Politique de confidentialité
Version projet du 2026-07-17, en cours de validation juridique.
1. Objet et champ d'application
1.1 La présente politique décrit les données traitées dans le cadre du service de fidélité Fidé’iti Pro, édité et opéré par Artee Studio, nom commercial de l'entreprise individuelle éditrice (ci-après « l'Opérateur »), accessible à l'adresse https://pro.fide-iti.fr. Le service permet à un établissement de Polynésie française de gérer un programme de fidélité dont la carte est détenue par le client sous forme d'un code au porteur.
1.2 Elle est structurée en trois parties : (A) les porteurs de carte de fidélité, (B) les utilisateurs des établissements, (C) le socle commun (responsable de traitement, cadre applicable, sous-traitants, sécurité, durées).
1.3 L'application grand public Fidé’iti, dans laquelle la carte peut être conservée, fait l'objet de sa propre politique de confidentialité. L'identité complète de l'éditeur figure dans les mentions légales. Les relations contractuelles avec les établissements sont régies par les conditions générales de vente et d'utilisation et leur annexe de protection des données (et, pour les pilotes, la convention pilote).
1.4 Le principe qui gouverne tout le service : la carte de fidélité est un code au porteur, comme une carte cadeau, jamais un compte nominatif. La base de données ne contient aucune donnée identifiante sur les clients des établissements. Ce n'est pas un paramétrage : c'est la conception même du système, qui ne comporte aucun champ pour de telles données.
Partie A. Porteurs de carte de fidélité
A.1 Ce que votre carte contient
La carte est enregistrée côté serveur sous la forme suivante, et rien d'autre :
- un jeton aléatoire de 128 bits (le contenu du QR code), impossible à deviner, qui sert de clé ;
- un numéro court lisible (une suite de lettres et de chiffres), utilisable en secours au comptoir ;
- un solde de points ;
- un historique daté des opérations : nature (crédit de points ou utilisation d'une récompense), nombre de points, montant de la remise en XPF ou libellé du lot le cas échéant, date, et identifiant du compte de l'établissement qui a réalisé l'opération ;
- la date du dernier passage en caisse.
A.2 Ce qui n'est jamais collecté
Ni nom, ni prénom, ni numéro de téléphone, ni adresse email, ni adresse postale, ni date de naissance, ni position du porteur, ni identifiant d'appareil, ni identifiant publicitaire, ni moyen de paiement, ni photographie, ni aucun texte libre vous concernant. Le QR code de la carte contient uniquement : l'identifiant de l'établissement, le jeton, le numéro court, le nom public de l'établissement et, le cas échéant, les coordonnées géographiques publiques de l'établissement (jamais les vôtres).
A.3 Une posture assumée sur les données pseudonymes
Même sans aucune identité, un jeton qui individualise un porteur unique constitue vraisemblablement une donnée personnelle pseudonyme au sens de la loi. L'Opérateur assume cette qualification prudente et applique donc à ces données l'ensemble des protections décrites dans la présente politique (minimisation, durées limitées, sécurité).
A.4 Durées de conservation
- L'historique détaillé des opérations est conservé 12 mois glissants. C'est la fenêtre qui permet d'annuler une erreur de caisse et de résoudre un litige.
- Au-delà de 12 mois, les opérations sont remplacées par un résumé annuel par carte (compteurs : nombre de crédits, totaux de points, total des remises en XPF). Chaque résumé annuel est conservé 5 années civiles pleines après l'année qu'il couvre, puis supprimé. Rien de l'activité d'une carte ne subsiste au-delà.
- La carte elle-même (jeton, numéro court, solde) est conservée tant que le programme de l'établissement est en service. Le sort des cartes en fin de contrat est régi par la politique de sortie des conditions générales.
- Un compteur de fréquentation (nombre de cartes scannées par établissement, horodaté, sans aucun identifiant de carte) est conservé environ 13 mois puis supprimé.
Le tableau récapitulatif complet figure en partie C.6.
A.5 Consultation de votre solde depuis l'application Fidé’iti
Votre solde et votre progression vers les récompenses sont consultables depuis l'application Fidé’iti via un point d'accès public en lecture seule. Son fonctionnement :
- le jeton que vous détenez est la seule clé : quiconque présente le jeton peut lire le solde de cette carte, et rien d'autre, exactement comme la carte physique elle-même ;
- ce point d'accès ne permet aucune modification : ni crédit, ni utilisation de récompense, ni accès aux données de l'établissement ;
- le jeton transite dans un en-tête technique qui n'est jamais écrit dans les journaux du serveur ;
- le serveur ne conserve aucun lien entre votre jeton et votre adresse IP, et la consultation n'est pas comptée : lire votre solde ne laisse pas de trace.
A.6 Notifications « offres du moment »
Un établissement peut publier des offres, modérées par l'Opérateur avant toute diffusion, à destination des porteurs de sa carte. La remise des notifications fonctionne ainsi :
- c'est votre appareil, via l'application Fidé’iti, qui s'abonne à un sujet de diffusion nommé d'après l'établissement ;
- l'Opérateur publie le message vers ce sujet : il ne détient aucun jeton d'appareil et aucune correspondance entre un appareil et une carte ;
- la remise technique jusqu'à votre appareil est opérée par le service de notifications push de l'application Fidé’iti ; son sous-traitant technique et le régime applicable sont décrits dans la politique de confidentialité de Fidé’iti ; le contenu envoyé par le serveur de fidélité (nom de l'établissement, titre de l'offre) ne comporte aucune donnée personnelle ;
- vous contrôlez ces notifications dans les réglages de votre appareil, et leur régime détaillé relève de la politique de confidentialité de Fidé’iti.
A.7 Perte du code : ce qu'il faut savoir
La carte est au porteur : le code (QR ou numéro court) est la seule clé, il n'existe aucune récupération par l'identité puisque aucune identité n'est enregistrée. En cas de perte du code, ni l'Opérateur ni l'établissement ne peuvent retrouver votre carte : les points sont perdus. C'est un choix de conception assumé, qui est la contrepartie directe de votre anonymat. Conservez une copie de secours : la carte dans l'application Fidé’iti, une capture d'écran du QR, ou le numéro court noté quelque part.
A.8 Vos droits
Vous disposez des droits d'accès, de rectification, d'effacement et d'opposition dans les conditions prévues par le cadre applicable (partie C.2). Une particularité honnête doit être dite clairement :
- l'Opérateur ne peut pas relier une personne à une carte : il ne peut donc pas donner suite à une demande formulée au seul nom d'une personne, faute de pouvoir vous identifier dans ses données. Ce n'est pas un refus : c'est la conséquence directe de l'absence de tout fichier client, par analogie avec le principe selon lequel un responsable qui n'a pas besoin d'identifier les personnes n'a pas à collecter des données supplémentaires à seule fin de les identifier ;
- l'exercice des droits passe donc par la présentation du jeton (ou du QR code) de la carte concernée, adressée à contact@fide-iti.fr ;
- droit d'accès : l'historique récent et le solde sont en pratique consultables en continu via l'application Fidé’iti ; une copie peut être demandée sur présentation du jeton ;
- droit d'effacement : la suppression de la carte peut être demandée sur présentation du jeton ; elle entraîne la perte définitive des points. En pratique, l'historique détaillé s'efface de lui-même : la rétention courte (12 mois, puis résumé annuel) épuise l'essentiel de la demande d'effacement par le simple écoulement du temps.
À confirmer par le conseil juridique : les modalités précises d'exercice des droits sur données pseudonymes (recevabilité de la présentation du jeton comme moyen d'identification, information à fournir en cas d'impossibilité d'identification, délais de réponse applicables en Polynésie française).
Partie B. Utilisateurs des établissements
B.1 Des comptes sans identité
-
L'identifiant de connexion est un handle généré, dérivé du nom public de
l'établissement (par exemple
chez-jean-adminpour le gérant, ou un suffixe numéroté pour l'équipe). Ce n'est jamais un email ni un nom de personne : le système n'enregistre aucune donnée identifiante sur les gérants et employés. - Le mot de passe est stocké exclusivement sous forme de hachage Argon2id (avec sel individuel), jamais en clair. Le mot de passe initial n'est affiché qu'une seule fois et un changement est imposé à la première connexion.
- Le compte porte un rôle (administrateur, livreur, vendeur) et des options fonctionnelles, définis par le gérant.
- Une authentification à deux facteurs (TOTP) est proposée en option ; elle est obligatoire pour le compte opérateur de la plateforme. Le secret TOTP est chiffré au repos, les codes de secours sont stockés hachés et à usage unique.
- Il n'y a pas d'email, donc pas de réinitialisation en ligne : le gérant réinitialise les comptes de son équipe, l'Opérateur réinitialise le compte du gérant, hors ligne.
B.2 Attribution des opérations au compte
Chaque opération de caisse (crédit, utilisation de récompense, annulation, validation) est attribuée à l'identifiant du compte qui l'a réalisée (mention « Opéré par »). L'Opérateur ne sait pas quelle personne physique se trouve derrière un identifiant ; en revanche, au sein de l'établissement, l'employeur peut faire ce lien. Il appartient à chaque établissement d'informer son personnel de cette attribution (voir l'annexe de protection des données des conditions générales). Ces traces suivent la durée de conservation du journal (12 mois de détail). Un compte d'employé parti est désactivé, non supprimé, afin que le journal reste attribuable pendant sa durée de rétention.
B.3 Cookies : strictement nécessaires, rien d'autre
Le service utilise exclusivement des cookies de session strictement nécessaires à son fonctionnement :
| Cookie | Finalité | Durée |
|---|---|---|
sid |
Session d'un utilisateur d'établissement | Session serveur de 7 jours par défaut ; purge automatique à l'expiration |
asid |
Session de l'opérateur de la plateforme | Identique |
mfa, amfa |
Pré-authentification à deux facteurs (entre le mot de passe et le code) | 5 minutes |
Tous sont httpOnly, Secure et SameSite=Strict, et ne contiennent qu'un identifiant opaque référencant une session côté serveur. Il n'y a aucun cookie de mesure d'audience, aucun traceur tiers, aucune publicité, aucun bouton de partage : aucun bandeau de consentement n'est donc affiché.
À confirmer par le conseil juridique : le régime exact du consentement aux traceurs applicable en Polynésie française. La pratique retenue (aucun traceur non strictement nécessaire) est en toute hypothèse la plus protectrice.
B.4 Vos droits
Les demandes relatives aux comptes d'établissement s'adressent à contact@fide-iti.fr. Pour les comptes d'employés, la demande passe en pratique par le gérant de l'établissement, qui administre ces comptes.
Partie C. Socle commun
C.1 Responsable du traitement
Le responsable du traitement est l'entreprise individuelle exploitée sous le nom commercial « Artee Studio », dont l'exploitant est Ruihau Tetahio, entrepreneur individuel, numéro Tahiti G93363, établi en Polynésie française, dont l'adresse d'exploitation est (à compléter). L'entreprise individuelle n'ayant pas de personnalité juridique distincte de la personne physique qui l'exploite, l'Opérateur agit en son nom propre, sans représentant légal distinct. Contact pour toute question relative aux données personnelles : l'Opérateur, joignable à contact@fide-iti.fr.
La répartition des rôles entre l'Opérateur et chaque établissement au titre du programme de fidélité est décrite dans l'annexe de protection des données des conditions générales.
À confirmer par le conseil juridique : la qualification définitive des rôles (responsable de traitement, sous-traitant, ou responsabilité conjointe) entre l'Opérateur et les établissements.
C.2 Cadre juridique applicable
La Polynésie française est un pays et territoire d'outre-mer : le règlement (UE) 2016/679 (RGPD) ne s'y applique pas directement en tant que droit de l'Union européenne. La loi française n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés ») s'applique en Polynésie française avec des adaptations, et la CNIL est l'autorité de contrôle compétente. L'Opérateur applique volontairement un niveau de protection aligné sur le RGPD (minimisation, limitation des durées, sécurité, transparence), au titre des bonnes pratiques et parce que c'est la promesse du produit.
À confirmer par le conseil juridique : le périmètre exact des dispositions de la loi n° 78-17 applicables en Polynésie française (version en vigueur localement, adaptations, formalités éventuelles).
C.3 Destinataires et sous-traitants
- Hébergement : OVH SAS (OVHcloud), société par actions simplifiée au capital de 10 174 560 €, immatriculée au RCS de Lille Métropole sous le numéro 424 761 419, dont le siège social est situé 2 rue Kellermann, 59100 Roubaix, France ; hébergement en région Union européenne. L'hébergement est situé dans l'Union européenne, choisi pour sa compatibilité avec le niveau de protection visé. L'infrastructure est volontairement réduite : un serveur unique (terminaison TLS, API, base de données), plus des copies de sauvegarde chiffrées conservées hors du serveur (chez le même hébergeur ou chez un prestataire de stockage distinct, identifié avant le lancement). L'Opérateur étant établi en Polynésie française et l'hébergement étant situé dans l'Union européenne, le flux de données de l'Union européenne vers la Polynésie française est traité comme un transfert au sens du chapitre V du RGPD et encadré par des clauses contractuelles types dans le contrat d'hébergement, la qualification exacte de ce flux restant à confirmer par le conseil juridique.
- Remise des notifications d'offres : le service ne transmet aucune donnée personnelle de porteur à un tiers. Il publie uniquement le contenu public d'une offre (nom de l'établissement, titre) vers un sujet de diffusion opaque, sans détenir de jeton d'appareil ni de correspondance entre un appareil et une carte. La remise jusqu'à l'appareil est opérée par l'application grand public Fidé’iti et son sous-traitant technique de notifications, sous le régime de la politique de confidentialité de Fidé’iti (voir A.6).
- Formulaire de contact du site vitrine : le site https://pro.fide-iti.fr propose un formulaire de contact qui transmet à un service tiers, Web3Forms, les seules informations que le visiteur fournit volontairement (nom, adresse électronique, message), aux seules fins de traiter sa demande et d'y répondre. Web3Forms se borne à acheminer le message jusqu'à l'Opérateur et n'utilise pas ces données à d'autres fins ; comme tout destinataire d'un envoi de formulaire, il reçoit aussi les données techniques de la requête (adresse IP, en-têtes). Web3Forms est un service édité par la société Web3Creative, établie en Inde, et héberge les envois de formulaires aux États-Unis (voir sa politique de confidentialité, web3forms.com/privacy). Le visiteur qui préfère ne recourir à aucun tiers peut écrire directement à contact@fide-iti.fr, ce qui n'implique aucun service de formulaire.
- Chaque établissement n'accède qu'aux données de son propre programme (isolation vérifiée côté serveur à chaque requête). Chaque porteur n'accède qu'au solde de sa propre carte, via le jeton qu'il détient.
- Aucune vente, location ou communication de données à des fins publicitaires ou de courtage, à quiconque.
C.4 Mesures de sécurité
Extrait du référentiel interne de sécurité :
- chiffrement TLS de bout en bout avec HSTS, aucun transport en clair ;
- mots de passe hachés en Argon2id avec sel individuel ; limitation de débit et temporisation anti force brute sur la connexion ;
- authentification à deux facteurs TOTP obligatoire pour l'opérateur de la plateforme, avec réélévation exigée pour les actions sensibles (création d'établissement, modération, réinitialisations) ;
- isolation stricte par établissement, vérifiée côté serveur à chaque requête ; aucun identifiant d'établissement fourni par le client n'est jamais accepté ;
- jetons de carte aléatoires de 128 bits, non énumérables ; l'utilisation d'une récompense exige le scan du jeton, jamais le seul numéro court ;
- clés d'idempotence sur les opérations de points (aucun double comptage en cas de réseau instable) ;
- journalisation minimisée et bornée : l'en-tête qui transporte le jeton de carte n'est jamais journalisé ; un journal d'accès de bordure (serveur de bordure) est tenu, borné et expurgé, conservé 90 jours au plus par rotation par taille, l'en-tête Authorization et les paramètres de requête sensibles (jeton de première connexion, numéro court de carte) y étant systématiquement rédigés ; les autres journaux techniques (conteneurs applicatifs) sont bornés en volume et non en durée ; le jeton de carte n'apparaissant jamais dans une URL, aucun lien entre un jeton de carte et une adresse IP n'est conservé ;
- sauvegardes chiffrées (AES-256) avec phrase secrète conservée hors du serveur ; accès à la base de données en moindre privilège ; accès opérationnels restreints.
C.5 Violations de données
En cas de violation de données susceptible d'engendrer un risque, l'Opérateur notifie l'autorité compétente (CNIL) et informe les établissements concernés dans les meilleurs délais, avec un objectif interne de notification sous 72 heures (voir l'annexe de protection des données des conditions générales). Particularité : l'Opérateur ne pouvant identifier les porteurs de carte, une information individuelle des porteurs est par construction impossible ; le cas échéant, l'information passe par une communication générale (application Fidé’iti, affichage chez les établissements).
À confirmer par le conseil juridique : les obligations de notification de violation applicables en Polynésie française (autorité, délais, seuils) et la validité de l'information des porteurs par voie générale.
C.6 Tableau récapitulatif des durées de conservation
| Données | Durée |
|---|---|
| Historique détaillé des opérations (par carte) | 12 mois glissants, puis compactage en résumé annuel |
| Résumés annuels par carte | 5 années civiles pleines après l'année résumée, puis suppression |
| Carte (jeton, numéro court, solde, date de dernier passage) | Tant que le programme de l'établissement est en service ; sort en fin de contrat selon les conditions générales |
| Compteurs de scans (par établissement, sans identifiant de carte) | Environ 13 mois (390 jours) |
| Crédits en attente résolus (validés ou refusés) | Environ 13 mois (390 jours) ; un crédit encore en attente est conservé jusqu'à la décision du gérant |
| Clés d'idempotence (anti double comptage) | 30 jours |
| Sessions (établissements et opérateur) | 7 jours par défaut, purge automatique à l'expiration |
| Pré-authentification à deux facteurs | 5 minutes |
| Jetons de première connexion (QR d'onboarding) | 15 minutes, usage unique ; purge des jetons consommés ou expirés |
| Comptes des utilisateurs d'établissement | Durée du contrat (désactivation plutôt que suppression, pour l'attribution du journal) ; sort en fin de contrat selon les conditions générales |
| Contenus professionnels des établissements (designs de carte, règles publiées, offres) | Durée du contrat (contenu d'entreprise, pas des données de porteur) |
| Journal d'accès de bordure (serveur de bordure : adresses IP, en-têtes et paramètres sensibles rédigés) | 90 jours au plus (rotation par taille) |
| Journaux techniques des conteneurs applicatifs | Bornés en volume, sans durée fixe |
| Sauvegardes chiffrées | 35 jours en local par défaut ; copies hors site chiffrées (politique à formaliser avant lancement) |
| Facturation et comptabilité (hors application) | Durées légales comptables et fiscales applicables |
À confirmer par le conseil juridique : les durées légales de conservation des pièces comptables et de facturation applicables en Polynésie française.
C.7 Réclamation
Vous pouvez adresser une réclamation à la CNIL (Commission nationale de l'informatique et des libertés), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou sur www.cnil.fr.
C.8 Mise à jour de la présente politique
Toute évolution du service qui introduirait une nouvelle catégorie de données fait l'objet d'une revue préalable ; le principe interne est le refus par conception de toute donnée identifiante sur les clients. La présente politique est datée et versionnée ; la version en vigueur est publiée sur https://pro.fide-iti.fr.