Politique de confidentialité
Version du 01/07/2026(Charte de Vie Privée) de Pepobio (pepo.bio)
1. Préambule
La présente Politique de confidentialité explique comment sont collectées, utilisées et protégées vos données à caractère personnel lorsque vous utilisez la plateforme Pepobio (« la Plateforme »), accessible à l’adresse pepo.bio et ses sous-domaines. Par « données personnelles », on entend toute information permettant de vous identifier directement ou indirectement.
Elle fait partie intégrante des Conditions Générales d’Utilisation et de Vente de la Plateforme.
2. Responsable du traitement
Le responsable du traitement est Arnaud Poullet, personne physique exerçant en qualité d’indépendant à titre complémentaire, Avenue de Tervueren 99, 1040 Etterbeek, inscrit à la BCE sous le numéro 1039.745.968. Contact pour toute question relative à la protection des données : support@pepo.bio.
Aucun délégué à la protection des données (DPO) n’est désigné, cette désignation n’étant pas obligatoire au regard de l’activité.
Vendeurs et responsabilité conjointe. Lorsque vous passez commande, certaines de vos données sont transmises au Vendeur concerné pour l’exécution de la vente et du retrait. Le Vendeur agit comme responsable de traitement distinct pour les finalités qui lui sont propres. Les statistiques éventuellement fournies aux Vendeurs sont agrégées et anonymisées (par exemple l’évolution de leurs ventes) et ne permettent pas de vous identifier. Si vous choisissez, en cochant la case prévue à cet effet, d’être tenu informé de l’actualité d’un producteur, vos coordonnées sont utilisées pour ces envois par le Vendeur concerné, en qualité de responsable de traitement, la Plateforme agissant comme sous-traitant ; vous pouvez retirer votre consentement à tout moment, notamment via le lien de désinscription figurant dans chaque envoi.
3. Données que nous collectons
Selon votre utilisation de la Plateforme, nous pouvons collecter :
- Données de compte / commande : nom, prénom, adresse e-mail, numéro de téléphone, et le cas échéant adresse.
- Données de commande : Produits commandés, Vendeur, point et créneau de retrait, montant, historique des commandes.
- Données de paiement : traitées directement par notre prestataire de paiement Mollie. Nous ne stockons pas les données complètes de votre carte ; nous conservons une référence de transaction et le statut du paiement.
- Données de localisation approximative : code postal saisi pour la recherche de Produits et de producteurs à proximité.
- Données techniques : données strictement nécessaires au fonctionnement (session, sécurité, préférence de langue, choix relatifs aux cookies).
- Communications : messages que vous nous adressez (formulaire de contact, e-mail).
- Données d’usage (mesure d’audience) : événements de navigation agrégés (pages et Produits consultés, recherches, ajouts au panier), reliés à un identifiant temporaire conservé uniquement dans l’onglet de votre navigateur, collectés sans cookie afin de mesurer et d’améliorer la Plateforme.
4. Finalités et bases légales
Nous traitons vos données pour les finalités suivantes, sur les bases légales indiquées (article 6 du RGPD) :
Finalité
Base légale
Gestion du compte et exécution de la commande (mise en relation, encaissement, retrait)
Exécution du contrat (art. 6.1.b)
Traitement des paiements et lutte contre la fraude
Exécution du contrat et intérêt légitime (art. 6.1.b et f)
Service client, réclamations et suivi des litiges
Exécution du contrat et intérêt légitime (art. 6.1.b et f)
Obligations comptables, fiscales et légales (dont la déclaration DAC7 des revenus des vendeurs)
Obligation légale (art. 6.1.c)
Amélioration et sécurité de la Plateforme
Intérêt légitime (art. 6.1.f)
Communications marketing (newsletter), le cas échéant
Consentement (art. 6.1.a)
5. Destinataires des données
Vos données ne sont communiquées qu’aux destinataires nécessaires aux finalités décrites :
- le Vendeur concerné par votre commande, pour la préparation et le retrait ;
- notre prestataire de paiement (Mollie), pour le traitement des paiements, lequel agit en qualité de responsable de traitement indépendant (voir ci-dessous) ;
- nos prestataires techniques (hébergement, infrastructure cloud, envoi d’e-mails, analyse d’audience), agissant en qualité de sous-traitants ;
- les autorités compétentes, lorsque la loi l’exige.
Nous ne vendons pas vos données personnelles à des tiers.
Nos principaux sous-traitants et prestataires techniques sont les suivants :
Prestataire
Finalité
Localisation des données
Aiven (PostgreSQL et Valkey gérés)
Base de données et cache (stockage des données de compte et de commande)
Union européenne, infrastructure Google Cloud (région europe-west1, Belgique)
Google Cloud (Cloud Run, Cloud Storage)
Hébergement de l’application (serveur sans conservation de données) et stockage des images
Union européenne (région europe-west1, Belgique)
Amazon Web Services (SES)
Envoi des e-mails transactionnels (confirmations, rappels de retrait)
Union européenne (Irlande, région eu-west-1) ; accès depuis un pays tiers possible (voir section 6)
Réseau de diffusion de contenu (CDN)
Diffusion des contenus statiques et des images (réseau de distribution)
Réseau mondial (mise en cache en périphérie)
Responsables de traitement indépendants. Certains destinataires ne sont pas des sous-traitants agissant sur nos instructions, mais des responsables de traitement indépendants, qui déterminent eux-mêmes les finalités et les moyens du traitement et répondent de leurs propres obligations légales. C’est notamment le cas de Mollie, notre prestataire de paiement : en sa qualité d’établissement de paiement réglementé, Mollie traite les données de paiement pour ses propres finalités (exécution du paiement, obligations légales et de lutte contre la fraude et le blanchiment) et agit comme responsable de traitement indépendant. Le traitement par Mollie est régi par sa propre déclaration de confidentialité, disponible sur son site. Les Vendeurs de la Plateforme peuvent également agir comme responsables de traitement distincts pour les finalités qui leur sont propres (voir section 2).
6. Transferts hors de l’Union européenne
Nous privilégions un hébergement et des prestataires situés dans l’Union européenne (notre base de données, notre application, le stockage des images et l’envoi de nos e-mails via Amazon Web Services SES sont configurés dans des régions de l’Union européenne, l’Irlande pour ce qui concerne les e-mails). Le recours à des prestataires relevant de groupes établis hors de l’Espace économique européen (tel Amazon Web Services) peut néanmoins impliquer un accès à des données depuis un pays tiers. Le cas échéant, un tel accès ou transfert est encadré par des garanties appropriées au sens du RGPD (notamment les clauses contractuelles types de la Commission européenne ou une décision d’adéquation, tel le cadre de protection des données UE-États-Unis lorsqu’il est applicable).
7. Durée de conservation
Nous conservons vos données uniquement pendant la durée nécessaire aux finalités poursuivies :
- Données de compte : pendant la durée de vie du compte, puis supprimées ou anonymisées dans un délai raisonnable après sa clôture.
- Données de commande et de facturation : conservées conformément aux obligations légales comptables, soit en principe 7 ans.
- Données de prospection (marketing) : jusqu’au retrait de votre consentement ou après une période d’inactivité raisonnable.
- Cookies et traceurs : selon les durées indiquées dans la Politique cookies (voir section 10).
- Événements de mesure d’audience : conservés pour une durée maximale de 12 mois, puis supprimés.
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants concernant vos données :
- droit d’accès (art. 15) : obtenir une copie des données vous concernant ;
- droit de rectification (art. 16) : corriger des données inexactes ou incomplètes ;
- droit à l’effacement (art. 17) : faire supprimer vos données lorsque les conditions sont réunies ;
- droit à la limitation (art. 18) du traitement ;
- droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et couramment utilisé ;
- droit d’opposition (art. 21), notamment au traitement fondé sur l’intérêt légitime et à la prospection ;
- droit de retirer votre consentement à tout moment, sans effet rétroactif, lorsque le traitement est fondé sur celui-ci.
Pour exercer ces droits, contactez-nous à support@pepo.bio. Nous pourrons vous demander de justifier votre identité. Nous répondons dans un délai d’un mois, prolongeable si nécessaire.
Réclamation. Vous avez le droit d’introduire une réclamation auprès de l’Autorité de protection des données (APD) : Rue de la Presse 35, 1000 Bruxelles, https://www.autoriteprotectiondonnees.be.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte ou altération (chiffrement des communications, contrôle des accès, recours à des prestataires reconnus). Aucun système n’étant infaillible, nous ne pouvons garantir une sécurité absolue, mais nous nous engageons à réagir avec diligence en cas d’incident, conformément à nos obligations de notification.
10. Cookies et traceurs
La Plateforme utilise, en v1, des cookies et traceurs strictement nécessaires à son fonctionnement (session, sécurité, mémorisation de la langue et de vos choix). Ces cookies ne requièrent pas votre consentement préalable, mais sont décrits ici par transparence.
Cookies de mesure d’audience et autres traceurs non essentiels. Si nous activons des outils de mesure d’audience (par exemple PostHog) ou d’autres traceurs non strictement nécessaires, ceux-ci ne seront déposés qu’après recueil de votre consentement via un bandeau dédié permettant d’accepter ou de refuser, par finalité, avec la même facilité.
Cookie
Finalité
Durée
session
Authentification. Maintient la connexion d’un utilisateur (client, vendeur ou administrateur). Chiffré ; contient uniquement l’identifiant de l’utilisateur et un indicateur « administrateur ». HttpOnly, Secure.
Cookie de session ; supprimé à la fermeture du navigateur ; également effacé à la déconnexion.
oauth_state
Sécurité (protection CSRF). Déposé uniquement lors d’une connexion via Facebook, pour lier l’aller-retour d’authentification au même navigateur. À usage unique, supprimé au retour. HttpOnly, Secure.
Cookie de session ; valable environ 10 minutes (durée du jeton d’état de connexion).
bkt
Panier d’achat des visiteurs non connectés. Relie un visiteur anonyme à son panier pendant la navigation et le paiement. HttpOnly, Secure.
Cookie de session ; supprimé à la fermeture du navigateur.
i18n_pref_locale
Préférence de langue. Mémorise la langue d’interface choisie (FR/NL/EN) afin de la conserver d’une page à l’autre. Déposé côté client (non HttpOnly).
Cookie de session.
Tous les cookies ci-dessus sont strictement nécessaires au fonctionnement de la Plateforme et ne requièrent pas votre consentement préalable. À ce jour, aucun cookie de mesure d’audience ni aucun traceur non essentiel n’est utilisé ; le cas échéant, ils ne seraient déposés qu’après recueil de votre consentement, et le présent tableau serait mis à jour en conséquence.
Notre propre mesure d’audience (sans cookie). Afin de comprendre l’utilisation de la Plateforme et de l’améliorer, nous enregistrons des événements de navigation agrégés (pages et Produits consultés, recherches, ajouts au panier), reliés à un identifiant temporaire conservé uniquement dans l’onglet de votre navigateur pendant la durée de votre visite et jamais inscrit dans un cookie. Cette mesure est de première partie — les données restent sur nos propres serveurs et ne sont jamais partagées avec un tiers — et ne repose sur aucun cookie ni identifiant persistant, de sorte qu’elle ne requiert pas votre consentement. La base légale est notre intérêt légitime à mesurer et à améliorer notre service ; ces événements sont conservés pour une durée maximale de 12 mois (voir section 7).
11. Données des mineurs
La Plateforme ne s’adresse pas aux mineurs. Nous ne collectons pas sciemment de données concernant des personnes de moins de 16 ans. Si vous estimez qu’un mineur nous a transmis des données, contactez-nous afin que nous procédions à leur suppression.
12. Modification de la présente politique
Nous pouvons modifier la présente Politique de confidentialité afin de l’adapter aux évolutions légales ou de nos services. La version applicable est celle publiée sur la Plateforme. Nous vous invitons à la consulter régulièrement à l’adresse https://pepo.bio/fr-be/confidentialite.
Fin de la Politique de confidentialité.