Chez bloo.Cards, votre vie privée est notre priorité. Cette Politique de Confidentialité explique comment nous collectons, utilisons, partageons et protégeons vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD, Règlement 2016/679/UE) et à la Directive ePrivacy (2002/58/CE), ainsi qu'aux législations nationales belges applicables.

Article 1 — Responsable du traitement

Le responsable du traitement de vos données personnelles est :

MOLDEREZ-CONSULT SRL

Numéro de registre national / BCE : 0842.262.084

Numéro TVA intracommunautaire : BE0842.262.084

Siège social : Square Valere-Gille 13, boîte 5, 1050 Ixelles, Belgique

Délégué à la Protection des Données (DPO) : dpo@bloo.cards

Contact légal et confidentialité : legal@bloo.cards

En tant que responsable du traitement, Molderez-Consult SRL détermine les finalités et moyens du traitement de vos données. Le Délégué à la Protection des Données (DPO) supervise la conformité avec le RGPD et peut être contacté pour toute question relative à la protection de vos données.

Article 2 — Catégories de données collectées

2.1 Vue d'ensemble

Nous collectons différentes catégories de données personnelles selon votre utilisation de la Plateforme. Voici un aperçu détaillé :

Catégorie Type de donnée Source Obligatoire ?
Données d'identification Prénom, nom, adresse email, numéro de téléphone, photo de profil Enregistrement utilisateur, profil Email : Oui
Autres : Non
Données d'authentification Mot de passe hashé (Argon2id), identifiants de session, tokens JWT Inscription, connexion Oui
Données de société Nom entreprise, numéro TVA, adresse postale, pays, IBAN (revendeurs) Profil, facturation, setup revendeur Non (sauf pour facturation B2B)
Données de carte digitale Texte, images (JPEG/PNG/WebP), vidéos (MP4/WebM), PDFs, liens sociaux, numéros de téléphone Création/édition de carte Non
Données analytiques Vues de page, scans QR, taps NFC, géolocalisation (niveau ville), type d'appareil, navigateur, référent Interactions avec les cartes Non
Données de paiement Historique transactions, dates, montants, mode de paiement (via Mollie) Transactions Mollie Oui (si abonnement payant)
Données de cookies ID de session, préférences de consentement, langue Navigation, paramètres utilisateur Session : Oui
Marketing : Non
Données de contact Requêtes formulaire, abonnements newsletter, commentaires Formulaires de contact Non
Données de wallet Contacts scannés, historique interactions, données locales synchronisées App Wallet PWA Non
Données techniques Adresse IP, User-Agent, logs d'accès, timestamps Serveur, logs Oui (infrastructure)

2.2 Données sensibles (Article 9 RGPD)

Nous ne collectons délibérément pas de données sensibles au sens de l'Article 9 du RGPD (données raciales, ethniques, opinions politiques, convictions religieuses, données génétiques, données biométriques, données concernant la santé, données relatives à la vie sexuelle ou orientation sexuelle).

Si vous choisissez de publier de telles données dans le contenu de votre carte (texte, images), vous en acceptez l'entière responsabilité et nous accordez une licence pour les stocker et afficher selon nos Conditions Générales.

2.3 Données optionnelles

Certaines données ne sont pas obligatoires pour l'utilisation de la Plateforme :

  • Photo de profil ;
  • Numéro de téléphone ;
  • Informations détaillées de société ;
  • Contenu de carte (images, vidéos, PDFs) ;
  • Données analytiques avancées (peuvent être désactivées).

Le refus de fournir ces données optionnelles n'impacte pas l'accès aux services essentiels.

Article 3 — Bases légales du traitement (Article 6 RGPD)

Nous traitons vos données personnelles uniquement sur la base de l'une des bases légales suivantes prévues par l'Article 6 du RGPD :

Base légale Article RGPD Type de traitement Exemples
Exécution du contrat 6(1)(b) Nécessaire pour créer et administrer votre compte, fournir le Service Identification, authentification, stockage données de carte, facturation, envoi factures
Intérêt légitime 6(1)(f) Pour optimiser le Service, détecter fraude, améliorer sécurité, analyser usage Analytics anonymisées, logs serveur, monitoring fraude, améliorations produit
Consentement 6(1)(a) Traitement nécessitant votre accord explicite Cookies marketing, newsletter, analytics avancées (opt-in)
Obligation légale 6(1)(c) Respect des lois belges et UE Archivage factures (7 ans, droit fiscal), conformité AML, demandes autorités

Important : Pour chaque traitement, une seule base légale nous autorise à procéder. Si le consentement est requis, vous pouvez le retirer à tout moment sans impacter les traitements antérieurs.

Article 4 — Finalités du traitement

Vos données sont traitées exclusivement pour les finalités suivantes :

4.1 Finalités contractuelles (base légale : Art. 6(1)(b) RGPD)

  • Création et gestion de compte : Enregistrement, authentification, accès à la Plateforme ;
  • Fourniture du Service : Création, édition, personnalisation et partage des cartes digitales ;
  • Gestion des abonnements : Attribution du plan approprié, gestion des limites de fonctionnalités ;
  • Facturation et paiements : Emission de factures, traitement des paiements via Mollie, archivage pour conformité fiscale (7 ans) ;
  • Support client : Traitement de requêtes, assistance technique, résolution de problèmes ;
  • Communication obligatoire : Notifications légales, changements Conditions/Politique, avis de maintenance.

4.2 Finalités basées sur intérêt légitime (base légale : Art. 6(1)(f) RGPD)

  • Sécurité et prévention fraude : Détection d'accès non-autorisés, monitoring anormal, protection compte ;
  • Analytics et amélioration du Service : Comprendre usage des fonctionnalités, identifier blocages UX, optimiser performance ;
  • Conformité réglementaire : Vérification AML (Anti-Money Laundering), validation TVA intracommunautaire ;
  • Gestion des réclamations : Traitement des disputes, résolution de litiges ;
  • Amélioration des mesures de sécurité : Tests de pénétration, audits, mises à jour infrastructure ;
  • Analyse des logs : Diagnostics techniques, optimisation serveurs, identification pannes.

Test d'équilibre : Pour les finalités basées sur intérêt légitime, nous avons évalué que notre intérêt à fournir un Service sécurisé, fiable et conforme prévaut sur vos intérêts de confidentialité, notamment car vous pouvez vous opposer à ces traitements (voir Article 12).

4.3 Finalités basées sur consentement (base légale : Art. 6(1)(a) RGPD)

  • Cookies marketing : Suivi du comportement pour publicités ciblées (retrait possible) ;
  • Newsletter : Envoi de contenus informatifs, promotions, mises à jour produit (désinscription à tout moment) ;
  • Analytics avancées : Suivi détaillé d'usage pour rapports personnalisés (opt-in) ;
  • Emails promotionnels : Offres commerciales, nouvelles fonctionnalités (gestion des préférences).

4.4 Finalités basées sur obligation légale (base légale : Art. 6(1)(c) RGPD)

  • Archivage fiscal : Conservation des factures et transactions 7 ans (Directive TVA, loi belge) ;
  • Demandes d'autorités : Respect mandats judicaires, demandes forces de l'ordre ;
  • Conformité AML/KYC : Vérification identité pour paiements (loi anti-blanchiment UE) ;
  • Reporting TVA/RGPD : Déclarations à autorités compétentes.

4.5 Finalités explicitement exclues

Nous n'utilisons jamais vos données pour :

  • Vente à tiers à titre commercialisable ;
  • Profiling discriminatoire (race, religion, orientation sexuelle, etc.) ;
  • Décisions entièrement automatisées affectant droits légaux (voir Article 22 RGPD) ;
  • Partage non-consentis avec partenaires marketings externes ;
  • Utilisation pour crédit scoring ou assurances ;
  • Surveillance de masse ou catalogage comportemental.

Article 5 — Destinataires des données

Vos données sont partagées avec les catégories de destinataires suivantes :

5.1 Destinataires internes

  • Équipe technique : Accès pour support, debugging, infrastructure ;
  • Équipe support client : Accès pour traiter vos demandes ;
  • Équipe conformité/légale : Accès pour vérifier RGPD, traiter demandes droits ;
  • Équipe billing : Accès données factures, paiements, abonnements.

5.2 Autorités publiques et forces de l'ordre

Nous pouvons partager vos données avec :

  • Autorités de protection des données (APD/CNIL) : En réponse à demandes d'enquêtes ;
  • Forces de l'ordre et autorités judiciaires : Décisions judiciaires, mandats de perquisition, ordonnances légales ;
  • Autorités fiscales : Reporting conformité TVA, déclarations légales ;
  • Autorités AML : Signalements activité suspecte (anti-blanchiment).

Nous respectons ces demandes uniquement si légalement contraints et informons l'utilisateur sauf impossibilité légale.

5.3 Visiteurs de vos cartes

Lorsqu'un tiers consulte votre carte digitale publique :

  • Il voit les données que vous avez choisies de publier (texte, images, liens, contact) ;
  • Les analytics montrent des statistiques agrégées (nombre vues, localisation générale) sans identifier les visiteurs ;
  • Si un visiteur vous ajoute via Wallet, ses données de contact sont synchronisées avec votre compte (avec consentement du visiteur).

5.4 Autres utilisateurs (fonction Network/Wallet)

L'application Wallet propose une fonction « Network » (CRM léger) où :

  • Vos contacts scannés sont stockés localement et synchronisés avec notre serveur ;
  • Seules les données que le contact a publiées sont stockées ;
  • Les autres utilisateurs ne voient vos infos que si vous les avez ajoutés ou acceptés.

Article 6 — Sous-traitants et processeurs (Article 28 RGPD)

Pour fournir le Service, nous confions certaines données à des sous-traitants certifiés RGPD. Un contrat de traitement des données (DPA) assure la conformité :

Sous-traitant Fonction Localisation Protection Site web
Mollie Traitement paiements (Bancontact, CB, iDEAL, PayPal, SEPA) Pays-Bas (UE) SCC, RGPD www.mollie.com
AuthSMTP Envoi emails transactionnels (vérification, factures, notifications) Royaume-Uni (post-Brexit) SCC, Data Bridge, DPA mail.authsmtp.com
BlazingCDN Livraison contenu (CDN images, assets) Union Européenne DPA, SCC blazingcdn.net
Google LLC Maps, Places, Reviews, OAuth, Analytics (optionnel) États-Unis (Irlande pour EU) EU-US DPF, SCC policies.google.com
Apple Inc. Sign-In (SSO optionnel) États-Unis EU-US DPF apple.com/privacy
ModernMT Traduction automatique (7 langues) Union Européenne RGPD, DPA www.modernmt.com
Redis Enterprise Stockage sessions (serveur EU auto-hébergé) Belgique (auto-hébergé) Contrôle direct redis.com
MySQL/MariaDB Base de données principale Belgique (auto-hébergé) Contrôle direct mysql.com

6.1 Contrats de traitement (DPA)

Tous les sous-traitants ont signé des Contrats de Traitement des Données Personnelles (Data Processing Agreements - DPA) conformément à l'Article 28 du RGPD. Ces contrats garantissent :

  • Traitement uniquement selon nos instructions ;
  • Confidentialité des données ;
  • Sécurité des données ;
  • Notification en cas de violation ;
  • Audit et conformité vérifiables ;
  • Suppression données en fin contrat.

6.2 Sous-traitants secondaires (Article 28(2) et (4) RGPD)

Mollie, Google et AuthSMTP peuvent engager des sous-traitants secondaires. Nous maintenons une liste à jour accessible sur demande auprès de dpo@bloo.cards.

6.3 Transferts internationaux (Section 4 ci-dessous)

Mollie (Pays-Bas), Google et Apple (États-Unis), AuthSMTP (Royaume-Uni) reçoivent vos données. Voir Article 9 pour mécanismes de garantie.

Article 7 — Durées de conservation

Vos données ne sont conservées que le temps nécessaire à leurs finalités. Voici les durées par catégorie :

Catégorie de donnée Durée de conservation Justification
Compte actif (données d'identification, auth) Durée du compte + 30 jours après suppression Nécessaire pour accès Service ; 30j pour récupération urgente
Cartes digitales Tant que compte actif ; suppression 15 jours après archivage Contenu Utilisateur ; délai grâce avant suppression définitive
Données de paiement (Mollie) 3 ans + durée compte (min. 3 ans) Conformité PCI-DSS, gestion disputed transactions
Factures et invoices 7 ans après date de facturation Obligation légale belge (droit fiscal, audit)
Analytics et logs (anonymisés) 24 mois glissants (rolling) Tendances usage, detection anomalies
Logs serveur (IP, User-Agent) 90 jours Sécurité, debugging, détection attaques
Enregistrements consentement cookies 13 mois Conformité ePrivacy, preuve consentement
Emails transactionnels 90 jours (archives) / 7 ans factures Traçabilité communication, archivage fiscal
Demandes droits RGPD 3 ans Preuves traitement, défense en cas litige
Données de Wallet/Network Durée compte utilisateur Synchronisation contacts, CRM
Comptes inactifs 24 mois avant archivage ; archive 6 ans Espace serveur ; possibilité récupération
Formulaires contact (non-clients) 6 mois Traitement requête ; suppression après

7.1 Suppression définitive

Après expiration des durées indiquées :

  • Les données sont supprimées de manière irréversible de nos serveurs ;
  • Les sauvegardes contenant ces données sont purgées dans le cycle de rétention des backups (max. 30 jours) ;
  • Les données anonymisées ou agrégées (statistiques sans identification) peuvent être conservées indéfiniment.

7.2 Demandes de suppression anticipée

Vous pouvez demander la suppression anticipée de vos données à tout moment (voir Article 12 — Droit à l'oubli). Certaines données peuvent être conservées pour raisons légales (factures 7 ans, etc.) même après suppression.

Article 8 — Sécurité et protection des données

8.1 Mesures techniques de sécurité

Nous implémentons des mesures de sécurité état-de-l'art pour protéger vos données :

  • Chiffrement en transit (TLS 1.2+) : Tous les échanges données sont chiffrés par TLS 1.2 minimum. Le certificat SSL est valide et émis par une autorité de confiance (Let's Encrypt) ;
  • Chiffrement au repos : Les données sensibles sont chiffrées dans la base de données MySQL (AES-256) ;
  • Hashage des mots de passe : Les mots de passe sont hashés avec Argon2id, algorithme résistant aux attaques par force brute et GPU ;
  • Tokens JWT : Authentification par tokens JWT avec courte expiration : access token (15 min), refresh token (7 jours) ;
  • Sessions sécurisées : Sessions Redis avec régénération d'ID post-login (prévention session fixation) ;
  • Prepared statements PDO : Toutes les requêtes SQL utilisent prepared statements, prévention SQL injection 100% ;
  • Headers de sécurité : CSP, HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy ;
  • Rate limiting : Limitation des tentatives d'authentification (brute-force protection) ;
  • CSRF tokens : Tokens CSRF sur toutes les mutations (POST/PUT/DELETE) ;
  • Validation MIME type : Vérification type MIME + magic bytes sur uploads ;
  • Isolation de contenu : Contenu Utilisateur servi depuis domaine distinct (sandbox) pour prévention XSS ;
  • Firewall et DDoS : Protection infrastructure contre attaques DDoS, IPS active.

8.2 Mesures organisationnelles et administratives

  • Accès limité : Données accessibles uniquement par personnel autorisé sur besoin-avoir ;
  • Authentification multi-facteurs (MFA) : MFA obligatoire pour accès administrateur ;
  • Audits et tests : Tests de pénétration réguliers, audits sécurité internes ;
  • Clauses confidentialité : Tous les employés signent accord confidentialité ;
  • Gestion incidents : Procédure breach notification en cas violation données ;
  • Sauvegardes : Sauvegardes quotidiennes automatiques, testées régulièrement ; environnement de backup géographiquement séparé.

8.3 Notification en cas de violation de données (Article 33-34 RGPD)

En cas de violation de données personnelles (accès non-autorisé, chiffrement contourné, perte données) :

  1. Notification autorité (APD) : Notification obligatoire à l'Autorité de Protection des Données belge dans les 72 heures (Art. 33 RGPD) ;
  2. Notification utilisateurs : Notification aux utilisateurs affectés « sans délai injustifié » si risque élevé (Art. 34 RGPD) ;
  3. Contenu notification : Description violation, données affectées, impacts possibles, mesures prises, contacts support ;
  4. Documentation : Rapport incident complet archivé pour 3 ans.

8.4 Limitation de responsabilité

Bien que nous mettions en œuvre mesures de sécurité rigoureuses, aucune sécurité n'est absolue. Nous ne garantissons pas protection 100% contre :

  • Attaques zero-day ;
  • Menaces avancées persistantes (APT) ;
  • Compromission utilisateur (phishing, malware) ;
  • Actions de tiers malveillants avec accès autorisé ;
  • Catastrophe naturelle ou force majeure.

Article 9 — Transferts internationaux de données (Chapitre V RGPD)

9.1 Identification des transferts

Certains sous-traitants sont établis hors UE, créant des « transferts internationaux de données » au sens du Chapitre V RGPD :

  • Google (États-Unis) : Maps, Places, Reviews, OAuth, Analytics optionnel ;
  • Apple (États-Unis) : Sign-In ;
  • AuthSMTP (Royaume-Uni) : Emails transactionnels (post-Brexit).

9.2 Mécanismes de garantie

Ces transferts sont couverts par :

Prestataire Mécanisme de garantie Statut
Google, Apple EU-US Data Privacy Framework (EU-US DPF) Décision d'adéquation Commission EU (2023)
AuthSMTP Standard Contractual Clauses (SCC) + adequacy assessment SCC signées, adéquation post-Brexit confirmée
Tous Clauses contractuelles standard (SCC) - Article 46(2)(c) RGPD Backup supplémentaire ; chaîne SCC complète

9.3 EU-US Data Privacy Framework (EU-US DPF)

Google et Apple respectent l'EU-US Data Privacy Framework établi en 2023 (décision adéquation Commission Européenne, affaire Schrems III). Cet accord garantit :

  • Niveau de protection équivalent à RGPD ;
  • Recours en cas violation ;
  • Supervision autorités USA ;
  • Restrictions accès renseignements gouvernementaux.

9.4 Dérogations pour transferts (Article 49 RGPD)

Même sans mécanisme de garantie formalisé, certains transferts sont autorisés sous dérogations :

  • Consentement explicite : Vous consentez à un transfert spécifique (Google Analytics) ;
  • Exécution contrat : Transfert nécessaire pour fournir Service demandé ;
  • Intérêts légitimes substantiels : Transfert justifié intérêt légitime dominant ;
  • Litiges juridiques : Transfert pour établir, exercer, défendre droits légaux.

9.5 Droit à information

Vous avez le droit de :

  • Demander copie des SCC ou mécanismes garantie (contacter dpo@bloo.cards) ;
  • Connaître risques transferts internationaux ;
  • Refuser certain transferts (e.g., analytics Google) sans impacter services essentiels ;
  • Obtenir informations complémentaires avant transfert.

9.6 Schrems III et recommandations EDPB

Nous monitorer régulièrement recommandations du Comité Européen Protection des Données (EDPB) concernant transferts EU-US. En cas changement de loi impactant EU-US DPF, nous implanterons mesures supplémentaires (contractuelles ou techniques) pour assurer conformité continue.

Article 10 — Cookies et technologies de suivi

10.1 Définition et classification

Les cookies sont petits fichiers stockés sur votre appareil pour suivre, préférences et interactions. Les données détaillées cookies (liste complète, consentement par cookie, options refus) sont décrites dans notre Politique Cookies dédiée.

Nous utilisons 4 catégories de cookies :

Catégorie Finalité Consentement? Durée
Essentiels Authentification session, sécurité CSRF, préférences langue Non (légalement exemptés) Session + 7 jours
Performance/Analytics Comprendre usage site, optimiser UX, identifier erreurs Oui (consentement opt-in) 24 mois
Marketing Publicités ciblées, remarketing, suivi conversions Oui (consentement explicite) 12-24 mois
Tiers (Google, Meta) Intégrations Google Maps/Reviews, pixels tracking Oui (selon finalité) Selon tiers

10.2 Gestion du consentement

Un cookie banner s'affiche au premier accès. Vous pouvez :

  • Accepter tous : Accepte tous cookies ;
  • Refuser tous : Refuse tous sauf essentiels ;
  • Personnaliser : Gère chaque catégorie individuellement ;
  • Paramètres avancés : Contrôle granulaire par cookie.

10.3 Technologie de suivi connexes

Au-delà des cookies, nous utilisons :

  • Web beacons / pixels : Images invisibles pour tracker conversions ;
  • Local Storage / SessionStorage : Données navigateur pour préférences ;
  • Google Analytics 4 : Analytics avancées si consenti ;
  • Fingerprinting : Aucun fingerprinting techniquement agressif ; empreinte navigateur minimale.

10.4 Cookies tiers

Si vous utilisez embeds Google Maps, Google Reviews, ou formulaires Google, ces services peuvent poser leurs propres cookies. Consultez :

10.5 Options de contrôle utilisateur

  • Modifier préférences : Lien "Paramètres cookies" en footer accessible tout moment ;
  • Retirer consentement : Retirer consentement sans recharger page ;
  • Cookies navigateur : Utilisez paramètres navigateur pour bloquer tous cookies ;
  • DNT : Si navigateur envoie signal "Do Not Track", nous le respectons (consentement refusé).

10.6 Conformité ePrivacy (Directive 2002/58/CE)

Nos pratiques cookies respectent Directive ePrivacy (amendée 2009/136/CE) :

  • Consentement préalable avant stockage données (Art. 5(3)) ;
  • Information claire et explicite ;
  • Exemption cookies techniques essentiels ;
  • Durée raisonnable (max. 13 mois recommandé) ;
  • Retrait consentement simplifié.

Article 11 — Profils d'utilisateurs et portabilité (Article 20 RGPD)

11.1 Accès à votre profil

Vous pouvez à tout moment :

  • Consulter votre profil depuis Backoffice (identité, email, langue) ;
  • Modifier vos données enregistrées ;
  • Télécharger copie vos données (voir 11.3 - Portabilité).

11.2 Rectification et actualisation

Vous avez droit rectifier données inexactes ou obsolètes. Si données incorrectes impactent calculs (e.g., pays pour TVA), nous les corrigerons et recalculerons montants applicables.

11.3 Droit à la portabilité des données (Article 20 RGPD)

Vous pouvez demander portabilité de vos données dans format structuré, couramment utilisé et lisible par machine (JSON, CSV, vCard). Cela inclut :

  • Données de compte : Email, nom, préférences, langue ;
  • Cartes digitales : Contenu, images, modules configuration ;
  • Historique paiement : Factures, transactions ;
  • Données analytiques : Vues, scans, statistiques ;
  • Wallet/Network : Contacts scannés, interactions.

Format de portabilité :

  • JSON : Export complet structuré (recommandé) ;
  • CSV : Données tabulaires ;
  • vCard : Contacts standard ;
  • ZIP : Archive contenant tous formats + images/PDF.

Délai : Portabilité fournie dans 15 jours ouvrables (Art. 20(3) RGPD).

11.4 Réutilisation données portables

Vous pouvez utiliser données portables pour :

  • Migration vers plateforme concurrent ;
  • Sauvegarde personnelle ;
  • Analyse ou traitement personnel ;
  • Intégration systèmes tiers ;
  • Réclamations légales.

Nous accordons une licence pour réutilisation données sans restriction commerciale.

Article 12 — Droits de l'utilisateur (RGPD - Articles 15-22)

Le RGPD vous confère droits fondamentaux sur vos données. Voici détail chaque droit :

12.1 Droit d'accès (Article 15 RGPD)

Définition : Obtenir confirmation si vos données sont traitées, accès copie données.

  • Comment exercer : Email dpo@bloo.cards avec sujet « Demande d'accès Article 15 » ;
  • Délai : Réponse 15 jours calendaires (extendable 30 jours raisons complexité) ;
  • Contenu : Finalités, destinataires, durée conservation, droits RGPD, source données ;
  • Gratuit : 1ère demande gratuit / demandes supplémentaires : frais raisonnables ;
  • Format : Copie lisible, souvent CSV/JSON.

12.2 Droit de rectification (Article 16 RGPD)

Définition : Corriger données inexactes, compléter données incomplètes.

  • Portée : Email, nom, adresse, TVA, informations contact ;
  • Procédure : Modification directe Backoffice OU email dpo@bloo.cards « Rectification Article 16 » ;
  • Délai : Correction effectuée sans délai injustifié (généralement immédiatement) ;
  • Notification : Si données partagées avec tiers, tiers notifiés rectification (sauf impossibilité) ;
  • Cas particuliers : Rectification données analytiques/de paiement : nous contactons sous-traitants.

12.3 Droit à l'oubli / Suppression (Article 17 RGPD)

Définition : Obtenir suppression données sous certaines conditions.

Fondements droit à l'oubli :

  • Données plus nécessaires finalités initiales ;
  • Retrait consentement (base légale suppression) ;
  • Opposition traitement acceptée ;
  • Traitement illégal ;
  • Obligation légale ;
  • Données enfants collectées sans consentement (< 16 ans).

Exceptions (droit à l'oubli ne s'applique pas) :

  • Liberté expression et information ;
  • Obligation légale (factures 7 ans, archivage fiscal) ;
  • Intérêt public santé ;
  • Fins archivage, recherche, statistiques (données anonymisées) ;
  • Établissement, exercice, défense en justice.

Procédure :

  1. Email dpo@bloo.cards « Demande suppression Article 17 » ;
  2. Confirmation identité ;
  3. Évaluation si exceptions applicables ;
  4. Suppression 15 jours si aucune exception ;
  5. Notification tiers si données partagées ;
  6. Sauvegardes purgées délai normal (max. 30 jours).

12.4 Droit à la limitation du traitement (Article 18 RGPD)

Définition : Geler temporairement traitement donnée (sans suppression).

Cas d'usage :

  • Contester exactitude données pendant vérification ;
  • Traitement illégal (limitation au lieu suppression) ;
  • Données plus nécessaires mais requises défense en justice ;
  • Opposition traitement en attente de décision.

Effet : Données stockées mais non utilisées (sauf consentement/défense/droit tiers).

12.5 Droit à la portabilité (Article 20 RGPD)

Voir Article 11.3 (détail portabilité). Résumé :

  • Export données format structuré (JSON, CSV) ;
  • 15 jours ouvrables ;
  • Droit transfert direct vers autre contrôleur (si techniquement faisable).

12.6 Droit d'opposition (Article 21 RGPD)

Définition : S'opposer traitement basé intérêt légitime ou finalité marketing.

Portée opposition :

  • Traitement intérêt légitime : Analytics, logs, monitoring fraude => opposition => suppression données ;
  • Direct marketing : Emails promotionnels, newsletters => désinscription immédiate ;
  • Données analytiques : Retrait consentement cookies analytics.

Procédure : Email dpo@bloo.cards « Opposition Article 21 » ; arrêt traitement 15 jours.

12.7 Droits liés à prise de décision automatisée (Article 22 RGPD)

Définition : Non-assujettissement à décision basée uniquement traitement automatisé ayant effets légaux/significatifs.

Application bloo.Cards :

  • Utilisé : Limite compte, flags fraude, refus paiement => droit à intervention humaine ;
  • Pas utilisé : Credit scoring, assurance, profiling discrimination ;
  • Exceptions : Exécution contrat (limite cartes par plan) = automatisé sans risque particulier.

Recours : Contacter dpo@bloo.cards pour demander révision par humain, contester flagging fraude.

12.8 Droits spécialisés concernant profilage

Si nous créons profils (segments utilisateurs, scoring risque) :

  • Droit information sur existence profil ;
  • Droit connaissance logique profil ;
  • Droit contester profil discriminatoire ;
  • Aucun profilage race/religion/orientation/santé.

Article 13 — Gestion du consentement

13.1 Consentement explicite (Article 7 RGPD)

Pour traitements basés consentement (cookies, newsletter, analytics), nous demandons consentement explicite, préalable, éclairé et irrévocable :

  • Explicite : Opt-in clair (pas présélectionné) ; refus aussi facile qu'acceptation ;
  • Préalable : Avant traitement donnée ;
  • Éclairé : Information complète finalité, durée, droit retrait ;
  • Irrévocable : Retrait consentement sans pénalité, même accès gratuit continuent.

13.2 Gestion des cookies et consentement ePrivacy

Consentement cookies géré par Cookie Banner :

  • Première visite : Banner affiche 4 options (Accepter tous, Refuser tous, Personnaliser, Infos) ;
  • Personnaliser : Toggle par catégorie (Essentiels, Performance, Marketing) ;
  • Enregistrement : Consentement stocké cookie + serveur 13 mois ;
  • Retrait : Lien "Gérer cookies" footer => modification consentement ; nouveau banner si 13 mois dépassés ;
  • Preuve : Logs consentement archivés 13 mois (compliance ePrivacy).

13.3 Newsletter et email marketing

Inscription newsletter :

  • Double opt-in : Formulaire + confirmation email lien ;
  • Contenu : Informations produit, tips, promotions ;
  • Fréquence : Environ 2-4 emails/mois ;
  • Désinscription : Lien un-click « Se désabonner » en bas chaque email ;
  • Archivage : Adresses désinscrites conservées liste noire 18 mois (conformité CAN-SPAM-like).

13.4 Retrait consentement

Vous pouvez retirer consentement tout moment :

  • Cookies : Paramètres cookies en footer ;
  • Newsletter : Lien désinscription email ou paramètres compte ;
  • Analytics : Refuser cookies analytics ;
  • Tous consentements : Email dpo@bloo.cards « Retrait consentement ».

Effet retrait : Immédiat ; pas données traitées après retrait (sauf obligation légale).

13.5 Gestion préférences marketing

En Backoffice, contrôlez :

  • Emails promotionnels (on/off) ;
  • Notification compte (update produit, changement tarif, maintenance) => obligatoires ;
  • Fréquence notifications.

Article 14 — Enfants et mineurs (Article 8 RGPD)

14.1 Âge minimum

Âge minimum recommandé : 18 ans.

Cependant, mineurs peuvent créer compte si :

  • Entre 16-18 ans : Consentement parental/représentant légal ;
  • Moins 16 ans : Impossible ; nous rejetons inscriptions & supprimons compte découverts.

14.2 Consentement parental (Article 8(1) RGPD)

Si mineur 16-18 ans, représentant légal peut :

  • Autoriser inscription via formulaire consentement parental ;
  • Exercer droits RGPD mineur ;
  • Demander suppression compte.

Procédure :

  1. Mineur remplit formulaire inscription ;
  2. Système détecte âge < 18 ;
  3. Demande consentement parental (email parent) ;
  4. Parent confirme lien ; compte activé ;
  5. Sans confirmation 7 jours, compte supprimé.

14.3 Sécurité enfants

Nous ne collectons pas délibérément données enfants < 16 ans. Si données enfant découvertes :

  • Suppression immédiate ;
  • Notification parent ;
  • Pas cookies tracking enfant.

14.4 Contenu dédié enfants

Si utilisateur crée carte pédagogique (enfants bénéficiaires) :

  • Responsable légal approuve contenu ;
  • Pas collection données enfants < 16 ans automatique ;
  • Parental controls recommandés.

Article 15 — Modifications de la Politique

15.1 Droit de modifier

Nous nous réservons droit modifier cette Politique tout moment. Modifications apportées pour :

  • Conformité légales nouvelles (RGPD, ePrivacy) ;
  • Changements opérationnels (sous-traitants, infrastructure) ;
  • Amélioration transparence ;
  • Clarifications texte.

15.2 Notification modifications

Changements significatifs notifiés par :

  • Email : Adresse enregistrée compte, minimum 30 jours avant ;
  • Notification in-app : Banneau Backoffice ;
  • Page Politique : Historique versions, date modification.

Changements mineurs (typographie, clarifications) appliqués sans préavis.

15.3 Acceptation modifications

Continuité utilisation plateforme après délai notification = acceptation modifications. Refus permet résiliation compte gratuite sans pénalité.

15.4 Versions antérieures

Versions antérieures Politique conservées archive versions pour transparence historique.

Article 16 — Contact et exercice des droits

16.1 Coordonnées contact

Molderez-Consult SRL — Département Conformité & Données

Adresse postale :
Square Valere-Gille 13, boîte 5
1050 Ixelles
Belgique

Email (confidentialité & droits RGPD) :
dpo@bloo.cards

Email (contact légal) :
legal@bloo.cards

Numéro BCE : 0842.262.084
Numéro TVA : BE0842.262.084

Temps de réponse : Demandes RGPD répondues 15 jours calendaires (extensible 30j si complexité)

16.2 Comment exercer vos droits

Pour exercer droit (accès, rectification, suppression, portabilité, opposition) :

  1. Email dpo@bloo.cards avec objet clair :
    « [DROIT RGPD] : Accès Article 15 » / « Suppression Article 17 » / « Portabilité Article 20 » / etc.
  2. Preuve identité : Copie ID ou pièce justificative (nous contactons email enregistré pour confirmation) ;
  3. Détails demande : Préciser données, période, finalité question ;
  4. Confirmation réception : Email de confirmation automatique ;
  5. Traitement : Délai légal 15 jours (extensible 30j) ;
  6. Réponse : Par email ou accès Backoffice sécurisé pour données volumineuses.

16.3 Demandes par tiers (représentant, avocat)

Représentant légal peut exercer droits à votre place si :

  • Procuration notariée fournie ;
  • Justificatif lien (parent enfant, tuteur, mandataire) ;
  • Confirmation écrite vous.

16.4 Délais légaux et extensions

Type demande Délai standard Extension possible Motifs extension
Accès (Art. 15) 15 jours +15 jours (max 30) Complexité, volume données, clarifications
Rectification (Art. 16) Sans délai N/A Immédiat ; extension si vérifications requises
Suppression (Art. 17) 15 jours +15 jours Évaluation exceptions légales, notifications tiers
Limitation (Art. 18) 15 jours +15 jours Vérification conditions limitation
Portabilité (Art. 20) 15 jours +15 jours Complexité format, volume données
Opposition (Art. 21) 15 jours +15 jours Évaluation motifs opposition, balancing
Article 22 (automatisée) 15 jours +15 jours Révision manuelle, intervention humaine

16.5 Droit de plainte autorité (Article 77 RGPD)

Si insatisfait traitement demande RGPD, droit de plainte auprès Autorité de Protection des Données belge (APD) :

Autorité de Protection des Données (APD)

Rue de Trèves 61
1040 Bruxelles
Belgique

Tél: +32 (0)2 274 48 00
Email: contact@autoriteprotectiondonnées.be
Site: www.autoriteprotectiondonnées.be

Plainte auprès APD gratuite et sans obligation recours préalable nous contacter.

16.6 Recours judiciaire et mediation

Vous disposez également :

  • Droit action judiciaire : Devant tribunaux compétents (Belgique) ;
  • Mediation : Service Médiation Consommateur Belge (si applicable) : www.mediateur.be

Version 1.0 — Édition du 4 avril 2026
Cette Politique de Confidentialité entre en vigueur à compter du 4 avril 2026.
La version en français fait foi pour l'interprétation et l'application.
Consultez régulièrement cette page pour mises à jour.