Politique de confidentialité.
Dernière mise à jour : 23 mai 2026 · Version 1.0
Pourquoi une politique de confidentialité ?
Stampo est un service de carte de fidélité. Pour le faire fonctionner, nous devons traiter quelques données personnelles — les vôtres, en tant que commerçant, et un peu de celles de vos clients. Cette page explique, en langage clair, ce que nous collectons, pourquoi nous le collectons, et ce que nous n'en faisons jamais.
Cette politique peut être mise à jour au fil du temps. Nous vous préviendrons par e-mail au moins 30 jours avant toute modification substantielle.
Qui est responsable de vos données ?
HELMO SOLUTIONS LTD exploite Stampo et agit en tant que responsable du traitement pour tout ce que vous téléversez sur la plateforme. Pour les données de fidélité de vos clients, c'est vous (le commerçant) qui êtes responsable du traitement — nous sommes votre sous-traitant, dans le cadre d'un accord de traitement des données intégré à nos CGU.
Pour exercer un droit ou poser une question, écrivez à contact@stampo.cards. Nous répondons sous 30 jours.
Que collectons-nous ?
De vous, le commerçant : e-mail, mot de passe (haché avec bcrypt), nom et catégorie du commerce, adresse, logo, couleurs de marque, et les données de paiement dont Stripe a besoin pour facturer votre abonnement. Nous ne voyons pas votre numéro de carte — seul Stripe le voit.
De vos clients : prénom, e-mail, l'horodatage de leur consentement à recevoir leur carte, et leur historique de tampons et de récompenses lié à votre commerce. Rien de plus. Nous ne demandons ni leur date de naissance, ni leur adresse, ni leur numéro de téléphone.
Pour les analytics : aucun SDK d'analytique n'est installé sur le site à ce jour. Si nous en installons un, il sera respectueux de la vie privée, nommé explicitement ici, et visible avant exécution. Pas de Google Analytics, pas de Meta Pixel, pas de cookies publicitaires.
À quoi ça sert ?
Faire fonctionner le service — créer votre carte, scanner vos clients, distribuer les récompenses, pousser les mises à jour dans Apple Wallet et Google Wallet. Envoyer les e-mails transactionnels que le service exige (bienvenue, activation, récompense débloquée). Facturer votre abonnement. Détecter les abus et la fraude. C'est tout.
Nous n'utiliserons jamais vos données, ni celles de vos clients, pour entraîner un modèle ni pour les vendre à un tiers.
Sur quelle base juridique (RGPD) ?
Exécution du contrat pour tout ce qui est strictement nécessaire à la fourniture du service auquel vous avez souscrit. Consentement explicite pour tout ce qui est optionnel, y compris les e-mails marketing (que nous n'envoyons pas par défaut). Intérêt légitime pour la sécurité, la détection de fraude et l'intégrité de la plateforme.
Qui d'autre voit ces données ?
Une liste courte de sous-traitants, chacun lié par un accord de traitement des données conforme au RGPD :
- Supabase — hébergement base de données, région Singapour.
- Vercel — hébergement applicatif, Europe et USA.
- Resend — envoi d'e-mails transactionnels.
- Stripe — traitement des paiements, Europe et USA.
- Apple et Google — distribution des cartes Wallet sur le téléphone du client.
Aucune régie publicitaire. Aucun courtier de données. Aucun CRM qui revend de l'enrichissement.
Comment les données sont-elles protégées ?
Chiffrement HTTPS/TLS pour tout le trafic. Chiffrement AES-256 au repos. Mots de passe hachés avec bcrypt. Isolation des données par tenant via Row Level Security — les données de vos clients sont invisibles aux autres commerçants de la plateforme. Audit annuel des permissions.
De votre côté, appliquez les bases : maintenez votre système d'exploitation à jour, protégez le mot de passe de votre compte, et activez l'authentification à deux facteurs dès que nous la déployons.
Combien de temps les conservons-nous ?
Compte commerçant : pendant la durée de votre abonnement, plus 6 mois après résiliation pour respecter les obligations comptables. Ensuite, suppression définitive.
Données de fidélité des clients : tant que vous gardez le compte actif. Supprimées sur demande du client (vous agissez ; nous fournissons les outils).
Journaux : 30 jours pour les journaux d'accès, 12 mois pour les événements de sécurité.
Cookies et tracking
Nous ne posons que les cookies strictement nécessaires au fonctionnement du service — votre session d'authentification et un jeton CSRF. Aucun cookie publicitaire. Aucun script de tracking tiers. Aucune bannière de consentement parce que nous n'en avons pas besoin.
Transferts internationaux
Certaines données sont hébergées hors de l'Union européenne (Supabase à Singapour, parties de Vercel aux USA, Stripe aux USA). Ces transferts sont couverts par les Clauses Contractuelles Types approuvées par la Commission européenne.
Vos droits
Le RGPD vous donne le droit d'accéder, de rectifier, d'effacer, de porter, de vous opposer à, et de restreindre le traitement de vos données personnelles. Écrivez à contact@stampo.cards — nous répondons sous 30 jours.
Vous pouvez également déposer une réclamation auprès de votre autorité locale de protection des données. Pour les résidents de l'UE, c'est généralement l'autorité de contrôle de votre pays de résidence (la CNIL en France).
Réservé aux adultes
Stampo est un service entreprise-à-entreprise. Le commerçant signataire doit être majeur (18+) et juridiquement capable de contracter pour son entreprise. Nous ne collectons pas sciemment de données auprès de mineurs, et la carte Wallet côté client n'est générée qu'après le consentement explicite du client qui scanne le formulaire d'activation.
Contact
Pour toute question sur cette politique ou sur vos données, écrivez à contact@stampo.cards.