Politique de confidentialité

La présente Politique de confidentialité explique comment Repass traite les données personnelles dans le cadre : - de l'utilisation du site repasscard.ch ; - de la création et de la gestion des comptes commerçants ; - de la fourniture de notre logiciel SaaS de cartes de fidélité digitales sur Apple Wallet et Google Wallet. Nous traitons les données personnelles conformément au droit suisse applicable en matière de protection des données (LPD).

2.1 Données des commerçants Pour les données des commerçants (utilisateurs payants du service), Repass agit comme responsable du traitement. Cela concerne les données utilisées pour créer un compte, gérer l'abonnement, assurer le support, sécuriser le service, envoyer les emails transactionnels et administrer la relation contractuelle. 2.2 Données des clients finaux Repass ne collecte aucune donnée d'identification directe des clients finaux (ni nom, ni prénom réel, ni email, ni téléphone, ni date de naissance). Seuls sont traités des identifiants techniques anonymes liés à la carte wallet (numéro de série, jetons de notification, compteur de tampons). Si le commerçant associe, dans ses propres systèmes (caisse, CRM, fichier clients), ces identifiants à des données identifiantes, il agit seul et en dehors du périmètre Repass. Il est alors responsable du traitement pour ses propres données, et aucun lien de sous-traitance n'est établi avec Repass pour ces données-là.

3.1 Données des commerçants Nous pouvons traiter : adresse email, numéro de téléphone, nom de l'entreprise, mot de passe sous forme hachée (bcrypt), identifiants Stripe (customer_id et subscription_id), langue préférée, historique d'abonnement, date de création de compte, données techniques et journaux de sécurité (adresse IP, métadonnées de connexion). Nous ne stockons aucune donnée complète de carte bancaire. Les paiements sont entièrement gérés par Stripe. 3.2 Données liées aux cartes de fidélité Pour chaque carte créée par un client final : - numéro de série technique (ex : repass-a1b2c3d4) ; - identifiant d'objet Google Wallet (quand applicable) ; - jeton push Apple et identifiant d'appareil (pour les notifications) ; - compteur de tampons et historique ; - date d'inscription et date du dernier tampon ; - langue choisie par le navigateur au moment de la création. Aucune de ces informations ne permet, à elle seule, d'identifier un individu. 3.3 Cookies Nous utilisons uniquement des cookies nécessaires au fonctionnement : cookie de session dashboard, cookie de session admin, cookie anti-doublon (pour empêcher la création de plusieurs cartes pour un même commerce), cookie PIN scanner (24h), cookie de langue. Nous n'utilisons aucun cookie analytique, aucun pixel publicitaire, aucun service externe de mesure d'audience.

4.1 Pour les commerçants : créer et gérer leur compte, fournir le service souscrit, gérer les abonnements et paiements, envoyer les emails transactionnels, répondre aux demandes de support, sécuriser le service, améliorer et maintenir le service. 4.2 Pour les cartes de fidélité : créer et maintenir les cartes wallet, enregistrer les tampons, permettre les mises à jour automatiques côté Apple/Google, envoyer les notifications selon le paramétrage du commerçant.

Pour les commerçants : exécution de la relation contractuelle, fonctionnement et sécurité du service, intérêts légitimes liés à l'exploitation et l'amélioration, respect des obligations légales. Pour les cartes de fidélité : consentement implicite du client final qui choisit volontairement d'ajouter la carte à son wallet, et intérêt légitime du commerçant à faire fonctionner son programme de fidélité.

Le client final ajoute volontairement sa carte de fidélité en scannant un QR code ou en utilisant un lien d'ajout. Il peut à tout moment supprimer la carte de son wallet, ce qui a pour effet de désactiver la carte côté Repass.

Repass ne stocke aucune géolocalisation côté serveur. Certaines fonctionnalités de proximité peuvent être configurées par le commerçant via les mécanismes natifs d'Apple Wallet ou Google Wallet. Le traitement de localisation est opéré nativement par Apple ou Google sur l'appareil du client final, sans que Repass n'y ait accès.

Nous pouvons communiquer certaines données aux prestataires suivants : - Stripe (Irlande/USA) pour la gestion des paiements et abonnements ; - Hostinger (infrastructure VPS en France) pour l'hébergement ; - Infomaniak (Suisse) pour l'envoi d'emails transactionnels ; - Apple (USA) pour les services liés à Apple Wallet ; - Google (USA) pour les services liés à Google Wallet ; - DeepL (Allemagne) pour la traduction automatique des messages de notification. Nous ne vendons aucune donnée personnelle.

Certains prestataires peuvent traiter des données hors de Suisse ou hors de l'EEE, notamment Apple, Google et Stripe. Ces transferts reposent sur les mécanismes contractuels ou garanties appropriées annoncés par les prestataires concernés (clauses contractuelles types, décisions d'adéquation).

- Les données des commerçants sont conservées tant que le compte est actif. - En cas de suppression du compte, les données sont supprimées sans délai injustifié. - Les données techniques des cartes de fidélité sont conservées tant que le compte du commerçant associé est actif, ou jusqu'à suppression de la carte par le client final (désactivation Apple/Google Wallet). - Les sauvegardes techniques sont conservées sur une base glissante d'environ 7 jours. - Les données de paiement détaillées sont conservées par Stripe selon ses propres règles (5 à 10 ans en général, obligations fiscales).

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement TLS des échanges, mots de passe hachés (bcrypt), contrôle d'accès, journalisation technique, limitation de débit (rate limiting), cloisonnement logique des environnements, sauvegardes régulières. Aucune mesure de sécurité n'offre toutefois une garantie absolue.

Les personnes concernées peuvent demander : l'accès à leurs données, la rectification, la suppression, la limitation ou l'opposition, la remise ou transmission. Pour les commerçants : contact@repasscard.ch Pour les clients finaux : toute demande relative aux données identifiantes doit être adressée directement au commerçant concerné, Repass ne détenant pas ces données. Pour la suppression d'une carte wallet, il suffit de la retirer depuis Apple Wallet ou Google Wallet. Délai visé de réponse : 30 jours.

Le service est destiné aux professionnels majeurs (commerçants). Les clients finaux ajoutant une carte wallet peuvent être mineurs, auquel cas ils le font sous la responsabilité de leur représentant légal. Repass ne collecte pas de donnée d'identification directe, ce qui limite les risques pour les mineurs.

Nous pouvons modifier la présente Politique à tout moment. La version en vigueur est celle publiée sur le site à la date de consultation.

Toute question relative à cette Politique peut être adressée à : contact@repasscard.ch