shield_lock Confidentialité

Politique de confidentialité

Dernière mise à jour : mars 2026 | Responsable du traitement : Ostheimer OG, Fabriksgasse 20, 2230 Gänserndorf | [email protected]

1. Principes généraux

Nous traitons les données personnelles en conformité avec le RGPD (UE) 2016/679. La protection de vos données est au cœur de nos préoccupations. qr3.app a été conçu selon le principe de Privacy by Design : les adresses IP ne sont jamais stockées — elles sont immédiatement hachées à la périphérie (Cloudflare Workers) avec SHA-256 + un sel quotidien avant que les données ne soient persistées.

2. Données traitées

2.1 Utilisation de l'API (utilisateurs enregistrés)

  • Données de compte : adresse e-mail, nom (via l'authentification Clerk.com)
  • Données de facturation : identifiant client Stripe, statut de l'abonnement (aucune donnée de carte de crédit — Stripe les traite directement)
  • Données d'utilisation : codes QR créés, configurations de l'espace de travail
  • Base juridique : art. 6, paragr. 1, let. b du RGPD (exécution du contrat)

2.2 Analyses de scan (utilisateurs finaux scannant les codes QR)

  • IP hachée : hachage SHA-256 + sel quotidien — non réversible, aucun caractère personnel
  • Données de l'appareil : type d'appareil, système d'exploitation, navigateur (à partir de l'User-Agent, anonymisé)
  • Données géographiques : pays, ville (à partir de l'en-tête Cloudflare CF-IPCountry — aucune adresse IP stockée)
  • Base juridique : art. 6, paragr. 1, let. f du RGPD (intérêt légitime des détenteurs de codes QR à disposer de statistiques)
  • Conservation : 90 jours, puis suppression automatique

2.3 Visite du site web (qr3.app)

  • Aucun cookie de suivi, aucune analyse tierce
  • Journaux du serveur : Cloudflare traite les données de connexion conformément à sa politique de confidentialité

3. Transmission de données à des tiers

Nous ne transmettons vos données qu'à :

  • Cloudflare, Inc. (USA) — infrastructure, CDN, Workers. Base juridique : clauses contractuelles types (CCT)
  • Clerk.com — authentification. Base juridique : CCT
  • Stripe, Inc. (USA) — traitement des paiements. Base juridique : CCT

Aucune transmission à des fins publicitaires n'a lieu.

4. Vos droits (RGPD art. 15 à 22)

  • Accès (art. 15) : GET /v1/account/privacy ou e-mail à [email protected]
  • Portabilité des données (art. 20) : GET /v1/account/export — exportation JSON de toutes les données
  • Effacement (art. 17) : DELETE /v1/account ou e-mail — effacement complet sous 30 jours
  • Limitation du traitement (art. 18) : e-mail à [email protected]
  • Opposition (art. 21) : à tout moment pour des motifs liés à des intérêts légitimes

5. Cookies

qr3.app utilise exclusivement des cookies de session techniquement nécessaires (authentification via Clerk). Aucun cookie de marketing ou de suivi. Le consentement au titre de la directive sur les cookies n'est donc pas requis.

6. Sécurité des données

Toutes les données sont transmises de manière chiffrée (TLS 1.3). Chiffrement de la base de données au repos (at-rest) via Cloudflare D1. Les clés d'API sont stockées sous forme de hachage. Signatures de webhooks via HMAC-SHA256.

7. Droit de recours

Vous disposez du droit d'introduire une réclamation auprès de l'autorité autrichienne de protection des données :
Datenschutzbehörde (dsb.gv.at), Barichgasse 40-42, 1030 Wien

8. Contact pour la protection des données

Ostheimer OG
Fabriksgasse 20, 2230 Gänserndorf
[email protected]