Environnement de démonstration — données réinitialisables sans préavis
Flashe

Politique de confidentialité

Dernière mise à jour : à compléter avant lancement

Document de structure, à finaliser avant lancement (revue CNIL conseillée).

1. Responsable du traitement

Flashe, micro-entreprise basée en Touraine. Contact : privacy@flashe.fr.

2. Données collectées

Côté client

  • Email, mot de passe haché (création de compte)
  • Informations de facturation (déléguées à Stripe)
  • Données métier saisies : libellés QR, URL de destination, paramètres de personnalisation

Côté visiteur scannant un QR

  • Adresse IP : jamais stockée en clair. Hash SHA-256 avec un salt rotaté mensuellement (RGPD by design).
  • Pays et ville (résolution MaxMind GeoLite2 locale, pas d'appel externe)
  • Type d'appareil, OS, navigateur, langue, referer (parsing User-Agent)
  • Date / heure du scan

3. Bases légales

  • Exécution du contrat (CGV) pour les données client
  • Intérêt légitime du client à mesurer l'usage de ses QR pour les données de scan (les visiteurs sont anonymisés par construction)

4. Durées de conservation

  • Compte client : durée du contrat + 1 an après résiliation pour obligations légales (factures : 10 ans)
  • Données de scan : selon le plan (compteur, 90 jours, ou illimité)
  • Compte d'essai non converti : 75 jours puis suppression

5. Sous-traitants

  • OVH (hébergement infrastructure, France)
  • Stripe (paiement, certifié PCI-DSS, fournisseur du formulaire de paiement)
  • Cloudflare (frontal CDN/WAF, transit chiffré)
  • MaxMind (base GeoIP installée localement, pas d'appel sortant)
  • Fournisseur email transactionnel (à préciser au lancement)

6. Hébergement

Données hébergées en France (OVH). Aucun transfert hors UE pour les données client. Trafic Cloudflare chiffré bout-en-bout (TLS).

7. Vos droits (RGPD)

  • Droit d'accès, de rectification, d'effacement
  • Droit à la portabilité (export CSV depuis le dashboard)
  • Droit d'opposition et de limitation
  • Réclamation auprès de la CNIL : cnil.fr

Exercice des droits : privacy@flashe.fr, réponse sous 30 jours.

8. Cookies

Cookies strictement nécessaires (session, CSRF). Analytics côté site marketing : Plausible ou Matomo cookieless, sans bandeau intrusif.

9. Sécurité

  • HTTPS-only, HSTS
  • Mots de passe hachés (bcrypt / argon2id)
  • Rate limiting sur les endpoints sensibles
  • Backups quotidiens chiffrés

10. Notification de violation

En cas de violation susceptible d'engendrer un risque pour les droits et libertés, notification CNIL sous 72 h et information des personnes concernées si nécessaire.