KiftMe
PersonnelProfessionnelsTarifs
AideConnexion
Créer un Kift
PersonnelProfessionnelsTarifsAideConnexionCréer un Kift
Confidentialité
ParticuliersProfessionnelsPoint de vente
Informations légales

Politique de confidentialité — Point de vente (POS)

Dernière mise à jour : juin 2026

Cette notice explique quelles données KiftMe traite lorsque vous utilisez le point de vente KiftMe en magasin, pourquoi, sur quelle base et pour combien de temps. Elle s’adresse au commerçant et à ses opérateurs (caissiers). Elle est distincte des Conditions générales d’utilisation, des Mentions légales et de la Politique cookies.

En résumé (l’essentiel en 2 minutes)

Cette notice concerne le point de vente en magasin. Le client particulier qui paie en magasin relève de la Politique de confidentialité — Consommateurs (/privacy). La gestion du compte professionnel (catalogue, équipe, versements) relève de la Notice Professionnels (/privacy/business).

KiftMe fait fonctionner le terminal qui vous permet d’encaisser des Kifts en magasin. Pour le sécuriser :

  • Nous identifions l’appareil enrôlé (empreinte d’appareil) et ouvrons une session pour l’opérateur connecté.
  • Nous vérifions la position de l’appareil par rapport à une zone autorisée définie pour le commerce, afin de prévenir la fraude et l’usage hors du magasin (voir §4).
  • Si l’appareil est utilisé de façon répétée hors de la zone autorisée, il est gelé automatiquement ; vous pouvez demander une intervention humaine et contester cette décision (voir §7).

Le détail complet figure ci-dessous.

Sommaire

  1. Responsable de traitement et contact
  2. À qui s’adresse cette notice
  3. Données traitées, finalités, bases légales et durées
  4. Géolocalisation et géofencing des appareils
  5. Destinataires et sous-traitants
  6. Transferts de données hors Union européenne
  7. Décisions automatisées et profilage (article 22 RGPD)
  8. Vos droits et comment les exercer
  9. Durées de conservation
  10. Sécurité
  11. Stockage local et traceurs (point de vente)
  12. Modifications de cette notice
  13. Réclamation auprès de la CNIL

1. Responsable de traitement et contact

RELOKE LTD, société enregistrée en Angleterre et au Pays de Galles (company number 17037940), qui exploite le service sous le nom commercial « KiftMe », est responsable du traitement des données personnelles décrites dans cette notice. Les informations complètes de l’éditeur (dénomination, forme juridique, siège social, immatriculation) ainsi que celles de l’hébergeur figurent dans les Mentions légales (document distinct).

Aucun délégué à la protection des données (DPO) n’est désigné à ce jour. Un contact dédié aux questions de protection des données traite vos demandes : pour toute question relative à cette notice ou à l’exercice de vos droits, écrivez à ce contact, à l’adresse indiquée en bas de cette page.

2. À qui s’adresse cette notice

Cette notice s’applique aux personnes physiques suivantes, dans le cadre de l’usage du point de vente KiftMe en magasin :

  • Le commerçant : la personne qui exploite le commerce et met le point de vente en service.
  • Les opérateurs en magasin (caissiers) : les membres d’équipe qui ouvrent une session sur le terminal pour encaisser des Kifts.

Le client particulier qui paie en magasin relève de la Politique de confidentialité — Consommateurs (/privacy). La gestion du compte professionnel (catalogue, invitations d’équipe, versements) relève de la Notice Professionnels (/privacy/business).

3. Données traitées, finalités, bases légales et durées

Le tableau ci-dessous récapitule, pour chaque traitement du point de vente, la finalité poursuivie, la base légale, les données utilisées et leur source. La géolocalisation des appareils fait l’objet d’une section dédiée (voir §4).

TraitementFinalitéBase légaleDonnées utiliséesSource
Enrôlement et identification de l’appareil POSReconnaître l’appareil de confiance autorisé à encaisser et empêcher qu’un autre appareil se fasse passer pour luiExécution du contrat (faire fonctionner le point de vente) + intérêt légitime (sécurité, prévention de la fraude)Identifiant et empreinte de l’appareil, libellé de l’appareil, plateforme (iOS, Android, navigateur), version de l’application, modèle d’appareilL’opérateur / le commerçant (directement, lors de l’enrôlement)
Session de l’opérateurOuvrir et maintenir une session pour l’opérateur connecté sur le terminalExécution du contratIdentifiant de l’opérateur connecté, jeton de session et jeton de rafraîchissement, état et durée de la sessionL’opérateur (directement)
Journal des actions POSTracer les actions effectuées au point de vente, détecter les abus et sécuriser les encaissementsIntérêt légitime (sécurité et prévention de la fraude)Action effectuée, horodatage, identifiant de l’appareil et de l’opérateur, jetons anti-rejeu, résultat de l’actionDérivées de l’usage du terminal
Paiement sans contact / Tap to PayEncaisser un Kift en personne, au comptoirExécution du contratRéférence de l’opération, montants ; la donnée de carte est traitée directement par StripeStripe

Caractère obligatoire des données (art. 13). L’identification de l’appareil enrôlé, l’ouverture d’une session pour l’opérateur et la vérification de la position de l’appareil sont nécessaires pour faire fonctionner le point de vente en toute sécurité : sans elles, le terminal ne peut pas encaisser. La présente notice est une information qui vous est communiquée ; elle ne constitue pas, en elle-même, une base de traitement.

Données traitées par Stripe (art. 14). Lors d’un encaissement sans contact, la donnée de carte du client est traitée directement par Stripe, en qualité de prestataire de paiement, et n’est ni collectée ni stockée par KiftMe ; Stripe nous transmet la référence et l’état de l’opération. La source de ces éléments est Stripe.

4. Géolocalisation et géofencing des appareils

Pour prévenir la fraude et empêcher l’usage d’un terminal hors de son magasin, KiftMe vérifie la position de l’appareil POS par rapport à une zone autorisée définie pour le commerce. Cette vérification a lieu lors de la connexion de l’opérateur et au moment des actions d’encaissement.

Cette donnée de localisation peut permettre de situer l’appareil POS, et donc l’opérateur qui l’utilise à ce moment. Nous la traitons à la seule fin de sécuriser les encaissements et d’empêcher l’usage du terminal en dehors du magasin autorisé.

  • Finalité : sécuriser les encaissements en personne et empêcher qu’un terminal soit utilisé hors de son magasin.
  • Base légale : intérêt légitime (article 6.1.f du RGPD). L’intérêt légitime poursuivi est la prévention de la fraude et la sécurité des paiements, au bénéfice du commerce, des clients et de KiftMe.
  • Conséquence : si l’appareil est utilisé de façon répétée hors de la zone autorisée, il est gelé automatiquement et ne peut plus encaisser jusqu’à un réexamen (voir §7).

Proportionnalité et droits des opérateurs. La vérification de position est ponctuelle : elle a lieu à la connexion et au moment des encaissements, et ne constitue pas un suivi continu. KiftMe ne constitue aucun historique de déplacements ni de trajet de l’opérateur ; seule la conformité de l’appareil à la zone autorisée est évaluée. Notre intérêt légitime est mis en balance avec les droits des opérateurs en limitant ce traitement à cette vérification ponctuelle et à cette seule finalité.

Information des salariés. Lorsque l’opérateur est un salarié du commerçant, ce dernier, en tant qu’employeur, est tenu d’informer ses opérateurs de ce dispositif de géolocalisation des appareils, par les canaux d’information internes appropriés.

Les seuils exacts (nombre de sorties de la zone, périmètre de la zone, fenêtre de temps) ne sont pas publiés pour des raisons de sécurité : les divulguer faciliterait le contournement du dispositif anti-fraude. Pour toute question sur ce traitement, écrivez-nous à l’adresse de contact indiquée au §1.

5. Destinataires et sous-traitants

Vos données ne sont jamais vendues. Elles sont transmises uniquement aux sous-traitants nécessaires au fonctionnement du point de vente, nommés ci-dessous, et limitées à ce qui leur est utile :

  • Stripe — encaissement sans contact en magasin (Stripe Terminal / Tap to Pay). KiftMe demande à Stripe des jetons de connexion, déclare des lieux (locations) et associe des lecteurs (readers) pour rendre l’encaissement possible. La donnée de carte du client est traitée directement par Stripe ; KiftMe ne la collecte ni ne la stocke.
  • Supabase — base de données, authentification et stockage des fichiers. Traite les données du point de vente (appareils enrôlés, sessions, journaux d’actions).
  • Infrastructure d’hébergement de l’application — fait fonctionner et délivre l’application (serveurs, exécution du code, journaux techniques). À ce titre, ce prestataire est susceptible de traiter les données qui transitent par l’application.

Vos données peuvent par ailleurs être communiquées aux autorités administratives ou judiciaires lorsque la loi l’exige.

6. Transferts de données hors Union européenne

Un sous-traitant traite des données en dehors de l’Union européenne :

Sous-traitantPaysDonnée concernéeEncadrement
StripeÉtats-UnisRéférence et montants de l’opération d’encaissement, donnée de carte traitée par StripeClauses contractuelles types (art. 46)

Adéquation et garanties. Les États-Unis ne bénéficient pas d’une décision d’adéquation générale de la Commission européenne : le transfert vers Stripe s’appuie donc sur des clauses contractuelles types (art. 46 du RGPD).

Vous pouvez demander une copie des garanties applicables à ce transfert à l’adresse de contact indiquée au §1.

7. Décisions automatisées et profilage (article 22 RGPD)

Le point de vente met en œuvre un traitement entièrement automatisé qui peut affecter significativement l’usage du terminal : le gel automatique de l’appareil POS. Conformément à l’article 22 du RGPD, voici sa logique, ses conséquences et vos garanties.

7.1 Gel automatique de l’appareil POS

Lorsque l’appareil POS sort de façon répétée de la zone autorisée définie pour le commerce, il est gelé automatiquement : le terminal ne peut plus encaisser jusqu’à un réexamen et une réactivation.

  • Logique : la décision repose sur des signaux de localisation, c’est-à-dire la répétition de sorties de la zone autorisée constatées lors des actions du terminal. Les seuils précis (nombre de sorties, périmètre, fenêtre de temps) ne sont pas publiés pour des raisons de sécurité.
  • Conséquence : pendant le gel, l’appareil ne peut plus encaisser de Kifts. L’encaissement redevient possible après réexamen et réactivation de l’appareil.
  • Garanties (art. 22.3 du RGPD). Vous avez le droit d’obtenir une intervention humaine, d’exprimer votre point de vue et de contester la décision. Concrètement, écrivez à l’adresse de contact (§1) : une équipe interne KiftMe réexamine la situation, peut tenir compte de vos explications et réactiver l’appareil.

Ce traitement de prévention de la fraude ne se fonde pas sur des données sensibles (article 9 du RGPD).

8. Vos droits et comment les exercer

Vous disposez des droits suivants sur vos données. Pour les exercer, écrivez à l’adresse de contact du §1.

  • Droit d’accès : vous pouvez obtenir la confirmation que vos données sont traitées et en recevoir une copie.
  • Droit de rectification : vous pouvez demander la correction de vos données inexactes en nous écrivant à l’adresse du §1.
  • Droit d’effacement : vous pouvez demander la suppression de vos données, sous réserve des durées de conservation imposées par la sécurité, la traçabilité et nos obligations légales et comptables (voir §9).
  • Droit d’opposition : vous pouvez vous opposer, pour des raisons tenant à votre situation particulière, aux traitements fondés sur notre intérêt légitime — notamment la géolocalisation des appareils (voir §4) — en nous écrivant à l’adresse du §1 ; nous cessons alors le traitement sauf motif légitime impérieux ou défense d’un droit en justice. S’agissant du journal des actions POS, votre opposition peut être limitée : ces enregistrements sont conservés comme registre inaltérable à des fins de sécurité, de traçabilité et de preuve, obligation à laquelle nous ne pouvons déroger pour ce registre.
  • Droit à la limitation du traitement : adressez votre demande à l’adresse du §1.
  • Droit à la portabilité : pour les données que vous nous avez fournies et qui sont traitées sur la base du contrat, vous pouvez demander à les recevoir dans un format structuré et lisible par machine.

L’exercice de vos droits est gratuit. Pour protéger le point de vente, nous pouvons être amenés à vérifier votre identité avant de répondre. Nous traitons vos demandes dans un délai d’un mois à compter de leur réception ; ce délai peut être prolongé de deux mois pour les demandes complexes ou nombreuses, auquel cas nous vous en informons.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez à tout moment introduire une réclamation auprès de la CNIL (voir §13).

9. Durées de conservation

Nous conservons les données du point de vente pour les durées suivantes :

DonnéeDurée
Session de l’opérateurDurée de la session (puis suppression ou révocation)
Journal des actions POSConservé de manière inaltérable, à des fins de sécurité, de traçabilité et de preuve (registre non modifiable et non effaçable).
Journaux d’authentification12 mois
Données comptables liées aux encaissements10 ans (obligations comptables et légales)

10. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées pour protéger les données du point de vente :

  • Appareils enrôlés et de confiance : seul un appareil reconnu, identifié par son empreinte, peut ouvrir une session et encaisser.
  • Jetons anti-rejeu pour les actions sensibles, afin d’empêcher qu’une même action soit rejouée.
  • Contrôle d’accès et cloisonnement des données entre commerces et entre rôles.
  • Chiffrement des échanges (HTTPS/TLS) entre l’appareil et nos serveurs.
  • Journalisation des actions du point de vente, afin de tracer et de détecter les abus.
  • Accès interne aux données strictement limité au personnel autorisé qui en a besoin.

11. Stockage local et traceurs (point de vente)

Le point de vente ne dépose aucun traceur publicitaire ni outil de mesure d’audience. Les éléments enregistrés sur l’appareil sont strictement nécessaires au fonctionnement du terminal et exemptés de consentement :

FinalitéTypeDuréeConsentement
Identifier l’appareil POS enrôlé (identifiant et empreinte de l’appareil)Stockage local sur l’appareilTant que l’appareil reste enrôléExempté
Maintenir la session de l’opérateur connecté (jeton de session)Stockage local sur l’appareilDurée de la sessionExempté

Aucun de ces éléments n’est soumis à consentement : aucun bandeau (CMP) n’est donc requis pour le point de vente. Le détail figure dans la Politique cookies (document distinct).

12. Modifications de cette notice

Nous pouvons modifier cette notice pour refléter une évolution du service ou de la réglementation. La date de dernière mise à jour figure en tête de document. En cas de modification substantielle, nous vous en informons par un moyen approprié (par e-mail ou via l’application) avant son entrée en vigueur.

13. Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données n’est pas conforme, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

Contact RGPD : [email protected]

Retour à l'accueil

KiftMe

Recommande ce que tu aimes. Ton proche le vit.

Produit

PersonnelProfessionnelsTarifsCréer un Kift

Entreprise

À proposContactAide

Légal

Mentions légalesCGUConfidentialitéCookiesRemboursements & annulationsContact

© 2026 KiftMe. Tous droits réservés.

·