Politique de Confidentialité
1. Introduction
La présente Politique de Confidentialité a pour objectif d'informer les utilisateurs du service QR Express (site qrexpress.fr) sur la collecte, l'utilisation et la protection de leurs données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD – Règlement UE 2016/679) et à la loi française « Informatique et Libertés » modifiée.
Notre engagement : QR Express a été conçu avec une approche « privacy by design ». Aucun outil d'analyse tiers (Google Analytics, Facebook Pixel, etc.) n'est utilisé. Aucune adresse IP n'est conservée. Les données collectées sont strictement nécessaires au fonctionnement du service.
2. Responsable du traitement
Le responsable du traitement des données personnelles est :
INNOV & CONSEIL
Société à responsabilité limitée à associé unique (SARL)
Capital social : 1 000 €
Siège social : 71 rue Montaudon, 33500 Libourne, France
RCS Libourne 981 070 675
Représentée par son gérant Monsieur Alexis DAPOIGNY
Email de contact pour toute question RGPD : contact@innovetconseil.fr
3. Données collectées
3.1 Données collectées auprès des utilisateurs professionnels (titulaires de compte)
Lors de l'inscription et de l'utilisation du service, les données suivantes sont collectées :
- Identification : adresse email, prénom, mot de passe (haché, jamais stocké en clair)
- Données de compte : plan d'abonnement, date d'inscription, dernière connexion
- Données de facturation : historique des paiements (gérés exclusivement par Stripe)
- Contenus créés : QR codes générés (slug, nom, URL de destination, couleur, forme, logo ou photo uploadés)
3.2 Données collectées auprès des visiteurs scannant un QR code
Lors du scan d'un QR code QR Express par un visiteur final (qui n'est pas le titulaire du compte), les données suivantes sont collectées dans un objectif statistique pseudonymisé :
- Empreinte d'appareil anonymisée : un hash SHA-256 calculé à partir de l'IP, de l'agent utilisateur et d'un sel serveur. Cette empreinte est non réversible et ne permet pas d'identifier le visiteur. L'adresse IP brute n'est jamais stockée.
- Données techniques agrégées : date et heure du scan, pays et ville approximatifs (basés sur la géolocalisation IP, jamais l'IP elle-même)
Ces données sont considérées comme pseudonymisées au sens de l'article 4(5) du RGPD.
3.3 Cookies
Le site qrexpress.fr utilise uniquement deux cookies strictement nécessaires à son fonctionnement :
- qrexpress_session — cookie d'authentification permettant de garder l'utilisateur connecté à son compte. Sans ce cookie, l'utilisateur ne pourrait pas accéder à son espace personnel. Durée de vie : 30 jours. Propriétés techniques : HttpOnly (non accessible en JavaScript), Secure (transmis uniquement en HTTPS), SameSite=Lax.
- qrexpress_last_email — cookie de confort optionnel, déposé uniquement si l'utilisateur coche la case « Se souvenir de mon email » sur la page de connexion. Il sert à pré-remplir le champ email lors des prochaines visites pour faciliter la reconnexion. Durée de vie : 90 jours. L'utilisateur peut décocher la case pour supprimer ce cookie à tout moment.
Aucun cookie tiers, de mesure d'audience (type Google Analytics) ou de marketing n'est déposé sur le site. C'est un choix délibéré de QR Express, conformément à notre approche « privacy by design ».
Conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL, aucun bandeau de consentement n'est requis pour ces cookies strictement nécessaires.
3.4 Photos et logos importés par l'utilisateur
Lorsque vous intégrez une photo ou un logo au centre d'un QR code, ce fichier est stocké sur nos serveurs (situés dans l'Union européenne) dans le seul but de générer et d'afficher votre QR code personnalisé.
Ces images sont conservées tant que le QR code concerné est actif sur votre compte. Vous pouvez les retirer à tout moment depuis l'atelier de personnalisation ; la suppression de votre QR code ou de votre compte entraîne la suppression définitive des images associées.
Si une image importée contient des données personnelles (par exemple un visage), vous restez responsable de cette donnée. Conformément au RGPD, vous disposez d'un droit d'accès, de rectification et de suppression que vous pouvez exercer à l'adresse contact@qrexpress.fr.
4. Finalités du traitement
Les données personnelles collectées sont utilisées exclusivement pour :
- Fournir le service QR Express : création, gestion et redirection des QR codes
- Gérer les abonnements et la facturation des plans payants
- Calculer les statistiques de scan affichées dans le compte de l'utilisateur professionnel
- Communiquer avec l'utilisateur : confirmations d'inscription, notifications de paiement, informations relatives au service
- Améliorer la sécurité : détection d'abus, prévention de la fraude
- Respecter nos obligations légales : comptabilité, fiscalité
5. Base légale du traitement
Les traitements de données personnelles sont fondés sur :
- L'exécution du contrat d'abonnement pour les professionnels (Article 6.1.b du RGPD)
- L'intérêt légitime de l'éditeur pour les statistiques pseudonymisées de scan, la sécurité et la prévention des abus (Article 6.1.f du RGPD)
- Le respect d'obligations légales, notamment comptables et fiscales (Article 6.1.c du RGPD)
6. Durée de conservation
Les données personnelles sont conservées selon les durées suivantes :
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte (email, prénom, mot de passe haché) | Tant que le compte est actif. Supprimées sur demande de l'utilisateur. |
| Données de facturation | 10 ans (obligation comptable et fiscale française) |
| Statistiques de scan (par QR) | Selon le plan : 30 jours (Découverte), 3 mois (Essentiel), 1 an (Pro), illimité (Business) |
| QR codes créés | Tant que le compte est actif ; au-delà de 30 jours après résiliation de l'abonnement, les redirections sont désactivées |
| Cookie de session | 30 jours maximum, ou jusqu'à déconnexion |
À la fermeture définitive du compte, toutes les données personnelles sont supprimées sous 30 jours, à l'exception des données de facturation conservées pour obligations légales.
7. Partage des données
Aucune donnée n'est vendue à des tiers. Aucune donnée n'est transmise à des fins publicitaires.
Les données peuvent être transmises uniquement à des prestataires techniques dans le cadre strict de l'exécution du service, à savoir :
| Prestataire | Localisation | Données traitées | Finalité |
|---|---|---|---|
| IONOS SARL | France (Sarreguemines) | Hébergement de l'ensemble des données | Hébergement du site et de la base de données |
| Stripe Payments Europe Ltd. | Irlande (UE) | Données de paiement | Traitement sécurisé des paiements par carte |
| Brevo | France (Paris) | Email, prénom | Envoi des emails transactionnels (confirmation, factures) |
Tous nos prestataires sont localisés dans l'Union Européenne et soumis à des obligations contractuelles strictes en matière de protection des données, conformément au RGPD.
Aucun transfert hors UE n'est effectué.
8. Droits des utilisateurs
Conformément au RGPD, les utilisateurs disposent des droits suivants :
- Droit d'accès : connaître les données vous concernant que nous traitons
- Droit de rectification : faire corriger une donnée inexacte
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données
- Droit d'opposition : refuser que vos données soient traitées
- Droit à la limitation du traitement : suspendre temporairement l'utilisation de vos données
- Droit à la portabilité : recevoir vos données dans un format lisible pour les transférer (notamment via l'export CSV des scans, disponible pour les abonnés Business)
- Droit de retirer votre consentement à tout moment
Pour exercer ces droits, l'utilisateur peut contacter l'éditeur :
- par email à contact@innovetconseil.fr
- ou par courrier à l'adresse du siège social : 71 rue Montaudon, 33500 Libourne
Une réponse vous sera apportée dans un délai maximum d'un mois.
L'utilisateur dispose également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr) s'il estime que ses droits ne sont pas respectés.
9. Sécurité des données
QR Express met en œuvre toutes les mesures techniques et organisationnelles nécessaires afin de garantir la sécurité et la confidentialité des données personnelles :
- Chiffrement des connexions (HTTPS via Let's Encrypt)
- Hachage sécurisé des mots de passe (algorithme bcrypt)
- Pseudonymisation systématique des données de scan (hash SHA-256, jamais d'IP brute)
- Accès restreint aux serveurs et à la base de données
- Sauvegardes régulières de la base de données
- Prestataires conformes RGPD uniquement
10. Mineurs
Le service QR Express est destiné à un usage professionnel. Il n'est pas conçu pour collecter sciemment des données personnelles de mineurs de moins de 15 ans. Si nous apprenions qu'un mineur nous a fourni des données personnelles sans le consentement de ses parents ou tuteurs, nous procéderions à leur suppression immédiate.
11. Modifications de la politique
La présente Politique de Confidentialité peut être modifiée à tout moment afin de l'adapter aux évolutions législatives ou aux services proposés par QR Express. Les utilisateurs sont invités à consulter régulièrement cette page pour prendre connaissance des éventuelles mises à jour.
La date de dernière mise à jour est indiquée en haut du document. Toute modification substantielle sera notifiée par email aux utilisateurs disposant d'un compte actif.
12. Droit applicable
La présente Politique de Confidentialité est régie par le droit français. En cas de litige, compétence est attribuée aux tribunaux compétents du ressort du siège social de l'éditeur, Libourne (33500).