Confidentialité
Politique de Confidentialité
Version 1.0 — Dernière mise à jour : 27 avril 2026
1 — Responsable du traitement et point de contact
Le responsable du traitement des données personnelles collectées via la plateforme Fidizy est Max Ursini, entrepreneur individuel (auto-entrepreneur) immatriculé sous le SIRET 877 690 370 00037, dont le siège est situé 14 rue du Printemps, 95310 Saint-Ouen-l'Aumône, France.
Fidizy n'a pas désigné de délégué à la protection des données (DPO) au sens de l'article 37 du RGPD, cette désignation n'étant pas obligatoire pour la structure. Toutes les demandes relatives à la protection des données peuvent néanmoins être adressées au point de contact RGPD : contact@fidizy.com.
2 — Double rôle de Fidizy
Dans le cadre de la fourniture du service, Fidizy intervient à un double titre :
- Responsable de traitement pour les données des commerçants utilisateurs : inscription, facturation, journalisation, sécurité.
- Sous-traitant au sens de l'article 28 du RGPD pour les données des membres des programmes de fidélité, qui sont traitées pour le compte et sur instruction du commerçant (responsable de traitement).
3 — Données collectées
- Commerçants : nom, prénom, adresse e-mail, mot de passe (haché bcrypt), nom commercial, numéro de téléphone (optionnel), logos et images de branding, paramètres du programme de fidélité.
- Membres : prénom, nom (optionnel), e-mail (optionnel), téléphone (optionnel), date de naissance (optionnel), historique de points/tampons, identifiants de carte wallet (Apple, Google, Samsung), code de parrainage.
- Données techniques : adresse IP, type d'appareil, identifiants de notification push (APNs token, Google Wallet object ID, Samsung card ID), journaux d'accès.
- Données de facturation : historique des paiements, factures, identifiants client Stripe (les coordonnées bancaires sont traitées exclusivement par Stripe et ne transitent jamais par Fidizy).
- Conversations IA Insights : questions posées et statistiques merchant transmises pour analyse. Aucune persistance côté Fidizy ; relayées vers OpenAI le temps de la requête.
4 — Finalités du traitement
- Fourniture, exploitation et maintenance du service de cartes de fidélité numériques
- Génération et distribution des passes Apple Wallet, Google Wallet et Samsung Wallet
- Envoi de notifications push aux porteurs de cartes (gains de points, promotions, anniversaires, proximité)
- Gestion des abonnements, de la facturation et du recouvrement
- Sécurité du service : détection de fraude, prévention d'abus, journalisation
- Statistiques agrégées et anonymisées sur l'usage du service
- Réponse aux demandes des utilisateurs et à l'exercice des droits RGPD
5 — Bases légales
- Exécution du contrat (art. 6.1.b RGPD) : fourniture du service, gestion du compte, facturation.
- Obligation légale (art. 6.1.c RGPD) : conservation des factures (10 ans, art. L123-22 Code de commerce).
- Intérêt légitime (art. 6.1.f RGPD) : sécurité, prévention de la fraude, amélioration du service, statistiques agrégées.
- Consentement (art. 6.1.a RGPD) : cookies non strictement nécessaires, communications commerciales optionnelles.
6 — Hébergement et sécurité
Les serveurs applicatifs (API et tableau de bord) sont hébergés en France par OVH SAS (Roubaix). Le stockage objet (images, exports) est assuré par Scaleway SAS (Paris). L'ensemble est situé en Union européenne.
Mesures de sécurité techniques et organisationnelles :
- Mots de passe hachés avec bcrypt (12 rounds)
- Clés API hachées en SHA-256 avec comparaison cryptographique à temps constant
- Communications chiffrées TLS 1.3 (HTTPS) sur tous les points d'entrée
- Tokens d'authentification JWT à durée limitée (15 min) avec refresh rotation
- Limitation de débit (rate limiting) Redis fail-closed sur les endpoints sensibles
- Verrouillage de compte après tentatives de connexion échouées
- Authentification à deux facteurs (TOTP) pour les comptes administrateurs
- Sauvegardes régulières et journalisation structurée avec masquage des secrets
7 — Durée de conservation
- Comptes commerçants : durée de l'abonnement + 3 ans après résiliation à des fins de prospection commerciale.
- Données membres : durée du programme de fidélité + 1 an après inactivité, sauf instruction contraire du commerçant.
- Journaux techniques : 12 mois maximum.
- Données de facturation : 10 ans (art. L123-22 du Code de commerce).
- Tokens de session révoqués : 7 jours.
- Données après suppression de compte : anonymisation immédiate, suppression définitive sous 30 jours hors obligations comptables.
8 — Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants : accès, rectification, effacement (droit à l'oubli), limitation du traitement, portabilité des données, opposition, et droit de ne pas faire l'objet d'une décision individuelle automatisée.
Pour exercer ces droits, écrivez à contact@fidizy.com en précisant votre identité. Une réponse est apportée dans un délai maximum de un mois (art. 12 RGPD), prorogeable de deux mois pour les demandes complexes.
Les commerçants disposent en outre d'une fonction d'export de leurs données et d'une fonction de suppression définitive du compte directement depuis la page Paramètres du tableau de bord (article 20 RGPD — portabilité, et article 17 RGPD — effacement).
9 — Sous-traitants ultérieurs
Fidizy fait appel aux sous-traitants suivants pour la fourniture du service. Chaque sous-traitant est lié par un contrat conforme à l'article 28 du RGPD ou par les conditions standards du fournisseur.
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| OVH SAS | Hébergement applicatif (API + dashboard + base de données) | France (UE) |
| Scaleway SAS | Stockage objet (images, exports) | France (UE) |
| Stripe Payments Europe Ltd. | Encaissement des abonnements, gestion factures | Irlande (UE) / USA (sous-traitance) |
| Apple Inc. (APNs) | Distribution Apple Wallet et notifications push iOS | USA |
| Google LLC (Google Wallet) | Distribution Google Wallet et notifications push Android | USA |
| Samsung Electronics Co. Ltd. | Distribution Samsung Wallet | Corée du Sud |
| OpenAI Ireland Ltd. | Assistant IA Insights (GPT-4o-mini) | Irlande (UE) / USA (sous-traitance) |
| Telegram FZ-LLC | Notifications internes (formulaire de contact) | Émirats arabes unis |
10 — Transferts hors Union européenne
Certains sous-traitants sont localisés ou opèrent depuis des pays situés hors de l'Union européenne (États-Unis, Corée du Sud, Émirats arabes unis). Ces transferts sont encadrés par :
- Décision d'adéquation de la Commission européenne — Data Privacy Framework pour les transferts vers les États-Unis (Apple, Google, Stripe US, OpenAI lorsque applicable).
- Clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914) en complément ou en alternative.
- Mesures supplémentaires techniques et contractuelles (chiffrement, minimisation des données transmises) lorsque la décision d'adéquation ne couvre pas le pays destinataire.
Une copie des garanties applicables peut être obtenue sur demande à contact@fidizy.com.
11 — Cookies et traceurs
La plateforme utilise exclusivement des cookies strictement nécessaires au fonctionnement du service (authentification, session, mémorisation du consentement). Aucun cookie publicitaire, analytique tiers ou de profilage n'est déposé sans consentement préalable de l'utilisateur, conformément à l'article 82 de la Loi Informatique et Libertés et aux recommandations de la CNIL.
12 — Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission nationale de l'informatique et des libertés) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — téléphone : +33 1 53 73 22 22 — www.cnil.fr.
13 — Modification de la présente politique
La présente politique peut être modifiée pour refléter des évolutions réglementaires, techniques ou contractuelles. Toute modification substantielle est notifiée par e-mail aux utilisateurs et entre en vigueur après un préavis raisonnable. La version en vigueur est toujours accessible sur cette page avec son numéro de version et sa date.