1. Responsable du traitement
Le responsable du traitement des données collectées via ce programme de fidélité est :
À compléter — adresse complète (rue, NPA, ville, Suisse)
Email DPO : À compléter — email de contact pour les demandes de données
Le commerçant partenaire qui exploite ce programme de fidélité est le responsable de traitement au sens de la nLPD. EnPoche agit en qualité de sous-traitant.
2. Données collectées
Dans le cadre de votre inscription au programme de fidélité, les données suivantes sont collectées :
- Identité : prénom, nom de famille
- Contact : adresse email
- Date de naissance (pour les communications d'anniversaire)
- Historique de visites : date et heure de chaque passage enregistré en caisse
- Identifiant de carte wallet (numéro de série du pass Apple ou Google Wallet)
- Plateforme : iOS ou Android
- Consentement : date et heure du consentement à l'inscription
3. Finalités du traitement
Vos données sont traitées pour les finalités suivantes :
- Gestion du programme de fidélité : suivi des visites, attribution des récompenses, communication des paliers atteints
- Communications marketing : envoi d'emails et de notifications push wallet (rappels d'inactivité, offres, messages du commerçant)
- Demande d'avis Google : invitation à déposer un avis sur le profil Google du commerçant après un certain nombre de visites
- Parrainage : si vous avez été parrainé(e), liaison entre parrain et filleul pour attribution des avantages
4. Base légale
Le traitement de vos données repose sur votre consentement explicite, recueilli lors de votre inscription via la case à cocher dédiée (non pré-cochée).
Vous pouvez retirer votre consentement à tout moment en adressant une demande à : À compléter — email DPO
5. Durée de conservation
Vos données sont conservées pendant toute la durée d'activité de votre compte de fidélité, prolongée de 2 ans après votre dernière visite enregistrée.
Au-delà de cette période, vos données sont supprimées de manière automatique.
6. Vos droits
Conformément à la nLPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données (réponse dans un délai de 30 jours)
- Droit de rectification : faire corriger des données inexactes
- Droit à l'effacement : demander la suppression de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition : vous opposer à certains traitements, notamment à des fins marketing
Pour exercer l'un de ces droits, contactez : À compléter — email DPO
7. Hébergement et transferts
Vos données sont hébergées sur les serveurs de Supabase (base de données PostgreSQL), région EU Frankfurt (eu-central-1) — Allemagne, au sein de l'Union européenne, offrant un niveau de protection adéquat au sens de la nLPD.
8. Sous-traitants
EnPoche fait appel aux sous-traitants suivants pour assurer le service :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Brevo (ex-Sendinblue) | Envoi d'emails transactionnels et marketing | Union européenne |
| Apple Inc. | Apple Wallet — distribution et push des passes iOS | États-Unis (DPA en place) |
| Google LLC | Google Wallet — distribution et mise à jour des passes Android | États-Unis (DPA en place) |
| Supabase Inc. | Hébergement de la base de données (PostgreSQL) | Allemagne, EU |
9. Sécurité
EnPoche met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte ou divulgation : chiffrement des communications (HTTPS/TLS), accès restreint aux bases de données, tokens d'authentification individuels pour chaque carte wallet.
10. Modifications
La présente politique peut être mise à jour. En cas de modifications substantielles, vous serez informé(e) par email. La version en vigueur est toujours accessible à l'adresse enpoche.ch/privacy.