Politique de confidentialité — Professionnels
Dernière mise à jour : juin 2026
Cette notice explique quelles données KiftMe traite lorsque vous gérez un compte professionnel, pourquoi, sur quelle base et pour combien de temps. Elle est distincte des Conditions générales d’utilisation, des Mentions légales et de la Politique cookies.
1. Responsable de traitement et contact
RELOKE LTD, société enregistrée en Angleterre et au Pays de Galles (company number 17037940), qui exploite le service sous le nom commercial « KiftMe », est responsable du traitement des données personnelles décrites dans cette notice. Les informations complètes de l’éditeur (dénomination, forme juridique, siège social, immatriculation) ainsi que celles de l’hébergeur figurent dans les Mentions légales (document distinct).
Aucun délégué à la protection des données (DPO) n’est désigné à ce jour. Un contact dédié aux questions de protection des données traite vos demandes : pour toute question relative à cette notice ou à l’exercice de vos droits, écrivez à ce contact, à l’adresse indiquée en bas de cette page.
2. À qui s’adresse cette notice
Cette notice s’applique aux personnes physiques suivantes, dans le cadre de l’espace professionnel KiftMe :
- Le titulaire du compte professionnel : la personne qui crée et administre le compte du commerce.
- Les membres d’équipe invités : les personnes que le titulaire invite à accéder au compte, avec un rôle déterminé.
Vos clients particuliers (les personnes qui offrent ou reçoivent un Kift) relèvent de la Politique de confidentialité — Consommateurs (/privacy). L’usage des terminaux de paiement en magasin relève de la Notice POS (/privacy/pos).
3. Données traitées, finalités, bases légales et durées
Le tableau ci-dessous récapitule, pour chaque traitement de l’espace professionnel, la finalité poursuivie, la base légale, les données utilisées et leur source.
| Traitement | Finalité | Base légale | Données utilisées | Source |
|---|---|---|---|---|
| Création et gestion du compte professionnel | Vous donner accès à l’espace professionnel | Exécution du contrat (art. 6.1.b) | E-mail, téléphone, prénom, nom, mot de passe (sous forme chiffrée), facteurs d’authentification à deux facteurs (SMS / application TOTP), adresse IP de connexion | Vous (directement) |
| Vérification d’identité de l’entreprise (KYB) | Vérifier votre entreprise et activer les capacités de paiement et de versement | Obligation légale (LCB-FT) + exécution du contrat | Statut de vérification, capacités et exigences renvoyés par Stripe ; les pièces justificatives sont fournies à Stripe et conservées par lui | Stripe |
| Invitations d’équipe | Permettre à des collaborateurs d’accéder au compte | Exécution du contrat / intérêt légitime (organisation de votre équipe) | Adresse e-mail des personnes invitées, rôle attribué, statut de l’invitation | Vous (directement) |
| Gestion du catalogue et assistant IA | Vous aider à structurer et publier votre catalogue | Exécution du contrat | Texte, photo ou menu que vous soumettez à l’assistant ; éléments de catalogue produits | Vous (directement) |
| Versements via Stripe Connect | Vous reverser les fonds qui vous reviennent | Exécution du contrat + obligation comptable | Identifiant de compte Stripe Connect, montants, états des versements | Stripe |
| Journaux d’audit et de sécurité | Sécuriser le compte, tracer les actions sensibles et détecter les abus | Obligation légale + intérêt légitime (sécurité du service) | Tentatives et événements de connexion, adresse IP, type d’appareil/navigateur, actions effectuées | Vous + dérivées |
| Support | Traiter vos demandes d’assistance | Exécution du contrat / intérêt légitime | Nom, e-mail, contenu de la demande | Vous (directement) |
Caractère obligatoire des données (art. 13). Les informations demandées pour ouvrir et sécuriser un compte professionnel (e-mail, téléphone, prénom, nom, mot de passe) ainsi que l’acceptation des Conditions générales d’utilisation sont nécessaires : sans elles, le compte ne peut pas être créé. La vérification d’identité de l’entreprise (KYB) est nécessaire pour activer les capacités d’encaissement et de versement : sans elle, ces capacités restent indisponibles. La présente notice est une information qui vous est communiquée ; elle ne constitue pas, en elle-même, une base de traitement.
Données reçues de Stripe (art. 14). Certaines données ne sont pas collectées directement auprès de vous : lors de la vérification d’identité de l’entreprise et au fil de la vie de votre compte, Stripe nous transmet le statut de vérification (KYB), les capacités activées (par exemple l’encaissement et les versements) et les exigences restant à satisfaire pour maintenir votre compte actif. La source de ces données est Stripe, qui agit en qualité de prestataire de paiement et conserve les pièces justificatives correspondantes.
4. Destinataires et sous-traitants
Vos données ne sont jamais vendues. Elles sont transmises uniquement aux sous-traitants nécessaires au fonctionnement de l’espace professionnel, nommés ci-dessous, et limitées à ce qui leur est utile :
- Stripe — paiements, vérification d’identité de l’entreprise (KYB) et versements (Stripe Connect). Données transmises : e-mail, nom, téléphone, montants, identifiants internes, ainsi que les éléments de vérification d’identité que vous fournissez. La vérification KYB est opérée et conservée par Stripe ; KiftMe ne collecte ni ne stocke ces pièces justificatives.
- Supabase — base de données, authentification et stockage des fichiers. Traite l’ensemble des données de l’espace professionnel.
- Amazon Web Services (Amazon SES) — envoi de nos e-mails et des invitations d’équipe. Donnée transmise : l’adresse e-mail et le contenu du message. Région d’envoi configurée : Europe (Paris).
- OpenAI — assistant de catalogue (structuration d’onboarding et lecture de menu). Donnée transmise : le texte, la photo ou le menu que vous soumettez à l’assistant.
- Infrastructure d’hébergement de l’application — fait fonctionner et délivre l’application (serveurs, exécution du code, journaux techniques). À ce titre, ce prestataire est susceptible de traiter les données qui transitent par l’application.
Nous n’utilisons pas d’outil d’analyse d’audience tiers, ni de service d’e-mailing ou de SMS tiers en dehors de ceux listés ci-dessus.
Vos données peuvent par ailleurs être communiquées aux autorités administratives ou judiciaires lorsque la loi l’exige.
5. Transferts de données hors Union européenne
Certains sous-traitants traitent des données en dehors de l’Union européenne. Pour chacun :
| Sous-traitant | Pays / région | Donnée concernée | Encadrement |
|---|---|---|---|
| Stripe | États-Unis | E-mail, nom, téléphone, montants, données de vérification (KYB) | Clauses contractuelles types (art. 46) |
| OpenAI | États-Unis | Texte, photo ou menu soumis à l’assistant de catalogue | Clauses contractuelles types (art. 46) |
Reste dans l’Union européenne : l’envoi de nos e-mails et des invitations d’équipe via Amazon SES est configuré en région Europe (Paris).
Adéquation et garanties. Les États-Unis ne bénéficient pas d’une décision d’adéquation générale de la Commission européenne : les transferts vers Stripe et OpenAI s’appuient donc sur des clauses contractuelles types (art. 46 du RGPD).
Vous pouvez demander une copie des garanties applicables à ces transferts à l’adresse de contact indiquée au §1.
6. Décisions automatisées et profilage (article 22 RGPD)
KiftMe utilise des traitements entièrement automatisés qui peuvent affecter significativement l’activité de votre commerce. Conformément à l’article 22 du RGPD, voici lesquels, leur logique et vos garanties.
6.1 Blocage automatique de l’activité du commerce
Lorsque le solde que votre commerce doit à KiftMe dépasse une limite, l’activité du commerce est suspendue automatiquement : la création de nouveaux Kifts et l’encaissement sont interrompus jusqu’à la régularisation de la situation.
- Logique : la décision repose sur le suivi du solde dû et des fonds mis en réserve, ainsi que sur des signaux de risque liés à l’usage du compte (par exemple un schéma de remboursements anormal). Les seuils précis ne sont pas publiés pour des raisons de sécurité.
- Conséquence : pendant la suspension, votre commerce ne peut plus créer ni encaisser de Kifts. Les Kifts déjà émis et les obligations en cours ne sont pas effacés. La suspension est levée lorsque la situation est régularisée.
- Garanties (art. 22.3 du RGPD). Vous avez le droit d’obtenir une intervention humaine, d’exprimer votre point de vue et de contester la décision. Concrètement, écrivez à l’adresse de contact (§1) : une équipe interne KiftMe réexamine votre situation, peut tenir compte de vos explications et lever la suspension.
6.2 Évaluation automatique du risque du compte
Pour protéger le service contre la fraude et le blanchiment, le risque d’un compte professionnel est évalué automatiquement. Cette évaluation peut conduire à exiger une validation interne pour certaines opérations sensibles, ou à restreindre temporairement le compte.
- Logique : ancienneté et état de vérification du compte, signaux de risque liés aux paiements et aux remboursements, cohérence de l’usage. Les paramètres précis ne sont pas publiés pour des raisons de sécurité.
- Vos garanties : vous pouvez exprimer votre point de vue et demander une intervention humaine en nous écrivant à l’adresse de contact (§1) ; nous réexaminons alors votre situation.
Ces traitements de prévention de la fraude ne se fondent pas sur des données sensibles (article 9).
7. Systèmes d’intelligence artificielle (AI Act)
KiftMe met à votre disposition un assistant de catalogue reposant sur un système d’intelligence artificielle, et vous en informe :
- Assistant d’onboarding et structuration de catalogue (modèle OpenAI) : vous aide à structurer votre catalogue à partir d’un texte que vous saisissez.
- Scan de menu (modèle OpenAI) : analyse la photo ou le menu que vous transmettez pour en extraire les éléments de catalogue.
Une mention « Assisté par IA » est affichée sur l’assistant d’onboarding et la fonction de scan de menu. Ces systèmes peuvent être opérés en dehors de l’Union européenne : les transferts correspondants et leurs garanties sont décrits au §5. Ils n’utilisent pas de données sensibles au sens de l’article 9 du RGPD.
Vous disposez d’un droit à une explication du rôle de l’IA dans les décisions reposant sur ces systèmes lorsqu’elles vous affectent significativement.
8. Vos droits et comment les exercer
Vous disposez des droits suivants sur vos données. Pour les exercer, écrivez à l’adresse de contact du §1.
- Droit d’accès : vous pouvez obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification : pour corriger vos données, contactez-nous à l’adresse du §1 ; certaines informations de profil peuvent également être modifiées directement dans les réglages de votre compte.
- Droit d’effacement : vous pouvez demander la suppression de vos données, sous réserve des durées de conservation imposées par nos obligations légales et comptables (voir §9).
- Droit d’opposition : vous pouvez vous opposer, pour des raisons tenant à votre situation particulière, aux traitements fondés sur notre intérêt légitime (sécurité, organisation d’équipe) en nous écrivant à l’adresse du §1 ; nous cessons alors le traitement sauf motif légitime impérieux ou défense d’un droit en justice.
- Droit de retirer votre consentement : lorsqu’un traitement repose sur votre consentement (par exemple des communications marketing), vous pouvez le retirer à tout moment, sans effet sur la licéité du traitement déjà réalisé.
- Droit à la limitation du traitement : adressez votre demande à l’adresse du §1.
- Droit à la portabilité : pour les données que vous nous avez fournies et qui sont traitées sur la base du contrat, vous pouvez demander à les recevoir dans un format structuré et lisible par machine.
Les données de vérification d’identité de l’entreprise (KYB) sont détenues et conservées par Stripe. Pour les droits portant sur ces données, votre demande peut être à exercer également auprès de Stripe ; nous vous orientons le cas échéant.
L’exercice de vos droits est gratuit. Pour protéger le compte, nous pouvons être amenés à vérifier votre identité avant de répondre. Nous traitons vos demandes dans un délai d’un mois à compter de leur réception ; ce délai peut être prolongé de deux mois pour les demandes complexes ou nombreuses, auquel cas nous vous en informons.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez à tout moment introduire une réclamation auprès de la CNIL (voir §13).
9. Durées de conservation
Nous conservons vos données pour les durées suivantes :
| Donnée | Durée |
|---|---|
| Compte professionnel | Tant que le compte est actif |
| Données comptables, de paiement et de versement | 10 ans (obligations comptables et légales) |
| Données fiscales | 6 ans |
| Vérification d’identité de l’entreprise (KYB) | Conservée par Stripe selon ses propres obligations légales |
| Journaux d’authentification (connexions) | 12 mois |
| Journaux d’audit de sécurité | 3 ans |
| Preuve de consentement, le cas échéant | 5 ans |
| Demandes de support | 3 ans |
10. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées pour protéger les données de l’espace professionnel :
- Contrôle d’accès et cloisonnement des données entre commerces et entre rôles.
- Mots de passe stockés sous forme de condensé chiffré (jamais en clair).
- Chiffrement des secrets d’authentification et des échanges (HTTPS/TLS).
- Authentification à deux facteurs (MFA) disponible, par SMS ou application d’authentification, pour sécuriser l’accès au compte.
- Journalisation des actions sensibles et des connexions, afin de tracer et de détecter les abus.
- Accès interne aux données strictement limité au personnel autorisé qui en a besoin.
11. Cookies et traceurs (espace professionnel)
L’espace professionnel ne dépose aucun traceur publicitaire ni outil d’analyse d’audience tiers. Les éléments déposés sur votre appareil sont strictement nécessaires au fonctionnement et exemptés de consentement :
| Finalité | Type | Durée | Consentement |
|---|---|---|---|
| Authentification et session du tableau de bord (vous maintenir connecté) | Cookie | Durée de la session | Exempté |
| Sélection du commerce courant (mémoriser le commerce affiché) | Cookie | Environ 1 an | Exempté |
| Sécurité anti-robot à la connexion | Cookie | Le temps de la vérification | Exempté |
Aucun de ces traceurs n’est soumis à consentement : aucun bandeau (CMP) n’est donc requis à ce jour. Le détail figure dans la Politique cookies (document distinct).
12. Modifications de cette notice
Nous pouvons modifier cette notice pour refléter une évolution du service ou de la réglementation. La date de dernière mise à jour figure en tête de document. En cas de modification substantielle, nous vous en informons par un moyen approprié (par e-mail ou via l’application) avant son entrée en vigueur.
13. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données n’est pas conforme, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
Contact RGPD : [email protected]