1. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
Société par actions simplifiée unipersonnelle
Capital social : [MONTANT] euros
RCS [VILLE] — SIREN : [NUMÉRO SIREN]
Siège social : [ADRESSE COMPLÈTE]
Représentée par : Anas NAINIA, Président
E-mail : rgpd@phytosync.fr
Téléphone : [NUMÉRO]
La présente politique s'applique à l'ensemble des services de PhytoSync : plateforme SaaS de registre phytosanitaire, site phytosync.fr et API associées.
2. Données collectées
2.1 Données d'identification et de compte
- Nom, prénom et fonction au sein de l'exploitation ou de l'ETA
- Adresse e-mail professionnelle
- Numéro SIRET / SIREN de l'exploitation
- Numéro Télépac (identifiant Pacage)
- Mot de passe (stocké sous forme hachée — jamais en clair)
- Numéro de téléphone (optionnel)
2.2 Données agricoles et phytosanitaires
- Parcelles : références cadastrales, surfaces, cultures, coordonnées GPS
- Registre phytosanitaire : produits appliqués, dates, doses, surfaces traitées, opérateur
- Données IFT (Indice de Fréquence de Traitement) calculées et historisées
- Interventions ETA : clients, parcelles traitées, matériel utilisé
- Données importées depuis Télépac (îlots PAC, assolements)
- Données synchronisées avec les API officielles du Ministère (e-Phy, référentiel produits)
2.3 Données techniques et de navigation
- Adresse IP (pseudonymisée après 7 jours)
- Type de navigateur, système d'exploitation, résolution d'écran
- Pages consultées, durée de session (via cookies analytiques, avec consentement)
- Journaux d'accès serveur (logs) à des fins de sécurité
2.4 Données de facturation
- Coordonnées de facturation (raison sociale, adresse)
- Les données de paiement sont traitées par notre prestataire certifié PCI-DSS — PhytoSync ne stocke aucune donnée de carte bancaire
Les données relatives à vos parcelles, produits et IFT constituent des données économiques sensibles. Elles sont traitées avec un niveau de protection renforcé et ne sont jamais communiquées à des tiers commerciaux.
3. Finalités et bases légales
| Finalité | Base légale (Art. 6 RGPD) | Données concernées |
|---|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (6.1.b) | Identité, email, SIRET, mot de passe |
| Fourniture du service registre phytosanitaire | Exécution du contrat (6.1.b) | Données agricoles, IFT, parcelles, traitements |
| Conformité réglementaire (Arrêté 24 déc. 2025) | Obligation légale (6.1.c) | Registre phytosanitaire complet |
| Synchronisation API officielles (e-Phy, Télépac) | Exécution du contrat (6.1.b) | Parcelles, Pacage, produits |
| Gestion de la facturation et abonnements | Exécution du contrat (6.1.b) | Données de facturation, SIRET |
| Support client et assistance technique | Exécution du contrat (6.1.b) | Email, données de compte, logs |
| Sécurité et lutte contre la fraude | Intérêt légitime (6.1.f) | IP, logs, données de session |
| Amélioration du service (stats anonymisées) | Intérêt légitime (6.1.f) | Données agrégées anonymisées |
| Communications commerciales / newsletters | Consentement (6.1.a) | Email, préférences de contact |
| Cookies analytiques | Consentement (6.1.a) | Données de navigation |
4. Durée de conservation
| Catégorie | Durée | Base légale |
|---|---|---|
| Données de compte actif | Durée de l'abonnement + 3 ans | Prescription civile |
| Registre phytosanitaire | 5 ans minimum | Arrêté du 24 décembre 2025 (Art. 14) |
| Données IFT | 5 ans | Obligation réglementaire |
| Données de facturation | 10 ans | Code de commerce, Art. L123-22 |
| Logs de sécurité (IP, accès) | 12 mois | Recommandation CNIL |
| Cookies analytiques | 13 mois maximum | Recommandation CNIL |
| Après suppression de compte | 30 jours (purge complète) | Droit à l'effacement (sauf obligations légales) |
| Prospects non convertis | 3 ans depuis dernier contact | Recommandation CNIL |
À votre demande de suppression de compte, les données du registre phytosanitaire vous sont remises en format exportable (PDF, CSV) avant suppression définitive, sauf obligations légales de conservation.
5. Destinataires et transferts de données
5.1 Sous-traitants autorisés (Art. 28 RGPD)
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Hébergeur cloud (OVHcloud / Scaleway) | Infrastructure, stockage, sauvegarde | France (UE) |
| Stripe | Traitement des transactions bancaires | UE — certifié PCI-DSS |
| Outil emailing transactionnel | Notifications et alertes | UE |
| Outil de support client | Gestion des tickets d'assistance | UE |
5.2 Organismes publics
VAKORA SASU peut communiquer des données aux autorités compétentes (DRAAF, autorités judiciaires) sur réquisition légale.
5.3 Transferts hors UE
Aucun transfert hors Union européenne. L'ensemble des données est hébergé en France.
VAKORA SASU ne vend, ne loue et ne commercialise jamais vos données personnelles ou vos données agricoles à des tiers. Vos données d'exploitation restent exclusivement les vôtres.
6. Hébergement et sécurité
- Hébergement : 100 % en France, infrastructures certifiées ISO 27001
- Chiffrement en transit : TLS 1.3 sur toutes les communications
- Chiffrement au repos : AES-256 pour les données stockées
- Authentification : Mots de passe hachés (bcrypt), double authentification (2FA) disponible
- Sauvegardes : Quotidiennes, rétention 30 jours, tests de restauration réguliers
- Accès : Contrôle basé sur les rôles (RBAC), accès production restreint
- Audits : Tests de pénétration annuels, monitoring en temps réel
En cas de violation de données présentant un risque pour vos droits, VAKORA SASU notifiera la CNIL dans les 72h (Art. 33 RGPD) et vous informera sans délai injustifié si le risque est élevé.
7. Cookies et traceurs
7.1 Cookies nécessaires (pas de consentement)
- session_id — Maintien de la session authentifiée · durée : session
- csrf_token — Protection contre les attaques CSRF · durée : session
- cookie_consent — Mémorisation de vos préférences · durée : 13 mois
7.2 Cookies analytiques (avec consentement)
Avec votre accord, nous utilisons Matomo (hébergé en France) pour mesurer l'audience du service de façon agrégée et anonymisée. Ces données ne permettent pas de vous identifier personnellement.
7.3 Gestion des préférences
Vous pouvez modifier vos préférences à tout moment via le panneau de gestion des cookies en bas de page, ou depuis les paramètres de votre navigateur.
8. Vos droits RGPD
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
Accès
Obtenir une copie de toutes vos données traitées par PhytoSync.
Rectification
Corriger des données inexactes ou incomplètes vous concernant.
Effacement
Demander la suppression de vos données (sous réserve des obligations légales).
Opposition
Vous opposer aux traitements basés sur l'intérêt légitime.
Limitation
Suspendre temporairement le traitement de vos données.
Portabilité
Recevoir vos données dans un format structuré (JSON, CSV).
Retrait du consentement
Retirer votre consentement à tout moment sans effet rétroactif.
Directives post-mortem
Définir le sort de vos données après votre décès.
Comment exercer vos droits ?
- Directement depuis votre espace compte (export, modification, suppression)
- Par e-mail à rgpd@phytosync.fr
- Par courrier postal au siège de VAKORA SASU
Réponse garantie sous 1 mois (prorogeable de 2 mois pour les demandes complexes). Une pièce d'identité peut être demandée.
En cas de difficulté, vous pouvez introduire une réclamation auprès de la CNIL :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : CNIL — 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
9. Données des mineurs
PhytoSync est un service professionnel destiné aux personnes majeures (exploitants agricoles, ETA). Nous ne collectons pas sciemment de données relatives à des mineurs. Si vous constatez qu'un mineur a fourni des données, contactez-nous à rgpd@phytosync.fr pour suppression immédiate.
10. Modifications de la politique
VAKORA SASU peut modifier la présente politique pour refléter les évolutions réglementaires ou techniques. En cas de modification substantielle, vous serez informé par e-mail et/ou notification dans l'application au minimum 30 jours avant l'entrée en vigueur.
La version antérieure reste disponible sur demande auprès de rgpd@phytosync.fr.
11. Contact et responsable de la protection des données
Responsable de la protection des données
Anas NAINIA — VAKORA SASU
E-mail : rgpd@phytosync.fr
Adresse : [ADRESSE COMPLÈTE DU SIÈGE]
Délai de réponse garanti : 30 jours ouvrés maximum à compter de la réception de votre demande.
Conformément à l'Art. 30 du RGPD, VAKORA SASU tient un registre des activités de traitement, mis à jour régulièrement et disponible sur demande auprès du responsable de la protection des données.