Privacy Policy - webKard

Politique de confidentialité

Article 1

Préambule et champ d'application

webKard, ci-après désignée « la Société », accorde une importance fondamentale à la protection des données à caractère personnel de ses utilisateurs, clients et prospects.

La présente Politique de confidentialité a pour objet de vous informer de manière transparente et complète sur :

la nature des données personnelles collectées dans le cadre de l'utilisation de notre site internet webKard (ci-après « le Site ») et de nos services ;
les finalités et les bases juridiques de ces traitements ;
la durée de conservation des données ;
les destinataires et sous-traitants qui y ont accès ;
les droits dont vous disposez et la manière de les exercer.

La présente politique s'applique à toute personne physique accédant au Site, créant un compte, commandant un produit ou interagissant avec nos services, quelle que soit la localisation de l'utilisateur, dès lors que le traitement vise des personnes résidant dans l'Union européenne.

En naviguant sur le Site ou en utilisant nos services, vous prenez connaissance de la présente Politique. Lorsque votre consentement est requis, celui-ci vous est demandé de manière explicite et distinct avant tout traitement.

Fondement réglementaire : webKard s'engage à respecter le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données (ci-après « RGPD »), la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée (ci-après « LIL »), ainsi que l'ensemble des recommandations et délibérations de la Commission Nationale de l'Informatique et des Libertés (CNIL).

Article 2

Identité du responsable de traitement

Au sens de l'article 4, paragraphe 7 du RGPD, le responsable de traitement est :

Raison sociale	[Nom de votre société]
Forme juridique	[SAS / SARL / SA / …]
Capital social	[Montant] €
SIREN / SIRET	[Numéro]
Siège social	[Adresse complète]
Représentant légal	[Prénom Nom], [fonction]
Adresse e-mail	[contact@domaine.fr]
Téléphone	[Numéro]
Délégué à la protection des données (DPO)	[Prénom Nom] — [dpo@domaine.fr]

Note : La désignation d'un DPO est obligatoire pour certaines catégories de responsables de traitement (article 37 du RGPD). Si votre structure n'est pas soumise à cette obligation, vous pouvez supprimer cette ligne ou mentionner un point de contact dédié à la protection des données.

Article 3

Définitions

Au sens de la présente Politique, les termes ci-dessous ont la signification suivante :

Carte de visite digitale / Carte NFC : carte physique ou dématérialisée intégrant une technologie de communication sans fil (NFC, QR code, lien URL) permettant à son titulaire de partager instantanément ses coordonnées professionnelles ou personnelles.
Compte personnel : espace sécurisé créé par l'Utilisateur sur le Site lui permettant de gérer son profil, ses cartes et ses contacts.
Consentement : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte le traitement de données la concernant (art. 4-11 RGPD).
Donnée à caractère personnel (ou « Donnée ») : toute information se rapportant à une personne physique identifiée ou identifiable (art. 4-1 RGPD).
Personne concernée : toute personne physique dont les données sont traitées par la Société.
Responsable de traitement : entité qui détermine les finalités et les moyens du traitement (art. 4-7 RGPD).
Sous-traitant : entité traitant des données pour le compte du responsable de traitement (art. 4-8 RGPD).
Service(s) : ensemble des prestations proposées par la webKard, notamment la commercialisation de cartes de visite digitales, la gestion du profil en ligne et le partage de coordonnées.
Site : interface web accessible à l'adresse webKard.com et ses sous-domaines.
Traitement : toute opération effectuée sur des données personnelles (collecte, enregistrement, organisation, conservation, extraction, consultation, utilisation, diffusion, effacement, etc. — art. 4-2 RGPD).
Utilisateur : toute personne physique accédant au Site ou utilisant les Services, qu'il soit client, prospect, visiteur ou tiers dont les données ont été transmises via une carte.

Article 4

Données collectées et bases légales

webKard applique le principe de minimisation des données (art. 5-1-c RGPD) : seules les données strictement nécessaires à chaque finalité sont collectées. Les données sont recueillies selon les modalités suivantes.

4.1 Données que vous nous communiquez directement

Lors de la création d'un compte ou d'une commande :

Identité : nom, prénom, photographie (facultative) ;
Coordonnées professionnelles : intitulé de poste, dénomination sociale, adresse postale professionnelle, numéros de téléphone et/ou de télécopie, adresse e-mail ;
Coordonnées numériques : adresse(s) de site(s) web, profils de réseaux sociaux professionnels (LinkedIn, etc.) que vous choisissez d'inclure ;
Identifiants de connexion : adresse e-mail et mot de passe crypté ;
Informations de facturation : adresse de facturation. Les données de paiement (numéro de carte, cryptogramme) sont collectées et traitées exclusivement par notre prestataire de paiement agréé et certifié PCI-DSS — webKard n'y a aucun accès.

Lors de la personnalisation de votre carte :

Textes, logos, images ou toute autre information que vous souhaitez faire figurer sur votre carte digitale ;
Ces éléments peuvent contenir des données personnelles vous concernant ou concernant des tiers (collaborateurs, etc.).

Lors d'un partage de contact via votre carte (service de mise en relation) :

Lorsqu'un tiers scanne ou reçoit votre carte et choisit de vous transmettre ses coordonnées en retour, les données qu'il consent à partager sont enregistrées dans votre espace de contacts.

Lors d'une interaction avec notre service client :

Nom, prénom, adresse e-mail, numéro de téléphone, objet et contenu de la demande.

Lorsque vous communiquez des données de tiers :

Si vous commandez une carte pour le compte d'un collaborateur ou d'un tiers, vous êtes personnellement responsable d'informer cette personne de la collecte et du traitement de ses données par la Société, et de lui remettre la présente Politique avant toute transmission.

4.2 Données collectées automatiquement

Catégorie	Données concernées	Base légale (art. 6 RGPD)
Données de connexion	Adresse IP, date et heure de connexion, localisation approximative (pays/région), type et version du navigateur, langue	Intérêt légitime (sécurité et fonctionnement technique)
Données de navigation	Pages visitées, parcours de navigation, temps passé, liens cliqués, erreurs rencontrées	Intérêt légitime (amélioration du Site) / Consentement (analytics)
Données d'interaction	Mouvements de souris, clics, défilement (uniquement si les cookies correspondants sont acceptés)	Consentement
Données relatives à l'appareil	Type d'appareil, système d'exploitation, résolution d'écran	Intérêt légitime (compatibilité technique)
Historique transactionnel	Commandes, montants, produits achetés, statuts de livraison	Exécution du contrat / Obligation légale

4.3 Données reçues de tiers

webKard peut, dans certains cas, recevoir des informations vous concernant provenant :

de partenaires commerciaux, dans le cadre d'opérations conjointes réalisées avec votre consentement ;
de réseaux sociaux, lorsque vous choisissez de vous authentifier via un compte tiers (OAuth) ;
de sources publiquement accessibles (annuaires professionnels) dans le respect des conditions d'utilisation de ces sources.

Ces données sont intégrées à votre profil dans le strict respect des finalités décrites à l'article 5.

Article 5

Finalités et durées de conservation

Conformément au principe de limitation des finalités (art. 5-1-b RGPD) et au principe de limitation de la conservation (art. 5-1-e RGPD), vos données ne sont traitées que pour les finalités explicitement définies ci-dessous et conservées que pour la durée nécessaire à ces finalités.

Finalité	Base légale	Durée de conservation (données actives)	Durée d'archivage intermédiaire
Création, gestion et maintien du compte personnel	Exécution du contrat	Durée de vie du compte, puis 3 ans après la dernière activité	5 ans à compter de la clôture du compte
Traitement des commandes, livraison et facturation	Exécution du contrat	Durée de la relation commerciale	10 ans (obligation comptable — art. L123-22 C. com.)
Gestion des paiements et lutte contre la fraude	Exécution du contrat / Obligation légale	Durée de la transaction	5 ans (prescription civile) / 10 ans (comptabilité)
Service client, réclamations et litiges	Exécution du contrat / Intérêt légitime	Durée du traitement de la demande	5 ans à compter de la résolution (prescription civile)
Personnalisation de la carte digitale	Exécution du contrat	Durée de vie du compte	1 an après résiliation
Service de mise en relation (partage de contacts)	Exécution du contrat / Consentement des tiers	Jusqu'à suppression par l'Utilisateur ou résiliation du compte	Aucun
Amélioration du Site et des Services (statistiques)	Intérêt légitime / Consentement	25 mois maximum (données brutes de navigation)	Données agrégées et anonymisées : durée indéfinie
Communication commerciale et marketing direct	Consentement (prospects) / Intérêt légitime (clients existants — art. L34-5 CPCE)	3 ans à compter du dernier contact ou de la collecte du consentement	Aucun
Gestion des avis et de la satisfaction client	Intérêt légitime	2 ans à compter du dépôt de l'avis	Aucun
Respect des obligations légales et réglementaires	Obligation légale	Durée prévue par la réglementation applicable	Variable selon l'obligation

À l'expiration des durées de conservation actives, vos données sont soit supprimées définitivement, soit anonymisées de façon irréversible à des fins statistiques, soit conservées en archivage intermédiaire avec accès restreint pour les seuls besoins légaux ou contentieux.

Nota : Les durées indiquées en archivage intermédiaire correspondent aux prescriptions légales françaises en vigueur (Code civil, Code de commerce, CPCE). Elles peuvent être prolongées en cas de contentieux en cours ou de réquisition judiciaire.

Article 6

Destinataires et sous-traitants

webKard ne vend, ne loue et ne cède pas vos données personnelles à des tiers à des fins commerciales propres. L'accès à vos données est strictement limité aux catégories de destinataires suivantes.

6.1 Personnel interne habilité

Les membres du personnel de webKard disposant d'une habilitation formelle et dont les fonctions le justifient (équipes techniques, commerciales, comptables, service client) peuvent accéder à vos données dans le cadre strict de leurs attributions. Chaque accès est tracé et soumis à des engagements de confidentialité.

6.2 Sous-traitants techniques

Prestataire	Rôle	Localisation des données
Hébergeur — société OVH Cloud	Hébergement et stockage des données	Union européenne
Prestataire de paiement — Stripe, PAYPAL	Traitement sécurisé des paiements (certifié PCI-DSS)	Union européenne / États-Unis (clauses types)
Transporteur — La Poste, Chronopost, DHL	Livraison des commandes	France / UE
Outil d'e-mailing — Mailchimp	Envoi de communications transactionnelles et marketing	France / UE
Solution d'analytics — Google	Mesure d'audience et analyse du comportement (si consentement)	Etats-Unis
CRM — HubSpot	Gestion de la relation client	France / UE

Chaque sous-traitant est lié à webKard par un contrat de sous-traitance conforme à l'article 28 du RGPD, garantissant que le traitement s'effectue exclusivement selon les instructions de la Société et dans le respect de la réglementation applicable.

6.3 Autorités et tiers légalement habilités

webKard peut être amenée à communiquer vos données aux autorités publiques, judiciaires ou administratives dans les cas prévus par la loi : réquisition judiciaire, injonction d'une autorité de régulation, lutte contre la fraude ou le blanchiment. Dans ces situations, la communication est limitée aux données strictement nécessaires et documentée.

6.4 Conseillers externes

En cas de contentieux, d'audit ou de conseil juridique, les avocats ou experts-comptables mandatés par la Société peuvent accéder aux données dans la stricte limite de leur mission et sous couvert d'un engagement de confidentialité.

Article 7

Transferts hors Union européenne

webKard s'efforce de localiser les traitements de données au sein de l'Union européenne ou dans des pays reconnus comme offrant un niveau de protection adéquat par la Commission européenne (art. 45 RGPD).

Lorsqu'un transfert vers un pays tiers est inévitable (par exemple, via certains sous-traitants américains), la Société s'assure de la mise en place de garanties appropriées, notamment :

les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution UE 2021/914) ;
les Règles d'Entreprise Contraignantes (BCR) le cas échéant ;
l'existence d'une décision d'adéquation de la Commission européenne (ex. cadre EU-US Data Privacy Framework pour les transferts vers les États-Unis, adopté en juillet 2023).

Vous pouvez obtenir des informations sur les garanties spécifiques mises en œuvre en contactant le DPO à l'adresse indiquée à l'article 11.

Article 8

Cookies et traceurs

Conformément à l'article 82 de la Loi Informatique et Libertés et aux recommandations de la CNIL (délibération n° 2020-091 du 17 septembre 2020), la Société utilise des cookies et traceurs sur son Site.

8.1 Définition

Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lors de la consultation du Site. Il permet d'identifier votre navigateur et d'enregistrer certaines informations relatives à votre navigation.

8.2 Catégories de cookies utilisés

Catégorie	Finalité	Durée de vie	Consentement requis
Cookies strictement nécessaires	Fonctionnement du Site, sécurité de la session, panier d'achat, authentification	Session / 13 mois max.	Non (exemptés)
Cookies de mesure d'audience	Statistiques de fréquentation et d'usage du Site (sans recoupement ni transmission à des tiers)	13 mois max.	Oui
Cookies de personnalisation	Mémorisation de vos préférences (langue, devise, etc.)	13 mois max.	Oui (si non essentiels)
Cookies marketing / ciblage	Affichage de publicités pertinentes, retargeting	13 mois max.	Oui

8.3 Gestion de vos préférences

Lors de votre première visite, un bandeau de gestion des cookies vous permet d'accepter ou de refuser les cookies non essentiels. Votre choix est conservé pendant 6 mois.

Vous pouvez modifier vos préférences à tout moment :

via le lien « Gérer mes cookies » disponible en pied de page du Site ;
via les paramètres de votre navigateur (voir la documentation de votre navigateur pour désactiver les cookies) ;
via les outils de désinscription proposés par les fournisseurs tiers (ex. NAI Opt-Out, Your Online Choices).

Le refus des cookies non essentiels n'affecte pas votre accès aux fonctionnalités principales du Site, mais peut limiter certaines fonctionnalités de personnalisation.

Article 9

Sécurité des données

La Société met en œuvre toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures comprennent notamment :

Chiffrement des données : transmission sécurisée via protocole TLS/HTTPS, chiffrement des mots de passe par hachage (algorithme robuste de type bcrypt/Argon2) ;
Contrôle d'accès : gestion rigoureuse des droits d'accès selon le principe du moindre privilège, authentification à double facteur pour les accès administrateurs ;
Cloisonnement et sauvegardes : segmentation des environnements de production, sauvegardes régulières avec tests de restauration ;
Surveillance et détection : journalisation des accès, supervision des incidents, tests d'intrusion périodiques ;
Sensibilisation du personnel : formation régulière aux bonnes pratiques de sécurité et à la protection des données ;
Gestion des incidents : procédure de réponse aux incidents documentée, incluant la notification à la CNIL dans les 72 heures en cas de violation susceptible d'engendrer un risque pour les droits et libertés des personnes (art. 33 RGPD).

Votre responsabilité dans la sécurisation de votre compte est partagée. Nous vous recommandons vivement de :

choisir un mot de passe fort, unique et confidentiel ;
activer l'authentification à deux facteurs si cette option est proposée ;
ne jamais partager vos identifiants de connexion ;
signaler immédiatement tout accès suspect à [contact@domaine.fr].

Signalement de vulnérabilités : Si vous identifiez une faille de sécurité sur notre Site ou nos services, nous vous invitons à nous en informer de manière responsable à l'adresse [securite@domaine.fr] avant toute divulgation publique.

Article 10

Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la Loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :

Droit d'accès (art. 15 RGPD)

Obtenir la confirmation que des données vous concernant sont traitées, et en recevoir une copie ainsi que les informations associées.

Droit de rectification (art. 16 RGPD)

Faire corriger des données inexactes ou compléter des données incomplètes vous concernant.

Droit à l'effacement (art. 17 RGPD)

Obtenir la suppression de vos données dans les cas prévus par la loi (retrait du consentement, opposition, données plus nécessaires, etc.).

Droit à la limitation (art. 18 RGPD)

Demander la suspension temporaire du traitement de vos données dans certaines circonstances prévues par la réglementation.

Droit à la portabilité (art. 20 RGPD)

Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.

Droit d'opposition (art. 21 RGPD)

Vous opposer, pour des raisons tenant à votre situation particulière, au traitement fondé sur l'intérêt légitime. Opposition inconditionnelle au traitement à des fins de prospection commerciale.

Retrait du consentement (art. 7 RGPD)

Retirer votre consentement à tout moment pour les traitements qui y sont fondés, sans que cela ne remette en cause la licéité des traitements antérieurs.

Directives post-mortem (art. 85 LIL)

Définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès, auprès d'un tiers de confiance numérique agréé ou directement auprès de nous.

Droit de ne pas faire l'objet d'une décision automatisée (art. 22 RGPD)

Ne pas faire l'objet d'une décision produisant des effets juridiques ou vous affectant de manière significative, fondée exclusivement sur un traitement automatisé.

Délais de réponse : La Société s'engage à répondre à toute demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe ou nombreuse, après information préalable du demandeur (art. 12-3 RGPD).

Article 11

Exercice de vos droits et recours

11.1 Modalités d'exercice

Vous pouvez exercer l'ensemble de vos droits par les moyens suivants :

Directement depuis votre espace personnel : la rubrique « Paramètres du compte » vous permet de consulter, modifier, exporter ou supprimer la plupart de vos données ;
Par e-mail : en adressant votre demande au DPO à l'adresse indiquée ci-dessous ;
Par courrier postal : en écrivant à l'adresse du siège social de la Société.

Afin de traiter votre demande dans les meilleurs délais et de protéger votre vie privée, nous pouvons être amenés à vous demander de justifier de votre identité (copie d'une pièce d'identité officielle en cours de validité). Cette pièce ne sera utilisée qu'à des fins de vérification et sera détruite immédiatement après traitement.

11.2 Désinscription aux communications marketing

Vous pouvez vous désinscrire des communications commerciales à tout moment :

en cliquant sur le lien de désinscription présent dans chaque e-mail marketing ;
en modifiant vos préférences de communication dans votre espace personnel ;
en contactant notre service client.

Cette désinscription ne concerne pas les communications transactionnelles liées à vos commandes en cours (confirmations, factures, livraisons).

11.3 Recours auprès de l'autorité de contrôle

Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation applicable, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité de contrôle compétente en France :

Via le site internet : www.cnil.fr/fr/plaintes
Par courrier : CNIL — 3, place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Par téléphone : 01 53 73 22 22

Nous vous encourageons néanmoins à nous contacter préalablement afin que nous puissions tenter de résoudre votre préoccupation à l'amiable.

Point de contact — Protection des données

DPO :[Prénom Nom]

E-mail :dpo@domaine.fr

Adresse :[Nom de la société] — [Adresse complète]

Objet :Mentionner « Demande RGPD — [votre droit] » en objet

Article 12

Mineurs

Les Services de la Société sont destinés à des professionnels et à des adultes. La Société ne collecte pas sciemment de données personnelles concernant des personnes âgées de moins de 15 ans (âge minimum défini à l'article 45 de la LIL modifiée pour les services de la société de l'information).

Si vous êtes un mineur de moins de 15 ans, vous ne pouvez utiliser nos Services qu'avec l'accord préalable et exprès de votre représentant légal.

Si la Société venait à apprendre qu'elle a collecté des données personnelles d'un mineur en dessous de l'âge requis sans consentement parental approprié, elle s'engage à supprimer ces informations dans les meilleurs délais. Toute signalement peut être adressé à [dpo@domaine.fr].

Article 13

Évolution de la présente politique

La présente Politique de confidentialité est susceptible d'être modifiée afin de prendre en compte :

toute évolution de la réglementation française ou européenne en matière de protection des données ;
les décisions, recommandations ou lignes directrices des autorités de contrôle (CNIL, Comité Européen de la Protection des Données — CEPD) ;
toute évolution significative des Services ou des traitements mis en œuvre par la Société.

En cas de modification substantielle affectant vos droits ou les conditions de traitement de vos données, la Société vous en informera par e-mail ou par un message d'information sur le Site, au moins 30 jours avant l'entrée en vigueur des modifications, afin de vous permettre d'en prendre connaissance et, le cas échéant, d'exercer vos droits.

La date de dernière mise à jour est indiquée en en-tête du présent document. Il vous appartient de consulter régulièrement cette page. La version consolidée de la Politique accessible en ligne prévaut sur toute version antérieure.

Historique des versions : Un registre des versions antérieures de la présente politique est disponible sur demande adressée au DPO.