Politique de Confidentialité
Transparence totale sur le traitement de vos données personnelles. Spirit Pay est développé selon les principes Secure by Design et Privacy by Design (RGPD Art. 25).
Dernière mise à jour : 22 juin 2026
1. Responsable de Traitement
La plateforme Spirit Pay est éditée et exploitée par COUP DE POUCE 49 (C.D.P. 49, CDP49), SA coopérative ouvrière de production à conseil d'administration (SCOP), dont le siège social est situé au 458 B rue Saint-Léonard, 49000 Angers, France. En tant que responsable du traitement, COUP DE POUCE 49 (Spirit Pay) détermine les finalités et les moyens du traitement de vos données personnelles. SIRET : 490 314 887 00038.
Contact données personnelles : contact@spiritpay.net — réponse garantie dans les 30 jours conformément à l'Art. 12 RGPD.
2. Données Collectées
Nous appliquons le principe de minimisation des données (Art. 5.1.c RGPD) - nous ne collectons que ce qui est strictement nécessaire :
- Marchands / Entreprises : Nom, email, téléphone, SIRET, IBAN bénéficiaire, historiques de connexion et transactions.
- Clients finaux (payeurs) : Email (confirmation uniquement), statut de transaction renvoyé par la banque. Nous ne stockons jamais vos identifiants bancaires.
- Données techniques : Adresses IP pseudonymisées, logs d'accès, statuts de webhooks ERP.
Données sensibles : les informations bancaires (IBAN) sont chiffrées au repos (AES-256). Elles ne sont jamais affichées en clair dans nos logs ou interfaces d'administration.
3. Bases Légales et Finalités
- Exécution du contrat (Art. 6.1.b) : Création de compte, génération des liens de paiement, initiation des virements Open Banking, lettrage ERP.
- Obligations légales (Art. 6.1.c) : LCB-FT, DSP2, obligations comptables françaises et européennes.
- Intérêt légitime (Art. 6.1.f) : Sécurité de la plateforme, détection de fraude, analytics internes.
- Consentement (Art. 6.1.a) : Cookies non essentiels, communications marketing (uniquement si vous avez accepté).
4. Sécurité et Stockage
Toutes les données transitent via TLS 1.3. Les données sensibles sont chiffrées au repos (AES-256-GCM). Les mots de passe sont hashés avec bcrypt (sel unique par compte).
Les échanges entre les systèmes des clients professionnels (intégrateurs, ERP, portails) et la plateforme Spirit Pay transitent par un relais sécurisé opéré par OVH SAS en France, puis sont traités sur notre infrastructure hébergée en Union européenne. Les données de paiement (montants, références, statuts) sont conservées sur une base de données située en Union européenne. La connexion bancaire du payeur est assurée par Bridge (France, agrément ACPR) ; les identifiants bancaires du payeur ne transitent pas par les serveurs du marchand. La liste complète des sous-traitants techniques figure au § 5 de la présente politique.
L'accès à la base de données est restreint à l'équipe technique via VPN + authentification forte (2FA).
5. Sous-traitants et Tiers
Spirit Pay ne revend jamais vos données. Nos sous-traitants agréés sont :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| OVH SAS | Point d'entrée réseau et relais sécurisé des communications API (datacenters France / UE) | France (UE) |
| Render Services, Inc. | Hébergement cloud de la plateforme Spirit Pay (datacenter UE — Francfort) | UE (Francfort) |
| MongoDB Atlas | Base de données chiffrée (métadonnées paiements, comptes) | UE |
| Bridge (Perspecteev) | Open Banking PSD2 — initiation de paiement | UE (France) |
6. Durées de Conservation
- Données de compte : Durée de la relation contractuelle + 5 ans (archivage probatoire).
- Transactions financières : 10 ans (obligation comptable et fiscale française).
- Logs de sécurité : 12 mois glissants, puis suppression automatique.
- Tokens de session (dashboard marchand / développeur / admin) : jeton d'accès valide 30 minutes maximum ; déconnexion automatique après 15 minutes d'inactivité ; révocation immédiate (blacklist) en cas de déconnexion.
- Session espace payeur : durée limitée (1 heure maximum, non prolongée automatiquement) ; révoquée à la déconnexion.
- Cookies de consentement : 12 mois (renouvellement du consentement demandé à l'échéance).
7. Vos Droits RGPD
Conformément au RGPD (Art. 15 à 22), vous disposez des droits suivants. Pour les exercer, contactez contact@spiritpay.net - réponse sous 30 jours maximum.
Obtenir une copie de toutes les données personnelles que nous détenons sur vous, dans un format lisible.
→ Envoyez votre demande à contact@spiritpay.netCorriger les données inexactes ou incomplètes vous concernant directement depuis votre espace client.
→ Modifiable dans Paramètres → Mon profilRecevoir vos données dans un format structuré (JSON), lisible par machine, pour les transférer à un autre service.
→ Demande par email à contact@spiritpay.netDemander la suppression complète de votre compte et de toutes les données associées. Irrévocable - à utiliser avec précaution.
→ Paramètres → Supprimer mon compte (confirmation mot de passe requise)Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL (autorité de contrôle française).
8. Cookies
Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du service (session, sécurité). Aucun cookie publicitaire ou de tracking tiers n'est déposé sans votre consentement explicite.
Vous pouvez modifier votre choix à tout moment en effaçant le localStorage de votre navigateur (clé : spiritpay_cookie_consent).
Spirit Pay est développé selon les principes Secure by Design et Privacy by Design.
La sécurité et la confidentialité sont intégrées dès la conception, pas ajoutées a posteriori.