Politique de confidentialité

En résumé. Nuvy collecte le minimum d'informations nécessaires au fonctionnement de votre carte de fidélité : prénom, nom, téléphone. Aucune publicité, aucun cookie de tracking, aucune revente de données. Vos données restent en Europe pour la base, et transitent vers Apple et Google uniquement pour le service Wallet.

Le commerçant chez qui vous avez créé votre carte est responsable de traitement. Nuvy agit comme sous-traitant technique (article 28 RGPD).

Sommaire

Qui sommes-nous ?
Rôles : responsable de traitement et sous-traitant
Données collectées
Finalités et bases légales
Destinataires et sous-traitants
Transferts hors Union européenne
Durées de conservation
Sécurité
Vos droits
Cookies
Mineurs
Évolution de la politique

1. Qui sommes-nous ?

La présente politique s'applique aux traitements de données personnelles effectués par Nuvy SASU (RCS Pontoise 104 162 219, siège social 4 rue des Chardonnerets, 95220 Herblay-sur-Seine) dans le cadre de l'exploitation du site nuvy.pro et de la solution SaaS de fidélité digitale Nuvy.

Nuvy n'a pas désigné de Délégué à la protection des données (DPO), n'y étant pas tenue. Pour toute question relative à vos données personnelles, vous pouvez écrire à contact@nuvy.pro.

2. Rôles : responsable de traitement et sous-traitant

Lorsque vous créez une carte de fidélité Nuvy chez un commerçant partenaire :

Le commerçant est responsable de traitement. Il définit les finalités du programme de fidélité, choisit les récompenses, et prend la décision de collecter vos données.
Nuvy est sous-traitant au sens de l'article 28 du RGPD. Nuvy traite les données pour le compte du commerçant, conformément à un accord de sous-traitance (DPA) signé avec ce dernier, et selon ses instructions documentées.

Pour les données du commerçant lui-même (compte d'accès, facturation, prospection commerciale), Nuvy agit en tant que responsable de traitement autonome.

Pour exercer vos droits, vous pouvez contacter directement le commerçant ou Nuvy à contact@nuvy.pro — Nuvy relaiera la demande au commerçant si nécessaire.

3. Données collectées

Nuvy applique le principe de minimisation : seules les données strictement nécessaires sont collectées.

3.1 Données fournies par le client final lors de l'inscription

Prénom et nom (champ obligatoire)
Numéro de téléphone (champ obligatoire, sert d'identifiant unique de la carte)

Aucune adresse postale, aucune adresse email, aucune date de naissance, aucune information sur le sexe, aucune information bancaire ne sont collectées auprès du client final.

3.2 Données générées par l'utilisation

Historique des passages (date, heure de chaque tap NFC ou validation manuelle)
Solde de tampons et nombre de récompenses obtenues
Total de points cumulés sur la durée
Type d'appareil (iOS, Android ou autre) déduit du user-agent au moment de l'inscription

3.3 Données techniques

Numéro de série unique de la carte Wallet (généré automatiquement)
Jeton d'authentification Apple Wallet ou Google Wallet (stocké côté serveur pour les mises à jour push)
Adresse IP (uniquement dans les logs serveur, conservés 7 jours)

3.4 Données de consentement

Date et heure d'acceptation des CGU et de la politique de confidentialité
Version des conditions acceptées
Choix marketing (case opt-in cochée ou non)
Source de l'inscription (tap NFC, QR code, ou création manuelle par le commerçant)

3.5 Données du commerçant (compte professionnel)

Nom commercial, adresse postale, numéro de téléphone, email professionnel
Identifiants de connexion (le mot de passe est haché avec bcrypt, jamais stocké en clair)
Données de facturation Stripe (gérées par Stripe — Nuvy ne stocke ni numéro de carte, ni IBAN)

4. Finalités et bases légales

Finalité du traitement	Base légale	Source
Tenir le programme de fidélité : enregistrer les passages, calculer les tampons, gérer les récompenses	Exécution du contrat (art. 6.1.b RGPD)	Inscription du client
Notifications transactionnelles : mise à jour de la carte Wallet après chaque passage, information de service (changement d'horaire, fermeture exceptionnelle)	Exécution du contrat (art. 6.1.b)	Inscription du client
Notifications marketing : promotions, événements, nouveautés du commerçant	Consentement (art. 6.1.a RGPD + art. L34-5 CPCE)	Case opt-in distincte
Statistiques anonymisées du programme pour le commerçant (agrégats : heures de pointe, taux de rétention)	Intérêt légitime du commerçant à piloter son activité (art. 6.1.f)	—
Sécurité et lutte contre la fraude (rate limiting, détection d'usages anormaux)	Intérêt légitime (art. 6.1.f)	—
Facturation et obligations comptables (commerçants uniquement)	Obligation légale (art. 6.1.c)	Souscription
Prospection commerciale par Nuvy (commerçants uniquement)	Intérêt légitime (B2B)	—

Distinction transactionnel / marketing. Les notifications utiles à l'exécution du contrat (« votre carte a été mise à jour », « la boutique sera fermée vendredi ») sont envoyées à tous les porteurs de carte sur la base de l'exécution du contrat. Les notifications commerciales (« -20 % ce week-end ») ne sont envoyées qu'aux clients ayant explicitement coché la case opt-in lors de l'inscription. Ce consentement peut être retiré à tout moment.

5. Destinataires et sous-traitants

Vos données sont accessibles uniquement à Nuvy (équipe technique), au commerçant chez qui vous avez créé la carte, et aux sous-traitants techniques listés ci-dessous. Aucune donnée n'est revendue, louée ou cédée à des tiers à des fins commerciales.

Sous-traitant	Service rendu	Localisation	Garantie
Supabase, Inc.	Base de données et stockage de fichiers	Région eu-west-3 (Paris)	Données dans l'UE
Railway Corporation	Hébergement de l'application web et de l'API	États-Unis	Clauses contractuelles types (CCT) art. 46.2.c RGPD
Apple Inc.	Service Apple Wallet et notifications push (APNs)	États-Unis	Dérogation art. 49.1.b RGPD (exécution du contrat à la demande de la personne concernée)
Google LLC	Service Google Wallet et notifications associées	États-Unis	Dérogation art. 49.1.b RGPD
Stripe Payments Europe Ltd	Encaissement des abonnements commerçants	Irlande (UE)	Données dans l'UE pour le traitement principal
Meta Platforms Ireland Ltd	Messagerie WhatsApp Business pour le contact commercial (commerçants uniquement)	Irlande (UE) / États-Unis	CCT art. 46.2.c RGPD

6. Transferts hors Union européenne

Certains traitements impliquent des transferts de données vers les États-Unis :

Hébergement Railway : encadré par les Clauses contractuelles types (CCT) adoptées par décision de la Commission européenne 2021/914 du 4 juin 2021.
Apple APNs et Google Wallet : encadrés par la dérogation de l'article 49.1.b RGPD (le transfert est nécessaire à l'exécution du contrat conclu dans l'intérêt de la personne concernée — sans transfert, aucune carte Wallet ne peut fonctionner).

Nuvy s'engage à informer ses utilisateurs de toute évolution réglementaire significative concernant ces transferts (notamment en cas de remise en cause du Data Privacy Framework ou des CCT par la jurisprudence européenne).

7. Durées de conservation

Catégorie de données	Durée active	Archivage
Données de fidélité du client final	3 ans après la dernière interaction (dernier passage en boutique)	—
Données de consentement (preuve)	3 ans après le retrait du consentement ou la suppression du compte	—
Données du compte commerçant après résiliation	60 jours (export possible)	Données de facturation : 10 ans (art. L123-22 C. com.)
Logs serveur (adresses IP, requêtes techniques)	7 jours glissants	—
Sauvegardes Supabase (Point-in-Time Recovery)	7 jours	—

À l'issue de ces durées, les données sont effacées des bases de production. Les données comptables liées aux factures émises auprès des commerçants sont archivées 10 ans conformément à l'article L123-22 du Code de commerce.

8. Sécurité

Nuvy met en œuvre des mesures techniques et organisationnelles proportionnées aux risques :

Chiffrement des mots de passe par bcrypt (jamais stockés en clair)
Authentification par jetons JWT signés et expirant sous 7 jours
Rate limiting sur les endpoints sensibles (login, création de compte, push)
Validation stricte des entrées utilisateur (anti-injection)
Hébergement HTTPS / TLS obligatoire (Railway force le redirect)
Sauvegardes Point-in-Time Recovery Supabase sur 7 jours
Accès aux données restreint par principe du moindre privilège
Toutes les communications avec les sous-traitants sont chiffrées en transit (TLS 1.2+)

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Nuvy en informera la CNIL dans les 72 heures et, si le risque est élevé, les personnes concernées dans les meilleurs délais.

9. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Droit d'accès : obtenir confirmation que vos données sont traitées et en recevoir une copie
Droit de rectification : faire corriger des données inexactes ou incomplètes
Droit à l'effacement (« droit à l'oubli »)
Droit à la limitation du traitement
Droit à la portabilité : recevoir vos données dans un format structuré (CSV ou JSON)
Droit d'opposition au traitement, notamment marketing
Droit de retirer votre consentement à tout moment (n'affecte pas la licéité du traitement passé)
Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés)

Pour exercer ces droits, écrivez à contact@nuvy.pro en précisant votre demande et le numéro de téléphone associé à votre carte (pour vous identifier). Nous vous répondrons dans un délai maximum d'un mois.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) — cnil.fr/fr/plaintes.

Suppression de carte ≠ suppression de données. Supprimer la carte de votre Wallet Apple ou Google la masque sur votre téléphone, mais ne supprime pas vos données chez Nuvy. Pour une suppression effective, contactez le commerçant ou écrivez-nous.

10. Cookies

Le site nuvy.pro utilise uniquement des cookies strictement nécessaires au fonctionnement (session de connexion commerçant, jeton JWT). Aucun cookie tiers, aucun cookie publicitaire, aucun outil d'analyse type Google Analytics ou Meta Pixel n'est déposé.

En conséquence, conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices CNIL, aucune bannière de consentement cookies n'est nécessaire. Le détail figure dans la Politique cookies.

11. Mineurs

Le service Nuvy est ouvert aux personnes majeures. Les mineurs de 15 ans et plus peuvent créer une carte avec l'accord de leur représentant légal. Nuvy ne procède à aucun ciblage publicitaire envers les mineurs.

Si un parent ou tuteur légal estime qu'un mineur a créé une carte sans son consentement, il peut demander la suppression immédiate des données à contact@nuvy.pro.

12. Évolution de la politique

La présente politique peut être mise à jour pour refléter des évolutions techniques, réglementaires ou d'organisation interne. La date de dernière mise à jour figure en tête de document. Toute modification substantielle (changement de finalité, ajout d'un sous-traitant majeur, modification de durée de conservation) sera notifiée :

aux clients finaux par notification sur leur carte Wallet et/ou affichage en page d'accueil pendant 30 jours,
aux commerçants par email à l'adresse de contact renseignée dans leur compte.

Vous pouvez à tout moment consulter la version en vigueur sur cette page.

Contact RGPD

Pour toute question relative à vos données personnelles, exercer vos droits, ou signaler un incident :

Par email : contact@nuvy.pro
Par courrier : Nuvy SASU, 4 rue des Chardonnerets, 95220 Herblay-sur-Seine, France