Politique de confidentialité et de protection des données

Politique de confidentialité et de protection des données

Dernière mise à jour : 24 février 2026

La présente politique de confidentialité décrit comment JSCT LUX (nom commercial cockpitLAB), société à responsabilité limitée de droit luxembourgeois, immatriculée sous le numéro B295868 au RCS Luxembourg, dont le siège social est situé au 22, rue Jean Wolter, L-3544 Dudelange, Luxembourg (TVA : LU36544814), collecte, utilise, stocke et protège les données personnelles de ses utilisateurs.

Cette politique couvre également la manière dont notre application cockpitLAB accède, traite et protège les données issues de l’API Amazon Selling Partner (SP-API), conformément à l’Amazon Data Protection Policy (DPP) et à l’Amazon Acceptable Use Policy (AUP).

English version available here.

1. Responsable du traitement

JSCT LUX (nom commercial cockpitLAB)
22, rue Jean Wolter, L-3544 Dudelange, Luxembourg
RCS Luxembourg : B295868 – TVA : LU36544814
Délégué à la Protection des Données : [email protected]

2. Données personnelles collectées

2.1 Données collectées directement auprès de l’utilisateur

  • Nom, prénom, adresse e-mail, numéro de téléphone (inscription, contact)
  • Informations de facturation et de paiement (traitées par Stripe, Inc.)
  • Données de connexion (adresse IP, navigateur, appareil)

2.2 Données collectées via l’API Amazon SP-API

Lorsqu’un utilisateur connecte son compte Amazon Seller Central à cockpitLAB via le protocole OAuth 2.0, nous accédons aux données suivantes, strictement nécessaires au fonctionnement des services :

  • Commandes : numéros de commande, montants, statuts, dates
  • Articles commandés : ASINs, SKUs, quantités, prix, frais Amazon
  • Données financières : frais de référencement, frais FBA, événements financiers
  • Inventaire : niveaux de stock, rapports FBA
  • Catalogue produits : informations de listing, images, prix
  • Rapports : rapports d’expédition, de règlement, de performance
  • Données PII (Personally Identifiable Information) : nom et adresse de livraison des acheteurs, uniquement dans le cadre de la facturation et des obligations fiscales légales

3. Finalités et bases légales du traitement

FinalitéBase légale (RGPD Art. 6)
Fourniture des services cockpitLAB (dashboard, P&L, analytics)Exécution du contrat (Art. 6.1.b)
Génération de factures et conformité fiscaleObligation légale (Art. 6.1.c)
Traitement des PII Amazon pour facturation/expéditionObligation légale (Art. 6.1.c)
Amélioration des services et support techniqueIntérêt légitime (Art. 6.1.f)
Communication par e-mail (newsletters, mises à jour)Consentement (Art. 6.1.a)

4. Utilisation des données Amazon SP-API

Conformément à l’Amazon Acceptable Use Policy :

  • Les données SP-API sont utilisées exclusivement pour fournir les fonctionnalités de la plateforme cockpitLAB aux utilisateurs autorisés.
  • Les données PII des acheteurs Amazon sont utilisées uniquement pour la facturation (merchant-fulfilled shipping) et les obligations légales/fiscales.
  • Aucune donnée SP-API n’est partagée avec des tiers, sauf obligation légale.
  • Aucune donnée n’est agrégée entre différents comptes vendeurs à des fins de revente ou de partage.
  • Aucune prospection commerciale n’est réalisée sur la base de données Amazon.
  • Aucun enrichissement de données externes n’est effectué avec les données Amazon.
  • L’utilisation d’intelligence artificielle (IA) dans les fonctionnalités d’analyse est clairement identifiée auprès de l’utilisateur, avec indication de la source et de la fraîcheur des données.

5. Stockage et sécurité des données

5.1 Chiffrement

  • En transit : toutes les communications sont chiffrées via TLS 1.2 ou supérieur.
  • Au repos : les données sont chiffrées AES-256. Les credentials SP-API (tokens OAuth, clés API) sont chiffrés AES-256 avec un système de gestion de clés (KMS) dédié.

5.2 Infrastructure

  • Base de données hébergée dans l’Union Européenne (Supabase, région eu-west, France), chiffrée au repos.
  • Application servie via Cloudflare (CDN mondial, WAF, protection DDoS).
  • Site WordPress hébergé par OVH SAS (France).

5.3 Contrôles d’accès

  • Accès restreint selon le principe du moindre privilège (need-to-know).
  • Identifiants individuels uniques — aucun compte partagé.
  • Authentification multi-facteurs (MFA) obligatoire sur tous les systèmes.
  • Revue trimestrielle des accès. Désactivation sous 24 heures en cas de départ.
  • Verrouillage automatique après 10 tentatives de connexion échouées.

5.4 Journalisation et surveillance

  • Tous les accès API, connexions et actions critiques sont journalisés (succès/échec, date/heure, identifiant).
  • Surveillance centralisée avec alertes en temps réel en cas d’anomalie.
  • Aucune donnée PII n’est stockée dans les logs.
  • Rétention des logs : minimum 12 mois.

6. Durée de conservation des données

6.1 Données PII Amazon

Les données personnelles identifiables (PII) issues de l’API Amazon SP-API (noms, adresses de livraison des acheteurs) sont conservées maximum 30 jours après la livraison de la commande, sauf obligation légale de conservation plus longue (fiscalité, comptabilité).

6.2 Données non-PII Amazon

Les données non-PII (commandes anonymisées, montants, frais, statistiques) sont conservées maximum 18 mois, sauf obligation légale de conservation plus longue.

6.3 Données utilisateur cockpitLAB

Les données du compte utilisateur sont conservées pendant la durée de la relation contractuelle et supprimées dans les 30 jours suivant la clôture du compte, sauf obligations légales.

6.4 Suppression sur demande

En cas de demande de suppression par Amazon ou par l’utilisateur, les données sont supprimées définitivement dans un délai de 30 jours. Les instances en ligne sont supprimées sous 90 jours. La sanitisation des données suit les directives NIST 800-88. Une certification de suppression est fournie sur demande écrite.

7. Attribution des données

cockpitLAB maintient un mécanisme d’attribution permettant d’identifier l’origine de chaque donnée : le compte vendeur source (selling_partner_id), l’API utilisée et la date de collecte sont systématiquement enregistrés.

8. Partage et sous-traitants

cockpitLAB ne vend, ne loue et ne partage aucune donnée personnelle ou donnée Amazon avec des tiers, sauf dans les cas suivants :

  • Sous-traitants techniques (avec lesquels des accords de traitement de données conformes au RGPD sont en place) :
Sous-traitantFinalitéLocalisation des données
Supabase, Inc.Base de données et authentificationUE (France)
Cloudflare, Inc.CDN, sécurité réseau, WorkersMondial (edge), données UE
Stripe, Inc.PaiementsUE / US
OVH SASHébergement WordPressFrance
Brevo (Sendinblue)E-mails transactionnelsUE (France)
Axiom, Inc.Logs et monitoring (aucune PII)US
  • Obligations légales : si requis par la loi, une décision de justice ou une autorité compétente.

Une évaluation annuelle de la sécurité de chaque sous-traitant est effectuée.

9. Transferts internationaux

Certains sous-traitants (Cloudflare, Stripe, Axiom) peuvent traiter des données hors de l’UE. Ces transferts sont encadrés par :

  • Le cadre UE-US de protection des données (EU-US Data Privacy Framework), ou
  • Des clauses contractuelles types (SCC) approuvées par la Commission européenne.

Aucune donnée PII Amazon n’est transférée hors de l’UE.

10. Sécurité du code et des identifiants

  • Aucun credential, clé API, token ou mot de passe n’est jamais codé en dur dans le code source.
  • Les secrets sont stockés dans des coffres sécurisés (variables d’environnement chiffrées).
  • Rotation des clés API et tokens minimum tous les 90 jours, et immédiatement en cas de compromission suspectée.
  • Environnements de test et de production strictement séparés. Aucune PII en environnement de test — données synthétiques uniquement.

11. Gestion des vulnérabilités

  • Scans de vulnérabilité effectués au minimum tous les 30 jours.
  • Scan du code source avant chaque mise en production.
  • Vulnérabilités critiques corrigées sous 7 jours ; vulnérabilités élevées sous 30 jours.
  • Tests de pénétration réalisés au minimum une fois par an.

12. Plan de réponse aux incidents

cockpitLAB dispose d’un plan de réponse aux incidents documenté, revu tous les 6 mois :

  1. Détection : surveillance continue, alertes automatiques.
  2. Confinement : suspension immédiate des accès compromis.
  3. Évaluation : analyse de l’impact, identification des données affectées.
  4. Notification :
    • Amazon : notification dans les 24 heures via [email protected]
    • CNPD Luxembourg : notification dans les 72 heures si données personnelles affectées (RGPD Art. 33)
    • Utilisateurs affectés : notification sans délai excessif (RGPD Art. 34)
  5. Remédiation : correction, documentation des mesures correctives.

Point de contact incident (IMPOC) : [email protected] – cockpitLAB

13. Droits des utilisateurs (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :

  • Droit d’accès (Art. 15) : obtenir une copie de vos données personnelles.
  • Droit de rectification (Art. 16) : corriger des données inexactes ou incomplètes.
  • Droit à l’effacement (Art. 17) : demander la suppression de vos données.
  • Droit à la limitation du traitement (Art. 18) : restreindre le traitement de vos données.
  • Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré.
  • Droit d’opposition (Art. 21) : vous opposer au traitement de vos données.
  • Droit de retrait du consentement (Art. 7.3) : retirer votre consentement à tout moment.

Pour exercer ces droits, contactez-nous à : [email protected]

Nous répondons à toute demande dans un délai maximum de 30 jours.

En cas de réclamation, vous pouvez vous adresser à la Commission Nationale pour la Protection des Données (CNPD) du Luxembourg : cnpd.public.lu

14. Cookies

Le site cockpitlab.io utilise des cookies pour :

  • Cookies essentiels : fonctionnement du site, authentification, sécurité.
  • Cookies analytiques : mesure d’audience (Google Analytics) — uniquement avec votre consentement.

Vous pouvez gérer vos préférences de cookies à tout moment via le bandeau de consentement ou les paramètres de votre navigateur.

15. Modifications de cette politique

cockpitLAB se réserve le droit de modifier la présente politique à tout moment. En cas de modification substantielle, les utilisateurs seront informés par e-mail ou via une notification dans l’application. La date de dernière mise à jour est indiquée en haut de cette page.

16. Contact

Pour toute question relative à cette politique ou à vos données personnelles :

JSCT LUX (cockpitLAB) – Délégué à la Protection des Données
22, rue Jean Wolter, L-3544 Dudelange, Luxembourg
E-mail : [email protected]
Téléphone : +33 6 23 72 00 41

Menu
Rechercher
Inscription newsletter
Comment cockpitLAB peut vous aider ?
Sujets populaires :
formation-amazon-fba-impact-cockpitlab
ebook-comment-vendre-amazon-fba-cockpitlab-mockup
Envie d'aller plus loin en
E‑commerce Marketplace ?
Rejoignez la plus grande communauté de vendeurs, retailers, distributeurs, dropshippers
Restez informé des dernières actualités
Non, je ne préfère pas m'informer gratuitement
Illustration fusee progression etape cockpitLAB
Illustration fusee progression cockpitLAB