Politique de confidentialité — Veilio
Dernière mise à jour : 25 février 2025
Cette page a pour objectif d’informer toutes les personnes concernées sur le traitement de leurs données personnelles. Pour toute information complémentaire ou pour exercer vos droits, n’hésitez pas à nous contacter à l’adresse suivante : support@veilio.xyz.
1. Responsable du traitement
Le responsable du traitement (RT) est Monsieur CLEMENT Quentin, en sa qualité de Président Directeur Général de la société Veilio SAS, enregistrée sous le numéro XXX et dont le siège social est XXX, ci-après dénommé « Veilio ».
2. Données collectées et finalités
Veilio est une plateforme B2B d’API de tokenisation de données. Nous traitons les catégories de données suivantes.
2.1 Données relatives à votre compte (utilisateur du Service)
| Données | Finalité | Base légale |
|---|---|---|
| Adresse e-mail, nom (optionnel), nom de l’entreprise (companyName) | Création et gestion du compte, authentification, communication relative au Service | Exécution du contrat (art. 6.1.b RGPD) |
| Mot de passe (stocké de manière irréversible par hachage) | Sécurisation de l’accès au compte | Exécution du contrat / intérêt légitime (sécurité) |
| Données de vérification d’e-mail (jeton, date d’expiration) | Vérification de l’adresse e-mail | Exécution du contrat |
| Données de réinitialisation de mot de passe (jeton, date d’expiration) | Permettre la réinitialisation sécurisée du mot de passe | Intérêt légitime (sécurité des comptes) |
2.2 Données relatives aux clés API
| Données | Finalité | Base légale |
|---|---|---|
| Identifiants des clés API (hash, préfixe visible, nom, date de création, révocation éventuelle) | Authentification des appels à l’API, gestion et révocation des clés | Exécution du contrat |
| Schéma de tokenisation personnalisé (si configuré) | Application des règles de tokenisation selon votre configuration | Exécution du contrat |
2.3 Données tokenisées (données des personnes concernées par vos traitements)
Lorsque vous utilisez l’API Veilio pour tokeniser des données (e-mails, numéros de téléphone, identifiants, etc.), ces données sont envoyées à nos serveurs, chiffrées et stockées sous forme de jetons. Dans ce cadre :
- Vous restez responsable du traitement des données personnelles que vous nous confiez pour tokenisation.
- Veilio agit en qualité de sous-traitant : nous traitons ces données uniquement pour fournir le Service (tokenisation, détokenisation, stockage sécurisé, logs d’accès).
- Les données sont stockées de manière chiffrée (AES-256-GCM) dans une base dédiée, séparée des métadonnées de gestion des comptes.
Les finalités sont : exécution du Service de tokenisation, conservation sécurisée, traçabilité (audit trail) et, le cas échéant, export ou suppression conformément à vos instructions et au RGPD.
2.4 Logs d’accès et métadonnées techniques
| Données | Finalité | Base légale |
|---|---|---|
| Identifiant utilisateur ou clé API, type d’action (tokenisation, détokenisation, etc.), adresse IP, user-agent, raison d’accès (si fournie), succès ou échec, date | Traçabilité, sécurité, détection d’abus, conformité et support | Intérêt légitime (art. 6.1.f RGPD) et obligation de sécurité |
Ces logs ne contiennent pas les données sensibles en clair ; ils permettent de savoir qui a fait quoi et quand.
2.5 Facturation et abonnement
| Données | Finalité | Base légale |
|---|---|---|
| Identifiant client Stripe, identifiant d’abonnement, statut d’abonnement, période | Gestion des abonnements et de la facturation via Stripe | Exécution du contrat / obligation légale |
Les données de paiement (carte bancaire, etc.) sont traitées directement par Stripe ; Veilio ne stocke pas les numéros de carte. Consultez la politique de confidentialité de Stripe pour ces traitements.
2.6 Communications par e-mail
Nous utilisons un prestataire d’envoi d’e-mails (transactionnel) pour : vérification d’e-mail, réinitialisation de mot de passe, codes de vérification pour la révélation de clés API, et communications relatives au Service ou au support. Les finalités sont l’exécution du contrat et la fourniture du support. L’entreprise est certifiée EU–US Data Privacy Framework.
Resend, 2261 Market Street #5039, San Francisco, CA 94114, États-Unis.
3. Durée de conservation
- Compte utilisateur : pour la durée du compte, puis suppression conformément à la procédure de suppression de compte (voir ci-dessous). Certaines données peuvent être conservées au-delà en cas d’obligation légale (ex. facturation, preuve en cas de litige) pour la durée autorisée par la loi et pour une durée de cinq ans maximum.
- Données tokenisées : pour la durée d’utilisation du Service par vous, puis suppression lors de la suppression de votre compte ou sur demande d’effacement, sauf obligation légale de conservation.
- Logs d’accès : pour une durée adaptée à la sécurité et à la conformité (par ex. 12 à 24 mois), sauf durée plus longue imposée par la loi ou une autorité compétente.
- Données de facturation : pour la durée des obligations légales et comptables (en France, généralement 10 ans pour les pièces justificatives).
À l’issue des durées utiles, les informations pourront faire l’objet d’une anonymisation complète ou seront supprimées définitivement.
4. Destinataires et sous-traitants
Les données sont accessibles aux équipes internes de Veilio habilitées (technique, support, administration) dans le cadre de leurs missions.
Nous faisons appel aux sous-traitants suivants pour les finalités indiquées :
| Sous-traitant | Rôle | Données concernées | Garanties (lieu, DPA, etc.) |
|---|---|---|---|
| Hébergeur des bases de données (Supabase) | Hébergement des bases Veilio (métadonnées) et Clients (données tokenisées) | Toutes les données techniques et tokenisées | Contrat / DPA prévoyant des garanties RGPD. Hébergement des données en Europe. |
| Stripe | Paiement et facturation | Identifiants abonnement, pas de données de carte | Stripe traite les paiements ; politique de confidentialité et conformité Stripe applicables. Contrat et DPF. |
| Prestataire d’e-mails (Resend) | Envoi d’e-mails transactionnels (vérification, réinitialisation, codes) | Adresse e-mail, contenu des e-mails envoyés | Contrat et mesures appropriées, DPF certifié |
Nous nous engageons à ne recourir qu’à des sous-traitants présentant des garanties suffisantes (contractuelles et, le cas échéant, clauses types ou autres mécanismes de transfert approuvés).
5. Transferts de données hors de l’EEE
Si certains sous-traitants (par ex. Stripe, prestataire d’e-mails) sont situés ou traitent des données hors de l’Espace économique européen (EEE), nous mettons en œuvre les garanties prévues par le RGPD : Clauses Contractuelles Types de la Commission européenne, décisions d’adéquation, ou encadrement équivalent. Vous pouvez nous demander des précisions ou une copie des garanties applicables à support@veilio.xyz.
6. Vos droits
Conformément au RGPD et à la loi « informatique et libertés », vous disposez des droits suivants concernant les données personnelles vous concernant (en tant qu’utilisateur du compte) :
- Droit d’accès (art. 15 RGPD) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
- Droit de rectification (art. 16 RGPD) : faire corriger des données inexactes ou incomplètes.
- Droit à l’effacement (art. 17 RGPD) : demander la suppression de vos données dans les cas prévus par la loi (y compris via la fonction « suppression de compte » dans le tableau de bord).
- Droit à la limitation du traitement (art. 18 RGPD) : demander la limitation du traitement dans certaines conditions.
- Droit à la portabilité (art. 20 RGPD) : recevoir les données que vous nous avez fournies dans un format structuré et couramment utilisé (pour les données du compte ; les données tokenisées peuvent faire l’objet d’un export dédié comme décrit dans le Service).
- Droit d’opposition (art. 21 RGPD) : vous opposer au traitement fondé sur l’intérêt légitime, pour des motifs tenant à votre situation particulière.
- Droit de retirer votre consentement : lorsque le traitement est fondé sur le consentement, le retrait de celui-ci ne remet pas en cause la licéité du traitement effectué avant le retrait.
Pour exercer ces droits, contactez-nous à support@veilio.xyz en précisant l’objet de votre demande. Nous pourrons vous demander une pièce d’identité pour vérifier votre identité. Vous disposez également du droit d’introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de l’autorité de contrôle de votre pays de résidence.
Suppression de compte : vous pouvez demander la suppression définitive de votre compte et des données associées (y compris les données tokenisées liées à votre compte) via la fonction prévue dans le tableau de bord (Compliance / Suppression de compte). Cette action est irréversible.
7. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données, notamment :
- Chiffrement : chiffrement AES-256-GCM des données tokenisées ; clés de chiffrement dérivées et protégées (clé maître non stockée en clair).
- Séparation des données : architecture à deux bases (métadonnées / données tokenisées) pour limiter les risques et la surface d’exposition.
- Authentification et contrôle d’accès : authentification par mot de passe (hachage) et par clé API ; révocation des clés possible ; traçabilité des accès (logs).
- Limitation des accès : accès réservé aux personnes habilitées et nécessaires à l’exploitation du Service.
- Limites techniques : limitation du volume des requêtes (rate limiting), limitation de la taille des corps de requête, enregistrement des actions pour l’audit.
En cas d’incident de sécurité susceptible d’affecter vos données personnelles, nous nous engageons à agir conformément au RGPD (notification à l’autorité de contrôle et, le cas échéant, aux personnes concernées lorsque le risque est élevé). Une fonction de signalement d’incident est disponible dans le tableau de bord (Compliance).
8. Modifications de la politique
Nous nous réservons le droit de modifier la présente politique de confidentialité. Toute modification substantielle sera portée à votre connaissance (par ex. par e-mail ou par un bandeau sur le Service) avec un préavis raisonnable lorsque la loi l’exige. La date de « dernière mise à jour » en tête de document sera actualisée. Nous vous invitons à consulter régulièrement cette page.
9. Contact
Pour toute question relative à cette politique ou à vos données personnelles :
- E-mail : support@veilio.xyz
- Responsable du traitement : VEILIO SAS
Si vous agissez en qualité de responsable de traitement et que vous utilisez Veilio pour tokeniser des données personnelles dont vous êtes responsable, les modalités de sous-traitance sont décrites dans les Conditions générales d’utilisation et, le cas échéant, dans un accord de traitement des données (DPA) que nous pouvons vous fournir sur demande.