Résumé en clair. Vos données restent en Union européenne (Paris & Francfort). Nous n'en vendons jamais. Nous n'en utilisons que ce qu'il faut pour faire fonctionner le service. Vous pouvez accéder, rectifier, exporter ou effacer vos données à tout moment depuis votre dashboard ou en écrivant à hello@qauryx.io.
01Responsable du traitement
Pour les données de nos clients (vous, en tant qu'utilisateur de la plateforme), le responsable du traitement est QAURYX SAS, 47 rue Vivienne, 75002 Paris, France, France. Pour les données de vos utilisateurs finaux (vos acheteurs), nous agissons en qualité de sous-traitant au sens du RGPD, sous votre instruction.
02Données collectées
| Catégorie | Données concernées |
|---|---|
| Compte client | Email, nom, prénom, entreprise, mot de passe haché (Argon2id), rôle. |
| Facturation | Raison sociale, SIREN, TVA, adresse, méthode de paiement Qauryx (tokenisée). |
| Usage technique | Adresses IP, user-agent, journaux d'audit, requêtes API, latences. |
| Données acheteurs (sous-traitance) | Email, prénom, nom, pays, panier, signaux fraude (jamais le PAN — tokenisé côté Stripe). |
| Communications | Échanges support, formulaires de contact, retours produit. |
Nous ne collectons jamais les numéros de carte bancaire en clair. Ces données sont tokenisées au sein de l'environnement PCI de Stripe ; nous ne manipulons que des tokens.
03Finalités & bases légales
- Exécution du contrat — fournir, sécuriser et facturer les Services (art. 6.1.b RGPD).
- Obligation légale — facturation, comptabilité, lutte anti-fraude, archivage 10 ans (art. 6.1.c).
- Intérêt légitime — protection des Services, sécurité, prévention de la fraude, amélioration produit (art. 6.1.f).
- Consentement — newsletter, cookies analytiques non essentiels (art. 6.1.a). Retirable à tout moment.
04Durées de conservation
Compte client : pendant toute la durée du contrat + 3 ans à des fins de prospection. Données de facturation : 10 ans (obligation comptable et fiscale). Logs techniques : 13 mois. Données acheteurs traitées en sous-traitance : selon la durée définie par vos propres instructions, par défaut 36 mois.
05Destinataires & sous-traitants
Nous partageons strictement ce qui est nécessaire avec les sous-traitants suivants, tous liés par un DPA conforme :
- Amazon Web Services (Paris, Frankfurt) — hébergement applicatif.
- Stripe Payments Europe Ltd. (Irlande) — traitement des paiements (PSP).
- Sentry (UE) — observabilité d'erreurs applicatives.
- Resend (UE) — envoi d'emails transactionnels.
- Notion Labs (US, SCC + DPF) — base de connaissances interne (pas de PII client).
06Transferts hors UE
Par défaut, vos données restent hébergées dans l'Union européenne (zones AWS eu-west-3 Paris et eu-central-1 Francfort). Tout transfert ponctuel hors UE (notamment vers les États-Unis) est encadré par les Clauses Contractuelles Types adoptées par la Commission (Décision 2021/914) et, le cas échéant, par l'adhésion du sous-traitant au Data Privacy Framework.
07Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, d'opposition, de portabilité, ainsi qu'un droit de retirer votre consentement à tout moment. Vous pouvez exercer ces droits depuis votre dashboard (Paramètres → Confidentialité) ou en écrivant à hello@qauryx.io. Nous répondons sous 30 jours.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris — cnil.fr).
08Sécurité
Nous appliquons les standards de l'industrie : TLS 1.3 obligatoire, chiffrement AES-256 au repos, isolation réseau VPC, secrets gérés via HashiCorp Vault, authentification multi-facteurs sur tous les comptes internes, principe du moindre privilège, journaux d'audit immuables. Voir notre page Sécurité pour le détail.
09Cookies
Notre usage des cookies est minimal et détaillé dans notre Politique de Cookies. Aucun cookie publicitaire, aucun tracker tiers sans consentement.
10Mineurs
Les Services sont destinés à un usage professionnel et ne sont pas conçus pour des personnes de moins de 16 ans. Nous ne collectons pas sciemment de données de mineurs. Si vous pensez que nous avons collecté de telles données, contactez-nous pour suppression immédiate.
11Modifications
Nous pouvons mettre à jour cette politique. Toute modification substantielle est notifiée par email au moins 30 jours avant entrée en vigueur. La date de mise à jour figure en haut de page.
12DPO & contact
Pour toute question relative à vos données : hello@qauryx.io (équipe DPO interne). Adresse postale : QAURYX SAS — DPO — 47 rue Vivienne, 75002 Paris, France — France.