Dernière mise à jour : 19 juin 2026
Responsable du traitement : Yannick Deyaert — hello@buty.bike
Le responsable du traitement des données personnelles collectées via la plateforme BUTY est :
Yannick Deyaert, micro-entrepreneur
Exploitant la plateforme BUTY
88 chemin de l'ancien stade, 84220 Cabrières d'Avignon, France
SIRET : 905 281 143
Email de contact : hello@buty.bike
Site : https://buty.bike
Pour toute question relative à vos données personnelles, contactez-nous à hello@buty.bike
BUTY collecte uniquement les données strictement nécessaires à son fonctionnement.
2.1 — Données d'inscription et de profil
Données : prénom, nom, adresse email, nom d'utilisateur, photo de profil (optionnelle), biographie (optionnelle).
Finalité : création et gestion du compte utilisateur, identification sur la plateforme.
Base légale : exécution du contrat (art. 6.1.b RGPD).
2.2 — Données d'adresse
Données : adresse postale, code postal, ville.
Finalité : faciliter les remises de vélos entre particuliers, vérification d'identité Stripe Connect pour les propriétaires.
Base légale : exécution du contrat (art. 6.1.b RGPD).
2.3 — Données de réservation
Données : dates, créneaux horaires, vélo réservé, statut de la réservation, messages échangés.
Finalité : traitement des réservations, gestion des litiges, historique des transactions.
Base légale : exécution du contrat (art. 6.1.b RGPD).
2.4 — Données de paiement
Données : informations de carte bancaire (tokenisées par Stripe — jamais stockées par BUTY), montant des transactions, statut de paiement, identifiant de compte Stripe Connect (pour les propriétaires).
Finalité : traitement sécurisé des paiements, versements aux propriétaires, gestion des dépôts de garantie.
Base légale : exécution du contrat (art. 6.1.b RGPD) et obligation légale (art. 6.1.c RGPD).
Note : BUTY ne stocke jamais les données de carte bancaire. Elles sont transmises directement à Stripe (certifié PCI DSS niveau 1).
2.5 — Données KYC (Know Your Customer — propriétaires uniquement)
Données : date de naissance, IBAN (transit uniquement, jamais stocké par BUTY).
Finalité : vérification d'identité requise par Stripe Connect pour les propriétaires percevant des paiements (obligation réglementaire anti-blanchiment).
Base légale : obligation légale (art. 6.1.c RGPD — directive AML).
Note : l'IBAN est transmis directement à Stripe via HTTPS et n'est jamais stocké dans les bases de données BUTY.
2.6 — Photos de remise (locataires)
Données : photos prises lors de la remise ou de la restitution d'un vélo, horodatage, identifiant de réservation.
Finalité : documentation de l'état du vélo pour prévention et résolution des litiges.
Base légale : intérêt légitime (art. 6.1.f RGPD — protection contre les litiges).
Durée de conservation : 3 ans à compter de la fin de la location.
2.7 — Avis et évaluations
Données : note (1 à 5 étoiles), commentaire libre, identifiant de l'auteur.
Finalité : amélioration de la confiance entre utilisateurs, classement des annonces.
Base légale : exécution du contrat (art. 6.1.b RGPD).
2.8 — Données de la waiting-list
Données : prénom, adresse email, rôle (propriétaire ou locataire), source de découverte (optionnel).
Finalité : vous informer du lancement de BUTY et des premières disponibilités.
Base légale : consentement explicite (art. 6.1.a RGPD) — case à cocher lors de l'inscription.
Note : vous pouvez retirer votre consentement à tout moment en envoyant un email à hello@buty.bike.
2.9 — Données de navigation et logs techniques
Données : adresse IP (anonymisée), navigateur, système d'exploitation, pages visitées, horodatage.
Finalité : sécurité du service, détection d'anomalies, statistiques agrégées d'utilisation.
Base légale : intérêt légitime (art. 6.1.f RGPD — sécurité et amélioration du service).
Durée de conservation : 12 mois glissants.
2.10 — Données de support
Données : emails et messages envoyés à hello@buty.bike, contenu des échanges.
Finalité : traitement de vos demandes et résolution de problèmes.
Base légale : intérêt légitime (art. 6.1.f RGPD).
Durée de conservation : 3 ans à compter du dernier échange.
BUTY conserve vos données uniquement le temps nécessaire aux finalités pour lesquelles elles ont été collectées.
— Données de compte actif : pendant toute la durée d'activité du compte + 3 ans après suppression (obligations comptables et légales).
— Données de réservation et transactions : 5 ans à compter de la transaction (obligation comptable française — art. L.123-22 Code de commerce).
— Photos de remise/restitution : 3 ans à compter de la fin de la location (prescription civile pour litiges).
— Messages de messagerie interne : 3 ans à compter du dernier message.
— Données de la waiting-list : jusqu'au retrait du consentement ou au maximum 24 mois après l'inscription.
— Logs techniques : 12 mois glissants.
— Données de support : 3 ans à compter du dernier échange.
En cas de suppression de votre compte, vos données sont effacées dans un délai maximum de 30 jours, à l'exception des données soumises à une obligation légale de conservation (données comptables notamment).
Vos données ne sont jamais vendues à des tiers. Elles peuvent être partagées avec les sous-traitants techniques suivants, dans le strict cadre de la fourniture du service :
4.1 — Stripe Inc. (paiement)
Rôle : traitement sécurisé des paiements, gestion des comptes Connect (versements propriétaires).
Pays : États-Unis — certifié EU-US Data Privacy Framework ✓
Site : https://stripe.com/fr/privacy
DPA disponible : oui
4.2 — Supabase Inc. (base de données et authentification)
Rôle : hébergement de la base de données, authentification des utilisateurs, stockage des photos.
Pays : Union Européenne (région eu-central — Francfort, Allemagne)
Site : https://supabase.com/privacy
DPA disponible : oui
4.3 — Vercel Inc. (hébergement web)
Rôle : hébergement du site buty.bike et traitement des requêtes web (fonctions serverless).
Pays : États-Unis — certifié EU-US Data Privacy Framework ✓
Site : https://vercel.com/legal/privacy-policy
DPA disponible : oui
4.4 — Resend Inc. (envoi d'emails transactionnels)
Rôle : envoi des emails de confirmation, notifications, rappels de réservation.
Pays : États-Unis — Clauses Contractuelles Types (CCT/SCCs) de la Commission Européenne
Site : https://resend.com/privacy
DPA disponible : oui
4.5 — Sentry Inc. (monitoring des erreurs)
Rôle : détection et suivi des erreurs techniques de la plateforme (logs d'erreurs anonymisés).
Pays : États-Unis — certifié EU-US Data Privacy Framework ✓
Site : https://sentry.io/privacy/
DPA disponible : oui
Note : Sentry ne collecte que des données techniques (traces d'erreurs) et non des données personnelles au sens strict. Les informations personnelles sont filtrées avant envoi.
4.6 — Upstash (QStash) (scheduling de notifications)
Rôle : planification et envoi différé des notifications (ex. alerte 20 min avant la location).
Pays : Union Européenne (région EU)
Site : https://upstash.com/trust/privacy.pdf
DPA disponible : oui
Aucun de ces sous-traitants n'est autorisé à utiliser vos données à des fins propres. Des accords de traitement des données (DPA) sont en place avec chacun d'eux.
4.7 — Transferts hors Union Européenne
Stripe, Vercel et Sentry sont des entreprises américaines. Ces transferts sont légaux et encadrés par :
— La certification EU-US Data Privacy Framework (équivalent RGPD reconnu par la Commission Européenne depuis juillet 2023) pour Stripe, Vercel et Sentry.
— Les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne pour Resend.
Ces mécanismes garantissent un niveau de protection équivalent à celui en vigueur dans l'Union Européenne.
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée, vous disposez des droits suivants :
— Droit d'accès (art. 15 RGPD) : obtenir une copie de toutes les données vous concernant.
— Droit de rectification (art. 16 RGPD) : corriger des données inexactes ou incomplètes.
— Droit à l'effacement / "droit à l'oubli" (art. 17 RGPD) : demander la suppression de vos données (sous réserve des obligations légales de conservation).
— Droit à la limitation du traitement (art. 18 RGPD) : suspendre temporairement l'utilisation de vos données.
— Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré et lisible par machine.
— Droit d'opposition (art. 21 RGPD) : vous opposer à un traitement fondé sur l'intérêt légitime.
— Droit de retrait du consentement (art. 7.3 RGPD) : retirer votre consentement à tout moment pour les traitements fondés sur celui-ci (ex. emails marketing waiting-list).
Comment exercer vos droits :
Envoyez votre demande à hello@buty.bike en précisant votre identité et le droit que vous souhaitez exercer. Nous vous répondrons dans un délai maximum de 30 jours (délai légal RGPD).
La suppression de compte est également disponible directement depuis l'application mobile : Settings → Compte → Supprimer mon compte. La suppression est effective sous 30 jours et déclenche automatiquement l'effacement de vos données personnelles (fonction technique "delete-account").
Droit de réclamation auprès de la CNIL :
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
— Par voie postale : CNIL, 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
— En ligne : https://www.cnil.fr/fr/plaintes
BUTY utilise uniquement des cookies techniques strictement nécessaires au fonctionnement du service. Ces cookies ne nécessitent pas votre consentement (article 82 de la loi Informatique et Libertés).
Cookies utilisés :
— Cookie de session Supabase (sb-access-token, sb-refresh-token) : maintien de votre connexion. Durée : session + 7 jours pour le token de rafraîchissement. Ne peut pas être refusé sans perdre l'accès au service.
BUTY n'utilise aucun cookie publicitaire, aucun cookie de tracking inter-sites, et n'intègre aucun outil d'analyse comportementale tiers (pas de Google Analytics, pas de Facebook Pixel).
Si nous souhaitions à l'avenir utiliser des cookies nécessitant votre consentement, nous vous en informerions préalablement et mettrions en place un mécanisme de consentement conforme.
BUTY met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre la perte, l'accès non autorisé, la divulgation ou la destruction :
— Chiffrement des communications : HTTPS/TLS sur l'ensemble des échanges.
— Chiffrement au repos : données hébergées sur Supabase avec chiffrement AES-256 au repos.
— Authentification sécurisée : tokens JWT, rotation automatique, 2FA disponible.
— Isolation des données : politiques RLS (Row Level Security) sur la base de données — chaque utilisateur ne peut accéder qu'à ses propres données.
— Données de paiement : jamais stockées par BUTY, confiées exclusivement à Stripe (PCI DSS niveau 1).
— Données bancaires (IBAN) : transit HTTPS uniquement (application → Vercel → Stripe), jamais persistées en base de données.
— Clés secrètes : stockées dans des variables d'environnement sécurisées (Vercel), jamais dans le code source.
— Monitoring des erreurs : Sentry configuré avec filtrage des données sensibles avant transmission.
— Limitation d'accès : seul le responsable du traitement (Yannick Deyaert) a accès aux données de production.
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, BUTY s'engage à notifier la CNIL dans les 72 heures conformément à l'article 33 du RGPD, et à vous en informer dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé.
La plateforme BUTY est réservée aux personnes majeures (18 ans ou plus). BUTY ne collecte pas sciemment de données personnelles concernant des mineurs. Si nous venions à prendre connaissance qu'un mineur a fourni des données personnelles sans le consentement de ses parents ou tuteurs légaux, nous procéderions à la suppression immédiate de ces données.
BUTY se réserve le droit de modifier la présente politique de confidentialité à tout moment pour l'adapter à des évolutions légales, réglementaires ou techniques.
En cas de modification substantielle, vous serez informé par email au moins 15 jours avant l'entrée en vigueur des changements. La date de dernière mise à jour est indiquée en haut de ce document.
La version applicable est toujours celle disponible à l'adresse https://buty.bike/politique-de-confidentialite
Pour toute question, demande d'exercice de droits ou réclamation concernant la protection de vos données personnelles :
Email : hello@buty.bike
Responsable : Yannick Deyaert
Nous nous engageons à répondre à toute demande dans un délai maximum de 30 jours calendaires.
Autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07
Téléphone : +33 1 53 73 22 22
Site : https://www.cnil.fr