Politique de confidentialité

DATA SYSTEM, société par actions simplifiée (SAS) au capital de 2 000 €, immatriculée au RCS de Bordeaux sous le numéro 985 259 472, dont le siège est situé 2 B Avenue du Président Vincent Auriol, 33150 Cenon, édite la plateforme MyClovr accessible depuis myclovr.com et pro.myclovr.com. Pour toute question relative à la présente politique : formulaire /contact (catégorie « Question sur les CGU ou mentions légales »).

• Compte utilisateur (client final ou commerçant) : email, nom, mot de passe haché (Better Auth), QR code personnel.
• Compte commerçant : SIRET, raison sociale, adresse professionnelle, numéro de téléphone, catégorie de commerce.
• Données de fidélité : historique des passages (scans QR), points/tampons accumulés, récompenses échangées.
• Données de paiement : gérées exclusivement par Stripe. MyClovr ne stocke jamais de numéro de carte.
• Enregistrement des appels téléphoniques : les appels passés au numéro professionnel de MyClovr (+33 5 25 33 25 33) sont enregistrés à partir de la mise en relation avec un conseiller (la conversation uniquement, jamais le menu vocal). L'enregistrement audio et sa transcription écrite sont conservés. Une annonce vocale informe l'appelant de l'enregistrement avant la mise en relation.
• Intégrations tierces (optionnelles, opt-in commerçant) : tokens OAuth Google Business Profile (chiffrés AES-256-GCM), tokens de la caisse enregistreuse.
• Données techniques : adresse IP, user-agent, cookies de session (HttpOnly, Secure, SameSite=Lax).

• Fournir le service de carte de fidélité universelle (exécution du contrat).
• Permettre aux commerçants de gérer leur programme de fidélité, leurs avis Google et leurs commandes Click & Collect (exécution du contrat).
• Envoyer des notifications transactionnelles (email, push, SMS) : confirmation de commande, alerte solde Clovr, récompense débloquée (intérêt légitime).
• Statistiques anonymisées pour améliorer le service (intérêt légitime).
• Enregistrer les appels téléphoniques entrants au numéro professionnel à des fins de qualité de service et de preuve (intérêt légitime). L'appelant en est informé par une annonce vocale en début de mise en relation.

Les données sont accessibles à :

• Vous-même (depuis votre espace personnel)
• Les commerçants chez qui vous êtes inscrit (uniquement les données de fidélité vous concernant chez eux : passages, points, photo optionnelle)
• L'équipe MyClovr (support, conformité, sécurité)
• Nos sous-traitants techniques :
  • Vercel (hébergement, USA — clauses contractuelles types UE/USA)
  • Neon (base de données PostgreSQL, hébergée UE Francfort — clauses contractuelles types)
  • Upstash (cache Redis et rate limiting, hébergé UE Francfort)
  • Amazon Web Services (AWS) (stockage S3 des avatars clients, photos produits commerçants et enregistrements d'appels, région UE — exploitant européen AWS EMEA SARL, Luxembourg)
  • Stripe (paiements, USA — DPA signé, clauses contractuelles types)
  • Resend (emails transactionnels, USA — clauses contractuelles types)
  • Telnyx + LiveKit + ElevenLabs (Agent IA téléphonique opt-in commerçant ; Telnyx assure aussi la téléphonie et l'enregistrement des appels au numéro professionnel MyClovr)
  • OpenAI (génération de réponses IA aux avis Google ; transcription écrite des enregistrements d'appels — DPA signé, clauses contractuelles types)
  • Google (intégration Business Profile, opt-in commerçant)
  • Connecteurs caisse (POS) — opt-in commerçant uniquement, lorsque le commerçant connecte sa caisse : Lightspeed (X-Series, K-Series, Retail), SumUp (POS Pro / Tiller), Innovorder, L'Addition. Données échangées : identifiants commande, montants, références produits — jamais de moyens de paiement.

• Compte actif : tant que le compte n'est pas supprimé.
• Compte supprimé : effacement immédiat des données personnelles, conservation 10 ans des données comptables (factures, débits Clovr) — obligation légale française.
• Tokens OAuth tiers : effacés à la déconnexion du service concerné ou à la suppression du compte.
• Logs techniques : 30 jours.
• Enregistrements d'appels téléphoniques et leurs transcriptions : conservés jusqu'à leur suppression par l'éditeur (suivi qualité), sans durée automatique.

Conformément au RGPD, vous disposez à tout moment des droits suivants sur vos données personnelles :

• Accès et copie
• Rectification
• Effacement (« droit à l'oubli »)
• Limitation du traitement
• Portabilité (export JSON)
• Opposition au traitement
• Retrait du consentement à tout moment pour les traitements basés sur celui-ci

DATA SYSTEM a désigné un Délégué à la protection des données (DPO) interne : M. Hichème Bellakhchaf.

Pour exercer vos droits ou saisir le DPO : formulaire /contact (catégorie « Exercer mes droits RGPD »). Réponse dans un délai maximal d'un mois à compter de la réception de la demande (art. 12 RGPD), pouvant être prolongé de deux mois supplémentaires en cas de complexité, avec information motivée.

En cas de désaccord, vous pouvez saisir la CNIL : www.cnil.fr.

MyClovr utilise un seul cookie strictement nécessaire à votre authentification : __Secure-myclovr.session_token (HttpOnly, Secure, SameSite=Lax, durée 30 jours). Aucun cookie publicitaire, aucun tracker tiers.

MyClovr applique les standards de l'état de l'art : HTTPS systématique (HSTS preload), chiffrement AES-256-GCM des secrets tiers en base, optimistic locking sur les transactions critiques, rate limiting Upstash sur tous les endpoints sensibles, signature vérifiée sur tous les webhooks entrants.

La présente politique peut être mise à jour. Toute modification substantielle sera notifiée par email aux comptes actifs au moins 30 jours avant son entrée en vigueur.