Retour
Secure by Design & RGPD

Politique de Confidentialité

Transparence totale sur le traitement de vos données personnelles. Spirit Pay est développé selon les principes Secure by Design et Privacy by Design (RGPD Art. 25).

Dernière mise à jour : 1er avril 2026

1. Responsable de Traitement

Spirit Pay est édité par Williams Kifouli (Angers, France). En tant que responsable du traitement, nous déterminons les finalités et les moyens du traitement de vos données personnelles.

Contact DPO : contact@spiritpay.net - Réponse garantie dans les 30 jours conformément à l'Art. 12 RGPD.

2. Données Collectées

Nous appliquons le principe de minimisation des données (Art. 5.1.c RGPD) - nous ne collectons que ce qui est strictement nécessaire :

  • Marchands / Entreprises : Nom, email, téléphone, SIRET, IBAN bénéficiaire, historiques de connexion et transactions.
  • Clients finaux (payeurs) : Email (confirmation uniquement), statut de transaction renvoyé par la banque. Nous ne stockons jamais vos identifiants bancaires.
  • Données techniques : Adresses IP pseudonymisées, logs d'accès, statuts de webhooks ERP.

Données sensibles : les informations bancaires (IBAN) sont chiffrées au repos (AES-256). Elles ne sont jamais affichées en clair dans nos logs ou interfaces d'administration.

3. Bases Légales et Finalités

  • Exécution du contrat (Art. 6.1.b) : Création de compte, génération des liens de paiement, initiation des virements Open Banking, lettrage ERP.
  • Obligations légales (Art. 6.1.c) : LCB-FT, DSP2, obligations comptables françaises et européennes.
  • Intérêt légitime (Art. 6.1.f) : Sécurité de la plateforme, détection de fraude, analytics internes.
  • Consentement (Art. 6.1.a) : Cookies non essentiels, communications marketing (uniquement si vous avez accepté).

4. Sécurité et Stockage

Toutes les données transitent via TLS 1.3. Les données sensibles sont chiffrées au repos (AES-256-GCM). Les mots de passe sont hashés avec bcrypt (sel unique par compte).

Vos données sont hébergées sur des infrastructures sécurisées (Render Inc.) avec des serveurs en Europe. Pour tout transfert hors EEE, des Clauses Contractuelles Types (Commission Européenne) sont en place.

L'accès à la base de données est restreint à l'équipe technique via VPN + authentification forte (2FA).

5. Sous-traitants et Tiers

Spirit Pay ne revend jamais vos données. Nos sous-traitants agréés sont :

Sous-traitantFinalitéLocalisation
Bridge (Perspecteev)Open Banking PSD2 - initiation de paiementUE (France)
Render Inc.Hébergement backend & base de donnéesUE / USA (CCT)
MongoDB AtlasBase de données chiffréeUE
Expo / FirebaseNotifications push mobilesUSA (CCT)

6. Durées de Conservation

  • Données de compte : Durée de la relation contractuelle + 5 ans (archivage probatoire).
  • Transactions financières : 10 ans (obligation comptable et fiscale française).
  • Logs de sécurité : 12 mois glissants, puis suppression automatique.
  • Tokens de session : Expiration courte (1h), avec blacklist immédiate en cas de déconnexion.
  • Cookies de consentement : 12 mois (renouvellement du consentement demandé à l'échéance).

7. Vos Droits RGPD

Conformément au RGPD (Art. 15 à 22), vous disposez des droits suivants. Pour les exercer, contactez contact@spiritpay.net - réponse sous 30 jours maximum.

Droit d'accès (Art. 15)

Obtenir une copie de toutes les données personnelles que nous détenons sur vous, dans un format lisible.

→ Envoyez votre demande à contact@spiritpay.net
Droit de rectification (Art. 16)

Corriger les données inexactes ou incomplètes vous concernant directement depuis votre espace client.

→ Modifiable dans Paramètres → Mon profil
Droit à la portabilité (Art. 20)

Recevoir vos données dans un format structuré (JSON), lisible par machine, pour les transférer à un autre service.

→ Demande par email à contact@spiritpay.net
Droit à l'effacement - droit à l'oubli (Art. 17)

Demander la suppression complète de votre compte et de toutes les données associées. Irrévocable - à utiliser avec précaution.

→ Paramètres → Supprimer mon compte (confirmation mot de passe requise)

Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL (autorité de contrôle française).

8. Cookies

Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du service (session, sécurité). Aucun cookie publicitaire ou de tracking tiers n'est déposé sans votre consentement explicite.

Vous pouvez modifier votre choix à tout moment en effaçant le localStorage de votre navigateur (clé : spiritpay_cookie_consent).

Secure by Design

Spirit Pay est développé selon les principes Secure by Design et Privacy by Design.
La sécurité et la confidentialité sont intégrées dès la conception, pas ajoutées a posteriori.