Politique de confidentialité

Dernière mise à jour : 16 mai 2026

La présente politique de confidentialité décrit comment Onokma (ci-après « nous », « notre » ou « Untod ») collecte, utilise, conserve et protège les données à caractère personnel dans le cadre de l’utilisation de notre logiciel ERP Untod et du site untod.com.

Nous nous engageons à protéger la confidentialité des données personnelles conformément au Règlement Général sur la Protection des Données (RGPD), à la loi française Informatique et Libertés modifiée et aux politiques de protection des données des plateformes partenaires, notamment Amazon Services Europe.

1. Identité et coordonnées du responsable

Onokma
3 bis chemin du puits, 33480 AVENSAN, France
SIRET : 92270319400014
Représentant légal : Florian MARTIN

Pour toute question relative à cette politique, à la sécurité des données ou pour exercer vos droits, vous pouvez nous joindre via notre formulaire de contact.

Délégué à la protection des données (DPO) : pas de DPO désigné — non obligatoire au regard de l’article 37 du RGPD. Toute demande relative à la protection des données peut être adressée via notre formulaire de contact en précisant l’objet « Protection des données ».

2. À qui s’adresse cette politique

Cette politique concerne :

• Les marchands clients qui utilisent l’ERP Untod pour gérer leur activité de e-commerce ;
• Les visiteurs du site untod.com ;
• Les acheteurs finals dont les données transitent par notre ERP dans le cadre de l’exécution des commandes passées sur les marketplaces de nos marchands clients (notamment Amazon, mais aussi Cdiscount, Rakuten, Fnac, Darty, Cultura et d’autres plateformes opérées via Mirakl ou Octopia).

3. Qualification au sens du RGPD

Selon le contexte, notre rôle juridique varie :

Dans le second cas, nous traitons les données uniquement sur instructions du marchand client et conformément au contrat de sous-traitance qui nous lie à lui.

4. Données collectées et finalités

4.1 Visiteurs du site untod.com

4.2 Marchands clients utilisant l’ERP

4.3 Données d’acheteurs finals issues des marketplaces

Lorsque nos marchands clients reçoivent une commande sur une marketplace (Amazon, Cdiscount, Rakuten, Fnac, etc.), nous traitons pour leur compte les données suivantes :

5. Engagements relatifs aux données issues d’Amazon Selling Partner API

Conformément à la Data Protection Policy et à l’Acceptable Use Policy d’Amazon, nous nous engageons spécifiquement à :

• Ne jamais utiliser les données issues d’Amazon à des fins de marketing, de profilage ou de ciblage publicitaire ;
• Ne jamais entraîner de modèles d’intelligence artificielle ou d’apprentissage automatique sur les données Amazon ;
• Ne jamais agréger les données entre marchands à des fins concurrentielles ou de revente ;
• Ne jamais partager ces données avec un tiers, sauf si nécessaire à l’exécution de la commande (transporteur) ou imposé par la loi ;
• Conserver les données personnelles identifiables au maximum 30 jours après la livraison de la commande, sauf obligation légale française imposant une conservation plus longue (notamment 10 ans pour les factures conformément au Code de commerce art. L123-22) ;
• Notifier Amazon sous 24 heures en cas d’incident de sécurité affectant les données Amazon.

6. Destinataires des données

Les données peuvent être communiquées aux destinataires suivants, dans la stricte limite de leurs missions :

6.1 Sous-traitants techniques

OVH agit en qualité de sous-traitant ultérieur dans le respect de l’article 28 du RGPD. Un contrat de sous-traitance encadre cette relation.

6.2 Transporteurs

Pour les commandes traitées via l’ERP, les nom et adresse du destinataire sont transmis aux transporteurs choisis par le marchand client (par exemple : Colissimo, Chronopost, Mondial Relay, DPD, GLS, UPS et d’autres selon les marchés desservis). Ces transmissions sont strictement limitées à l’acheminement du colis et n’incluent pas d’autres données personnelles.

6.3 Marketplaces

Les confirmations d’expédition (transporteur et numéro de suivi) sont transmises à la marketplace concernée (Amazon notamment) pour mise à disposition de l’acheteur final dans son espace personnel.

6.4 Autorités

Sur réquisition légale, certaines données peuvent être communiquées aux autorités judiciaires, fiscales ou de contrôle (CNIL, administration fiscale, etc.).

7. Transferts hors Union européenne

Aucune donnée n’est transférée en dehors de l’Union européenne.

Notre infrastructure d’hébergement est entièrement située en France, chez notre hébergeur OVH. Les sauvegardes sont également stockées en Union européenne. Les transporteurs partenaires opèrent leurs traitements de données de livraison via leurs filiales européennes.

8. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment :

• Chiffrement au repos des credentials et données sensibles (algorithme XSalsa20-Poly1305 AEAD 256 bits)
• Chiffrement en transit (TLS 1.2 ou supérieur) pour toutes les communications
• Cloisonnement strict des données par marchand client (architecture multi-tenant à isolation forte)
• Authentification multifacteur obligatoire pour tous les accès aux systèmes traitant des données personnelles
• Détection d’intrusion (IDS/IPS) et anti-malware actifs en permanence
• Journalisation et audit des accès aux données personnelles (rétention minimale 12 mois)
• Sauvegardes chiffrées sur site géographiquement séparé
• Scans de vulnérabilités mensuels et test d’intrusion annuel
• Formation annuelle de tous les collaborateurs à la protection des données

Toutes les mesures sont décrites dans nos politiques internes de protection des données et de réponse aux incidents.

9. Durées de conservation détaillées

• Données opérationnelles d’acheteurs finals (téléphone, e-mail anonymisé, notes) : 30 jours après livraison.
• Factures et documents comptables : 10 ans (Code de commerce art. L123-22).
• Documents fiscaux : 6 ans (Livre des procédures fiscales art. L102 B).
• Registres TVA intracommunautaire : 6 ans (Directive TVA 2006/112/CE).
• Comptes utilisateurs marchands : durée du contrat + 3 ans après dernier accès.
• Logs de sécurité et d’accès : 12 mois minimum (jusqu’à 5 ans pour les besoins légaux de preuve).
• Cookies et données de navigation site : 13 mois maximum.
• Formulaire de contact : 3 ans à compter du dernier échange.

À l’issue de ces durées, les données sont supprimées ou anonymisées de manière sécurisée selon les standards de l’industrie (NIST 800-88 pour les supports physiques).

10. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• Accès (art. 15) — Obtenir la confirmation que vos données sont traitées et en recevoir une copie.
• Rectification (art. 16) — Faire corriger des données inexactes ou incomplètes.
• Effacement (art. 17) — Demander la suppression de vos données (« droit à l’oubli »), sous réserve des obligations légales de conservation.
• Limitation (art. 18) — Demander que le traitement de vos données soit temporairement suspendu.
• Portabilité (art. 20) — Recevoir vos données dans un format structuré, lisible par machine.
• Opposition (art. 21) — Vous opposer au traitement de vos données, sous réserve d’un motif légitime.
• Retrait du consentement — Lorsque le traitement est fondé sur le consentement, le retirer à tout moment.

Comment exercer vos droits ?

Pour exercer l’un de ces droits, adressez-nous votre demande via notre formulaire de contact, en précisant l’objet « Protection des données » et la nature de votre demande.

Nous vous répondrons dans un délai d’un mois maximum (prolongeable de deux mois en cas de demande complexe, RGPD art. 12-3).

Cas particulier : acheteurs finals des marketplaces

Si vous êtes un acheteur final ayant passé une commande sur Amazon, Cdiscount, Rakuten, Fnac ou toute autre marketplace partenaire et que vous souhaitez exercer vos droits sur les données traitées via notre ERP, votre demande doit être adressée en priorité au marchand vendeur (qui est le responsable de traitement). Nous traiterons les demandes qui nous sont directement transmises en informant le marchand concerné et en agissant sur ses instructions, dans le respect du RGPD.

Limites

Le droit à l’effacement peut être limité par :

• L’exécution d’une obligation légale (conservation comptable, fiscale, factures) ;
• La constatation, l’exercice ou la défense de droits en justice ;
• L’intérêt public.

Dans ces cas, les données concernées sont conservées de manière strictement limitée et les autres données sont effacées.

11. Réclamation auprès de la CNIL

Si vous estimez que vos droits n’ont pas été respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité française de contrôle :

• Adresse postale : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Téléphone : 01 53 73 22 22

Les coordonnées et la procédure complète sont disponibles sur le site officiel de la CNIL.

12. Cookies

Le site untod.com utilise des cookies. Une bannière de consentement vous est présentée à votre première visite. Vous pouvez à tout moment modifier vos choix via le lien « Gestion des cookies » présent en bas de chaque page.

Les cookies utilisés sont les suivants :

• session_id (technique) — maintien de votre session, durée : session.
• cookie_consent (technique) — mémorisation de vos préférences cookies, durée : 6 mois.
• Cookies de mesure d’audience anonymisée — statistiques de fréquentation, durée : 13 mois maximum.

Aucun cookie publicitaire ou de profilage n’est utilisé sur ce site.

13. Modifications de la politique

Cette politique peut être modifiée à tout moment pour tenir compte de l’évolution de la réglementation, de nos services ou des recommandations des autorités compétentes. La version applicable est celle publiée sur ce site, datée en tête de document. Les modifications substantielles seront portées à la connaissance des utilisateurs concernés.

14. Loi applicable et juridiction

La présente politique est régie par le droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence des juridictions françaises.

Dernière mise à jour : 16 mai 2026