Retour à l'accueil

Politique de Confidentialité

Version 1.0 — Dernière mise à jour : 25 avril 2026

Conforme aux articles 13 et 14 du Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.

1. Responsable de traitement

Le responsable de traitement est Sydely — structure juridique en cours d'immatriculation — responsable de publication : Younes Mokhtar — contact (général et demandes RGPD) : contact@sydely.fr. Coordonnées complètes : voir Mentions légales.

Important. Lorsqu'un commerçant utilise Sydely pour gérer son programme de fidélité, c'est ce commerçant qui est responsable de traitement des données de ses clients finaux. Sydely agit alors comme sous-traitant, dans les conditions définies par notre Contrat de Sous-traitance (DPA).

2. Données traitées

Comptes commerçants (Sydely est responsable de traitement)

  • Identification : nom commercial, nom et prénom du gérant, email professionnel.
  • Authentification : mot de passe (haché, jamais stocké en clair).
  • Configuration commerciale : logo, photos, couleurs, mécanique de fidélité, paliers de récompense.
  • Facturation : coordonnées de facturation, identifiant client Stripe (les données bancaires ne transitent jamais par Sydely).
  • Données techniques : adresse IP, journaux de connexion, identifiants techniques de session.

Clients finaux (Sydely est sous-traitant du commerçant)

  • Identification : nom, prénom.
  • Coordonnées : numéro de téléphone, adresse email (selon configuration du commerçant).
  • Historique de fidélité : nombre de tampons ou points, dates des visites, récompenses débloquées.
  • Données techniques : identifiant unique de carte (numéro de série), jeton de notification push (APNS / Google Wallet).

3. Finalités et bases légales

FinalitéBase légale (art. 6 RGPD)
Création et gestion du compte commerçantExécution du contrat (art. 6.1.b)
Facturation et paiement de l'abonnementExécution du contrat + obligation légale comptable (art. 6.1.b et c)
Génération et mise à jour des cartes de fidélité numériquesExécution du contrat (art. 6.1.b)
Notifications push de mise à jour de la carteExécution du contrat (art. 6.1.b)
Notifications marketing du commerçant à ses clients finauxConsentement explicite du client final (art. 6.1.a)
Sécurité, prévention de la fraude, journalisationIntérêt légitime (art. 6.1.f)
Statistiques d'usage anonymiséesIntérêt légitime (art. 6.1.f)
Communications Sydely vers commerçants (nouveautés, offres)Consentement (art. 6.1.a) — opt-in séparé au signup
Mesure d'audience publicitaire (efficacité des campagnes Meta)Intérêt légitime (art. 6.1.f) — droit d'opposition art. 21 ci-dessous

4. Destinataires

Les données sont accessibles aux personnels habilités de Sydely et aux sous-traitants suivants, dans la limite stricte de leurs missions techniques :

  • Supabase — base de données et authentification (UE)
  • Vercel — hébergement applicatif (US, DPF)
  • Stripe — traitement des paiements (UE/US, DPF)
  • Apple — distribution Apple Wallet, notifications APNS (US, DPF)
  • Google — distribution Google Wallet (US, DPF)
  • Resend — emails transactionnels (US, DPF)
  • Meta Platforms Ireland — mesure d'audience publicitaire (Meta Pixel et Conversions API) limitée aux pages publiques et aux comptes commerçants, jamais aux clients finaux (UE/US, DPF)

Liste actualisée et détaillée : page Sous-traitants.

Aucune donnée n'est vendue à des tiers.

5. Transferts hors Union européenne

Certains sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés par :

  • Le Data Privacy Framework (décision d'adéquation UE 2023/1795 du 10 juillet 2023), pour les sous-traitants y étant certifiés.
  • Les clauses contractuelles types de la Commission européenne (décision 2021/914), à défaut.

6. Durées de conservation

  • Compte commerçant actif : pendant toute la durée de la relation contractuelle.
  • Compte commerçant résilié : 3 ans à compter du dernier contact pour des finalités de prospection ; archivage intermédiaire des éléments contractuels nécessaires à la défense des droits jusqu'à 5 ans (prescription civile).
  • Pièces comptables (factures) : 10 ans (art. L123-22 Code de commerce).
  • Données des clients finaux : tant que la carte est active et au plus tard 3 ans après la dernière interaction (recommandation CNIL fidélité).
  • Logs de connexion : 1 an maximum (décret 2021-1363).
  • Preuve d'acceptation des CGU/CGV : durée du contrat + 5 ans.

7. Sécurité

Sydely met en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) : chiffrement TLS 1.3 en transit, chiffrement AES-256 au repos, mots de passe hashés (bcrypt), Row Level Security Postgres, sauvegardes chiffrées, journalisation, contrôle d'accès strict, sensibilisation des personnels, procédure d'incident. Détails dans le DPA.

8. Cookies et traceurs

Cookies strictement nécessaires (exemptés de consentement, art. 82 loi Informatique et Libertés) : cookies d'authentification (Supabase), cookies de sécurité de paiement (Stripe Checkout).

Cookies de mesure d'audience publicitaire : Sydely utilise le Meta Pixel et l'API Meta Conversions sur ses pages publiques et lors de l'inscription/abonnement des commerçants, afin de mesurer l'efficacité de ses campagnes publicitaires sur Facebook et Instagram. Les seules données transmises à Meta sont : les événements de navigation et de conversion (visite, inscription, abonnement) ainsi qu'un hash SHA-256 de l'email du commerçant. Aucune donnée relative aux clients finaux des commerçants n'est jamais transmise à Meta.

Base légale : intérêt légitime (art. 6.1.f RGPD), la finalité étant strictement limitée à la mesure de conversion de nos propres campagnes. Vous pouvez vous y opposer à tout moment en nous écrivant à contact@sydely.fr, ou en activant la protection « Do Not Track » de votre navigateur, ou en utilisant les contrôles de confidentialité Meta : facebook.com/about/ads_preferences.

9. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Accès (art. 15) : obtenir une copie de vos données.
  • Rectification (art. 16) : corriger les données inexactes ou incomplètes.
  • Effacement (art. 17) : demander la suppression de vos données.
  • Limitation (art. 18) : restreindre temporairement le traitement.
  • Portabilité (art. 20) : récupérer vos données dans un format structuré.
  • Opposition (art. 21) : vous opposer pour motif légitime ou à la prospection.
  • Retrait du consentement (art. 7.3) : à tout moment, sans rétroactivité.
  • Sort des données après décès (art. 85 LIL) : directives transmissibles à contact@sydely.fr.

Pour exercer ces droits : contact@sydely.fr. Réponse sous 1 mois maximum. Une preuve d'identité peut être demandée en cas de doute raisonnable.

Pour les données de clients finaux, l'exercice des droits s'adresse en premier lieu au commerçant gestionnaire du programme de fidélité, qui est leur responsable de traitement. Sydely apporte son assistance technique au commerçant.

10. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) cnil.fr/fr/plaintes — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — 01 53 73 22 22.

11. Décision automatisée

Sydely ne prend aucune décision automatisée produisant des effets juridiques ou affectant significativement les personnes concernées au sens de l'article 22 du RGPD.

12. Mineurs

Le Service n'est pas destiné aux mineurs de moins de 15 ans. Lorsqu'un programme de fidélité est susceptible d'accueillir des mineurs, le commerçant doit recueillir le consentement parental conformément à l'article 7-1 de la loi Informatique et Libertés.

13. Modifications

La présente politique peut être mise à jour. Toute modification substantielle est notifiée aux commerçants par email. Les versions antérieures sont disponibles sur demande.

14. Contact

Toute question relative à la protection des données : contact@sydely.fr.