La présente politique décrit comment Karrdy collecte, utilise et protège les données personnelles conformément au Règlement Général sur la Protection des Données (RGPD, UE 2016/679) et à la loi Informatique et Libertés.
1. Responsable du traitement
L'éditeur de Karrdy est responsable de traitement pour les données collectées concernant les commerçants utilisateurs de la plateforme. Pour les données des clients finaux (porteurs de carte), le commerçant est responsable de traitement et Karrdy intervient en qualité de sous-traitant.
2. Données collectées
2.1 Comptes commerçants
- Identité : nom, prénom, raison sociale
- Contact : adresse email, téléphone, adresse postale
- Activité : secteur d'activité, horaires, description
- Compte : mot de passe (haché), historique de connexion, paramètres 2FA
- Facturation : moyen de paiement (via Paddle), factures, abonnement
2.2 Clients finaux (cartes de fidélité)
- Identité : prénom, nom (optionnel), email ou téléphone
- Date de naissance (uniquement si module Anniversaire activé)
- Historique des transactions : visites, tampons, cashback, paniers
- Identifiant Wallet : numéro de série du pass et device tokens APNs
2.3 Données techniques
- Adresse IP, user-agent, type d'appareil
- Logs d'accès et d'audit
- Cookies fonctionnels et de sécurité (session)
3. Finalités et bases légales
| Finalité | Base légale | Durée |
|---|---|---|
| Fourniture du service | Exécution contractuelle | Durée du contrat |
| Facturation et comptabilité | Obligation légale | 10 ans |
| Sécurité et lutte contre la fraude | Intérêt légitime | 13 mois (logs) |
| Communication produit (newsletter) | Consentement | Jusqu'au retrait du consentement |
| Statistiques d'usage anonymisées | Intérêt légitime | 25 mois |
4. Destinataires et transferts
Vos données sont accessibles uniquement par les équipes Karrdy strictement habilitées et par les sous-traitants techniques nécessaires à la fourniture du service :
- Hébergement : OVHcloud (France, Union Européenne)
- Paiement : Paddle.com Market Limited (Royaume-Uni)
- Email transactionnel : fournisseur basé en UE
- Apple Push Notification Service : Apple Inc. (USA, transfert encadré par les Clauses Contractuelles Types)
Aucune donnée n'est revendue à des tiers à des fins commerciales.
5. Cookies
Karrdy utilise des cookies strictement nécessaires (session, sécurité, préférences) qui ne requièrent pas de consentement préalable. Aucun cookie publicitaire ou de tracking tiers n'est déposé.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données :
- Accès : obtenir une copie de vos données
- Rectification : corriger des informations inexactes
- Effacement : demander la suppression (droit à l'oubli)
- Limitation : restreindre le traitement
- Portabilité : récupérer vos données dans un format standard
- Opposition : refuser un traitement basé sur l'intérêt légitime
- Retrait du consentement à tout moment
Pour exercer vos droits : contact@karrdy.fr. Réponse dans un délai maximum de 30 jours.
7. Sécurité
Karrdy met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS en transit, hachage bcrypt des mots de passe, sauvegardes quotidiennes chiffrées, audit log de toute action sensible, authentification à deux facteurs, accès restreint aux administrateurs habilités, hébergement certifié ISO 27001.
8. Réclamation
Vous disposez du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr) si vous estimez que le traitement de vos données ne respecte pas la réglementation applicable.
9. Modifications
Cette politique peut être mise à jour. La date de dernière révision figure en tête de page. Toute modification substantielle est notifiée par email.