PixelFid.Accueil
RGPD

Politique de confidentialité

En vigueur au 10 juin 2026

Conforme au Règlement Général sur la Protection des Données (UE 2016/679). Données hébergées en Union européenne, aucun tracking publicitaire, aucune revente à des tiers.

Dernière mise à jour : 4 juin 2026

1. Responsable du traitement

PixelFid est un service édité par Ilyes Issaoub Allah, entrepreneur individuel au régime micro-entreprise, dont les coordonnées sont précisées dans les mentions légales.

Le responsable du traitement au sens du RGPD est Ilyes Issaoub Allah, joignable à pixelfid.contact@gmail.com (adresse unique de contact, y compris pour les demandes RGPD).

Délégué à la protection des données (DPO) : non désigné. Cette désignation n'est pas obligatoire pour PixelFid (structure inférieure à 250 salariés, pas de traitement à grande échelle de données sensibles au sens de l'article 9 RGPD). Les questions RGPD sont traitées directement par le responsable de traitement.

2. Quelles données collectons-nous ?

Pour les commerçants abonnés

  • Email, nom du commerce, adresse, téléphone (facultatif)
  • Données de paiement (gérées par Stripe — PCI-DSS Level 1 — jamais stockées sur nos serveurs)
  • Données d'usage : connexions, transactions enregistrées
  • SIRET et raison sociale pour facturation

Pour les clients finaux des commerçants

  • Prénom (obligatoire)
  • Email ounuméro de téléphone (au moins l'un des deux)
  • Date de naissance (facultatif, pour offres d'anniversaire)
  • Consentement aux communications marketing (case à cocher explicite, décochée par défaut)
  • Historique des passages en caisse chez les commerçants où vous êtes inscrit

Aucune donnée sensibleau sens de l'article 9 RGPD (santé, opinions politiques, religieuses, syndicales, origine ethnique, données biométriques ou génétiques, orientation sexuelle) n'est collectée. Aucun suivi publicitaire ni cookie tiers.

3. Pourquoi et sur quelle base légale ?

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale explicite :

FinalitéBase légale
Gestion du compte commerçant + service de fidélitéExécution d'un contrat (art. 6.1.b)
Facturation et conservation des pièces comptablesObligation légale (art. 6.1.c) — Code de commerce L123-22
Communications transactionnelles (confirmations, notifications palier)Exécution d'un contrat (art. 6.1.b)
Communications marketing du commerçant vers ses clientsConsentement explicite (art. 6.1.a)
Statistiques agrégées pour pilotage commerçantIntérêt légitime (art. 6.1.f)
Sécurité, prévention des abus, logs d'auditIntérêt légitime (art. 6.1.f)
Démarchage de prospects commerçants (B2B)Intérêt légitime (art. 6.1.f) — doctrine CNIL 2016-264

4. Combien de temps conservons-nous vos données ?

  • Compte commerçant actif : tant que l'abonnement est en cours, puis 3 ans après résiliation (gestion des réclamations).
  • Compte client final actif : tant que la carte est utilisée. Après 3 ans sans activité, anonymisation automatique irréversible via tâche planifiée quotidienne.
  • Données comptables (factures) : 10 ans (obligation légale L123-22 du Code de commerce).
  • Logs de sécurité / accès admin : 12 mois, puis purge automatique. Les adresses IP sont anonymisées à /24 après 30 jours.
  • Logs de délivrabilité email : 12 mois côté Resend, puis purge.

5. Avec qui partageons-nous vos données ?

Vos données ne sont JAMAISrevendues. Elles sont accessibles à :

  • Le commerçant chez qui vous êtes inscrit (et lui uniquement, jamais les autres commerçants PixelFid). Cloisonnement strict garanti par Row Level Security PostgreSQL.
  • Nos sous-traitants techniquesagissant uniquement sur nos instructions documentées (article 28 RGPD) :
    • Supabase (Singapour, BDD en Francfort UE) — base de données et authentification
    • Vercel (États-Unis, edge servers UE) — hébergement de l'application
    • Stripe Europe (Dublin, Irlande) — paiement des abonnements
    • Resend (États-Unis, serveurs UE configurables) — envoi d'emails
    • Upstash (États-Unis, serveurs UE Francfort) — prévention des abus (rate limiting)
    • Sentry (États-Unis, serveurs UE Francfort) — détection d'erreurs techniques (sans données personnelles, scrub automatique)
    • PostHog (États-Unis, instance UE eu.posthog.com) — analytics produit anonymes (autocapture désactivée)
    • Plausible Insights (Estonie, serveurs Allemagne) — analytics audience sans cookie ni IP
    • OVHcloud (France) — nom de domaine et DNS
    • Google Cloud (Irlande) — Places API pour démarchage B2B (aucune donnée personnelle envoyée)
    • Apple Inc. — délivrance des cartes Apple Wallet (données minimales, serial number anonyme)
    • Google LLC — délivrance des cartes Google Wallet (idem)

Chaque sous-traitant a signé un Data Processing Agreement (DPA) conforme à l'article 28 RGPD. La liste détaillée et les liens vers les DPA sont disponibles sur demande à pixelfid.contact@gmail.com.

6. Transferts hors Union européenne

L'ensemble des données personnelles est stocké en Union européenne (principalement Francfort, Allemagne, et Dublin, Irlande). Certains sous-traitants (Vercel, Resend, Upstash, Stripe pour résilience, Apple, Google) sont des sociétés américaines avec lesquelles des transferts ponctuels peuvent intervenir (logs techniques, replica de résilience).

Ces transferts sont encadrés par :

  • Clauses contractuelles types (SCC) de la Commission européenne, version 2021
  • EU-US Data Privacy Framework (DPF) pour les sous-traitants certifiés (Vercel, Stripe, Google notamment)
  • Minimisation : jamais de données personnelles identifiantes envoyées en dehors des opérations strictement nécessaires

7. Décisions automatisées et profilage

Aucune décision entièrement automatiséeayant des effets juridiques ou vous affectant significativement n'est prise par PixelFid (article 22 RGPD).

Aucun profilagen'est mis en œuvre. Les statistiques visibles côté commerçant sont des agrégats anonymisés (nombre de clients, total transactions, total points distribués) — il ne s'agit pas d'une analyse comportementale individuelle.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès(art. 15) : obtenir une copie structurée de toutes vos données
  • Droit de rectification(art. 16) : corriger des informations inexactes
  • Droit à l'effacement(art. 17, « droit à l'oubli ») : suppression irréversible de votre compte
  • Droit à la limitation(art. 18) : suspension temporaire du traitement en cas de contestation
  • Droit à la portabilité(art. 20) : récupération de vos données en format JSON structuré
  • Droit d'opposition(art. 21) : retrait du consentement marketing à tout moment (lien de désabonnement présent dans chaque email)
  • Droit de définir des directives post-mortem (loi Informatique et Libertés française)

Comment exercer ces droits ?

  • Clients finaux : utilisez la page « Mes données » accessible depuis le lien de votre commerçant, ou envoyez un email à pixelfid.contact@gmail.com.
  • Commerçants : depuis le dashboard « Paramètres → Mes données ».

Délai de réponse : 1 mois maximum à compter de la réception de la demande (extension possible à 3 mois pour les demandes complexes, avec information préalable).

En cas de difficulté ou de litige, vous pouvez à tout moment introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

9. Sécurité

Mesures techniques et organisationnelles mises en œuvre :

  • Chiffrement : HTTPS/TLS 1.3 obligatoire sur toutes les communications, données chiffrées au repos en BDD
  • Isolation : Row Level Security PostgreSQL, un commerçant ne peut techniquement pas accéder aux données d'un autre
  • Authentification : magic link sans mot de passe (pas de fuite possible), tokens HttpOnly + Secure
  • Tokens d'accès : générés via crypto.randomBytes(32)(256 bits d'entropie), stockés hashés en SHA-256
  • Anti-abus : rate limiting distribué Upstash, détection scans dupliqués
  • Logs d'audit : chaque accès admin enregistré et conservé 12 mois
  • Sauvegardes : snapshots journaliers Supabase, rétention 7 jours

10. Cookies

Voir notre politique de cookies. En résumé : aucun cookie tiers, aucun tracking publicitaire, aucun outil analytics externe non-conforme.

11. Modifications de cette politique

Cette politique peut être amenée à évoluer. Toute modification substantielle sera notifiée par email aux utilisateurs concernés et portée en haut de cette page (date de mise à jour). Les versions antérieures restent disponibles sur demande à pixelfid.contact@gmail.com.

⚠️ Document à valider par un juriste / DPOavant mise en production définitive. Le SIRET de PixelFid sera complété dès réception de l'avis SIRENE INSEE (en cours, dossier J00247670110).

CGV·Confidentialité·Mentions légales·Cookies·Contact

Une question ? pixelfid.contact@gmail.com