Politique de confidentialité
La présente politique décrit comment Magicbau GmbH, exploitant du site gardeco.ch, collecte, utilise et protège vos données personnelles. Elle est conforme à la Loi fédérale suisse sur la protection des données (LPD, révision 2023) et au Règlement général sur la protection des données européen (RGPD) lorsqu’il est applicable.
1. Responsable du traitement
- Magicbau GmbH (exploitant de la marque Gardeco®)
- Frobenstrasse 57, 4053 Basel, Suisse
- IDE : CHE-255.338.679
- Contact général :
contact@gardeco.ch
2. Délégué à la protection des données (DPO)
La fonction de Délégué à la protection des données est assurée en interne par la direction de Magicbau GmbH.
- Contact DPO :
dpo@gardeco.ch
Toute demande relative au traitement de vos données personnelles peut être adressée à cette adresse, qui constitue un canal de communication direct avec le responsable du traitement.
3. Données collectées
Nous collectons uniquement les données nécessaires aux finalités décrites ci-dessous. Aucune donnée n’est collectée à votre insu en dehors des cookies techniques nécessaires au fonctionnement du site.
- Création de compte / commande : nom, prénom, adresse e-mail, adresse de livraison, adresse de facturation, numéro de téléphone (optionnel, utilisé pour les besoins de livraison).
- Paiement : aucune donnée bancaire n’est stockée par Magicbau GmbH — le traitement est intégralement délégué à Stripe (carte bancaire) et TWINT AG (TWINT), qui appliquent leurs propres standards de sécurité (cf. § 6).
- Newsletter et offres marketing : adresse e-mail + horodatage de l’opt-in et de chaque retrait, version du texte de consentement affiché au moment de l’opt-in, adresse IP et user-agent du navigateur (preuve probatoire — Art. 7(1) RGPD). Mécanisme de double opt-in : vous recevez un e-mail de confirmation et aucun envoi marketing ne part tant que vous n’avez pas cliqué sur le lien de confirmation.
- Espace client : historique de commandes, adresses enregistrées, préférences de communication.
- Panier abandonné : adresse e-mail si renseignée + contenu du panier, conservés 6 mois maximum pour permettre la relance commerciale et la reprise de commande.
- Service après-vente / tickets : contenu de vos messages, pièces jointes, historique des échanges avec notre équipe.
- Analytics : données d’usage anonymisées (Google Analytics 4 avec Consent Mode v2 — pas de tracking sans consentement).
- Cookies : voir la section dédiée plus bas.
4. Bases légales du traitement (RGPD)
Chaque traitement repose sur une base légale identifiée :
- Exécution d’un contrat (Art. 6(1)(b) RGPD) : commande, livraison, facturation, garantie, service après-vente.
- Obligation légale (Art. 6(1)(c) RGPD) : tenue de la comptabilité (conservation 10 ans en Suisse), lutte contre la fraude, obligations fiscales.
- Intérêt légitime (Art. 6(1)(f) RGPD) : amélioration du service, sécurité du site, prévention de la fraude, statistiques d’usage anonymisées, contact direct des clients existants pour des produits similaires.
- Consentement (Art. 6(1)(a) RGPD) : newsletter, offres marketing, cookies analytiques et marketing. Chaque consentement est tracé séparément, révocable à tout moment, et indépendant des autres (vous pouvez par exemple vous désabonner du marketing sans perdre la newsletter).
5. Durées de conservation
| Donnée | Durée |
|---|---|
| Commandes (obligation comptable CH) | 10 ans |
| Comptes clients actifs | Tant que le compte est actif + 6 mois après suppression |
| Paniers abandonnés | 6 mois |
| Newsletter / offres marketing (inscription) | Tant que l’opt-in est valide |
| Journal de consentement (preuve d’opt-in / opt-out) | Durée du consentement + 12 mois après retrait |
| Tickets SAV / échanges client | 3 ans après la dernière interaction |
| Logs techniques (sécurité) | 12 mois maximum |
À l’expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
6. Destinataires des données (sous-traitants)
Magicbau GmbH s’appuie sur les sous-traitants suivants, chacun lié par un contrat de sous-traitance conforme à l’art. 28 RGPD :
| Service | Rôle | Localisation | Transfert hors UE/CH |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement | Allemagne (UE) | Non |
| Supabase (région EU Frankfurt) | Base de données + Auth | Allemagne (UE) | Non |
| Stripe | Paiement carte bancaire | États-Unis | Oui — clauses contractuelles types (SCC) |
| TWINT AG | Paiement TWINT | Suisse | Non |
| Resend Inc. | Envoi d’e-mails transactionnels et marketing | Société États-Unis — données hébergées région UE (Frankfurt) | Oui — SCC |
| Google (GA4, Ads, Maps) | Analytics + publicité | États-Unis | Oui — Consent Mode v2 + SCC |
| Microsoft Clarity | Heatmaps & UX analytics | États-Unis | Oui — SCC |
| Bexio (Phase 2) | Facturation comptable | Suisse | Non |
La liste à jour des sous-traitants est disponible sur simple demande à contact@gardeco.ch.
7. Transferts de données hors UE / Suisse
Certains de nos sous-traitants sont établis aux États-Unis (Stripe, Resend, Google, Microsoft). Les transferts de données vers ces sous-traitants sont encadrés par :
- les clauses contractuelles types (Standard Contractual Clauses, SCC) adoptées par la Commission européenne, ou
- les décisions d’adéquation reconnues (notamment l’EU-U.S. Data Privacy Framework pour les entreprises certifiées), ou
- des mesures techniques complémentaires (chiffrement en transit et au repos, pseudonymisation lorsque applicable).
Pour les transferts vers les États-Unis, vous êtes informé que la législation américaine peut, dans certaines conditions, permettre l’accès aux données par les autorités locales. Magicbau GmbH évalue ce risque et privilégie, quand cela est possible, des sous-traitants disposant d’une infrastructure européenne ou suisse.
8. Cookies
Le site utilise différentes catégories de cookies :
- Cookies techniques (panier, langue, session, préférences d’affichage) — ne nécessitent pas votre consentement (intérêt légitime, fonctionnement du site).
- Cookies analytiques (Google Analytics 4 avec anonymisation d’IP, Microsoft Clarity) — déposés uniquement après votre consentement explicite.
- Cookies marketing (Google Ads, retargeting) — déposés uniquement après votre consentement explicite et spécifique.
- Cookies tiers (iframe Stripe, embeds YouTube) — déposés au moment de l’usage, après consentement spécifique.
Vous pouvez consulter et modifier vos préférences à tout moment en cliquant sur l’icône cookies présente en bas à gauche de chaque page.
9. Vos droits
Conformément à la LPD CH et au RGPD UE, vous disposez des droits suivants sur vos données :
- Droit d’accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification : corriger des données inexactes ou incomplètes.
- Droit à l’effacement (« droit à l’oubli »).
- Droit à la portabilité : recevoir vos données dans un format structuré et réutilisable.
- Droit d’opposition : refuser certains traitements (notamment le marketing).
- Droit à la limitation : geler temporairement un traitement.
- Droit de retirer votre consentement à tout moment, sans préjudice de la licéité du traitement antérieur.
Exercer un droit en libre-service depuis votre espace client :
- Accès / portabilité : bouton « Télécharger mes données » dans
/mon-compte/profil/— export JSON immédiat de l’intégralité de vos données.- Effacement : bouton « Supprimer mon compte » dans la même page (note : l’historique de commandes est conservé 10 ans pour obligation comptable suisse, mais dissocié de votre identité).
- Désinscription newsletter / marketing : depuis
/mon-compte/preferences/OU via le lien « Se désinscrire » présent dans chaque e-mail marketing (one-click, sans connexion).Pour toute autre demande (rectification, opposition, limitation, contact DPO), écrivez à contact@gardeco.ch avec un justificatif d’identité. Nous répondons sous 30 jours.
Droit de réclamation
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de :
- Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT) — edoeb.admin.ch
- Union européenne : autorité de contrôle de votre pays de résidence (par exemple la CNIL en France).
10. Sécurité
Magicbau GmbH met en œuvre les mesures techniques et organisationnelles raisonnables pour protéger vos données contre tout accès non autorisé, perte, altération ou divulgation. En particulier :
- Connexion HTTPS obligatoire sur tout le site, avec HSTS activé (impossibilité de basculer en HTTP).
- Mots de passe hachés avec algorithmes modernes (bcrypt/Argon2) — jamais stockés en clair.
- Row-Level Security (RLS) Supabase : chaque utilisateur ne peut accéder qu’à ses propres données via une isolation au niveau base de données.
- Sauvegardes quotidiennes chiffrées sur infrastructure Hetzner / Supabase (chiffrement au repos AES-256).
- Accès interne limité au strict nécessaire (principe du moindre privilège) — seules les personnes habilitées de l’équipe Magicbau GmbH disposent d’un accès aux données opérationnelles, et chaque accès est journalisé.
- Pas de stockage de données bancaires chez Magicbau GmbH — l’intégralité du traitement carte est délégué à Stripe (certifié PCI DSS niveau 1) et à TWINT AG.
- Chiffrement des e-mails transactionnels en transit (TLS) entre Resend et le serveur destinataire.
Malgré ces mesures, aucun système n’est totalement infaillible. En cas de violation de données susceptible d’engendrer un risque pour vos droits et libertés, Magicbau GmbH s’engage à vous notifier dans les délais légaux (72 h LPD CH / RGPD) ainsi qu’à l’autorité de contrôle compétente.
Dernière mise à jour : 2026-05-25
Cette politique sera mise à jour à chaque évolution majeure du traitement (nouveau sous-traitant, nouvelle finalité, changement substantiel de durée). Les utilisateurs disposant d’un compte sont notifiés des modifications substantielles par e-mail.