Politique de Confidentialité

Dernière mise à jour : 21 mars 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées sur le site HanyPass.com est :

  • HanyPass – Micro-Entreprise
  • Adresse : [Votre adresse complète]
  • E-mail DPO / Contact : contact@hanypass.com

2. Données collectées

Nous collectons les catégories de données suivantes :

2.1. Données des Commerçants (Clients B2B)

  • Nom et prénom du représentant
  • Nom de l'établissement
  • Adresse e-mail professionnelle
  • Mot de passe (stocké hashé par Supabase Auth, jamais en clair)
  • Logo et préférences graphiques (couleur d'accent)
  • Données de facturation (traitées directement par Stripe, non stockées par HanyPass)

2.2. Données des Consommateurs (clients des commerçants)

  • Nom complet
  • Adresse e-mail
  • Date d'anniversaire (optionnelle, utilisée pour le bonus anniversaire)
  • Solde de points de fidélité et date d'expiration des points
  • Historique des transactions de points
  • Récompenses débloquées
  • Notes de satisfaction (avis après visite)
  • Progression des challenges et missions
  • Historique des tours de la Roue de la Chance
  • Données de gamification (niveau, streak, badges)
  • Code et historique de parrainage

2.3. Données techniques

  • Adresse IP (logs serveur hébergeur)
  • Type de navigateur et système d'exploitation
  • Données de cookies (voir section 7)

3. Bases légales du traitement

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale :

Finalité Base légale
Création et gestion du compte commerçantExécution du contrat (art. 6.1.b)
Gestion des abonnements et paiementsExécution du contrat (art. 6.1.b)
Fourniture des cartes de fidélité aux consommateursExécution du contrat (art. 6.1.b)
Gestion des points, récompenses et expiration de pointsExécution du contrat (art. 6.1.b)
Challenges, missions et Roue de la ChanceExécution du contrat (art. 6.1.b)
Collecte de la satisfaction client (notes/avis)Intérêt légitime (art. 6.1.f)
Bonus anniversaire (stockage date de naissance)Consentement (art. 6.1.a)
E-mails de service (confirmation, expiration)Intérêt légitime (art. 6.1.f)
Mesure d'audience / analyticsConsentement (art. 6.1.a)
Sécurité et prévention des fraudesIntérêt légitime (art. 6.1.f)
Respect des obligations légales (facturation)Obligation légale (art. 6.1.c)

4. Durée de conservation

Données Durée de conservation
Compte commerçant actifDurée de l'abonnement + 90 jours après résiliation
Compte commerçant suspendu (impayé)90 jours après suspension, puis suppression
Données des consommateurs (points, challenges, satisfaction, anniversaire, roue)Durée de la relation avec le commerçant + 90 jours
Données de facturation10 ans (obligation légale – art. L.123-22 du Code de commerce)
Logs de connexion12 mois (obligation légale – LCEN)
Données de cookies analytiques13 mois maximum (recommandation CNIL)

5. Sous-traitants et destinataires

Vos données peuvent être transmises aux sous-traitants suivants, dans le strict cadre des finalités décrites :

Sous-traitant Finalité Localisation Garanties
Supabase, Inc.Base de données, authentificationAWS Francfort (UE)Clauses contractuelles types (CCT)
Stripe Payments Europe, LtdPaiementsIrlande (UE)Certifié PCI DSS Level 1
Hostinger International LtdHébergement site webUERGPD conforme
Apple Inc.Distribution Apple WalletÉtats-UnisClauses contractuelles types
Google LLCDistribution Google WalletÉtats-UnisClauses contractuelles types

HanyPass ne vend, ne loue et ne partage jamais vos données personnelles à des fins publicitaires ou commerciales.

6. Transferts hors UE

Certains sous-traitants (Apple, Google) sont situés aux États-Unis. Ces transferts sont encadrés par :

  • Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914)
  • Le EU-US Data Privacy Framework (décision d'adéquation du 10 juillet 2023), le cas échéant

La base de données principale est hébergée dans l'Union européenne (AWS Francfort).

7. Cookies

7.1. Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lors de la visite d'un site web. Il permet au site de mémoriser des informations sur votre visite.

7.2. Cookies utilisés

Nom Type Finalité Durée Consentement
sb-*-auth-token Strictement nécessaire Authentification utilisateur (Supabase) Session Non requis (exempté – art. 82 Loi Informatique et Libertés)
hanypass_cookies Strictement nécessaire Mémorisation du choix cookies 13 mois Non requis (exempté)
hany_cache_* Fonctionnel Cache local du nom de l'établissement Persistant Non requis (exempté)
_ga, _gid Analytique Mesure d'audience (Google Analytics) 13 mois max. Oui – consentement préalable

7.3. Gestion des cookies

Lors de votre première visite, un bandeau vous permet d'accepter ou de refuser les cookies non essentiels. Vous pouvez modifier votre choix à tout moment via le lien « Cookies » en bas de chaque page.

Vous pouvez également configurer votre navigateur pour refuser les cookies. Notez que cela peut affecter certaines fonctionnalités du site.

Conformément aux recommandations de la CNIL, le consentement aux cookies est redemandé tous les 6 mois.

8. Sécurité des données

HanyPass met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

  • Chiffrement des données en transit (HTTPS / TLS 1.2+)
  • Chiffrement au repos (AES-256 via AWS)
  • Authentification sécurisée avec hachage des mots de passe (bcrypt)
  • Row Level Security (RLS) au niveau base de données – isolation stricte des données par commerçant
  • Contrôle d'accès strict (CORS restreint, validation UUID, vérification d'autorisation)
  • Aucune donnée bancaire stockée (délégué à Stripe PCI DSS Level 1)
  • Protection SSRF sur les URLs importées (logos)

9. Vos droits (RGPD)

Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • Droit d'accès (art. 15) – obtenir une copie de vos données personnelles
  • Droit de rectification (art. 16) – corriger des données inexactes ou incomplètes
  • Droit à l'effacement (art. 17) – demander la suppression de vos données
  • Droit à la limitation (art. 18) – geler temporairement le traitement
  • Droit à la portabilité (art. 20) – recevoir vos données dans un format structuré (JSON/CSV)
  • Droit d'opposition (art. 21) – vous opposer au traitement fondé sur l'intérêt légitime
  • Droit de retirer votre consentement – à tout moment pour les cookies analytiques
  • Directives post-mortem (loi Informatique et Libertés, art. 85) – définir des directives relatives à la conservation et la suppression de vos données après votre décès

Pour exercer vos droits :

Envoyez un e-mail à contact@hanypass.com avec l'objet « Exercice de droits RGPD » accompagné d'une copie d'un justificatif d'identité. Nous répondrons dans un délai de 30 jours (prolongeable de 2 mois en cas de complexité).

En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :

  • En ligne : cnil.fr/fr/plaintes
  • Par courrier : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07

10. Modification de cette politique

HanyPass se réserve le droit de modifier la présente Politique de Confidentialité. En cas de modification substantielle, les utilisateurs seront informés par e-mail ou par notification sur le site au moins 15 jours avant l'entrée en vigueur.