Politique de confidentialité
Sommaire
Fidward s'engage à protéger vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi Informatique et Libertés modifiée.
1 Responsable du traitement
Le responsable du traitement des données collectées via l'application mobile Fidward et le site fidward.io est :
2 Données collectées
2.1 Données d'identification et de compte
- Prénom, nom, adresse e-mail
- Photo de profil (optionnelle)
- Rôle dans l'application (client, commerçant, organisateur)
- Informations de connexion (Google Sign-In ou e-mail/mot de passe hashé)
2.2 Données liées à l'utilisation du service
- Historique des scans QR (date, commerçant, points crédités)
- Cartes de fidélité associées (points, tampons, cashback)
- Récompenses débloquées et utilisées
- Pass Fidward (identifiant QR unique par compte)
2.3 Données des commerçants
- Nom de l'enseigne, adresse(s) des établissements
- Paramètres des cartes de fidélité créées
- Informations de facturation (abonnement)
- Historique des scans effectués
2.4 Données techniques
- Token d'authentification JWT (stocké localement sur l'appareil)
- Token de notification push FCM (si accepté)
- Données de localisation GPS (uniquement si permission accordée, pour afficher les boutiques proches)
2.5 Données analytiques (avec consentement)
- Statistiques d'utilisation anonymisées via Firebase Analytics
- Rapports de plantages via Firebase Crashlytics
3 Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion de votre compte | Exécution du contrat (Art. 6.1.b) |
| Fonctionnement du programme de fidélité (scans, points, récompenses) | Exécution du contrat (Art. 6.1.b) |
| Envoi de notifications push (offres, récompenses) | Consentement (Art. 6.1.a) — permission OS |
| Envoi d'e-mails transactionnels (confirmation, mot de passe) | Exécution du contrat (Art. 6.1.b) |
| Affichage des boutiques proches (géolocalisation) | Consentement (Art. 6.1.a) — permission OS |
| Analytics d'utilisation (Firebase Analytics) | Consentement (Art. 6.1.a) — choix in-app |
| Détection et correction des anomalies (Crashlytics) | Intérêt légitime (Art. 6.1.f) |
| Facturation des commerçants | Obligation légale + contrat (Art. 6.1.b et 6.1.c) |
4 Destinataires et sous-traitants
Vos données ne sont jamais vendues à des tiers. Elles peuvent être transmises aux sous-traitants suivants, dans le cadre strict de la fourniture du service :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Google Firebase | Authentification, base de données, analytics, notifications push | UE / USA (Privacy Shield) |
| Brevo (ex-Sendinblue) | Envoi d'e-mails transactionnels | France / UE |
| Railway | Hébergement du serveur backend | USA (contrat DPA) |
| Cloudinary | Stockage des images (logos, avatars) | USA (contrat DPA) |
Chaque sous-traitant est lié par un contrat garantissant un niveau de protection équivalent au RGPD.
5 Durée de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte (client) | Durée du compte + 3 ans après inactivité |
| Données de compte (commerçant) | Durée du contrat + 5 ans (obligations comptables) |
| Historique des scans et transactions | 3 ans après le dernier scan |
| Données de facturation | 10 ans (obligation légale) |
| Logs techniques | 12 mois glissants |
| Données analytics (Firebase) | 14 mois maximum (paramétrage Firebase) |
À l'expiration de ces délais, les données sont supprimées ou anonymisées de manière irréversible.
6 Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès — obtenir une copie de vos données
- Droit de rectification — corriger des données inexactes
- Droit à l'effacement (« droit à l'oubli ») — demander la suppression de votre compte et données
- Droit à la portabilité — recevoir vos données dans un format structuré
- Droit d'opposition — vous opposer à certains traitements (notamment les analytics)
- Droit à la limitation — restreindre temporairement l'utilisation de vos données
- Droit de retirer votre consentement — à tout moment, sans affecter les traitements passés
Pour exercer vos droits, contactez-nous à fidward.france@gmail.com. Nous répondons dans un délai d'un mois. En cas de réponse insatisfaisante, vous pouvez saisir la CNIL.
Dans l'application, vous pouvez directement :
- Modifier vos informations personnelles (Profil → Modifier mon profil)
- Activer ou désactiver les analytics (Profil → Confidentialité & Données)
- Supprimer votre compte (Profil → Sécurité)
7 Cookies et traceurs
Sur le site web (fidward.io)
Ce site utilise des cookies pour son fonctionnement et l'analyse du trafic. Un bandeau de consentement vous permet de choisir les cookies non essentiels.
| Cookie | Type | Durée |
|---|---|---|
| cookie_consent | Fonctionnel (nécessaire) | 1 an |
| Google Analytics (_ga, _gid) | Analytics (avec consentement) | 13 mois / 24h |
Sur l'application mobile
L'application n'utilise pas de cookies au sens technique. Elle utilise le stockage local de l'appareil pour :
- Conserver votre session (token JWT) — strictement nécessaire
- Mémoriser vos préférences (thème, consentement analytics) — fonctionnel
Firebase Analytics peut être désactivé depuis Profil → Confidentialité & Données.
8 Sécurité
Fidward met en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données :
- Chiffrement des communications (HTTPS/TLS)
- Mots de passe hashés (bcrypt) — non stockés en clair
- Authentification par token JWT à durée limitée
- Accès aux données limité aux seules personnes habilitées
- Hébergement sur infrastructure sécurisée (Railway)
En cas de violation de données susceptible de porter atteinte à vos droits, nous vous en informerons dans les meilleurs délais conformément à l'article 34 du RGPD.
9 Transferts hors Union Européenne
Certains de nos sous-traitants (Google Firebase, Railway, Cloudinary) sont établis aux États-Unis. Ces transferts sont encadrés par :
- Le mécanisme EU-US Data Privacy Framework (Google)
- Des clauses contractuelles types (CCT) approuvées par la Commission européenne
- Des accords de traitement des données (DPA) conformes au RGPD
10 Contact et réclamations
Pour toute question relative à cette politique ou pour exercer vos droits :
Paris, France
Si vous estimez que vos droits ne sont pas respectés après nous avoir contactés, vous pouvez déposer une réclamation auprès de la CNIL : cnil.fr/fr/plaintes