Politique de Confidentialité · Looply

Engagements clés

Hébergement en Union européenne. Pas de vente de données. Droit d'accès, rectification, effacement garantis sous 30 jours. DPO joignable à dpo@looply.app.

1. Cadre juridique

La présente politique est établie en application du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (ci-après « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».

2. Responsable du traitement

Looply SAS — 1 rue Exemple, 75001 Paris — RCS Paris 000 000 000.
Délégué à la Protection des Données (DPO) : dpo@looply.app.

3. Données des marchands (B2B)

Looply collecte et traite en qualité de responsable de traitement (art. 4, 7° RGPD) les données suivantes concernant ses clients professionnels :

Identification : nom, prénom, email, téléphone, nom commercial, raison sociale, n° SIRET — pour la création et la gestion du compte.
Facturation : adresse, n° TVA intracommunautaire, historique de paiement — pour l'exécution du contrat et les obligations comptables (art. L.123-22 Code de commerce).
Journalisation technique : adresses IP, user-agents, horodatages d'actions — pour la sécurité et la lutte anti-fraude.

4. Données des consommateurs finaux (B2C)

S'agissant des données des clients finaux des marchands, Looply agit en qualité de sous-traitant (art. 4, 8° et art. 28 RGPD) selon les instructions documentées du Client. Les données traitées sont :

adresse email, prénom, nom, numéro de commande, date d'achat — pour l'envoi de sollicitations d'avis post-achat ;
contenu des avis (note, texte libre, pièces jointes éventuelles) — stocké pour le compte du marchand qui en demeure propriétaire.

5. Bases légales

Exécution du contrat (art. 6.1.b RGPD) : création de compte, fourniture du Service, facturation du Client B2B.
Intérêt légitime du marchand (art. 6.1.f RGPD) : sollicitation d'avis post-achat, sous réserve du respect de la Directive (UE) 2019/2161 (Omnibus) imposant la vérification d'achat.
Obligations légales (art. 6.1.c RGPD) : conservation comptable, réponse aux réquisitions judiciaires.
Consentement (art. 6.1.a RGPD) : uniquement pour les cookies non essentiels et les éventuelles communications marketing directes.

6. Durées de conservation

Catégorie	Durée	Fondement
Compte marchand actif	Durée de l'abonnement	Exécution contrat
Données marchand après résiliation	30 jours puis suppression définitive	Article 5.1.e RGPD
Factures et pièces comptables	10 ans	Art. L.123-22 Code de commerce
Emails envoyés aux consommateurs	6 mois puis anonymisation	Recommandation CNIL
Avis collectés (propriété marchand)	Durée de l'abonnement + 30 jours	Contrat sous-traitance
Journaux de sécurité	12 mois	Sécurité juridique

7. Destinataires et sous-traitants

Looply s'appuie sur les sous-traitants techniques ci-dessous, tous liés par un accord de traitement (DPA) conforme à l'article 28 RGPD :

Vercel Inc. (États-Unis) — hébergement applicatif. Transfert encadré par les Clauses Contractuelles Types (CCT) et le EU-US Data Privacy Framework.
Amazon Web Services EMEA SARL (Luxembourg) — base de données et stockage, résidence des données dans l'Union européenne (région eu-west-3).
Stripe Payments Europe Limited (Irlande) — traitement des paiements.
Resend Inc. (États-Unis, CCT + EU-US DPF) — envoi des emails transactionnels.
Functional Software Inc. (Sentry) (États-Unis, CCT + EU-US DPF) — supervision d'erreurs applicatives.

8. Transferts hors Union européenne

Certains sous-traitants hébergent leurs services aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914) et, le cas échéant, par la certification des sous-traitants au EU-US Data Privacy Framework.

9. Mesures de sécurité

Looply met en œuvre des mesures techniques et organisationnelles appropriées (art. 32 RGPD) :

chiffrement AES-256 au repos et TLS 1.3 en transit ;
authentification à deux facteurs obligatoire pour les accès administrateurs ;
sauvegardes quotidiennes chiffrées avec test de restauration ;
revues de sécurité annuelles et tests d'intrusion externes ;
cloisonnement des environnements de production et de développement.

10. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, toute personne dont les données sont traitées dispose des droits suivants :

droit d'accès (art. 15) ;
droit de rectification (art. 16) ;
droit à l'effacement, dit « droit à l'oubli » (art. 17) ;
droit à la limitation du traitement (art. 18) ;
droit à la portabilité (art. 20) ;
droit d'opposition (art. 21) ;
droit de définir des directives post-mortem (art. 40-1 LIL).

Ces droits s'exercent par courrier électronique à dpo@looply.app. Looply s'engage à répondre sous un délai d'un mois, prorogeable de deux mois en cas de complexité particulière (art. 12.3 RGPD). Toute personne dispose du droit d'introduire une réclamation auprès de la CNIL.

11. Cookies et traceurs

Looply n'utilise que des cookies strictement nécessaires au fonctionnement du Service (session, préférences de langue) dispensés de consentement au sens de l'article 82 de la loi Informatique et Libertés. Aucun cookie publicitaire ni traceur tiers n'est déposé.

12. Violations de données

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, Looply notifiera la CNIL dans un délai maximal de 72 heures (art. 33 RGPD) et informera sans délai les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé (art. 34 RGPD).

13. Contact

Délégué à la Protection des Données : dpo@looply.app
Adresse postale : Looply SAS, à l'attention du DPO, 1 rue Exemple, 75001 Paris, France.
Autorité de contrôle : CNIL, 3 place de Fontenoy, 75007 Paris — www.cnil.fr.