Politique de Confidentialité
Dernière mise à jour : 1 décembre 2025
1. Responsable du traitement
La plateforme Astory est éditée par :
- SAS Astory Finance – Société par Actions Simplifiée Unipersonnelle
- Capital social : 5 000,00 €
- Siège social : 78 Avenue des Champs Élysées, 75008 Paris, France
- SIREN : 915 237 366
- RCS : Paris
- N° TVA intracommunautaire : FR40915237366
- Directeur de la publication : Sébastien Astre, Président
- Contact : contact@astory.finance | +33 6 10 02 43 18
2. Données personnelles collectées
Dans le cadre de l'utilisation de la plateforme Astory, nous collectons les catégories de données suivantes :
2.1 Données d'identité
Nom, prénom, adresse email, numéro de téléphone, adresse postale, date de naissance, photo de profil (si connexion via Google).
2.2 Données d'entreprise
Dénomination sociale, numéro SIREN, forme juridique, capital social, adresse du siège, codes d'activité (NAF/APE).
2.3 Données financières
Coordonnées bancaires (IBAN pour prélèvement SEPA), numéro de TVA intracommunautaire, montants des factures et échéanciers de paiement.
2.4 Données contractuelles
Conditions du contrat de location (durée, montants, valeur résiduelle), détails des œuvres louées (nom, artiste, dimensions, images), documents justificatifs téléchargés.
2.5 Données de navigation (avec consentement)
Pages visitées, événements de navigation, données de l'appareil (navigateur, système d'exploitation, taille d'écran), source du trafic.
2.6 Données techniques
Erreurs applicatives, traces d'exécution, données de session lors d'incidents techniques.
3. Finalités et bases légales du traitement
Vos données sont traitées pour les finalités suivantes :
| Finalité | Base légale | Données concernées |
|---|---|---|
| Gestion des paiements et facturation | Exécution du contrat | Identité, financières |
| Génération et signature des contrats de location | Exécution du contrat | Identité, entreprise, contractuelles |
| Authentification et gestion du compte | Exécution du contrat | Identité |
| Envoi d'emails transactionnels (vérification, rappels) | Exécution du contrat | Email, prénom |
| Stockage des fichiers (images, documents) | Exécution du contrat | Documents téléchargés |
| Validation des informations d'entreprise | Exécution du contrat | SIREN, dénomination |
| Analyse produit et comportement utilisateur | Consentement | Navigation |
| Suivi des conversions et analytics | Consentement | Navigation |
| Détection et correction des erreurs applicatives | Intérêt légitime | Techniques |
4. Destinataires des données
Vos données personnelles peuvent être transmises aux sous-traitants suivants, dans le cadre de l'exécution de nos services :
4.1 Services essentiels (requis)
| Prestataire | Finalité | Données | Localisation |
|---|---|---|---|
| Stripe | Traitement des paiements, gestion des abonnements, facturation | Identité, financières | UE |
| PandaDoc | Génération et signature électronique des contrats | Identité, entreprise, contractuelles | UE |
| AWS S3 | Stockage sécurisé des fichiers (images, documents) | Documents téléchargés | UE (Irlande) |
| AWS SES | Envoi des emails transactionnels | Email, prénom | France (Paris) |
| Scaleway | Hébergement de l'application et base de données | Toutes données applicatives | France (Paris) |
| OVH | Sauvegarde des données (snapshots quotidiens) | Toutes données applicatives | France (Paris, Roubaix) |
| Pappers | Vérification des informations d'entreprise françaises | SIREN, dénomination | France |
4.2 Services optionnels
| Prestataire | Finalité | Base légale | Localisation | Opt-out |
|---|---|---|---|---|
| Google OAuth | Connexion sociale (alternative) | Consentement | UE | Oui |
| PostHog | Analyse produit, comportement utilisateur | Consentement | UE | Oui |
| Google Tag Manager / GA4 | Analytics, suivi des conversions | Consentement | UE | Oui |
| Sentry | Suivi des erreurs, monitoring applicatif | Intérêt légitime | UE (Allemagne) | Non |
5. Cookies et traceurs
Notre plateforme utilise un système de gestion du consentement aux cookies. Lors de votre première visite, une bannière vous permet d'accepter ou de refuser les traceurs non essentiels.
5.1 Cookies utilisés
| Nom | Finalité | Durée |
|---|---|---|
| ____astory_ | Enregistrement du choix de consentement aux traceurs (« accepted », « rejected », « unknown ») | Persistant |
| ___asc | Maintien de la session utilisateur (authentification) | 7 jours ou session |
5.2 Services concernés par le consentement
Les services suivants ne sont activés que si vous acceptez les traceurs :
- PostHog (analyse produit)
- Google Tag Manager / Google Analytics 4 (analytics)
Les services essentiels (Stripe, PandaDoc, Sentry) fonctionnent indépendamment de votre choix de consentement car ils sont nécessaires à l'exécution du service.
6. Durées de conservation
Vos données sont conservées conformément aux obligations légales applicables :
| Type de données | Durée de conservation |
|---|---|
| Contrats signés | 10 ans (obligation légale commerciale) |
| Données de facturation et paiement | 10 ans (obligation comptable) |
| Documents justificatifs (identité, domicile) | Durée du contrat + 5 ans |
| Données de compte | Jusqu'à demande de suppression + 3 ans (prescription) |
| Données d'erreurs (Sentry) | 90 jours |
| Données analytics (PostHog) | 24 mois |
7. Vos droits
Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification : demander la correction de données inexactes ou incomplètes.
- Droit à l'effacement : demander la suppression de vos données dans les conditions prévues par la loi.
- Droit à la limitation : demander la suspension du traitement de vos données dans certains cas.
- Droit à la portabilité : recevoir vos données dans un format structuré et couramment utilisé.
- Droit d'opposition : vous opposer au traitement de vos données pour des motifs légitimes.
- Droit de retirer votre consentement : retirer à tout moment votre consentement pour les traitements qui en dépendent (cookies, analytics).
Pour exercer ces droits, vous pouvez nous contacter par email à : contact@astory.finance
Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr
8. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles :
- Chiffrement des données en transit (TLS) et au repos
- Hébergement sur infrastructure sécurisée (Kubernetes autogéré sur Scaleway, France)
- Sauvegardes quotidiennes chiffrées, stockées de manière géographiquement redondante
- Accès aux fichiers contrôlé par URLs signées avec expiration
- Stockage des fichiers avec identifiants uniques (non nominatifs)
9. Âge minimum
L'utilisation de la plateforme Astory est réservée aux personnes majeures (18 ans et plus). Les services de location d'œuvres d'art impliquent la conclusion de contrats commerciaux qui ne peuvent être souscrits que par des personnes ayant la capacité juridique de contracter.
10. Modifications de la politique
Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par email ou par notification sur la plateforme. La date de dernière mise à jour est indiquée en haut de ce document.
11. Contact
Pour toute question relative à cette politique de confidentialité ou au traitement de vos données personnelles, vous pouvez nous contacter :
- Email : contact@astory.finance
- Téléphone : +33 6 10 02 43 18
- Adresse : SAS Astory Finance – 78 Avenue des Champs Élysées, 75008 Paris, France