Politique de Confidentialité & RGPD

1. Préambule et engagement

La société M&T LABS, éditrice de la plateforme Loyzia (ci-après « Loyzia », « nous » ou « l'Éditeur »), accorde une importance fondamentale à la protection des données à caractère personnel et au respect de la vie privée des utilisateurs de ses services.

La présente Politique de Confidentialité décrit de manière transparente comment nous collectons, utilisons, stockons, partageons et protégeons les données personnelles, en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et la loi française n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».

2. Qualification des rôles RGPD

La plateforme Loyzia traite deux catégories distinctes de données, impliquant des rôles RGPD différents :

2.1 Vis-à-vis de nos Abonnés (commerçants souscripteurs)

M&T LABS agit en tant que Responsable du traitement pour les données collectées directement auprès des Abonnés lors de leur inscription, de leur usage de la plateforme et de leur facturation (nom, prénom, e-mail, mot de passe haché, nom commercial, ville, informations de facturation, logs d'utilisation, etc.).

2.2 Vis-à-vis des Clients finaux (clients des commerçants)

M&T LABS agit en tant que Sous-traitant au sens de l'article 28 du RGPD pour le compte de l'Abonné. L'Abonné est le Responsable du traitement des données de ses propres clients (nom, prénom, téléphone, e-mail, historique de passages, scoring RFM, etc.).

L'Abonné est seul responsable d'obtenir le consentement explicite, libre, éclairé et univoque de ses Clients finaux préalablement à toute collecte ou utilisation marketing de leurs données. Loyzia fournit les outils techniques (formulaires d'opt-in, cases à cocher, gestion des consentements) mais ne se substitue pas à l'Abonné dans cette obligation.

3. Données collectées

3.1 Données des Abonnés

• Données d'identification : nom, prénom, e-mail, mot de passe (haché bcrypt, jamais en clair)
• Données professionnelles : nom du commerce, ville d'implantation, type d'activité, taille de l'équipe
• Données de facturation : raison sociale, adresse de facturation, SIRET, n° TVA. Les coordonnées bancaires sont gérées exclusivement par notre prestataire Stripe et ne transitent jamais par nos serveurs.
• Données techniques : adresse IP, type de navigateur, dates et heures de connexion, logs d'activité (création/modification d'objets, exports, etc.)
• Communications : contenu des e-mails échangés avec notre support, demandes RGPD, signalements

3.2 Données des Clients finaux (traitées pour le compte de l'Abonné)

• Données d'identification minimale : prénom, nom (facultatif), téléphone OU e-mail (selon paramétrage choisi par l'Abonné)
• Identifiants techniques : jetons de notification push Apple Wallet (APNs token), Google Wallet (FCM token), serial number du pass
• Historique commercial : dates et heures des passages en caisse, montants (si Mode Précis activé par l'Abonné), points/tampons accumulés, récompenses débloquées
• Score RFM : Récence, Fréquence, Montant calculés automatiquement
• Consentements : trace de l'opt-in marketing avec date et heure

Principe de minimisation : conformément à l'article 5-1-c du RGPD, Loyzia ne collecte que les données strictement nécessaires aux finalités décrites ci-après. Aucune donnée sensible (origine raciale, opinions politiques, religion, santé, orientation sexuelle, données biométriques) n'est collectée par Loyzia.

4. Finalités et bases légales

5. Routine de purge automatique (Règle des 3 ans)

Conformément aux exigences fondamentales du RGPD relatives au droit à l'oubli et à la minimisation de la durée de conservation, Loyzia exécute automatiquement une routine de purge :

• Toute carte de fidélité numérique inactive depuis 3 ans consécutifs (aucun scan, aucune dépense de points, aucune interaction) est supprimée définitivement et irréversiblement de nos bases, y compris les données du Client final associées
• Les comptes Abonnés résiliés voient leurs données complètes supprimées 30 jours après la fin de l'abonnement, sous réserve des obligations légales de conservation (factures : 10 ans)
• Les logs de sécurité sont purgés automatiquement après 12 mois
• Les e-mails marketing à destination des prospects (non-Abonnés) sont purgés après 3 ans sans interaction

6. Destinataires et sous-traitants

Pour fournir le Service, Loyzia recourt à des prestataires techniques (« sous-traitants » au sens de l'article 28 RGPD). Chacun est lié par un contrat conforme au RGPD garantissant un niveau de protection adéquat.

Aucun transfert de données hors UE n'est effectué sans garanties appropriées (clauses contractuelles types de la Commission européenne ou Data Privacy Framework). La liste actualisée des sous-traitants est disponible sur simple demande à contact@loyzia.com.

Loyzia ne vend, ne loue, ni n'échange aucune donnée personnelle avec des tiers à des fins commerciales.

7. Sécurité des données

Loyzia met en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité, la confidentialité et l'intégrité des données personnelles, notamment :

• Chiffrement TLS 1.3 de bout en bout pour toutes les communications
• Chiffrement AES-256 des données sensibles au repos
• Hashing des mots de passe via algorithme bcrypt avec sel cryptographique
• Authentification forte (mot de passe ≥ 8 caractères, vérification e-mail obligatoire)
• Row Level Security (RLS) Postgres garantissant qu'aucun Abonné ne peut accéder aux données d'un autre
• Système anti-fraude cryptographique sur chaque transaction de fidélité (signature SHA-256)
• Pare-feu applicatif (WAF), rate-limiting et protection DDoS au niveau hébergeur
• Audits de sécurité réguliers et tests de pénétration internes
• Sauvegardes chiffrées quotidiennes avec rétention de 30 jours
• Procédure de réponse à incident et notification CNIL sous 72h en cas de violation (art. 33 RGPD)

8. Cookies et traceurs

Le site loyzia.com utilise uniquement des cookies strictement nécessaires au fonctionnement du Service, exemptés de consentement préalable conformément à la délibération CNIL n° 2020-091 :

• sb-access-token / sb-refresh-token : authentification Supabase (durée : session + 7 jours)
• loyzia_active_venue : préférence d'établissement actif dans le dashboard (durée : 30 jours)
• loyzia_preferred_billing : choix de période de facturation lors du checkout
• loyzia_referral_code : suivi du code parrainage (durée : 30 jours)

Aucun cookie publicitaire, de tracking marketing ou de profilage tiers n'est déposé. Aucun outil de type Google Analytics, Meta Pixel ou TikTok Pixel n'est utilisé sur le site.

9. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, toute personne concernée par un traitement effectué par Loyzia dispose des droits suivants :

• Droit d'accès (art. 15) : obtenir confirmation que ses données sont traitées et en recevoir une copie
• Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes
• Droit à l'effacement (art. 17) : « droit à l'oubli » - obtenir la suppression de ses données
• Droit à la limitation (art. 18) : faire suspendre temporairement un traitement
• Droit à la portabilité (art. 20) : recevoir ses données dans un format structuré et lisible (export CSV/JSON)
• Droit d'opposition (art. 21) : s'opposer à un traitement fondé sur l'intérêt légitime
• Droit de retrait du consentement (art. 7-3) : retirer un consentement à tout moment
• Droit relatif au profilage (art. 22) : ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé. À noter : le scoring RFM Loyzia est un outil d'aide à la décision et ne produit aucun effet juridique ni significatif sans intervention humaine de l'Abonné.
• Directives post-mortem (art. 85 loi Informatique et Libertés) : organiser le sort de ses données après son décès

Pour exercer l'un de ces droits, écrivez à contact@loyzia.com en précisant la nature de votre demande et en joignant si nécessaire un justificatif d'identité. Loyzia s'engage à répondre dans un délai d'1 mois maximum à compter de la réception de votre demande (article 12-3 RGPD), prorogeable de 2 mois en cas de demande complexe.

Pour les Clients finaux : vous pouvez adresser votre demande soit directement à l'Abonné (commerce détenteur de votre carte de fidélité), soit à Loyzia. Loyzia transmettra la demande à l'Abonné concerné et coordonnera l'exécution dans les délais légaux.

10. Réclamation auprès de la CNIL

En cas de désaccord persistant sur le traitement de vos données ou de réponse non satisfaisante de Loyzia, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

11. Violation de données (data breach)

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Loyzia s'engage à :

• Notifier la CNIL dans les 72 heures suivant la prise de connaissance de l'incident (art. 33 RGPD)
• Notifier les personnes concernées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (art. 34 RGPD)
• Documenter l'incident, les mesures correctives prises et tirer les enseignements pour renforcer la sécurité
• Notifier les Abonnés concernés en leur qualité de Responsable du traitement

12. Modifications de la politique

La présente Politique de Confidentialité peut être modifiée à tout moment pour tenir compte des évolutions légales, réglementaires, jurisprudentielles ou techniques. La date de dernière mise à jour figure en tête de la présente page.

En cas de modification substantielle, les Abonnés seront informés par e-mail au moins 30 jours avant son entrée en vigueur. La poursuite de l'utilisation du Service au-delà de cette date vaudra acceptation de la nouvelle Politique.

13. Contact

Pour toute question relative à la présente Politique de Confidentialité ou au traitement de vos données personnelles, contactez-nous :

• Par e-mail : contact@loyzia.com
• Par courrier postal : M&T LABS — DPO — 8 Allée du Comte de Saint-Pôl, 91310 Montlhéry