Dernière mise à jour : 19 mars 2026
Politique de Confidentialité
Passcard s'engage à protéger les données personnelles de ses utilisateurs conformément au Règlement Général sur la Protection des Données (RGPD - UE 2016/679) et à la loi Informatique et Libertés.
1. Identité des responsables de traitement
Passcard - Sous-traitant (Processor)
Passcard SAS traite les données personnelles pour le compte des commerçants. Passcard agit en qualité de sous-traitant au sens de l'article 4(8) du RGPD. Ses obligations sont définies dans le Contrat de Sous-traitance (DPA).
Le Commerçant - Responsable de traitement (Controller)
Chaque commerçant utilisant la plateforme Passcard est responsable de traitementpour les données personnelles de ses clients finaux. Il lui appartient de respecter les obligations RGPD à l'égard de ses propres clients.
2. Données collectées et bases légales
2.1 Données des commerçants (compte)
| Donnée | Base légale | Durée de conservation |
|---|---|---|
| Email professionnel | Exécution du contrat | Durée du compte + 3 ans |
| Nom de l'entreprise | Exécution du contrat | Durée du compte + 3 ans |
| Données de facturation (via Stripe) | Obligation légale | 10 ans (comptabilité) |
| Logs de connexion | Intérêt légitime (sécurité) | 1 an |
2.2 Données des clients finaux (programme de fidélité)
Passcard collecte le strict minimum nécessaire au fonctionnement du service (principe de minimisation des données, art. 5(1)(c) RGPD).
| Donnée | Base légale | Durée de conservation |
|---|---|---|
| Prénom | Consentement (onboarding) | Durée du programme + 1 an |
| Email ou téléphone (1 seul) | Consentement explicite | Durée du programme + 1 an |
| Historique des tampons | Exécution du service | Durée du programme + 1 an |
| Identifiants Wallet (Apple/Google) | Exécution du service | Jusqu'à suppression du pass |
Aucune donnée sensible (données de santé, opinions politiques, etc.) n'est collectée.
3. Consentement des clients finaux
Lors de l'onboarding d'un client final (scan du QR code), une case à cocher explicite est présentée, mentionnant :
- Le nom du commerçant responsable du traitement.
- Les données collectées (prénom + email ou téléphone).
- La finalité : adhésion au programme de fidélité.
- Un lien vers la présente politique de confidentialité.
Le consentement est tracé (date, heure) en base de données. Sans consentement coché, l'inscription est refusée.
4. Hébergement des données
Hébergement 100 % Europe
Toutes les données sont hébergées exclusivement sur des serveurs situés en Union Européenne, dans le datacenter de Supabase à Francfort, Allemagne (eu-central-1). Aucun transfert de données vers des pays tiers hors UE/EEE n'est effectué.
5. Sous-traitants techniques
| Prestataire | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données + Auth | Francfort, UE |
| Vercel | Hébergement application | Paris, UE (Edge Network) |
| Resend | Envoi d'emails transactionnels | UE (RGPD compliant) |
| Stripe | Paiement en ligne | Irlande, UE |
| Apple / Google | Wallet (passes numériques) | UE - données minimales uniquement |
6. Droits des personnes concernées
Conformément au RGPD, toute personne dont les données sont traitées dispose des droits suivants :
Droit d'accès (art. 15)
Obtenir une copie des données vous concernant.
Droit de rectification (art. 16)
Corriger des données inexactes ou incomplètes.
Droit à l'effacement (art. 17)
Demander la suppression de vos données (« droit à l'oubli »).
Droit à la portabilité (art. 20)
Recevoir vos données dans un format structuré.
Droit d'opposition (art. 21)
S'opposer au traitement fondé sur l'intérêt légitime.
Droit de retrait du consentement
Retirer votre consentement à tout moment, sans préjudice de la licéité du traitement antérieur.
Pour exercer ces droits, contactez : privacy@passcard.fr. Délai de réponse : 30 jours maximum. En cas de réclamation non résolue, vous pouvez saisir la CNIL.
7. Sécurité des données
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256).
- Authentification sécurisée via Supabase Auth (bcrypt, magic links).
- Isolation des données par commerçant grâce aux politiques RLS (Row Level Security).
- Clés secrètes stockées comme variables d'environnement, jamais en base de données.
- Audit de sécurité régulier (OWASP Top 10).
8. Cookies
Passcard utilise uniquement les cookies strictement nécessaires au fonctionnement du service (cookie de session Supabase). Aucun cookie publicitaire, traceur tiers ou outil d'analyse comportementale n'est utilisé sans consentement.
9. Modifications de la politique
En cas de modification substantielle de la présente politique, les commerçants seront notifiés par email au moins 30 jours avant l'entrée en vigueur des changements. La date de dernière mise à jour est affichée en haut de cette page.
10. Contact et DPO
Délégué à la Protection des Données (DPO) :privacy@passcard.fr
Passcard SAS, Responsable RGPD
Voir aussi : CGU · DPA (Sous-traitance) · Mentions légales