Politique de Confidentialité

1. Introduction et identité du responsable de traitement

La présente Politique de Confidentialité décrit la manière dont Bidev Consulting collecte, utilise et protège vos données à caractère personnel lorsque vous utilisez notre plateforme SaaS dédiée aux programmes de fidélité pour commerçants.

Le responsable de traitement est :

• Bidev Consulting, Société par Actions Simplifiée (SAS) au capital de 1000 €
• Siège social : 6 rue d'Armaillé, 75017 PARIS
• RCS : Paris — SIRET : 97877660700019
• Représentée par Laurent LANNAREIX, fondateur
• Email : contact@fidoren.com

2. Délégué à la Protection des Données (DPO)

Fidoren a désigné un Délégué à la Protection des Données (DPO / Data Protection Officer), que vous pouvez contacter à tout moment pour toute question relative au traitement de vos données :

• Email dédié : dpo@fidoren.com
• Courrier : Bidev Consulting — À l'attention du DPO — 6 rue d'Armaillé, 75017 PARIS

3. Données collectées

Nous collectons et traitons les catégories de données suivantes :

3.1 Données de compte

• Identité : nom, prénom, civilité
• Coordonnées : email, numéro de téléphone, adresse postale (facultatif)
• Identifiants : email de connexion, mot de passe (stocké chiffré, jamais en clair)
• Informations professionnelles (pour les marchands) : raison sociale, SIRET, adresse du point de vente

3.2 Données de transaction

• Historique des passages en caisse et des tampons / points attribués
• Montant des achats (si saisi par le marchand)
• Récompenses débloquées et utilisées
• Informations de facturation pour les abonnements marchands (via Stripe)

3.3 Données d'usage

• Logs de connexion : date, heure, adresse IP, user-agent
• Pages visitées, actions effectuées dans le Service
• Préférences utilisateur (langue, notifications)

3.4 Cookies et traceurs

Voir notre Politique Cookies pour le détail.

4. Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

• Authentification et gestion des comptes — création, connexion, récupération de mot de passe ;
• Fourniture du service de fidélité — enregistrement des passages, attribution des récompenses, émission des coupons ;
• Communication marketing — envoi d'offres promotionnelles par email, SMS ou notification push (uniquement avec votre consentement explicite) ;
• Sécurité et prévention de la fraude — détection des tentatives d'intrusion, monitoring anti-abus ;
• Support client — traitement de vos demandes, gestion des réclamations ;
• Amélioration du service — statistiques d'usage anonymisées, tests A/B ;
• Obligations légales — facturation, comptabilité, réponse aux réquisitions judiciaires.

5. Base légale du traitement (RGPD)

Chaque traitement repose sur l'une des bases légales suivantes :

• Exécution du contrat (art. 6.1.b RGPD) — fourniture du service, gestion du compte, facturation ;
• Consentement (art. 6.1.a RGPD) — communications marketing, cookies non-essentiels ;
• Intérêt légitime (art. 6.1.f RGPD) — sécurité, prévention de la fraude, amélioration continue du service ;
• Obligation légale (art. 6.1.c RGPD) — conservation des factures (10 ans), réponses aux demandes des autorités.

6. Destinataires des données

Vos données ne sont jamais vendues. Elles peuvent être partagées avec un nombre limité de sous-traitants, chacun lié par un accord conforme à l'article 28 du RGPD :

Les données peuvent également être communiquées aux autorités judiciaires ou administratives sur réquisition légale.

7. Durée de conservation

Les durées de conservation sont adaptées à chaque type de données :

• Compte utilisateur actif : pendant toute la durée de la relation contractuelle ;
• Compte inactif : anonymisation après 3 ans d'inactivité ;
• Données de facturation : 10 ans (obligation comptable) ;
• Logs de connexion : 12 mois (recommandation CNIL) ;
• Prospects (marketing) : 3 ans à compter du dernier contact ;
• Cookies analytiques : 13 mois maximum.

8. Transferts hors Union européenne

Certains de nos sous-traitants (Stripe, Google, Apple) peuvent traiter des données en dehors de l'Espace Économique Européen, notamment aux États-Unis.

Ces transferts sont encadrés par des garanties appropriées au sens des articles 46 et suivants du RGPD :

• Clauses Contractuelles Types (CCT) de la Commission européenne ;
• Certification au Data Privacy Framework UE-USA pour les prestataires américains adhérents ;
• Analyses d'impact sur les transferts (TIA) complémentaires si nécessaire.

9. Droits de la personne concernée

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès — obtenir une copie des données que nous détenons sur vous ;
• Droit de rectification — corriger des données inexactes ou incomplètes ;
• Droit à l'effacement (« droit à l'oubli ») — demander la suppression de vos données ;
• Droit à la limitation — suspendre temporairement le traitement ;
• Droit à la portabilité — récupérer vos données dans un format structuré (JSON / CSV) ;
• Droit d'opposition — vous opposer à un traitement fondé sur l'intérêt légitime ou à la prospection ;
• Droit de retirer votre consentement à tout moment, sans remettre en cause la licéité passée ;
• Directives post-mortem — décider du sort de vos données après votre décès.

10. Comment exercer vos droits

Pour exercer l'un de ces droits, adressez votre demande à notre DPO par email à dpo@fidoren.com en précisant :

• Votre identité (nom, prénom, email associé au compte) ;
• La nature précise de votre demande ;
• Un justificatif d'identité en cas de doute raisonnable sur votre identité.

Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande, prolongeable de deux mois en cas de complexité particulière (avec notification préalable).

11. Sécurité des données

Fidoren met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :

• Chiffrement en transit (TLS 1.3) et au repos (AES-256) ;
• Mots de passe hachés avec Argon2id ;
• Accès restreint aux données selon le principe du moindre privilège ;
• Authentification à double facteur pour l'équipe technique ;
• Audits de sécurité réguliers et tests d'intrusion annuels ;
• Sauvegardes quotidiennes chiffrées, stockées en zones géographiques distinctes ;
• Monitoring continu (Prometheus, Grafana, GlitchTip) et alertes en temps réel.

12. Violations de données

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Fidoren notifiera la CNIL dans les 72 heures conformément à l'article 33 du RGPD. Si le risque est élevé, vous serez également informé directement dans les meilleurs délais.

13. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• Adresse : 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
• Téléphone : 01 53 73 22 22
• Site web : cnil.fr/fr/plaintes

14. Protection des mineurs

Le Service n'est pas destiné aux enfants de moins de 15 ans. Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, tout traitement basé sur le consentement d'un mineur de moins de 15 ans nécessite l'autorisation conjointe du ou des titulaires de l'autorité parentale.

15. Modifications de la politique

Cette politique peut évoluer pour refléter les changements réglementaires ou de pratique. Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur. La version applicable est toujours celle publiée sur cette page.

16. Contact DPO

Pour toute question relative à vos données personnelles :

• Email DPO : dpo@fidoren.com
• Courrier : Bidev Consulting — DPO — 6 rue d'Armaillé, 75017 PARIS