Politique de Confidentialité – GREEN LVL

Dernière mise à jour : 17/11/2025

La présente Politique de Confidentialité décrit la manière dont la plateforme GREEN LVL collecte, utilise et protège les données à caractère personnel dans le cadre de la fourniture de ses services de pourboires numériques et de redistribution associative.

GREEN LVL s’engage à respecter le Règlement Général sur la Protection des Données (RGPD) et les recommandations de la CNIL.

1. Responsable du traitement

Le responsable du traitement est :

GREEN LVL
[Nom / Micro-entreprise à compléter]
Email de contact : [adresse email à compléter]

2. Données collectées

2.1 Données des Établissements

• Nom commercial et coordonnées ;
• Adresse postale ;
• Adresse email de contact ;
• Identifiant Stripe Express et informations de compte fournies à Stripe ;
• Paramètres de zones / Staff ;
• Préférences d’affichage et de durée des tokens.

2.2 Données du Staff

GREEN LVL ne crée pas de comptes Staff avec identifiant/mot de passe. Les données Staff sont :

• nom ou pseudonyme du Staff, tel que renseigné par le Gérant ;
• adresse email de Staff (email professionnel ou de contact) fournie par le Gérant ;
• zone d’accès (ex. salle, bar, terrasse) ;
• référence interne de l’Établissement ;
• token Staff signé et sa date d’expiration ;
• informations de session (cookies techniques) ;
• données d’export (récapitulatif des pourboires associés à la carte Staff).

2.3 Données des Talents

• nom ou pseudonyme ;
• adresse email ;
• identifiants de connexion (mot de passe chiffré) ;
• identifiant Stripe Express ;
• statistiques de pourboires et informations de configuration de la page de pourboire.

2.4 Données des Utilisateurs (clients qui laissent un pourboire)

• montant du pourboire ;
• devise et pays (selon la configuration Stripe) ;
• date, heure et contexte de la transaction ;
• moyen de paiement (carte, wallet… via Stripe) ;
• éventuels messages ou notes laissés par le Client.

Les données de carte bancaire sont traitées exclusivement par Stripe. GREEN LVL n’a jamais accès au numéro complet de la carte ni au cryptogramme.

2.5 Données d’administration interne

Pour certaines fonctions d’administration interne, GREEN LVL peut utiliser l’authentification Google (Secure Token Service). Dans ce cas, les données suivantes peuvent être traitées :

• identifiant utilisateur Google ;
• adresse email Google ;
• jetons d’accès techniques.

3. Finalités des traitements

Les données collectées sont utilisées pour :

• fournir le service de pourboires numériques et d’affichage des transactions ;
• gérer les comptes Établissements, Staff et Talents ;
• permettre les accès Staff sécurisés (tokens, sessions) ;
• adresser au Staff, le cas échéant, des exports périodiques récapitulant les pourboires liés à leur carte ;
• réaliser la redistribution des commissions à des associations ;
• assurer le suivi statistique de l’activité (ex. montant de pourboires par période) ;
• assurer la sécurité de la plateforme (journalisation technique, détection d’abus) ;
• respecter les obligations légales, notamment comptables et fiscales.

4. Bases légales

Les principaux fondements juridiques des traitements sont :

• l’exécution du contrat (utilisation de la plateforme par les Établissements, Staff et Talents) ;
• l’intérêt légitime de GREEN LVL (sécurisation du service, lutte contre la fraude, amélioration continue, transparence des pourboires vis-à-vis du Staff) ;
• le respect d’obligations légales (conservation comptable des transactions) ;
• le consentement pour certains affichages facultatifs (par exemple, affichage du nom/pseudonyme du Staff sur la page de paiement) et certains cookies ou traitements optionnels.

5. Sécurité des accès Staff et respect de la vie privée

5.1 Tokens Staff

• Les accès Staff reposent sur des Tokens Staff signés cryptographiquement par les serveurs de GREEN LVL.
• Chaque token possède une durée de validité limitée.
• Les tokens contiennent uniquement des informations techniques (zone, établissement, expiration).
• Les tokens ne donnent en aucun cas accès à un compte Stripe ou à des coordonnées bancaires.

5.2 Sessions Staff

• Après validation d’un token, GREEN LVL crée une Session Staff via un cookie sécurisé HttpOnly ;
• ce cookie n’est pas accessible depuis le JavaScript de la page ;
• la durée de vie de la session est limitée (par exemple, quelques jours).

5.3 Rotation et révocation

• Le Gérant peut régénérer un Token Staff à tout moment depuis son tableau de bord : l’ancien token est alors invalidé côté serveur ;
• le Gérant peut supprimer une carte Staff, ce qui invalide définitivement l’accès correspondant ;
• ces mécanismes permettent de couper rapidement un accès en cas de départ d’un employé, de perte de téléphone ou de doute sur la sécurité.

5.4 Affichage du Staff sur la page de paiement

Par défaut, la page de paiement accessible au Client ne fait pas apparaître le nom ou le pseudonyme du Staff, afin de préserver sa vie privée. Seules les informations nécessaires au versement du pourboire sont affichées (Établissement, montant, éventuel message).

Une option pourra permettre, si le Staff l’accepte via l’Établissement, d’afficher son nom ou son pseudonyme sur la page de paiement. Cet affichage repose sur le consentement du Staff et peut être désactivé à tout moment.

6. Stockage local (localStorage) et cookies

6.1 Stockage local sur l’appareil

Pour faciliter l’usage par le Staff, certaines données strictement techniques peuvent être stockées localement sur l’appareil utilisé (navigateur) via le localStorage :

• token Staff signé ;
• zone d’accès ;
• date d’expiration.

Ces données ne sont jamais revendues, ni partagées à des tiers publicitaires. Elles sont utilisées uniquement pour maintenir un accès Staff fluide sur l’appareil concerné.

6.2 Cookies

GREEN LVL utilise des cookies techniques pour :

• gérer les sessions Staff (cookies HttpOnly) ;
• mémoriser certaines préférences techniques ;
• sécuriser la navigation.

Certains cookies tiers peuvent être déposés par Stripe lors du paiement (lutte contre la fraude, sécurité des transactions). Ces cookies sont détaillés dans la Politique Cookies.

7. Sous-traitants et localisation des données

7.1 Stripe

Stripe agit en tant que prestataire de services de paiement. Il traite :

• les données de paiement des Clients ;
• les données de compte des Établissements et Talents (Stripe Express).

Stripe est conforme au standard PCI-DSS et met en œuvre ses propres mesures de sécurité et de conformité RGPD.

7.2 Netlify

GREEN LVL utilise Netlify pour l’hébergement de son site et de fonctions serverless (Netlify Functions). Certaines données techniques (journaux, requêtes) peuvent être traitées sur des serveurs situés hors de l’Union européenne, dans le cadre de clauses contractuelles types (SCC) et d’engagements de sécurité.

7.3 Google Apps Script / Drive / Sheets

GREEN LVL peut utiliser Google Apps Script et Google Drive/Sheets pour l’automatisation de certains traitements et le stockage de données liées aux Établissements, Staff ou contextes de pourboires. Google agit alors en tant que sous-traitant, avec des engagements de conformité RGPD.

7.4 Airtable

Certaines données opérationnelles (configuration, référentiels, paramètres) peuvent être stockées dans Airtable. Airtable agit en tant que sous-traitant, selon des conditions contractuelles conformes au RGPD (clauses contractuelles types, DPA).

8. Durées de conservation

• Données liées aux Établissements et Talents : durée de la relation contractuelle, puis archivage pendant la durée légale (notamment comptable).
• Données techniques Staff (tokens, sessions) : durée de validité du token ou de la session, plus une courte période de journalisation.
• Données d’export Staff (récapitulatif des pourboires) : durée nécessaire au suivi interne et à la preuve de transparence envers le Staff, dans le respect des obligations légales.
• Données de transactions (pourboires) : conservation pendant la durée requise par les obligations comptables et fiscales (généralement 10 ans).
• Journaux techniques (logs) : conservation limitée, généralement 30 jours, sauf nécessité de sécurité prolongée.

9. Droits des personnes concernées

Conformément au RGPD, toute personne concernée dispose des droits suivants :

• droit d’accès à ses données ;
• droit de rectification ;
• droit d’effacement (dans les limites légales et comptables) ;
• droit à la limitation du traitement ;
• droit d’opposition ;
• droit à la portabilité, lorsque applicable.

Pour exercer ces droits, il suffit de contacter GREEN LVL à l’adresse email indiquée plus haut, en précisant l’identité et la nature de la demande. Une preuve d’identité pourra être requise.

10. Réclamations

En cas de désaccord persistant, l’Utilisateur peut introduire une réclamation auprès de l’autorité de contrôle compétente (en France : la CNIL).

11. Modifications de la présente Politique

GREEN LVL peut modifier la présente Politique de Confidentialité à tout moment, notamment pour tenir compte de l’évolution de la réglementation ou des services proposés. En cas de changement important, une information pourra être diffusée par tout moyen approprié.

← Retour à l’accueil