1. Identité des responsables de traitement
Le Site est actuellement publié sous l'identité personnelle de ses porteurs de projet, qui agissent conjointement comme responsables de traitement :
- M. Fabian Valle Fuentes
- M. Ludovic Pavesi
Contact relatif à la protection des données : contact@fidlify.com
Site : https://www.fidlify.com
Cette identification sera mise à jour dès la constitution d'une structure d'exploitation officielle.
2. Interlocuteurs « Protection des données »
Fidlify n'est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l'art. 37 RGPD ou de l'art. 10 nLPD, en raison de la nature et de l'ampleur des traitements opérés.
Toutefois, conformément à sa démarche de transparence, Fidlify a désigné deux interlocuteurs interneschargés de répondre aux demandes relatives à la protection des données :
- M. Fabian Valle Fuentes
- M. Ludovic Pavesi
Toutes les demandes peuvent être adressées à : contact@fidlify.com.
3. Représentant dans l'Union européenne
À ce jour, Fidlify ne dispose pas de représentant désigné dans l'Union européenne au sens de l'art. 27 RGPD, dans la mesure où les traitements de données de personnes établies dans l'Union demeurent occasionnels et de petite échelle.
Conformément à ses engagements, Fidlify désignera un représentant établi dans l'Union européenne dès lors que le seuil d'occasionnalité ne sera plus rencontré, notamment dès l'acquisition d'un premier client professionnel établi dans un État membre de l'Union européenne. Cette désignation fera l'objet d'une mise à jour de la présente Politique.
4. Champ d'application et distinction des rôles
4.1 Fidlify, Responsable de traitement
Lorsque Fidlify collecte et traite directement des données personnelles dans le cadre de son activité commerciale propre, elle agit en qualité de Responsable de traitement. Cela concerne :
- les données des Utilisateurs(commerçants inscrits) : compte, facturation, support, marketing direct ;
- les données techniques de fonctionnement du Service (logs, sessions, sécurité).
4.2 Fidlify, Sous-traitant
Lorsque les Utilisateurs collectent et gèrent, via le Service, des données personnelles relatives à leurs propres clients (les Clients finaux), c'est l'Utilisateur qui agit en qualité de Responsable de traitement, et Fidlify agit alors en qualité de Sous-traitant.
Pour les Données client (porteurs de carte), nous renvoyons à la mention d'information affichée sur le formulaire d'inscription au QR code. La présente Politique décrit principalement les traitements pour lesquels Fidlify est Responsable.
5. Catégories de données collectées
5.1 Données du compte Utilisateur (commerçant)
| Catégorie | Données concrètes |
|---|---|
| Identité | Nom, prénom, raison sociale |
| Coordonnées | Email, téléphone, langue préférée (fr/de/it/en), devise |
| Compte | Identifiant, mot de passe (haché), photo de profil |
| Rôle | ADMIN, USER, STAFF |
| Plan | Gratuit, Essentiel, Croissance, Multi-sites |
| Établissement | Nom, adresse, géolocalisation, téléphone, identifiant Google Place, site web, horaires |
5.2 Données de facturation
Identifiants Stripe (client, abonnement, tarif), période de souscription, plan souscrit, factures, méthode de paiement, coordonnées de facturation.
Aucune donnée de carte bancaire n'est stockée par Fidlify. Les paiements sont traités directement par Stripe, dans son tunnel sécurisé checkout.stripe.com.
5.3 Données de connexion et sécurité
- Cookie de session NextAuth (httpOnly, sécurisé).
- Date et heure des connexions, adresse IP anonymisée (/24 IPv4 / /48 IPv6).
- Tentatives de connexion échouées, changements de mot de passe.
5.4 Données client final (rôle de sous-traitant)
Dans le cadre de son rôle de sous-traitant pour le compte de l'Utilisateur, Fidlify héberge également : identité du client final (prénom, email, téléphone), carte de fidélité (numéro de série, statut, tampons/points/cashback), historique d'activité, identifiants wallet et jetons push.
Ces données ne sont utilisées par Fidlify que pour permettre le fonctionnement technique du Service au profit de l'Utilisateur, et jamais à ses fins propres.
6. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion du compte Utilisateur | Exécution du contrat (RGPD 6.1.b) |
| Facturation et recouvrement | Exécution du contrat + obligation légale (6.1.b et 6.1.c) |
| Conservation comptable | Obligation légale (CO art. 958f — 10 ans) |
| Sécurité du Service et prévention de la fraude | Intérêt légitime (RGPD 6.1.f) |
| Support client | Exécution du contrat (RGPD 6.1.b) |
| Marketing direct (newsletters Fidlify) | Consentement explicite (RGPD 6.1.a) |
| Hébergement des Données client | Contrat avec l'Utilisateur (RGPD art. 28) |
| Amélioration du Service (données agrégées anonymisées) | Intérêt légitime (RGPD 6.1.f) |
7. Sous-traitants
Fidlify recourt à des sous-traitants techniques pour fournir le Service. Chaque sous-traitant a fait l'objet d'une diligence raisonnable et est lié par un accord de sous-traitance conforme à l'art. 28 RGPD et à l'art. 9 nLPD.
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Infomaniak Network SA | Hébergement (VPS, base de données, mail) | 🇨🇭 Suisse |
| Stripe Payments Switzerland Ltd | Traitement des paiements et facturation | 🇨🇭 Suisse |
| Apple Inc. | Génération et mise à jour des passes Apple Wallet | 🇺🇸 USA (DPF + SCC) |
| Google LLC | Génération et mise à jour des passes Google Wallet | 🇺🇸 USA (DPF + SCC) |
Aucune donnée sensible (identifiant complet, transactions, base client) n'est transmise à Apple ou Google : seules les métadonnées techniques strictement nécessaires à la création et la mise à jour des passes wallet leur sont communiquées.
8. Transferts hors Suisse / hors UE
La majorité des données sont stockées et traitées en Suisse, dans des centres de données certifiés ISO 27001 d'Infomaniak.
Les transferts limités vers Apple Inc. et Google LLC, indispensables au fonctionnement des passes wallet, sont strictement encadrés par :
- l'EU-US Data Privacy Framework(décision d'adéquation du 10 juillet 2023) ;
- les Standard Contractual Clauses (SCC)publiées par la Commission européenne le 4 juin 2021 ;
- les engagements complémentaires propres à Apple et Google en matière de chiffrement et de minimisation.
9. Durées de conservation
| Donnée | Durée maximale |
|---|---|
| Compte Utilisateur (Plan payant) | + 90 jours après résiliation, puis suppression |
| Compte Utilisateur (Plan Gratuit) | Suppression à 12 mois d'inactivité (alertes J-30 et J-7) |
| Factures et données comptables | 10 ans (CO art. 958f) |
| Données client final | 30 jours après suppression de la carte ; 90 jours après résiliation du commerçant ; ou anonymisation à 36 mois d'inactivité |
| Logs de connexion et sécurité | 12 mois |
| Échanges avec le support | 3 ans après dernier échange |
| Cookies de session NextAuth | 30 jours (ou jusqu'à déconnexion) |
10. Vos droits
Conformément à la nLPD et au RGPD, vous disposez des droits suivants :
- Droit d'accès à vos données et à une copie
- Droit de rectification de données inexactes
- Droit d'effacement(« droit à l'oubli »)
- Droit à la limitation du traitement
- Droit d'opposition, en particulier au marketing direct
- Droit à la portabilité (RGPD)
- Droit de retirer son consentement à tout moment, sans rétroactivité
- Droit de ne pas faire l'objet d'une décision automatisée produisant des effets juridiques (RGPD art. 22)
11. Comment exercer vos droits
Toute demande peut être adressée par email à : contact@fidlify.com
Pour faciliter le traitement de votre demande, merci de :
- préciser clairementla nature de votre demande (accès, rectification, etc.) ;
- indiquer l'adresse email liée à votre compteFidlify ;
- fournir, le cas échéant, les éléments permettant de vérifier votre identité.
Fidlify répondra à votre demande dans un délai de 30 joursà compter de sa réception, prorogeable de deux mois en cas de demande complexe (RGPD art. 12§3). L'exercice de vos droits est gratuit, sauf demandes manifestement infondées ou excessives.
Si vous êtes porteur d'une carte de fidélité (Client final) émise par un commerçant, vous devez en priorité contacter le commerçant émetteur, qui est le Responsable de traitement de vos données. Vous pouvez néanmoins nous écrire et nous transmettrons votre demande au commerçant concerné.
12. Droit d'introduire une réclamation
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'autorité compétente :
- 🇨🇭 PFPDT(Préposé fédéral à la protection des données et à la transparence) : www.edoeb.admin.ch
- 🇫🇷 CNIL : www.cnil.fr
- 🇪🇺 Autorité de protection des données de votre État membre de résidence
13. Sécurité des données
13.1 Mesures techniques
- Chiffrement en transit (HTTPS/TLS 1.3)
- Chiffrement au repos (disques chiffrés Infomaniak)
- Hachage bcrypt des mots de passe (coût ≥ 12)
- Authentification à deux facteurs disponible pour les comptes sensibles
- Anonymisation IP dans les logs
- Pare-feu, fail2ban, mises à jour de sécurité régulières
- Sauvegardes automatiques chiffrées et redondées
13.2 Mesures organisationnelles
- Accès aux données strictement limité aux personnes habilitées
- Engagement de confidentialité signé par tout collaborateur
- Procédure de notification de violation (RGPD art. 33-34)
- Tests de restauration de sauvegardes périodiques
13.3 Notification des violations
En cas de violation de données présentant un risque pour vos droits et libertés, Fidlify notifiera l'autorité de contrôle compétente dans un délai de 72 heures, et les personnes concernées dans les meilleurs délais lorsque la violation présente un risque élevé.
14. Profilage et décisions automatisées
Le Service permet aux Utilisateurs (commerçants) de segmenter leurs Clients finaux et de déclencher des notifications selon des critères automatisés. Cette segmentation est paramétrée et déclenchée par le commerçant, pas par Fidlify.
Aucune décision produisant des effets juridiques(refus de service, augmentation de prix) n'est prise sur cette base. Le Client final dispose d'un droit d'opposition à tout moment via le lien de désabonnement présent dans chaque notification.
Fidlify ne prend aucune décision exclusivement automatisée produisant des effets juridiques ou affectant significativement les utilisateurs (RGPD art. 22).
15. Mineurs
Le Service est strictement réservé aux professionnels majeurs. Aucune inscription de mineur n'est acceptée en qualité d'Utilisateur.
Conformément à l'art. 8 RGPD et à la nLPD, les commerçants utilisateurs du Service ne doivent pas inscrire de Clients finaux âgés de moins de 16 anssans avoir obtenu le consentement préalable des représentants légaux. Pour les activités réglementées (alcool, tabac, jeux d'argent), l'Utilisateur s'engage à ne pas inscrire de Clients finaux mineurs.
16. Cookies et traceurs
L'utilisation des cookies et technologies similaires est détaillée dans la Politique cookies.
À titre indicatif, Fidlify n'utilise actuellement aucun cookiede mesure d'audience, de marketing ou de profilage. Seuls des cookies strictement nécessaires au fonctionnement du Service (authentification, sécurité) sont utilisés.
17. Modifications
Fidlify peut modifier la présente Politique pour tenir compte des évolutions réglementaires, jurisprudentielles ou techniques. Toute modification substantielle sera notifiée par email à l'adresse de contact du compte Utilisateur et par notification dans son espace personnel.
La date de dernière mise à jour figure en haut du présent document.
18. Contact
Pour toute question relative à la présente Politique ou à la protection des données personnelles :