Politique de Confidentialité

La présente Politique de Confidentialité décrit la manière dont CODALUX SARL-S collecte, utilise, conserve et protège les données personnelles des utilisateurs du site monavisfacile.com et de l'application mobile Mon Avis Facile.

Elle est conforme au Règlement Général sur la Protection des Données (RGPD), à la loi luxembourgeoise relative à la protection des données, ainsi qu'aux exigences de l'App Store et de Google Play.

1. Responsable du traitement

Le traitement des données personnelles est effectué par :

CODALUX SARL-S
Capital social : 12 000 €, dont le siège social est situé :
51 rue Pierre Schuetz
L-4946 Bascharage
Luxembourg

RCS Luxembourg : B297712
Matricule : 20252437933
TVA intracommunautaire : LU36711175

Directeur de la publication : Matthieu POULIN
Contact : Formulaire de contact

2. Données collectées

2.1. Données fournies directement par l'utilisateur

Lors de la connexion ou de l'utilisation du service, les données suivantes peuvent être collectées :

  • Nom et prénom
  • Nom de l'entreprise
  • Adresse postale
  • Adresse e-mail
  • Numéro de téléphone fixe et/ou mobile

La connexion s'effectue sans mot de passe.
L'utilisateur s'identifie uniquement via un code à usage unique (OTP) envoyé par e-mail, géré de manière sécurisée par Supabase Auth.
Aucun mot de passe n'est créé, stocké ou traité par CODALUX.

2.2. Données liées aux plaques NFC / QR Code

Lorsqu'une plaque NFC ou un QR Code est scanné, les données suivantes peuvent être enregistrées :

  • date du scan,
  • heure du scan,
  • type d'appareil utilisé (par exemple : Android, iOS),
  • type de navigateur utilisé (par exemple : Safari, Chrome, Firefox, etc.).

Ces données sont totalement anonymes et ne permettent en aucun cas d'identifier un utilisateur final. Aucun identifiant personnel n'est collecté lors d'un scan.

2.3. Données techniques et d'usage

  • Adresse IP
  • Type d'appareil et système d'exploitation
  • Logs de connexion
  • Actions effectuées sur le site ou dans l'application (exemple : modification des liens d'avis)

2.4. Données de localisation

Aucune géolocalisation n'est collectée.
L'application n'accède pas à la position GPS de l'utilisateur.

2.5. Données collectées via l'application mobile

  • Notifications push : oui
  • Accès à l'appareil photo : oui (uniquement pour scanner des QR Codes)
  • Accès au stockage : non
  • Accès au NFC : non
  • Tracking publicitaire (ATT) : non

3. Finalités de la collecte

Les données collectées sont utilisées pour :

  • permettre la création et la gestion du compte,
  • configurer et administrer les plaques NFC / QR Code,
  • assurer le fonctionnement, la sécurité et l'amélioration du service,
  • analyser l'usage du service,
  • assurer l'assistance et la communication avec l'utilisateur.

Les données ne sont jamais utilisées pour de la publicité ciblée.

4. Base légale du traitement

Les données sont traitées conformément aux bases légales suivantes :

  • exécution du contrat (utilisation du service),
  • consentement (notifications push),
  • intérêt légitime (sécurité du service, prévention des abus),
  • obligations légales (facturation, sécurité).

5. Sous-traitants et prestataires

Les prestataires suivants peuvent traiter certaines données pour le compte de CODALUX :

OVH (France)

  • Hébergement des serveurs incluant la base de données, l'authentification et le backend applicatif

Les données sont stockées en France, sur des serveurs OVH conformes au RGPD.

Stripe

  • Traitement des paiements

Aucune donnée bancaire n'est traitée par CODALUX.

Google (États-Unis - certifié EU-U.S. Data Privacy Framework)

  • Google Analytics : mesure d'audience du site
  • Google Ads : publicité en ligne
  • Google Tag Manager : gestion des balises

Les données sont anonymisées autant que possible.

Firebase

  • Notifications push
  • Fonctionnalités techniques de l'application

LogRocket

  • Enregistrement de sessions utilisateur
  • Analyse des parcours de navigation et détection de bugs

Les données collectées incluent : clics, défilement, navigation, interactions avec l'interface. Aucune saisie de mot de passe ou de données bancaires n'est enregistrée (champs sensibles automatiquement masqués). Données hébergées aux États-Unis (LogRocket est certifié EU-U.S. Data Privacy Framework).

Brevo (France)

  • Envoi d'emails transactionnels (confirmations de commande, codes OTP, notifications)

Les données traitées incluent l'adresse email et le prénom de l'utilisateur. Données hébergées en Union Européenne.

Ahrefs (Singapour)

  • Analyse SEO et suivi du positionnement du site

Les données collectées incluent les pages visitées et les données de navigation. Ahrefs dispose d'un Data Processing Addendum conforme au RGPD.

Sentry

  • Suivi des erreurs techniques

Cloudflare

  • Protection contre les attaques
  • CDN et optimisation de performance

Aucun autre tiers ne reçoit les données.

6. Partage des données

Les données personnelles ne sont ni vendues, ni louées.
Elles ne sont partagées qu'avec :

  • les sous-traitants listés ci-dessus,
  • les autorités compétentes lorsque la loi l'exige.

7. Durée de conservation

Données du compte (nom, email, téléphone)
Durée de la relation contractuelle - base : exécution du contrat

Comptes inactifs
3 ans après la dernière activité, puis suppression ou anonymisation

Données de facturation et transactions
10 ans - base : obligation légale

Logs de connexion
1 an - base : obligation légale

Cookies analytiques et publicitaires
13 mois maximum

Données de scan NFC/QR (anonymes)
Durée de la relation contractuelle - base : intérêt légitime

L'utilisateur peut demander la suppression définitive de ses données à tout moment via le formulaire de contact. La suppression est effectuée dans un délai de 30 jours, sauf pour les données soumises à une obligation légale de conservation.

8. Droits de l'utilisateur

Conformément au RGPD, l'utilisateur dispose des droits suivants :

  • droit d'accès,
  • droit de rectification,
  • droit d'opposition,
  • droit à l'effacement,
  • droit à la limitation du traitement,
  • droit à la portabilité des données.

Pour exercer ses droits, l'utilisateur peut utiliser le formulaire de contact.

9. Sécurité

CODALUX met en œuvre des mesures techniques et organisationnelles pour garantir la sécurité des données :

  • communications chiffrées (HTTPS),
  • hébergement sécurisé sur serveurs OVH en France,
  • protection Cloudflare,
  • suivi des erreurs via Sentry,
  • génération et gestion sécurisée des codes OTP temporaires par le système d'authentification auto-hébergé.

L'utilisateur n'a pas de mot de passe associé à son compte.
Il doit toutefois veiller à la sécurité de sa boîte e-mail, puisqu'elle est utilisée pour recevoir le code OTP permettant la connexion.

10. Transfert hors Union Européenne

Les données principales (base de données, authentification, backend) sont hébergées en France chez OVH.
Certains prestataires (Google, Firebase, LogRocket, Sentry, Stripe) peuvent traiter des données aux États-Unis.
Ces prestataires sont certifiés sous le EU-U.S. Data Privacy Framework (DPF), cadre d'adéquation reconnu par la Commission européenne (décision du 10 juillet 2023, confirmée par le Tribunal de l'UE le 3 septembre 2025).
Ahrefs, basé à Singapour, traite des données dans le cadre de clauses contractuelles types (SCCs) conformes au RGPD.

11. Enfants

Le service est exclusivement destiné aux professionnels adultes.
Aucune donnée concernant des mineurs n'est collectée intentionnellement.

12. Modification de la Politique de Confidentialité

CODALUX peut modifier cette politique à tout moment.
La version applicable est celle publiée sur le site ou dans l'application.

13. Contact

Pour toute question relative à la confidentialité ou aux données personnelles : Formulaire de contact

Dernière mise à jour : 06/03/2026