1. Qui est responsable de vos données ?
Le responsable du traitement est :
- TD Importation, EURL, RCS Rennes 932 859 408
- 21 rue de la Chère, ZI Château Gaillard, 35470 Pléchatel
- Représenté par Thomas Desmarres, gérant
- Contact RGPD : contact@tdimportation.fr
TD Importation n'est pas tenu de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Cependant, le gérant assure personnellement le rôle de point de contact pour toute question relative à la vie privée.
2. Quelles données traitons-nous, pourquoi, sur quelle base légale ?
| Finalité | Données collectées | Base légale (RGPD) | Durée de conservation |
|---|---|---|---|
| Traitement des demandes d'information (prospects) | Prénom, nom, email, téléphone, marque/modèle souhaités, budget, motorisation, messages libres | Art. 6-1-a (consentement) et/ou 6-1-b (mesures précontractuelles) | 3 ans à compter du dernier contact |
| Exécution du mandat d'importation (clients) | Identité, coordonnées, adresse, pièce d'identité, permis, justificatif de domicile, Teil 1/2, COC, TÜV, Cerfas, VIN | Art. 6-1-b (exécution du contrat) | Durée du mandat + archivage légal : 10 ans pour les pièces comptables, 5 ans pour les contrats civils (C. civ. art. 2224) |
| Gestion de la relation client post-livraison | Coordonnées, historique mandat | Art. 6-1-f (intérêt légitime) | 3 ans après fin du mandat, puis archivage |
| Mesure d'audience et publicité (Google Analytics, Google Ads) | Cookies de mesure et publicitaires, IP anonymisée, événements de navigation | Art. 6-1-a (consentement — bandeau cookies) | 13 mois max. (CNIL) pour les cookies ; 25 mois max. pour les données agrégées |
| Respect d'une obligation légale (facturation, comptabilité, immatriculation) | Identité, adresse, montants, VIN | Art. 6-1-c (obligation légale) | 10 ans (C. com. art. L123-22) pour les pièces comptables |
3. Qui a accès à vos données ?
Vos données sont traitées par Thomas Desmarres, gérant de TD Importation, seul habilité à accéder à l'espace administrateur. Aucun tiers non mandaté ne reçoit vos données.
Sous-traitants (art. 28 RGPD) :
- Netlify Inc. (USA) — hébergement du site vitrine, stockage des soumissions de formulaires. DPA.
- Vercel Inc. (USA) — hébergement de l'espace client / admin. DPA.
- Supabase Inc. — base de données et stockage des documents (région UE / Irlande). DPA.
- Google Ireland Ltd. — mesure d'audience (Google Analytics) et publicité (Google Ads), uniquement après consentement.
Destinataires légaux :
- Services des impôts (quitus fiscal).
- Agence Nationale des Titres Sécurisés (ANTS — carte grise).
- Prestataires de transport et concessionnaires allemands, strictement pour la partie nécessaire à l'importation (ex. adresse de livraison).
4. Transferts hors Union européenne
Netlify, Vercel et Google peuvent effectuer des transferts vers les États-Unis. Ces transferts sont encadrés par :
- Les clauses contractuelles types (décision 2021/914) adoptées par la Commission européenne.
- L'adhésion de ces sociétés au Data Privacy Framework (DPF), décision d'adéquation du 10 juillet 2023.
- Des mesures techniques complémentaires : chiffrement en transit (TLS 1.2+) et au repos.
Les documents personnels (pièces d'identité, justificatifs, contrats) sont stockés sur une instance Supabase en Union européenne (région Irlande). Ils ne sont pas transférés hors UE pour leur stockage.
5. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des connexions (HTTPS / TLS 1.2 ou supérieur) sur tous nos sites.
- Authentification forte (MFA) sur le compte administrateur.
- Politiques d'autorisation restrictives sur la base de données (Row-Level Security).
- Journalisation des accès aux documents personnels.
- Sauvegardes chiffrées et testées régulièrement.
- URLs signées à durée de vie courte (≤ 60 s) pour l'accès aux documents stockés.
- Procédure interne de gestion des incidents de sécurité.
En cas de violation susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans un délai de 72 heures (art. 33 RGPD) et vous informerons directement si le risque est élevé (art. 34 RGPD).
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie des données que nous détenons sur vous.
- Droit de rectification : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (« droit à l'oubli ») : supprimer vos données lorsque les conditions légales sont remplies.
- Droit à la limitation du traitement.
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
- Droit d'opposition au traitement fondé sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment (sans effet rétroactif).
- Droit d'introduire une réclamation auprès de la CNIL.
Pour exercer vos droits : contact@tdimportation.fr. Nous répondons dans un délai maximum d'un mois (prolongeable de deux mois si la demande est complexe).
Nous pouvons vous demander de justifier votre identité pour éviter toute usurpation.
7. Décision automatisée et profilage
TD Importation ne prend aucune décision automatisée produisant des effets juridiques à votre égard (art. 22 RGPD). Toute validation de mandat est faite manuellement par Thomas Desmarres.
8. Mises à jour
La présente politique peut être mise à jour pour refléter des évolutions légales ou techniques. La date de dernière mise à jour figure en haut du document. En cas de modification substantielle, vous en serez informé(e) par email ou via un bandeau sur le site.
Historique : v1 — 17 avril 2026 (création).