Politique de confidentialité

1.1 Données fournies par l'utilisateur

• Données d'inscription : prénom, nom, adresse e-mail, mot de passe (stocké sous forme chiffrée par hachage).
• Données de profil et de carte : intitulé de poste, entreprise, numéro de téléphone, adresse, site web, profils sociaux, photo de profil et toute autre information saisie par l'utilisateur dans ses cartes numériques.
• Données de paiement : les informations de paiement (numéro de carte, données de facturation) sont gérées directement par Stripe et ne sont jamais stockées sur nos serveurs. Nous conservons uniquement l'identifiant client Stripe et le statut de l'abonnement.
• Communications : contenu des demandes de support et des échanges avec notre équipe.

1.2 Données collectées automatiquement

• Données d'utilisation : pages visitées, fonctionnalités utilisées, date et heure d'accès, durée des sessions.
• Données techniques : adresse IP, type de navigateur, système d'exploitation, type d'appareil, identifiants d'appareil.
• Données d'interaction avec les cartes : nombre de vues des cartes numériques, scans de QR codes, clics sur les liens, téléchargements de vCard. Ces données sont collectées sous forme agrégée et anonymisée pour les statistiques de l'utilisateur.

1.3 Cookies et technologies de suivi

Nous traitons les données personnelles aux fins suivantes :

• Fourniture du Service : créer et gérer le compte, générer et afficher les cartes numériques, produire les cartes de visite, gérer les QR codes et les short links.
• Paiements et facturation : gérer les abonnements, traiter les paiements via Stripe, émettre les factures.
• Communications de service : envoyer des notifications relatives au compte, des mises à jour du Service et des alertes de sécurité.
• Amélioration du Service : analyser l'utilisation sous forme agrégée pour améliorer les fonctionnalités et la performance.
• Sécurité : prévenir la fraude, les abus et les accès non autorisés, garantir l'intégrité du Service.
• Obligations légales : respecter les obligations légales, répondre aux demandes des autorités compétentes.

Le traitement des données est fondé sur :

• Exécution du contrat (art. 6(1)(b) RGPD / art. 31 LPD) : pour la fourniture du Service et la gestion du compte.
• Intérêt légitime (art. 6(1)(f) RGPD / art. 31 LPD) : pour la sécurité, la prévention de la fraude et l'amélioration du Service.
• Obligation légale (art. 6(1)(c) RGPD / art. 31 LPD) : pour la conformité fiscale, comptable et réglementaire.
• Consentement (art. 6(1)(a) RGPD / art. 31 LPD) : pour les communications marketing facultatives, le cas échéant.

Nous ne vendons, ne louons ni n'échangeons les données personnelles des utilisateurs. Nous partageons les données exclusivement avec :

• Stripe : pour le traitement des paiements. Stripe agit en tant que responsable du traitement indépendant pour les données de paiement. Voir la Politique de confidentialité de Stripe.
• Hébergeurs : les données sont hébergées sur l'infrastructure de Vercel (pour l'application) et de Neon (pour la base de données), tous deux disposant de centres de données en Europe.
• Services e-mail : pour l'envoi d'e-mails transactionnels (notifications de compte, réinitialisation de mot de passe).
• Destinataires des cartes : lorsque l'utilisateur partage sa carte numérique, les données qu'elle contient sont visibles par le destinataire. L'utilisateur contrôle les informations à inclure dans la carte.
• Autorités compétentes : lorsque la loi ou une décision de justice l'exige.

Les données sont principalement conservées sur des serveurs situés dans l'Union européenne. Si un transfert hors de l'Espace économique européen ou de la Suisse s'avère nécessaire, nous nous assurons que des garanties adéquates sont en place, notamment :

• Clauses contractuelles types (CCT) approuvées par la Commission européenne.
• Décisions d'adéquation de la Commission européenne ou du PFPDT suisse.
• Certifications et cadres reconnus (par ex. EU-US Data Privacy Framework).

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles, notamment :

• Chiffrement des données en transit (TLS/HTTPS) et au repos.
• Hachage des mots de passe avec des algorithmes sûrs (bcrypt/argon2).
• Accès aux données limité au personnel autorisé selon le principe du moindre privilège.
• Surveillance continue de l'infrastructure et gestion des vulnérabilités.
• Sauvegardes régulières et procédures de reprise après sinistre.
• Les données de paiement ne transitent pas et ne sont pas stockées sur nos serveurs (entièrement gérées par Stripe).

• Données du compte : conservées pendant la durée du compte actif et jusqu'à 30 jours après sa suppression.
• Données de facturation : conservées pendant 10 ans, comme l'exige la réglementation fiscale suisse.
• Données d'utilisation agrégées : conservées sous forme anonymisée sans limite de durée.
• Journaux de sécurité : conservés pendant 12 mois maximum.

Conformément à la LPD suisse et au RGPD (le cas échéant), l'utilisateur dispose des droits suivants :

• Accès : obtenir confirmation du traitement de ses données et en recevoir une copie.
• Rectification : corriger les données inexactes ou incomplètes.
• Effacement : demander la suppression de ses données ("droit à l'oubli"), sous réserve des obligations légales de conservation.
• Portabilité : recevoir ses données dans un format structuré, d'usage courant et lisible par machine.
• Opposition : s'opposer au traitement des données pour des motifs légitimes.
• Limitation : demander la limitation du traitement dans certaines circonstances.
• Retrait du consentement : retirer son consentement au traitement à tout moment, sans affecter la licéité du traitement fondé sur le consentement donné avant le retrait.

Le Service n'est pas destiné aux mineurs de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous apprenons avoir collecté les données d'un mineur, nous procéderons à leur suppression immédiate.

Le Service peut contenir des liens vers des sites ou services tiers. Nous ne sommes pas responsables des pratiques de confidentialité de ces services. Nous invitons les utilisateurs à consulter les politiques de confidentialité respectives avant de fournir des données personnelles.

Nous nous réservons le droit de mettre à jour la présente Politique. Les modifications importantes seront communiquées via le Service ou par e-mail. L'utilisation continue du Service après la notification constitue une acceptation de la Politique mise à jour.

L'utilisateur a le droit de déposer une plainte auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT) en Suisse, ou auprès de l'autorité de contrôle compétente dans son pays de résidence, s'il estime que le traitement de ses données viole la législation applicable.

Pour toute question relative à la présente Politique ou au traitement des données personnelles :