Politique de confidentialité

La présente politique de confidentialité s’applique au service MyFidelity, accessible à l’adresse https://myfidelity.fr et à ses sous-domaines.

Éditeur — MyFidelity SAS, société par actions simplifiée en cours d’immatriculation au Registre du commerce et des sociétés français. Les références complètes (SIRET, RCS, capital social) seront mises à jour dès l’immatriculation effective.

Directeur de la publication — Ahmed Bouzellatat.

Délégué à la protection des données (DPO) — dpo@myfidelity.fr — joignable pour toute question relative au traitement de vos données personnelles.

Hébergeur — Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, États-Unis. L’hébergement applicatif est servi depuis le réseau Edge Vercel (région Europe par défaut). La base de données et le stockage des données personnelles sont opérés par Supabase Inc. depuis sa région UE (Francfort, Allemagne).

MyFidelity collecte uniquement les données strictement nécessaires au fonctionnement du programme de fidélité, à la facturation, et à la sécurité du service. Nous ne pratiquons aucune revente ni aucun croisement de données à des fins publicitaires.

Données du commerce (notre client) — nom commercial, raison sociale, SIRET, adresse, e-mail professionnel, numéro de téléphone, informations de paiement (gérées par Stripe), historique de facturation, journaux d’utilisation de la plateforme.

Données des clients du commerce (vos clients) — prénom, nom, e-mail ou numéro de téléphone (selon la méthode d’adhésion choisie), date d’adhésion, historique de visites, récompenses débloquées, identifiant de carte Apple Wallet ou Google Wallet associée. Aucune donnée bancaire client n’est collectée.

Données techniques — adresse IP, type de navigateur, identifiants de session, journaux d’erreurs, métriques de performance. Conservées pour la sécurité, le débogage et la prévention de la fraude.

Les champs marqués comme obligatoires lors de la création d’un compte ou d’une carte de fidélité sont signalés explicitement. Tous les autres sont facultatifs.

Chaque traitement repose sur une base légale identifiée au titre du Règlement général sur la protection des données (RGPD, art. 6).

• Exécution du contrat (art. 6.1.b) — création et gestion de votre compte commerce, émission des cartes de fidélité Apple Wallet / Google Wallet, suivi des visites et récompenses, support utilisateur.
• Obligation légale (art. 6.1.c) — facturation, conservation des pièces comptables, réponse aux réquisitions judiciaires.
• Intérêt légitime (art. 6.1.f) — sécurisation de la plateforme, prévention de la fraude (anti-rejeu sur les scans, rate-limiting), amélioration continue du service à partir de données agrégées et anonymisées.
• Consentement (art. 6.1.a) — envoi de campagnes marketing par e-mail aux clients du commerce, cookies non strictement nécessaires, utilisation de l’assistant IA optionnel sur les données du commerce.

Le consentement est recueilli de manière granulaire, libre, spécifique et éclairée. Il peut être retiré à tout moment depuis les paramètres du compte ou par simple e-mail à dpo@myfidelity.fr.

Vos données sont accessibles uniquement aux équipes MyFidelity habilitées (support, sécurité, ingénierie) sur la base du moindre privilège, et à un nombre restreint de sous-traitants techniques listés ci-dessous. Tous sont liés par un contrat de sous-traitance conforme à l’article 28 du RGPD.

• Supabase Inc. — base de données PostgreSQL, authentification, stockage de fichiers. Région Francfort (UE).
• Vercel Inc. — hébergement applicatif (Edge), CDN, journalisation. Région Europe par défaut.
• Stripe Payments Europe Ltd — traitement des paiements et abonnements. Établi à Dublin (Irlande). Aucune donnée bancaire de votre client final n’est partagée avec MyFidelity ; Stripe agit comme responsable de traitement conjoint pour cette finalité.
• Resend Inc. — envoi d’e-mails transactionnels et de campagnes. Région UE disponible et activée.
• Apple Distribution International Ltd — émission des passes Apple Wallet (PKPass). Cork (Irlande).
• Google Ireland Ltd — émission des passes Google Wallet. Dublin (Irlande).
• OpenAI Ireland Ltd — uniquement si vous activez l’assistant IA optionnel. Les données envoyées sont anonymisées et ne sont pas réutilisées pour entraîner des modèles (option opt-out activée).

La liste exhaustive et à jour des sous-traitants est maintenue dans notre DPA (accord de traitement des données) disponible à l’adresse /legal/dpa.

Vos données sont hébergées et traitées en Union européenne par défaut. Certains sous-traitants techniques (Vercel, Stripe via Stripe Inc., Resend, OpenAI) sont des sociétés américaines, mais interviennent uniquement via leurs entités européennes pour les traitements MyFidelity.

Lorsqu’un transfert vers les États-Unis est techniquement inévitable (par exemple journaux opérationnels Vercel), il est encadré par les clauses contractuelles types (CCT 2021/914/UE) de la Commission européenne, complétées le cas échéant par des mesures supplémentaires (chiffrement, pseudonymisation) conformément aux lignes directrices CEPD post Schrems II.

Aucun transfert n’est réalisé vers un pays ne bénéficiant pas d’une décision d’adéquation ou de garanties appropriées. Vous pouvez obtenir une copie des garanties applicables sur simple demande à dpo@myfidelity.fr.

• Compte commerce actif — pour toute la durée de l’abonnement, puis 12 mois après la résiliation, sauf obligation légale plus longue.
• Données clients du commerce — tant que le client est actif dans le programme. Anonymisation automatique après 24 mois d’inactivité (sauf opposition explicite du commerce).
• Factures et pièces comptables — 10 ans à compter de la clôture de l’exercice (art. L.123-22 du Code de commerce).
• Journaux de sécurité — 12 mois glissants, anonymisés au-delà.
• Sauvegardes — 7 jours en standard, 30 jours sur la formule Pro. La purge d’un compte est propagée aux sauvegardes dans le cycle de rotation suivant.

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles.

• Droit d’accès — obtenir une copie des données vous concernant que nous détenons.
• Droit de rectification — corriger des données inexactes ou incomplètes.
• Droit à l’effacement — demander la suppression de vos données, sous réserve de nos obligations légales (notamment comptables).
• Droit à la limitation — geler le traitement de vos données dans certains cas prévus par le règlement.
• Droit d’opposition — vous opposer à un traitement fondé sur l’intérêt légitime ou au démarchage commercial.
• Droit à la portabilité — récupérer vos données dans un format structuré et couramment utilisé (CSV, JSON).
• Directives post mortem — définir le sort de vos données après votre décès (art. 85 loi Informatique et Libertés).

Pour exercer un droit, écrivez à dpo@myfidelity.fr en précisant le droit invoqué. Nous répondons sous un délai maximum d’un mois, prolongeable de deux mois en cas de demande complexe. Un justificatif d’identité peut être demandé pour les requêtes ambiguës.

La sécurité est traitée comme une fonctionnalité produit, pas comme une option. Les mesures techniques et organisationnelles mises en œuvre sont détaillées dans notre DPA et incluent notamment :

• chiffrement TLS 1.3 sur l’ensemble du trafic entrant et sortant ;
• chiffrement au repos AES-256 sur les sauvegardes et le stockage de fichiers ;
• isolation logique des données par boutique via les Row-Level Security PostgreSQL ;
• authentification renforcée pour les opérations sensibles, rotation périodique des secrets ;
• tokens de scan signés à usage unique, anti-rejeu, fenêtre de validité de 15 secondes ;
• journalisation et alerting automatique des comportements inhabituels.

En cas de violation de données susceptible d’engendrer un risque pour vos droits, nous notifions la CNIL sous 72 heures et vous informons sans délai injustifié, conformément aux articles 33 et 34 du RGPD.

MyFidelity utilise un nombre limité de cookies, exclusivement pour le fonctionnement du service et la mesure d’audience anonymisée. Aucun cookie publicitaire tiers n’est déposé.

Le détail des cookies utilisés, leur finalité, leur durée et la procédure de refus sont décrits dans notre politique cookies dédiée.

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés.

CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07. Téléphone : 01 53 73 22 22. Site : cnil.fr.

Cette politique peut être modifiée pour refléter une évolution du service, un changement de sous-traitant ou une mise à jour réglementaire. La date de dernière mise à jour figure en tête du document.

Les modifications substantielles affectant vos droits sont notifiées par e-mail au moins 30 jours avant leur entrée en vigueur. La poursuite de l’utilisation du service après cette période vaut acceptation des nouvelles conditions.