FIDELYO
ConnexionDémarrer
Retour à l'accueil
Espace juridique

Conditions & confidentialité

Tous les documents qui encadrent votre relation avec Fidelyo et la protection de vos données. Édité par GL-SkyTech, conforme au RGPD.

Accord de traitement des données — DPA

Dernière mise à jour : 1er mai 2026 — Version 1.0

Préambule

Le présent Accord (Data Processing Agreement, ci-après "DPA") encadre, au titre du Règlement (UE) 2016/679 dit RGPD, les traitements de données à caractère personnel effectués par GL-SkyTech (ci-après "le Sous-traitant" ou "Fidelyo") pour le compte du Commerçant (ci-après "le Responsable de traitement"), dans le cadre de l'utilisation de la plateforme Fidelyo. Il complète les CGV souscrites par le Commerçant et constitue, avec ces dernières, l'accord global entre les parties.

1. Description du traitement

1.1 Finalités

  • Gestion d'un programme de fidélité pour les clients du Commerçant ;
  • Identification et suivi des clients (ajout/validation de points, historique de visites) ;
  • Envoi de communications relationnelles et marketing aux clients ayant donné leur consentement (SMS et e-mails) ;
  • Génération de statistiques d'usage à des fins d'aide à la gestion commerciale.

1.2 Catégories de données

  • Données d'identification : nom, prénom, e-mail, téléphone ;
  • Données de fidélité : solde de points, historique des visites, récompenses obtenues ;
  • Notes internes saisies par le Commerçant ;
  • Métadonnées techniques (adresse IP, user agent) à des fins de sécurité et d'audit.

1.3 Catégories de personnes concernées

Clients du Commerçant ayant explicitement opté pour le programme de fidélité Fidelyo.

1.4 Durée du traitement

Pour la durée du contrat principal entre le Commerçant et Fidelyo, augmentée des durées de conservation légales et techniques précisées à l'article 6.

2. Obligations du Responsable de traitement

Le Commerçant s'engage à :

  • Disposer d'une base légale valable pour chaque traitement (intérêt légitime ou consentement) et à la documenter ;
  • Recueillir le consentement libre, éclairé et révocable des personnes concernées avant toute communication marketing ;
  • Informer ses clients de l'utilisation de Fidelyo en tant que sous-traitant ;
  • Donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, suppression, opposition, portabilité, limitation).

3. Obligations du Sous-traitant

Fidelyo s'engage à :

  • Traiter les données uniquement sur instruction documentée du Responsable de traitement et conformément aux finalités décrites ;
  • Garantir la confidentialité des données et veiller à ce que les personnes autorisées à les traiter soient liées par un engagement de confidentialité ;
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) listées à l'article 5 ;
  • Assister le Responsable dans l'exercice des droits des personnes ;
  • Notifier toute violation de données dans un délai maximum de 48 heures ;
  • Restituer ou supprimer les données à l'expiration du contrat, au choix du Responsable de traitement.

4. Sous-traitants ultérieurs

Le Commerçant autorise Fidelyo à recourir aux sous-traitants ultérieurs suivants :

  • OVHcloud (France) — hébergement de la plateforme et de la base de données ;
  • Stripe Payments Europe Ltd (Irlande) — traitement des paiements et facturation ;
  • Resend Inc. (États-Unis, sous Standard Contractual Clauses) — envoi des e-mails transactionnels et marketing ;
  • OVHcloud SMS (France) — envoi des SMS relationnels et marketing ;
  • Google LLC (États-Unis, sous Standard Contractual Clauses) — authentification via Google OAuth ;

Toute évolution de cette liste sera notifiée au Commerçant au moins trente (30) jours avant la mise en production. Le Commerçant pourra s'y opposer pour motif légitime, auquel cas Fidelyo pourra proposer une alternative ou, à défaut, autoriser la résiliation anticipée sans indemnité.

5. Mesures de sécurité

Fidelyo met en œuvre les mesures suivantes :

  • Chiffrement des communications (HTTPS/TLS 1.2+) sur l'ensemble du site et des API ;
  • Chiffrement au repos des sauvegardes ;
  • Cloisonnement strict des données entre commerçants (Row Level Security PostgreSQL) ;
  • Authentification forte avec délégation à Google et activation de la double authentification recommandée ;
  • Journalisation immuable des accès et opérations sensibles (audit log conservé 5 ans) ;
  • Sauvegardes quotidiennes chiffrées avec rétention de 30 jours ;
  • Procédure de gestion des incidents et plan de reprise d'activité.

6. Durée de conservation

  • Données clients actifs : pour la durée du contrat, augmentée d'un délai d'archivage intermédiaire de 36 mois en cas de dernière interaction inactive ;
  • Audit log et logs techniques : 5 ans (obligation de preuve) ;
  • Données de facturation : 10 ans (obligations comptables et fiscales) ;
  • Demandes d'exercice des droits : conservées 3 ans après la réponse fournie.

7. Transferts hors UE

Les transferts vers des sous-traitants situés hors Union Européenne (Resend, Google) sont encadrés par les clauses contractuelles types (Standard Contractual Clauses) adoptées par la Commission européenne, complétées le cas échéant de mesures supplémentaires (chiffrement, anonymisation) selon l'analyse de transfert d'impact.

8. Audit

Le Responsable de traitement peut, à ses frais et avec un préavis raisonnable, demander un audit de la conformité de Fidelyo, ou s'appuyer sur les rapports d'audits déjà réalisés.

9. Restitution / suppression à la fin du contrat

À l'expiration du contrat, le Commerçant peut, au choix :

  • Récupérer un export complet de ses données (CSV) ;
  • Demander la suppression définitive de l'ensemble des données, sous trente (30) jours.

À défaut d'instruction sous soixante (60) jours, les données seront supprimées par Fidelyo, à l'exception de celles devant être conservées au titre d'obligations légales.

10. Coordonnées

Délégué à la protection des données (DPO) ou personne référente :
GL-SkyTech — contact@gl-skytech.com