Le site 1001 Courses fait peau neuve.

Même équipe depuis 1989.

1001 Courses

Politique de confidentialité

Dernière mise à jour : 22 avril 2026

Qui sommes-nous et qui contacter ?

La présente politique s'applique au site www.1001courses.fr et à tous les services associés, édités par 1000 ET UNE COURSES(enseigne « 1001 Courses », ci-après « nous »), SARL au capital de 7 622,45 €, immatriculée au RCS de Paris sous le numéro 351 246 582, dont le siège est situé 16-18 boulevard Victor, 75015 Paris.

1000 ET UNE COURSES agit en qualité de responsable de traitement au sens du Règlement (UE) 2016/679 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée.

Pour toute question relative au traitement de vos données personnelles ou pour exercer vos droits :

  • Par email : rgpd@1001courses.fr
  • Par courrier : 1000 ET UNE COURSES, à l'attention du Responsable de la protection des données, 16-18 boulevard Victor, 75015 Paris

Le responsable de la protection des données est Jordan Bouaziz, directeur de la publication du site. Aucun Délégué à la protection des données (DPO) n'est actuellement désigné au sens de l'article 37 du RGPD, notre activité ne relevant pas des cas de désignation obligatoire.

Données que nous collectons

Données que vous nous fournissez

  • Identification : email, prénom, nom, numéro de téléphone (y compris les numéros des contacts d'enlèvement et de livraison que vous renseignez).
  • Entreprise (compte pro) : raison sociale, SIRET, adresse de facturation, email de comptabilité, coordonnées des membres de l'équipe ajoutés au compte.
  • Adresses du carnet : libellé, adresse complète, coordonnées GPS (obtenues via l'API Adresse du gouvernement français), tag, notes ou instructions spécifiques.
  • Commandes : historique des courses (adresses, contacts, instructions, référence interne, montants, statuts, horodatages).
  • Paiements : nous ne stockons aucune donnée de carte bancaire. Seuls des identifiants techniques (référence de transaction, statut) sont conservés auprès de notre prestataire de paiement.

Données collectées automatiquement

  • Logs techniques : adresse IP, user-agent, horodatage des requêtes, utilisés pour la sécurité et le diagnostic des incidents.
  • Cookies : session d'authentification (essentiel) et, après consentement explicite, cookies de mesure d'audience. Voir la politique cookies.
  • Remontées d'erreur : en cas d'erreur technique, un extrait du contexte d'exécution peut être transmis à notre service de supervision Sentry, après filtrage des données susceptibles d'identifier une personne.

Pourquoi nous collectons ces données (finalités et bases légales)

  • Exécution du service de coursier — traitement des commandes, attribution du coursier, facturation, suivi de la livraison. Base légale : exécution du contrat (art. 6.1.b RGPD).
  • Authentification — envoi du lien magique par email. Base légale : exécution du contrat.
  • Obligations légales, comptables et fiscales — conservation des factures et écritures comptables (10 ans), lutte contre la fraude, réponses aux réquisitions judiciaires. Base légale : obligation légale (art. 6.1.c RGPD).
  • Sécurité du service et prévention de la fraude — logs techniques, rate limiting, détection d'usages anormaux. Base légale : intérêt légitime (art. 6.1.f RGPD).
  • Mesure d'audience et amélioration du service — statistiques de navigation, identification des parcours. Base légale : consentement (art. 6.1.a RGPD), exprimé via le bandeau cookies.
  • Communication commerciale auprès de nos clients existants (B2B) — envoi d'informations relatives à nos services similaires à ceux déjà souscrits. Base légale : intérêt légitime, avec faculté d'opposition facile dans chaque message.
  • Communication commerciale auprès de prospects ou de consommateurs (B2C) — newsletters, offres promotionnelles. Base légale : consentement explicite recueilli séparément (case à cocher non pré-cochée), révocable à tout moment.

À qui nous partageons vos données (sous-traitants)

Nous ne vendons, ne louons ni ne partageons vos données personnelles à des tiers à des fins commerciales. Les seules entités qui accèdent à vos données sont nos sous-traitants techniques, engagés contractuellement au titre de l'article 28 du RGPD :

  • Vercel Inc. (hébergement du site) — diffusion edge, région principale europe-west.
  • Supabase Inc. (hébergement de la base de données et de l'authentification) — infrastructure de stockage en Union européenne (eu-west), certifié SOC 2 Type II.
  • OVH SAS (serveur SMTP) — expédition des emails transactionnels (lien magique, confirmation de commande, statut), infrastructure en France.
  • Stripe Payments Europe, Ltd. et Verifone France (Paybox) — traitement des paiements en ligne. Aucune donnée de carte bancaire ne transite par nos serveurs.
  • Functional Software, Inc. (Sentry) — supervision technique des erreurs, avec filtrage des données identifiantes. Données limitées à des métadonnées d'exécution.
  • API Adresse — Base Adresse Nationale (ÉTALAB / DINUM)— autocomplétion des adresses, requêtes anonymisées, données hébergées en France.
  • Coursiers — les coordonnées du point d'enlèvement et de livraison (nom, téléphone, adresse) sont transmises au coursier assigné, strictement pour les besoins de l'exécution de la course.

Chaque sous-traitant est engagé à appliquer des mesures de sécurité au moins équivalentes aux nôtres et à ne traiter les données que selon nos instructions documentées.

Transferts hors Union européenne

Vos données sont hébergées dans l'Union européenne. Certains de nos sous-traitants sont des sociétés dont le siège est situé hors de l'Union européenne (Vercel, Sentry aux États-Unis ; Supabase à Singapour pour son siège social). Pour ces sous-traitants, les transferts éventuels de données sont encadrés par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et, le cas échéant, par des mesures supplémentaires (chiffrement, localisation des bases de données en UE).

Combien de temps nous conservons vos données

  • Compte et profil : tant que votre compte est actif. Suppression des données d'identification sous 30 jours après votre demande.
  • Historique de commandes et factures : 10 ans à compter de la clôture de l'exercice (art. L123-22 du Code de commerce ; art. 169 du Livre des procédures fiscales).
  • Prospects n'ayant pas donné suite : 3 ans à compter du dernier contact.
  • Logs techniques et remontées d'erreur : 12 mois maximum.
  • Cookies de session : durée de la session.
  • Cookies de mesure d'audience : 13 mois maximum à compter du consentement.

Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • Droit d'accès — obtenir confirmation que nous traitons vos données et en recevoir une copie.
  • Droit de rectification — faire corriger des informations inexactes ou incomplètes.
  • Droit à l'effacement — demander la suppression de vos données, sous réserve des obligations légales de conservation.
  • Droit à la limitation du traitement dans certains cas.
  • Droit à la portabilité — recevoir vos données dans un format structuré et couramment utilisé (export CSV).
  • Droit d'opposition — refuser un traitement fondé sur l'intérêt légitime ou la prospection commerciale.
  • Droit de retirer votre consentement — à tout moment, pour les traitements qui en dépendent (cookies, newsletter).
  • Droit de définir des directives post-mortem relatives à la conservation et à la communication de vos données après votre décès.

Pour exercer ces droits, écrivez-nous à rgpd@1001courses.fr. Nous répondons dans un délai d'un mois à compter de la réception de la demande (prorogeable de deux mois pour les demandes complexes).

Vous avez également le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), notamment sur son site ou par courrier à l'adresse : 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07.

Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

  • Chiffrement des communications (HTTPS/TLS sur l'ensemble du site).
  • Authentification par lien magique — aucun mot de passe n'est stocké par défaut.
  • Row-Level Security (RLS) au niveau base de données : chaque utilisateur n'a accès qu'à ses propres données.
  • Sauvegardes chiffrées quotidiennes de la base de données, rétention 30 jours.
  • Accès aux données de production restreint aux administrateurs désignés, avec traçabilité.
  • Limitation de débit (rate limiting) sur les endpoints publics.
  • En-têtes de sécurité HTTP stricts (CSP, HSTS, X-Frame-Options).

Mineurs

Le Site n'est pas destiné aux mineurs de moins de 15 ans. Nous ne sollicitons pas sciemment les données d'enfants. Si un parent ou tuteur constate qu'un enfant de moins de 15 ans nous a transmis des données, il peut écrire à rgpd@1001courses.fr pour en demander la suppression.

Violation de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, nous notifierons la CNIL dans un délai de 72 heures (art. 33 RGPD) et, le cas échéant, les personnes concernées dans les meilleurs délais (art. 34 RGPD).

Modifications de cette politique

Cette politique peut être mise à jour pour refléter l'évolution de nos pratiques ou des obligations légales. La date de dernière modification est indiquée en haut du document. Les modifications substantielles sont notifiées aux utilisateurs enregistrés par email.