ParrainGo s'engage à protéger votre vie privée et vos données personnelles. Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos informations conformément au Règlement Général sur la Protection des Données (RGPD).
Introduction
Responsable du traitement
Le responsable du traitement des données personnelles est :
- Raison sociale : KODELIO, SARL au capital de 1 000 €
- Siège social : 58 rue de Monceau, CS 48756, 75380 Paris Cedex 08, France
- SIRET : 930 626 841 00025
- RCS : Paris 930 626 841
- Représentant légal : Laurent Toson
- Contact : support@parraingo.fr
Délégué à la protection des données (DPO) : KODELIO n'est pas tenue de désigner un DPO et n'en a pas désigné. Pour toute question relative à la protection de vos données, vous pouvez contacter directement le responsable du traitement à l'adresse ci-dessus.
Données personnelles collectées
Nous collectons les données suivantes :
3.1 Données d'inscription
- Nom d'utilisateur
- Mot de passe (hashé avec Argon2id)
- Code de parrainage (optionnel)
3.2 Données de profil
- Avatar (optionnel)
- Biographie (optionnelle)
- Préférences de notification
3.3 Données d'utilisation
- Offres de parrainage publiées
- Messages échangés
- Votes et interactions
- Logs de connexion et de sécurité (IP, user agent, actions sensibles)
- Événements techniques et erreurs applicatives lorsque Sentry est configuré
3.4 Données OAuth
Si vous vous connectez via Google, Facebook ou Apple, nous recevons votre email et identifiant unique. Nous ne stockons pas vos mots de passe OAuth.
3.5 Données de paiement
Les paiements sont traités par Stripe. ParrainGo conserve les informations nécessaires au suivi des abonnements, achats de crédits, factures et remboursements éventuels (montant, statut, identifiants Stripe, date et historique de paiement). Les données complètes de carte bancaire ne sont pas stockées par ParrainGo.
3.6 Notifications push
Si vous activez les notifications push, nous collectons l'endpoint de notification fourni par votre navigateur et les clés techniques nécessaires à l'envoi des notifications. Cette souscription peut être supprimée à tout moment depuis vos paramètres.
Finalités du traitement
Vos données sont utilisées pour :
- Créer et gérer votre compte
- Fournir les services de la plateforme
- Communiquer avec vous (notifications, support)
- Gérer les abonnements, achats de crédits, paiements et factures
- Améliorer nos services et corriger les erreurs techniques
- Respecter nos obligations légales
- Prévenir la fraude et les abus
4.1 Synthèse des principaux traitements
| Finalité | Données concernées | Base légale | Durée principale |
|---|---|---|---|
| Compte et accès au service | Email, identifiant, mot de passe hashé, profil | Contrat | Tant que le compte existe |
| Publication et mise en relation | Offres, messages, votes, interactions | Contrat et intérêt légitime de modération | Tant que le compte ou le contenu existe, puis suppression/anonymisation |
| Paiements et facturation | Historique de paiement, factures, identifiants Stripe | Contrat et obligation légale | 10 ans pour les pièces comptables |
| Sécurité et lutte contre les abus | IP, user agent, logs d'audit, actions sensibles | Intérêt légitime | 2 ans pour les logs d'audit |
| Newsletter et notifications push | Préférences, email, endpoints push | Consentement | Jusqu'au retrait du consentement ou suppression du compte |
Base légale
Le traitement de vos données repose sur :
- Contrat : exécution du service ParrainGo et des offres payantes
- Consentement : newsletter, notifications push, traceurs non essentiels
- Intérêt légitime : sécurité, prévention fraude, modération et support
- Obligation légale : facturation, comptabilité, réponse aux autorités
Partage des données
Vos données peuvent être partagées avec les sous-traitants suivants, agissant pour le compte de KODELIO et liés par contrat de sous-traitance conforme à l'article 28 du RGPD :
- OVH SAS (France) — Hébergement de l'application et de la base de données. Données traitées dans l'Union européenne.
- Stripe Payments Europe Ltd (Dublin, Irlande) — Traitement des paiements d'abonnement. Données traitées dans l'UE ; certains traitements peuvent être transférés aux États-Unis (voir article 11).
- Resend, Inc. (San Francisco, États-Unis) — Envoi d'emails transactionnels (vérification, notifications). Transfert hors UE encadré (voir article 11).
- Cloudflare, Inc. (siège : San Francisco, États-Unis) — Stockage des médias (Cloudflare R2) et CDN. Les données sont stockées en Europe de l'Ouest (région WEUR). Cloudflare étant une société américaine, des garanties complémentaires s'appliquent en cas d'accès depuis les États-Unis (voir article 11).
- Functional Software, Inc. (Sentry) (San Francisco, États-Unis) — Monitoring des erreurs techniques frontend et backend lorsque le service est configuré. Données minimisées dans la mesure du possible. Transfert hors UE encadré (voir article 11).
- Services de notification push des navigateurs (selon votre navigateur : Apple, Google, Mozilla ou fournisseur équivalent) — Acheminement technique des notifications push uniquement si vous les activez.
Nous ne vendons jamais vos données personnelles à des tiers. Vos données peuvent également être communiquées en cas de réquisition d'une autorité judiciaire ou administrative, dans les conditions prévues par la loi.
Durée de conservation
- Compte actif : données conservées tant que votre compte existe
- Compte supprimé : anonymisation immédiate de vos données personnelles dès la demande de suppression (email, nom d'utilisateur, mot de passe, avatar, biographie, données OAuth, paramètres 2FA et de notification sont supprimés ou remplacés par des valeurs anonymes). Les contenus partagés (offres) sont désactivés puis définitivement supprimés sous 30 jours.
- Logs d'audit (incluant adresse IP, user-agent, actions sensibles, consentements, exports et exercice des droits) : conservation 2 ans à des fins de sécurité, de preuve et conformément à l'intérêt légitime de prévention des abus.
- Données de facturation : conservation 10 ans conformément à l'article L.123-22 du Code de commerce
- Abonnements push : conservation jusqu'à désinscription, révocation par le navigateur ou suppression du compte.
- Messages : conservation tant que la conversation existe. En cas de suppression de compte, les messages peuvent être conservés sous forme rattachée à un utilisateur supprimé afin de préserver la conversation de l'autre participant.
- Données de prospection commerciale : 3 ans à compter du dernier contact
Vos droits RGPD
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : Obtenir une copie de vos données
- Droit de rectification : Corriger vos données inexactes
- Droit à l'effacement : Supprimer votre compte et données
- Droit d'opposition : Refuser certains traitements
- Droit à la portabilité : Recevoir vos données (JSON/CSV)
- Droit de limitation : Limiter le traitement
Pour exercer vos droits, contactez support@parraingo.fr. Réponse sous 30 jours maximum.
Sécurité des données
Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles :
- Chiffrement HTTPS (TLS 1.3)
- Hashage des mots de passe (Argon2id)
- Cookies httpOnly sécurisés
- Authentification 2FA optionnelle
- Sauvegardes régulières
- Audits de sécurité
Transferts hors Union Européenne
Certaines de vos données peuvent être transférées hors de l'Union européenne, principalement vers les États-Unis, dans le cadre des prestations techniques décrites à l'article 6. Ces transferts sont encadrés par les garanties suivantes :
- Resend, Inc. (États-Unis) — Transfert encadré par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914).
- Cloudflare, Inc. — Les données R2 sont stockées en Europe de l'Ouest (WEUR), donc résidence des données dans l'UE. Cloudflare étant établie aux États-Unis, un accès distant depuis les États-Unis reste théoriquement possible et est encadré par le Data Privacy Framework (DPF) UE-États-Unis et les Clauses Contractuelles Types.
- Functional Software, Inc. (Sentry) (États-Unis) — Transfert encadré par les Clauses Contractuelles Types et politique de minimisation/anonymisation des données envoyées.
- Stripe Payments Europe Ltd est établie en Irlande (UE) ; les transferts éventuels vers Stripe Inc. (États-Unis) sont encadrés par le DPF et les CCT.
Vous pouvez obtenir une copie des garanties applicables sur simple demande à support@parraingo.fr.
Profilage et décision automatisée
ParrainGo n'effectue pas de décision entièrement automatisée produisant des effets juridiques ou vous affectant de manière significative au sens de l'article 22 du RGPD.
Certains traitements automatisés sont toutefois mis en œuvre pour le bon fonctionnement du service :
- Système de points : décrément automatique selon un barème public, sans intervention humaine, n'affectant que la visibilité des offres publiées.
- Limitation de débit (rate-limiting) sur les actions sensibles : refus temporaire et automatique d'une action, sans conséquence durable.
Vous disposez du droit de demander une intervention humaine, d'exprimer votre point de vue et de contester toute décision en écrivant à support@parraingo.fr.
Modifications de la politique
Cette politique peut être modifiée. Les changements significatifs vous seront notifiés par email au moins 30 jours avant leur prise d'effet.
Réclamation CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Site web : www.cnil.fr
Contact
Pour toute question sur la protection de vos données personnelles : support@parraingo.fr