QRyx

Politique de confidentialité

Dernière mise à jour : à compléter avant lancement

Document de structure, à finaliser avant lancement (revue CNIL conseillée).

1. Responsable du traitement

QRyx, micro-entreprise basée en Touraine. Contact : privacy@qryx.fr.

2. Données collectées

Côté client

  • Email, mot de passe haché (création de compte)
  • Informations de facturation (déléguées à Stripe)
  • Données métier saisies : libellés de QR code, URL de destination, paramètres de personnalisation

Côté visiteur scannant un QR code

  • Adresse IP : jamais stockée en clair. Hash SHA-256 avec un salt rotaté mensuellement (RGPD by design).
  • Pays et ville (résolution MaxMind GeoLite2 locale, pas d'appel externe)
  • Type d'appareil, OS, navigateur, langue, referer (parsing User-Agent)
  • Date / heure du scan

Côté visiteur laissant ses coordonnées (carte de visite)

Lorsqu'un client active le partage de contact sur sa carte de visite digitale, un visiteur peut volontairement transmettre ses coordonnées via un formulaire. Dans ce cas précis, le client titulaire de la carte est responsable de traitement des coordonnées qu'il collecte ; QRyx agit comme sous-traitant (hébergement et transmission pour le compte du client).

  • Données saisies par le visiteur : nom, email et/ou téléphone, société et message (optionnels)
  • Finalité unique : permettre au titulaire de la carte de recontacter le visiteur
  • Base légale : consentement explicite du visiteur (case à cocher), horodaté
  • Adresse IP : hashée (anti-abus), jamais en clair
  • Conservation : jusqu'à suppression par le titulaire de la carte ou fermeture de son compte (effacement en cascade)
  • Droits : accès ou effacement via privacy@qryx.fr ou directement auprès du titulaire de la carte

3. Bases légales

  • Exécution du contrat (CGV) pour les données client
  • Intérêt légitime du client à mesurer l'usage de ses QR codes pour les données de scan (les visiteurs sont anonymisés par construction)
  • Consentement explicite du visiteur pour les coordonnées laissées via une carte de visite (partage de contact)

4. Durées de conservation

  • Compte client : durée du contrat + 1 an après résiliation pour obligations légales (factures : 10 ans)
  • Données de scan : selon le plan (compteur, 90 jours, ou illimité)
  • Compte d'essai non converti : 75 jours puis suppression

5. Sous-traitants

  • OVH (hébergement infrastructure, France)
  • Stripe (paiement, certifié PCI-DSS, fournisseur du formulaire de paiement)
  • Cloudflare (frontal CDN/WAF, transit chiffré)
  • MaxMind (base GeoIP installée localement, pas d'appel sortant)
  • Fournisseur email transactionnel (à préciser au lancement)

6. Hébergement

Données hébergées en France (OVH). Aucun transfert hors UE pour les données client. Trafic Cloudflare chiffré bout-en-bout (TLS).

7. Vos droits (RGPD)

  • Droit d'accès, de rectification, d'effacement
  • Droit à la portabilité (export CSV depuis le dashboard)
  • Droit d'opposition et de limitation
  • Réclamation auprès de la CNIL : cnil.fr

Exercice des droits : privacy@qryx.fr, réponse sous 30 jours.

8. Cookies

Cookies strictement nécessaires (session, CSRF). Analytics côté site marketing : Plausible ou Matomo cookieless, sans bandeau intrusif.

9. Sécurité

  • HTTPS-only, HSTS
  • Mots de passe hachés (bcrypt / argon2id)
  • Rate limiting sur les endpoints sensibles
  • Backups quotidiens chiffrés

10. Notification de violation

En cas de violation susceptible d'engendrer un risque pour les droits et libertés, notification CNIL sous 72 h et information des personnes concernées si nécessaire.