Politique de confidentialité

Dernière mise à jour : 20 avril 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est :
Nexio Cards · 9, Um Furtwee, L-3318 Bergem, Luxembourg
Email : privacy@nexiocards.lu

2. Données collectées

2.1 Commerçants

• Nom du commerce, type d'activité, adresse, téléphone, site web
• Nom et email du responsable
• Informations de facturation (via Stripe) — aucune donnée carte bancaire n'est stockée sur nos serveurs
• Logs d'activité (ajout de tampons, récompenses, etc.)

2.2 Clients finaux

• Prénom (obligatoire), email et téléphone (optionnels)
• Date d'anniversaire si renseignée par le client ou le commerçant
• Historique de tampons, récompenses et visites chez le commerçant
• Identifiants wallet (Apple/Google) générés lors de l'ajout de la carte

2.3 Données techniques

• Adresse IP, type de navigateur, pages visitées (à des fins de sécurité et d'analyse)
• Cookies (voir la politique cookies)

3. Finalités et bases légales

• Exécution du contrat (Article 6.1.b RGPD) : fourniture du service aux commerçants et gestion des cartes de fidélité des clients
• Intérêt légitime (Article 6.1.f RGPD) : sécurité, prévention de la fraude, amélioration du service
• Consentement (Article 6.1.a RGPD) : campagnes email, notifications push, cookies d'analyse
• Obligation légale (Article 6.1.c RGPD) : facturation, comptabilité

4. Destinataires

Les données sont accessibles uniquement aux :

• Équipes internes de Nexio Cards (limité aux besoins du service)
• Le commerçant auquel le client est inscrit (pour les données clients)
• Sous-traitants techniques : Supabase (hébergement base de données, UE), Vercel (hébergement application), Stripe (paiements), Resend (emails transactionnels), Apple / Google (Wallet passes)

Aucune donnée n'est vendue ni cédée à des tiers à des fins commerciales.

5. Durée de conservation

• Compte commerçant : pendant toute la durée de l'abonnement + 30 jours après résiliation pour permettre l'export
• Données client fidélité : tant que le client est actif (ou jusqu'à demande de suppression)
• Facturation : 10 ans (obligation comptable luxembourgeoise)
• Logs techniques : 12 mois

6. Vos droits (RGPD)

Vous disposez des droits suivants :

• Accès — obtenir une copie de vos données
• Rectification — corriger une information erronée
• Effacement ("droit à l'oubli") — demander la suppression
• Limitation — restreindre le traitement
• Portabilité — recevoir vos données dans un format structuré
• Opposition — vous opposer à un traitement basé sur l'intérêt légitime
• Retrait du consentement — à tout moment pour les traitements basés sur le consentement

Pour exercer ces droits, contactez privacy@nexiocards.lu. Les clients finaux peuvent également télécharger leurs données directement depuis leur carte digitale.

7. Réclamation

Vous pouvez à tout moment introduire une réclamation auprès de la Commission nationale pour la protection des données (CNPD) :
15, Boulevard du Jazz, L-4370 Belvaux
cnpd.public.lu

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données : chiffrement TLS, stockage chiffré au repos, accès basé sur les rôles, audit logs, Row-Level Security sur la base de données, sauvegardes régulières.

9. Transferts hors UE

Certains sous-traitants (Vercel, Stripe) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types approuvées par la Commission européenne et, le cas échéant, par des certifications type Data Privacy Framework.

10. Modifications

Cette politique peut être mise à jour. La date de dernière révision est indiquée en haut de cette page.