Politique de confidentialité

Dernière mise à jour : 13 novembre 2025

1. Introduction

Bienvenue dans la politique de confidentialité de GiftWeGo.

Ce document décrit comment Ondřej Smutný, N° d'identification : 75343533, Siège : Družstevní 511, 294 41 Dobrovice, République tchèque (ci-après "nous", "notre" ou "GiftWeGo") traite vos données personnelles lors de l'utilisation de notre application web disponible sur giftwego.com.

1.1 Notre engagement envers la protection de la vie privée

• Nous respectons votre vie privée et prenons au sérieux la protection de vos données personnelles
• Nous respectons le RGPD (UE) 2016/679 et la loi tchèque n° 110/2019 Rec. relative au traitement des données personnelles
• Nous ne traitons que les données nécessaires à la fourniture de nos services
• Nous ne vendons jamais vos données à des tiers à des fins de marketing

1.2 Contact pour les questions relatives à la protection des données

Responsable du traitement : Ondřej Smutný N° d'identification : 75343533 Siège : Družstevní 511, 294 41 Dobrovice, République tchèque E-mail : info@giftwego.com

Délégué à la protection des données (DPO) : Non désigné (non obligatoire pour les travailleurs indépendants)

2. Quelles données personnelles nous traitons

2.1 Données que nous collectons directement auprès de vous

2.1.1 Inscription et compte utilisateur

Lors de l'inscription avec e-mail et mot de passe :

• E-mail (obligatoire) - identifiant du compte, connexion, communication
• Nom (obligatoire) - nom d'affichage dans l'application
• Mot de passe (obligatoire) - stocké sous forme de hash bcrypt, jamais stocké en clair

Lors de l'inscription via Google/Facebook OAuth :

• E-mail (du fournisseur OAuth)
• Nom (du fournisseur OAuth)
• Photo de profil (du fournisseur OAuth, optionnel)
• ID Google/Facebook (pour l'association du compte)

Données de profil optionnelles :

• Prénom et nom de famille
• Numéro de téléphone
• Date de naissance
• Préférences (langue, devise, fuseau horaire, format de date)
• Paramètres de notification (notifications e-mail, notifications push)

2.1.2 Informations de paiement et de facturation

Données pour les achats de crédits :

• Nom (pour la facture)
• E-mail (pour la facture et la confirmation)
• ID client Stripe (référence à votre compte dans le système Stripe)

Données de cartes de paiement :

• IMPORTANT : Nous ne stockons JAMAIS ni ne traitons les numéros de cartes bancaires
• Les cartes sont traitées exclusivement par Stripe (certifié PCI DSS)
• Nous stockons uniquement : type de carte (Visa, Mastercard), 4 derniers chiffres, date d'expiration

Adresse de facturation (optionnel, pour les entreprises) :

• Nom de l'entreprise
• N° d'identification, N° de TVA
• Adresse de facturation (rue, ville, code postal, pays)

Historique des crédits :

• Date et heure des transactions
• Quantité de crédits (ajout/soustraction)
• Type de transaction (achat, bonus, consommation, remboursement)
• ID de paiement Stripe (pour la comptabilité et les remboursements)
• Description de la transaction

2.1.3 Profils de destinataires

Données personnelles des destinataires de cadeaux que vous saisissez :

• Nom du destinataire
• Âge ou date de naissance
• Sexe
• Relation avec vous (partenaire, parent, ami, collègue, etc.)

Intérêts et préférences :

• Intérêts (sport, art, voyage, technologie, etc.)
• Traits de personnalité
• Marques préférées
• Type de logement et localisation (type de ville, lieu spécifique, pays)

Restrictions :

• Restrictions de santé (allergies, restrictions alimentaires - végétalien, végétarien, sans gluten, etc.)
• Restrictions de cadeaux (alcool, électronique, vêtements, etc.)

Historique des cadeaux :

• Nom du cadeau
• Prix
• Date de l'offre
• Occasion
• Évaluation du succès (1-5 étoiles)
• Notes

Liste noire :

• Liste des produits/catégories interdits
• Raison de l'exclusion (optionnel)
• Date d'ajout

Notes libres :

• Toutes les notes que vous écrivez sur le destinataire

2.1.4 Recommandations IA et historique

Lors de l'utilisation de l'IA Advisor, nous stockons :

• ID de session (regroupement des recommandations d'une session)
• Aperçu des informations sur le destinataire (nom)
• Occasion (anniversaire, Noël, etc.)
• Budget et urgence
• Recommandations IA (nom, description, justification, prix, catégorie)
• Date et heure de génération
• Crédits consommés

Feedback et évaluations :

• Évaluation des recommandations individuelles (pouce en haut/bas)
• Évaluation de la session (1-5 étoiles)
• Feedback textuel (optionnel)
• Temps nécessaire pour l'évaluation (pour les analyses)

2.1.4 Données de l'extension Chrome

Lors de l'utilisation de l'extension Chrome GiftWeGo :

Informations sur les produits des sites e-commerce :

• Noms de produits, prix, descriptions, images, URLs
• Collectées uniquement lorsque vous utilisez activement l'extension sur les pages de produits
• Sources : Amazon, Alza.cz, Mall.cz et autres sites e-commerce
• Objectif : Analyse IA pour évaluer la pertinence du cadeau

Authentification de l'extension :

• Jeton d'accès pour votre compte GiftWeGo
• Stocké localement dans votre navigateur via Chrome Storage API
• Objectif : Intégration transparente avec votre compte GiftWeGo

Préférences et paramètres utilisateur :

• Sélection de langue (anglais, tchèque, allemand, français)
• Paramètres de l'extension (vérificateur activé/désactivé)
• Positions du bouton flottant par domaine
• Stockés localement dans votre navigateur
• Objectif : Personnalisation et fonctionnalité

Historique des vérifications de produits :

• URLs des produits que vous avez analysés avec l'IA
• Horodatages des vérifications et résultats
• Associés à votre compte GiftWeGo
• Objectif : Fournir l'historique des analyses et améliorer les recommandations

Explication des autorisations de l'extension Chrome :

• storage : Pour enregistrer localement votre connexion, préférences et paramètres
• activeTab : Pour lire les informations sur les produits des pages que vous consultez
• giftwego.com : Pour communiquer avec notre API pour les analyses IA

Partage des données :

• Les données des produits sont traitées par notre fournisseur IA (Anthropic Claude) sous stricte confidentialité
• Nous ne vendons jamais vos données à des tiers
• Les données ne sont pas utilisées à des fins publicitaires

Suppression des données :

• Données locales : Automatiquement supprimées lors de la désinstallation de l'extension
• Données serveur : Suivent la politique de conservation de l'application principale GiftWeGo (voir section 4)
• Demande de suppression via info@giftwego.com

2.2 Données que nous collectons automatiquement

2.2.1 Données techniques

Lors de la visite du site et de l'utilisation de l'application :

• Adresse IP (anonymisée pour les analyses)
• User Agent (type de navigateur, système d'exploitation, type d'appareil)
• Referrer (d'où vous venez)
• ID de session (pour le suivi de session)
• Timestamp (date et heure de la visite)

2.2.2 Cookies et suivi

Cookies essentiels (sans consentement) :

• Cookie de session (connexion, authentification)
• Jetons de sécurité (protection CSRF)
• Préférences (langue, thème)

Cookies analytiques (avec consentement) :

• Google Analytics 4 - analyse du trafic web
• Microsoft Clarity - enregistrement de sessions, heatmaps, analyse du comportement utilisateur
• Suivi du comportement sur le site pour amélioration UX
• Données anonymisées pour optimisation du service

IMPORTANT : À partir du 31 octobre 2025, Microsoft Clarity exige un consentement explicite pour les utilisateurs de l'EEE, du Royaume-Uni et de la Suisse. Avant d'obtenir le consentement, Clarity fonctionne en mode "no-consent" (sans cookies ni suivi de session).

2.2.3 Suivi d'affiliation

Pour les commissions des partenaires, nous suivons :

• Clics sur les liens d'affiliation
• Partenaire (Google, Heureka, Alza, etc.)
• Produit/catégorie
• ID de recommandation (association avec la recommandation)
• ID utilisateur (pour les statistiques)
• Timestamp

IMPORTANT : Les partenaires d'affiliation NE REÇOIVENT PAS vos données personnelles (nom, e-mail). Le suivi est anonyme.

2.3 Données qui nous sont fournies par des tiers

2.3.1 Fournisseurs OAuth (Google, Facebook)

Si vous vous inscrivez via Google/Facebook :

• E-mail
• Nom
• Photo de profil (si vous l'autorisez)
• ID du fournisseur OAuth

Ce que nous NE RECEVONS PAS :

• Votre mot de passe de compte Google/Facebook
• Liste de contacts
• Contenu des e-mails
• Historique d'activités

2.3.2 Stripe (processeur de paiement)

Stripe nous fournit :

• ID client (référence à votre compte)
• ID de méthode de paiement (référence à la carte enregistrée)
• Statut de l'intention de paiement (paiement réussi/échoué)
• Événements webhook (événements de paiement)

Stripe NE nous FOURNIT PAS :

• Numéros de cartes bancaires (uniquement les 4 derniers chiffres)
• Codes CVV
• Codes PIN

3. Pourquoi nous traitons vos données (bases juridiques)

3.1 Exécution du contrat (Art. 6, par. 1, point b RGPD)

Nous avons besoin pour fournir le service :

• E-mail, nom, mot de passe - pour la création et la gestion du compte
• Profils de destinataires - cœur du service IA Advisor
• Historique des recommandations IA - fourniture de service personnalisé
• Crédits et paiements - exécution du contrat d'achat

Sans ces données, nous ne pouvons pas fournir le service.

3.2 Intérêt légitime (Art. 6, par. 1, point f RGPD)

Pour améliorer le service et sa durabilité :

• Suivi d'affiliation - monétisation du service pour la durabilité
• Analyses - amélioration des recommandations IA et de l'expérience utilisateur
• Détection de fraude - protection contre l'abus du service et la fraude
• Journaux techniques - résolution de problèmes techniques et de bugs

Nous équilibrons notre intérêt légitime avec vos droits. Vous pouvez vous opposer (voir section 7).

3.3 Consentement (Art. 6, par. 1, point a RGPD)

Nous demandons votre consentement explicite pour :

• E-mails marketing (newsletters, conseils, offres)
  • Opt-in, paramètre par défaut : NON
  • Vous pouvez retirer à tout moment (lien dans l'e-mail ou Paramètres)
• Notifications push (rappels d'événements, conseils)
  • Doit être activé dans les paramètres du navigateur
  • Vous pouvez désactiver à tout moment
• Cookies analytiques (Google Analytics)
  • Nous afficherons une bannière de cookies lors de la première visite
  • Vous pouvez refuser

Retrait du consentement :

• N'affecte pas la licéité du traitement avant le retrait
• Vous pouvez retirer à tout moment dans les Paramètres du compte

3.4 Obligation légale (Art. 6, par. 1, point c RGPD)

Nous devons conserver par la loi :

• Données de facturation et historique des paiements - loi comptable (5 ans)
• Documents fiscaux - réglementations fiscales (10 ans pour certains documents)

Nous ne pouvons pas supprimer ces données même sur demande, mais elles seront anonymisées (suppression du nom, de l'e-mail).

4. Combien de temps nous conservons les données

4.1 Comptes actifs

Pour la durée de votre compte :

• Toutes les données de profil, destinataires, recommandations
• Historique des crédits et transactions
• Préférences et paramètres

4.2 Comptes inactifs

Après 24 mois d'inactivité :

• Nous vous enverrons un e-mail d'avertissement
• Nous offrirons la possibilité de prolonger le compte

Après 36 mois d'inactivité :

• Le compte sera automatiquement supprimé
• Vous serez notifié 30 jours à l'avance

4.3 Après suppression du compte

Données personnelles (immédiatement, max. 30 jours) :

• Tous les profils de destinataires - SUPPRIMÉ
• Toutes les recommandations IA - SUPPRIMÉ
• Préférences et paramètres - SUPPRIMÉ
• E-mail et nom - SUPPRIMÉ
• Compte utilisateur - SUPPRIMÉ

Données financières (5-10 ans, anonymisées) :

• Historique des crédits et paiements - ANONYMISÉ (sans nom et e-mail)
• Factures - ANONYMISÉ (remplacé par ID anonyme)
• Raison : Obligation légale (comptabilité, impôts)

Données anonymisées (indéfiniment) :

• Statistiques agrégées (par ex. "nombre moyen de destinataires par utilisateur")
• Ne peut pas être retracé vers vous

4.4 Historique des recommandations IA

Limite automatique :

• Max. 500 enregistrements par utilisateur
• Les enregistrements les plus anciens sont automatiquement supprimés lorsque la limite est dépassée

Recommandation : Exportez régulièrement les recommandations importantes (format JSON).

4.5 Cookies

Cookies de session : Supprimés après déconnexion ou fermeture du navigateur Cookies persistants : Validité 30 jours - 1 an (selon le type) Cookies analytiques : Validité 2 ans (Google Analytics par défaut)

5. Avec qui nous partageons vos données

5.1 Sous-traitants

Nous utilisons les sous-traitants de confiance suivants :

5.1.1 Anthropic Inc. (API Claude)

• Objectif : Génération de recommandations de cadeaux par IA
• Données partagées :
  • Informations sur le destinataire (nom, âge, sexe, intérêts, personnalité)
  • Occasion, budget, urgence
  • Historique des cadeaux (pour de meilleures recommandations)
  • Liste noire de produits
• Base juridique : Exécution du contrat (fourniture du service IA)
• Localisation : USA
• Protection :
  • Anthropic a ses propres politiques conformes au RGPD
  • Les données ne sont pas conservées à long terme ni utilisées pour l'entraînement de l'IA
  • Clauses contractuelles types (CCT) pour le transfert vers les USA
• Plus d'infos : https://www.anthropic.com/legal/privacy

5.1.2 Stripe Inc.

• Objectif : Traitement des paiements pour les crédits
• Données partagées :
  • E-mail, nom (pour la facture)
  • Détails de paiement (les cartes sont traitées uniquement par Stripe)
  • Adresse de facturation (si vous la fournissez)
• Base juridique : Exécution du contrat (paiements)
• Localisation : USA/UE (centres de données UE disponibles)
• Protection :
  • Certification PCI DSS Level 1 (niveau de sécurité le plus élevé)
  • Accord de traitement des données (DPA) conforme au RGPD
  • Clauses contractuelles types (CCT)
• Plus d'infos : https://stripe.com/privacy

5.1.3 Vercel Inc. (hébergement)

• Objectif : Hébergement de l'application web
• Données partagées :
  • Données techniques (adresses IP, User Agent)
  • Données de session
• Base juridique : Intérêt légitime (exploitation du service)
• Localisation : Edge Network, principalement région UE (Francfort, Amsterdam)
• Protection : Conforme au RGPD, certification SOC 2 Type II
• Plus d'infos : https://vercel.com/legal/privacy-policy

5.1.4 MongoDB Inc. (base de données)

• Objectif : Stockage des données d'application
• Données partagées : Toutes les données d'application (profils, recommandations, crédits)
• Base juridique : Exécution du contrat (stockage des données)
• Localisation : Selon la configuration MongoDB Atlas (généralement région UE)
• Protection : Conforme au RGPD, ISO 27001, SOC 2 Type II
• Plus d'infos : https://www.mongodb.com/legal/privacy-policy

5.1.5 Resend (fournisseur d'e-mails)

• Objectif : Envoi d'e-mails transactionnels et marketing
• Données partagées :
  • E-mail, nom
  • Données de personnalisation (par ex. nom du destinataire pour rappel)
• Base juridique : Exécution du contrat / Consentement (marketing)
• Localisation : USA/UE (selon la configuration)
• Protection : Service conforme au RGPD
• Plus d'infos : https://resend.com/legal/privacy-policy

5.1.6 Google Analytics 4

• Objectif : Analyse du trafic et du comportement des utilisateurs sur le site
• Données transmises :
  • Adresse IP anonymisée
  • User Agent, comportement sur le site
  • Cookies (avec consentement)
• Base juridique : Consentement (Art. 6(1)(a) RGPD)
• Localisation : USA
• Protection :
  • Anonymisation IP activée
  • Google Analytics 4 (conforme RGPD)
  • Peut être refusé via la bannière de cookies
  • Ne se lance pas sans consentement - contrôle du consentement implémenté
• Plus d'infos : https://policies.google.com/privacy

5.1.7 Microsoft Clarity (Enregistrement de sessions & Heatmaps)

• Objectif : Analyse du comportement utilisateur, enregistrement de sessions, heatmaps, amélioration UX
• Données transmises :
  • Avec consentement :
    • Enregistrements de sessions (mouvements de souris, clics, défilement)
    • Heatmaps (où les utilisateurs cliquent et défilent)
    • Adresse IP (anonymisée)
    • User Agent, type d'appareil
    • URLs des pages visitées
    • ID de session pour liaison entre visites
  • Sans consentement (mode no-consent) :
    • Uniquement métriques anonymes de base sans cookies
    • Pas d'enregistrements de sessions
    • Pas de liaison entre visites
• Base juridique : Consentement (Art. 6(1)(a) RGPD)
• Localisation : USA (Microsoft Azure cloud)
• Responsable du traitement : Microsoft Ireland Operations Limited (pour utilisateurs EU)
• Durée de conservation :
  • Enregistrements de sessions : 30 jours
  • Heatmaps : 13 mois
  • Enregistrements favoris : jusqu'à 13 mois
• Protection :
  • Conformité EU-US Data Privacy Framework (approuvé par CE en juillet 2023)
  • Clauses Contractuelles Types (SCC) selon Art. 46 RGPD
  • Anonymisation automatique des données sensibles (mots de passe, numéros de carte)
  • Clarity Consent API v2 implémentée (application du consentement depuis le 31.10.2025)
  • Data Processing Agreement conforme RGPD
  • Ne se lance pas sans consentement - enregistrement de session actif uniquement après consent
• Vos droits :
  • Vous pouvez refuser dans la bannière de cookies
  • Vous pouvez révoquer votre consentement à tout moment dans les paramètres de cookies
  • Sans consentement fonctionne en mode "no-consent" (pas de suivi)
• Plus d'infos :
  • https://learn.microsoft.com/en-us/clarity/faq
  • https://privacy.microsoft.com/fr-fr/privacystatement

5.1.8 Système de suivi des erreurs (Debugging et Monitoring)

• Objectif : Assurer la stabilité et la sécurité du site, détecter et résoudre les erreurs techniques
• Données collectées :
  • Messages d'erreur
  • Stack traces (informations techniques sur l'erreur)
  • URL de la page où l'erreur s'est produite
  • User Agent (navigateur, OS)
  • Adresse IP (anonymisée)
  • ID utilisateur et email (uniquement pour utilisateurs connectés)
  • Horodatage (moment de l'erreur)
• Base juridique : Intérêt légitime (Art. 6(1)(f) RGPD)
  • Justification : Assurer la sécurité et la fonctionnalité du service est essentiel pour l'exploitation du site. Les utilisateurs s'attendent à un service stable et fonctionnel. Le monitoring des erreurs est nécessaire pour identifier et corriger les problèmes techniques.
  • Test de mise en balance : Intrusion minimale dans la vie privée (données techniques uniquement) vs. besoin critique d'assurer la fonctionnalité du service → l'intérêt légitime prévaut
  • Considérant 49 RGPD : Le traitement de données à caractère personnel dans la mesure strictement nécessaire pour garantir la sécurité du réseau et de l'information constitue un intérêt légitime
• Localisation : MongoDB Atlas (région EU)
• Durée de conservation : 90 jours, puis suppression automatique
• Protection :
  • Nous ne stockons que les données nécessaires au debugging
  • Adresses IP anonymisées dans la mesure du possible
  • Aucune information sensible (mots de passe, détails de paiement) n'est enregistrée
  • Politique de rétention automatique (90 jours)
  • Accès uniquement pour admins
  • Chiffrement de bout en bout lors du transfert (TLS)
• Vos droits :
  • Vous pouvez vous opposer au traitement (voir section 7.5)
  • En cas d'opposition, nous examinerons l'arrêt du traitement sauf raisons impérieuses
  • Note : Le monitoring des erreurs est critique pour la sécurité du service - sans lui nous ne pouvons garantir la stabilité de l'application
• Fonctionnalités : Capture automatique des erreurs JavaScript, promesses non gérées, erreurs de rendu React, erreurs API### 5.2 Partenaires d'affiliation

Partenaires vers lesquels nous créons des liens :

• Google (recherche)
• Heureka.cz (comparateur de prix)
• Alza.cz, Mall.cz, Datart.cz (boutiques en ligne)
• Amazon.cz (marketplace)

Ce que nous NE PARTAGEONS PAS avec eux :

• Votre nom, e-mail, téléphone
• Profils de destinataires
• Recommandations IA

Ce qu'ils peuvent recevoir :

• Referrer (que vous venez de giftwego.com)
• Paramètres UTM (codes de suivi pour commission)
• ID de clic anonyme (pour le suivi des conversions)

Si vous achetez chez un partenaire :

• Le partenaire a sa propre politique de confidentialité
• Leurs conditions s'appliquent, pas les nôtres
• GiftWeGo n'est pas responsable de leur traitement des données

5.3 Exigences légales

Nous pouvons être obligés de divulguer des données :

• Tribunaux - sur la base d'une ordonnance judiciaire
• Police - lors d'enquêtes criminelles
• Autorités fiscales - pour audit comptable
• Office de protection des données personnelles - lors de contrôle de conformité RGPD

Dans ces cas, nous ne divulguerons que le minimum de données nécessaires.

5.4 Ce que nous ne faisons JAMAIS

❌ NE VENDONS PAS vos données à des tiers ❌ NE PARTAGEONS PAS de données pour le marketing de tiers (publicité ciblée) ❌ NE LOUONS PAS la base de données d'e-mails ❌ NE TRANSFÉRONS PAS de données en dehors des sous-traitants ci-dessus

6. Transferts de données hors UE

6.1 Transferts vers les USA

Certains de nos sous-traitants sont basés aux USA :

• Anthropic Inc. (API Claude)
• Stripe Inc. (paiements)
• Resend (e-mails)
• Google Analytics 4 (analyses - avec consentement)
• Microsoft Clarity (enregistrement de sessions, heatmaps - avec consentement)
• Système de suivi des erreurs (monitoring erreurs - intérêt légitime)

6.2 Mécanismes de protection

Pour les transferts vers les USA, nous utilisons :

1. Clauses contractuelles types (CCT) - approuvées par la Commission européenne
2. Accords de traitement des données (DPA) - contrats de traitement des données
3. Centres de données UE - lorsque disponibles (Stripe, Vercel)
4. Mesures de sécurité supplémentaires :
   • Chiffrement en transit (TLS 1.3)
   • Chiffrement au repos
   • Minimisation des données transférées

6.3 Vos droits

Vous avez le droit de :

• Obtenir une copie des clauses contractuelles types
• Vous opposer au transfert hors UE
• En cas d'opposition, nous ne pouvons pas fournir les services nécessitant un transfert (par ex. IA Advisor)

Envoyez les demandes à : info@giftwego.com

7. Vos droits (RGPD Art. 15-22)

7.1 Droit d'accès (Art. 15)

Vous avez le droit d'obtenir :

• Confirmation que nous traitons vos données
• Copie de toutes vos données personnelles
• Informations sur l'objectif du traitement, la catégorie de données, les destinataires
• Informations sur la durée de conservation
• Informations sur vos droits

Comment l'exercer :

1. Dans l'application : Connexion → Paramètres → Exporter les données → Télécharger JSON
2. Par e-mail : Écrivez à info@giftwego.com (nous vérifierons votre identité)

Délai de livraison : 30 jours à compter de la demande (GRATUIT, première demande)

7.2 Droit de rectification (Art. 16)

Vous avez le droit de corriger :

• Données personnelles inexactes
• Données incomplètes (ajouter manquantes)

Comment l'exercer :

1. Dans l'application : Connexion → Profil / Destinataires → Modifier les données
2. Par e-mail : info@giftwego.com (pour les données que vous ne pouvez pas modifier vous-même)

Délai : Immédiatement (lors de la modification dans l'application), 7 jours (lors de la demande par e-mail)

7.3 Droit à l'effacement / Droit à l'oubli (Art. 17)

Vous avez le droit de demander la suppression des données si :

• Les données ne sont plus nécessaires à l'objectif initial
• Vous retirez le consentement et il n'y a pas d'autre base juridique
• Vous vous opposez avec succès (voir 7.6)
• Les données ont été traitées illégalement
• Les données doivent être supprimées conformément à une obligation légale

Comment l'exercer :

1. Dans l'application : Connexion → Paramètres → Supprimer le compte
   • Confirmez la phrase "SUPPRIMER MON COMPTE"
   • La suppression est irréversible
2. Par e-mail : info@giftwego.com (si vous ne pouvez pas vous connecter)

Ce qui sera supprimé :

• ✅ Tous les profils de destinataires
• ✅ Toutes les recommandations IA
• ✅ Vos préférences et paramètres
• ✅ E-mail, nom, téléphone
• ✅ Compte utilisateur

Ce qui NE sera PAS supprimé (obligation légale) :

• ⚠️ Historique des crédits et paiements (5 ans) - mais ANONYMISÉ
• ⚠️ Factures (10 ans) - mais ANONYMISÉ
• Raison : Loi comptable, réglementations fiscales

Délai : Immédiatement (max. 30 jours pour suppression complète)

7.4 Droit à la portabilité des données (Art. 20)

Vous avez le droit d'obtenir les données dans un format lisible par machine :

• Format : JSON (JavaScript Object Notation)
• Contenu : Toutes les données que vous nous avez fournies

Comment l'exercer : Connexion → Paramètres → Exporter les données → Télécharger JSON

L'export contient :

• ✅ Profil utilisateur (nom, e-mail, préférences)
• ✅ Tous les profils de destinataires (y compris historique des cadeaux, liste noire)
• ✅ Toutes les recommandations IA (y compris justification et feedback)
• ✅ Historique des crédits (transactions, achats)

Délai : Immédiatement (la génération prend environ 5-10 secondes)

Transfert à un autre responsable :

• Vous pouvez demander un transfert direct des données à un autre responsable (si techniquement réalisable)
• Envoyez la demande à : info@giftwego.com

7.5 Droit à la limitation du traitement (Art. 18)

Vous avez le droit de demander la limitation (suspension) du traitement si :

• Vous contestez l'exactitude des données (limitation pour la période de vérification)
• Le traitement est illégal mais vous ne voulez pas la suppression (vous voulez seulement la limitation)
• Nous n'avons plus besoin des données mais vous en avez besoin pour une réclamation légale
• Vous vous êtes opposé (limitation pour la période d'évaluation)

Comment l'exercer : Par e-mail à : info@giftwego.com (décrivez la raison)

Ce que cela signifie :

• Vos données seront stockées mais nous ne les traiterons pas activement
• Le compte sera désactivé (connexion impossible)
• Après résolution de la raison de limitation, nous vous informerons

Délai : 7 jours ouvrables à compter de la demande

7.6 Droit d'opposition (Art. 21)

Vous avez le droit de vous opposer au traitement basé sur l'intérêt légitime :

• ❌ Suivi d'affiliation
• ❌ Analyses (suivi du comportement)
• ❌ Marketing (même avec consentement - vous pouvez retirer le consentement)

Comment l'exercer :

1. Dans l'application : Paramètres → Confidentialité → Désactiver le suivi d'affiliation / analyses
2. Marketing : Lien "Se désabonner" dans l'e-mail
3. Par e-mail : info@giftwego.com

Ce qui se passera :

• Nous cesserons de traiter les données à cette fin
• Si nous avons une autre base juridique (par ex. exécution du contrat), nous pouvons continuer

Délai : Immédiatement (lors de la désactivation dans l'application), 7 jours (lors de la demande par e-mail)

7.7 Droit de ne pas faire l'objet d'une décision automatisée (Art. 22)

GiftWeGo N'UTILISE PAS de prise de décision entièrement automatisée qui aurait des conséquences juridiques ou vous affecterait de manière significative.

IA Advisor :

• Les recommandations IA ne sont que des suggestions et inspirations
• La décision finale vous appartient toujours
• L'IA n'a aucun effet juridique sur vous

Il n'y a pas d'automatisation de :

• ❌ Approbation/rejet de comptes
• ❌ Tarification basée sur le profil
• ❌ Décisions sur l'accès aux services

7.8 Droit de déposer plainte

Si vous pensez que nous violons le RGPD, vous avez le droit de déposer plainte :

Úřad pro ochranu osobních údajů (ÚOOÚ) Pplk. Sochora 27 170 00 Prague 7 République tchèque

Téléphone : +420 234 665 111 E-mail : posta@uoou.cz Web : www.uoou.cz

Dépôt en ligne : https://www.uoou.cz/rades

Nous recommandons : Contactez-nous d'abord (info@giftwego.com) - nous résolvons la plupart des problèmes directement.

8. Sécurité de vos données

8.1 Mesures techniques

Chiffrement :

• ✅ HTTPS (TLS 1.3) - toute communication entre vous et le serveur est chiffrée
• ✅ Chiffrement au repos - les données dans la base de données sont chiffrées
• ✅ Hash Bcrypt - les mots de passe sont hachés avec 12 rounds de salt (ne peuvent pas être déchiffrés)

Authentification et autorisation :

• ✅ Jetons JWT - gestion sécurisée des sessions (validité de 30 jours)
• ✅ Isolation des utilisateurs - chaque requête de base de données filtrée par userId (protection contre les fuites de données)
• ✅ Protection CSRF - protection contre les attaques de falsification de requête intersites
• ✅ Rate limiting - protection contre les attaques par force brute

Infrastructure :

• ✅ Vercel Edge Network - protection DDoS, distribution géographique
• ✅ MongoDB Atlas - base de données gérée avec sauvegardes automatiques
• ✅ Stripe - certification PCI DSS Level 1 pour les paiements

8.2 Mesures organisationnelles

Accès aux données :

• ✅ Principe du moindre privilège - accès uniquement pour les personnes autorisées
• ✅ Journaux d'audit - enregistrement des accès aux données sensibles
• ✅ Examens réguliers - vérification des droits d'accès

Formation :

• ✅ L'opérateur connaît les exigences du RGPD
• ✅ Utilisation de pratiques sécurisées lors du développement

Contrats avec sous-traitants :

• ✅ Accords de traitement des données (DPA) avec tous les sous-traitants
• ✅ Garantie de conformité au RGPD auprès des sous-traitants

8.3 Signalement des incidents de sécurité

En cas de violation de données :

• ✅ Nous notifierons l'ÚOOÚ dans les 72 heures suivant la découverte (s'il y a un risque)
• ✅ Nous informerons les utilisateurs concernés sans délai indu (s'il y a un risque élevé)
• ✅ Nous décrirons la nature de l'incident, ses conséquences et les mesures prises

Signalement de vulnérabilités de sécurité : Si vous découvrez une vulnérabilité de sécurité, contactez-nous : info@giftwego.com

9. Données d'enfants

GiftWeGo N'EST PAS destiné aux enfants de moins de 16 ans.

• ❌ Nous ne collectons pas intentionnellement de données d'enfants de moins de 16 ans
• ❌ Si nous découvrons que nous avons accidentellement collecté des données d'enfant, nous les supprimerons immédiatement
• ⚠️ Parents : Si vous pensez que votre enfant nous a fourni des données, contactez-nous : info@giftwego.com

Profils d'enfants destinataires :

• ✅ Vous pouvez créer des profils d'enfants destinataires (pour des conseils de cadeaux)
• ✅ C'est acceptable car VOUS (adulte) fournissez les données, pas l'enfant lui-même

10. Modifications de cette politique

10.1 Mises à jour de la politique

Nous pouvons modifier cette politique pour les raisons suivantes :

• Changements dans les lois (nouvelles exigences du RGPD)
• Nouvelles fonctionnalités de l'application
• Changements de sous-traitants (nouveau fournisseur d'e-mails, etc.)
• Retours des utilisateurs

10.2 Notification des modifications

Modifications mineures (corrections grammaticales, clarifications) :

• Nous mettrons à jour la date "Dernière mise à jour"
• Nous publierons sur le site web

Modifications importantes (nouveaux objectifs de traitement, nouveaux sous-traitants) :

• Nous enverrons un e-mail 30 jours à l'avance
• Nous afficherons une notification dans l'application
• Nous demanderons l'examen de la nouvelle politique

10.3 Votre consentement

Si vous continuez à utiliser le service après l'entrée en vigueur des modifications :

• Cela est considéré comme un consentement à la nouvelle politique

Si vous ne consentez pas :

• Vous pouvez supprimer le compte avant l'entrée en vigueur des modifications
• Contactez-nous : info@giftwego.com

10.4 Archive des versions antérieures

• Les versions antérieures de la politique sont archivées
• Disponibles sur demande : info@giftwego.com

11. Utilisateurs internationaux

11.1 Service disponible mondialement

GiftWeGo est disponible en 4 langues :

• 🇨🇿 Tchèque
• 🇬🇧 Anglais
• 🇩🇪 Allemand
• 🇫🇷 Français

11.2 Droit applicable

Cette politique est régie par :

• Le droit tchèque (siège de l'opérateur en République tchèque)
• Le RGPD (règlement UE 2016/679) - s'applique à tous les utilisateurs dans l'UE
• Les lois locales sur la protection des données (si vous êtes hors UE)

11.3 Utilisateurs hors UE

Si vous utilisez GiftWeGo hors UE :

• Vos données peuvent être transférées vers l'UE (serveur dans l'UE)
• En utilisant le service, vous consentez au transfert de données vers l'UE
• Cette politique et le RGPD s'appliquent (même si vous êtes hors UE)

Droits supplémentaires hors UE :

• California Consumer Privacy Act (CCPA) - pour les utilisateurs en Californie
• Autres lois locales sur la confidentialité

12. Contact

12.1 Responsable du traitement

Ondřej Smutný N° d'identification : 75343533 Siège : Družstevní 511, 294 41 Dobrovice, République tchèque E-mail : info@giftwego.com Web : https://giftwego.com

12.2 Délégué à la protection des données (DPO)

Non désigné (non obligatoire pour les travailleurs indépendants)

Pour les questions relatives à la protection des données, contactez : E-mail : info@giftwego.com

12.3 Délais de réponse

• Demandes générales : 7 jours ouvrables
• Demandes d'accès aux données (Art. 15) : 30 jours
• Autres demandes (Art. 16-21) : 7-30 jours (selon la complexité)
• Plaintes : 14 jours

Confirmation et consentement

En utilisant le service GiftWeGo, vous confirmez que :

✓ Vous avez lu et compris cette politique de confidentialité ✓ Vous consentez au traitement de vos données personnelles conformément à cette politique ✓ Vous avez plus de 16 ans (ou avez le consentement parental) ✓ Les données fournies sont véridiques et complètes

Date d'entrée en vigueur : 13 novembre 2025 Version : 1.0

© 2025 GiftWeGo. Tous droits réservés.