectons uniquement les données strictement nécessaires :

• Identité et Livraison : Nom, prénom, adresse de livraison et de facturation.

• Contact : Adresse e-mail, numéro de téléphone.

• Données techniques : Adresse IP (via nos logs Nginx), type de navigateur.

• Statistiques : Données de navigation via Umami (solution auto-hébergée, respectueuse de la vie privée, sans tracking publicitaire et sans cookies de traçage). Les adresses IP sont anonymisées immédiatement par Umami et ne permettent pas votre identification.

• Données de connexion (Authentification standard) : Mot de passe (haché de manière sécurisée).
• Données issues de tiers (Google OAuth2)

1.1 Données collectées via Google OAuth2

Lorsque vous choisissez de vous connecter via votre compte Google, Mini Train Store accède à certaines données Google conformément à la politique d'utilisation des API Google. Cette section détaille précisément notre traitement de ces données.

1.1.1. Données accédées

Via les scopes standards openid, profile et email, nous accédons uniquement à :

• Adresse e-mail Google
• Nom et prénom
• Photo de profil Google (URL publique)
• Identifiant Google unique (sub)

Nous n'accédons à aucune autre donnée Google (Gmail, Agenda, Drive, contacts, etc.).

1.1.2. Utilisation des données

Ces données sont utilisées exclusivement pour :

• Créer et identifier votre compte client sur minitrainstore.fr
• Vous authentifier de façon sécurisée lors de chaque connexion
• Pré-remplir votre profil (nom, prénom, adresse e-mail de contact)
• Vous envoyer des e-mails transactionnels (confirmation de commande, suivi, etc.)

Ces données ne sont jamais utilisées à des fins publicitaires, de profilage commercial ou d'entraînement de modèles d'intelligence artificielle ou de machine learning.

1.1.3. Partage des données

Les données issues de Google OAuth2 ne sont jamais vendues ni cédées à des tiers. Elles peuvent uniquement être transmises aux sous-traitants strictement nécessaires à la prestation de service :

• Mailjet : envoi des e-mails transactionnels (adresse e-mail uniquement)
• Stripe : traitement des paiements et facturation (nom et adresse e-mail)
• Cloudflare : protection réseau contre les attaques DDoS (données de connexion uniquement, aucune donnée de profil)

Ces sous-traitants agissent sur instruction de Mini Train Store et sont encadrés par le Data Privacy Framework UE–États-Unis ou par des Clauses Contractuelles Types.

1.1.4. Stockage et protection des données

Les données Google sont stockées en France sur nos serveurs auto-hébergés et bénéficient des mêmes mesures de sécurité que l'ensemble de nos données :

• Chiffrement au repos sur système de fichiers ZFS
• Chiffrement en transit via HTTPS/TLS (Nginx et Cloudflare)
• Sauvegardes externalisées chiffrées avec le même niveau de protection
• Votre mot de passe Google n'est jamais collecté ni stocké — l'authentification est entièrement déléguée à Google

1.1.5. Rétention et suppression des données

Les données Google OAuth2 sont conservées pendant toute la durée de la relation commerciale (compte actif). En cas de clôture du compte ou de demande de suppression :

• Les données de profil (nom, photo de profil, identifiant Google) sont supprimées dans un délai de 30 jours
• Les données de facturation (nom, adresse e-mail) sont archivées pendant 10 ans conformément à l'obligation comptable légale française, puis supprimées définitivement

Pour exercer votre droit à la suppression : contactez alix@anneraud.fr.

L'utilisation de Google OAuth2 est entièrement optionnelle. Vous pouvez créer un compte et vous connecter avec un e-mail et un mot de passe sans impliquer Google.

2. Pourquoi et sur quelle base traitons-nous vos données ?

Chaque traitement repose sur une base légale définie par le RGPD :

• Gestion des commandes et livraisons : Exécution du contrat.

• Création de compte et connexion (Standard ou Google OAuth2) : Exécution du contrat (permettre l'accès sécurisé à votre espace client via la méthode de votre choix).
  

• Paiement sécurisé : Exécution du contrat.

• Sécurité du serveur et lutte contre la fraude : Intérêt légitime (protection de nos infrastructures et de vos données).

• Analyse d'audience anonymisée (Umami) : Intérêt légitime (amélioration de l'expérience utilisateur sans suivi individuel).

• Obligations comptables : Obligation légale (conservation des factures).

3. Sécurité, Chiffrement et Sauvegardes

En tant qu'hébergeur de nos propres infrastructures, nous appliquons des mesures de sécurité "à l'état de l'art" :

• Chiffrement au repos (At Rest) : Toutes les données stockées sur nos serveurs (système de fichiers ZFS) sont chiffrées nativement. En cas de vol physique du matériel, les données sont illisibles.

• Chiffrement en transit (In Transit) : Toutes les communications sont chiffrées via un certificat SSL/TLS (HTTPS) géré par Nginx et protégé par Cloudflare.

• Sauvegardes (Backups) : Nos sauvegardes sont externalisées, mais bénéficient du même niveau de chiffrement fort que nos serveurs de production.

• Logs de sécurité : Les adresses IP sont conservées 12 mois maximum pour diagnostic de sécurité, conformément aux recommandations de la CNIL.

• Gestion des mots de passe : Les mots de passe de l'authentification standard sont hachés avec un algorithme fort avant stockage. Si vous utilisez Google OAuth2, nous ne collectons et ne stockons jamais votre mot de passe Google, l'authentification étant entièrement déléguée à Google.
  

4. Localisation et Sous-traitants techniques

Vos données de commande sont physiquement stockées en France, au siège social de Mini Train Store. Les données d'utilisateur Google Auth ne sont jamais vendues ou partagées avec des tiers. Pour certains services spécifiques, nous faisons appel à des sous-traitants qui peuvent opérer des transferts hors UE (principalement vers les États-Unis d'Amérique). Ces transferts sont encadrés par le Data Privacy Framework ou des Clauses Contractuelles Types :

• Google Identity Services : Pour le service optionnel d'authentification à votre compte.

• Stripe : Pour la gestion des paiements sécurisés (conforme PCI-DSS).

• Mailjet : Pour l'envoi des e-mails transactionnels (confirmations de commande).

• Cloudflare : Pour la protection contre les attaques DDoS et l'optimisation du trafic.

5. Utilisation des Cookies

Nous limitons l'usage des cookies au strict minimum nécessaire :

• Cookies techniques : Des cookies de session sont utilisés pour la gestion de votre panier ou le maintien de votre session utilisateur après connexion (qu'elle soit standard ou via Google Auth). Cloudflare peut également déposer un cookie technique de sécurité pour distinguer les utilisateurs réels des robots.

• Pas de cookies tiers : Nous n'utilisons aucun cookie de ciblage publicitaire, d'affiliation ou de réseaux sociaux.

6. Durée de conservation

• Données clients (comptes standards et profils liés à Google Auth) : Conservation pendant la durée de la relation commerciale (activité du compte), puis archivage légal de 10 ans pour les factures (obligation comptable). En cas de demande de suppression, les données (y compris celles issues de Google OAuth2) sont supprimées sous 30 jours.
• Données de navigation (Logs IP) : Suppression automatique après 12 mois.
• Statistiques Umami : Données anonymisées conservées sans limite de durée.

7. Vos droits

Conformément au RGPD, vous disposez d'un droit d'accès, de portabilité, de limitation du traitement, de rectification, d'opposition et de suppression de vos données. Pour toute demande, contactez le Responsable du Traitement :

Alix ANNERAUD - alix@anneraud.fr - +33 7 81 85 08 69

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

Version du 24/05/2026 à 12h30.