Politique de confidentialité
Cette politique s'applique à Abundera QR Pro (le service payant sur pro.qr.abundera.ai). Pour l'outil Abundera QR gratuit sur qr.abundera.ai, consultez qr.abundera.ai/privacy/.
Comment Abundera QR traite les données : quasi nulle pour l'outil gratuit ; minimale et explicite pour Pro.
1. Résumé
Deux produits, deux situations de données très différentes.
- Free Tool (qr.abundera.ai) : aucun compte, aucun cookie, aucune analyse, aucune requête vers nos serveurs pour la génération de QR. Votre contenu ne quitte jamais votre navigateur.
- Pro Service (pro.qr.abundera.ai) : basé sur un compte. Nous stockons votre e-mail, votre identifiant client Stripe, les codes QR que vous créez, et les enregistrements de scan minimaux décrits à la Section 4. Nous ne suivons pas vos utilisateurs finaux sur le web ; nous ne vendons pas vos données ; nous n'utilisons pas la technologie publicitaire.
2. Données que nous traitons sur le Pro Service
2.1 Données du compte
Lorsque vous vous connectez via abundera.ai, nous recevons votre adresse e-mail et un identifiant utilisateur via notre flux d'authentification délégué JWKS. Nous stockons :
- Adresse e-mail (pour envoyer des avis de facturation, des messages de service critiques et des confirmations d'annulation)
- Identifiant client Stripe (pour facturer le moyen de paiement que vous fournissez)
- Préférences du compte (niveau d'abonnement, membres d'équipe, métadonnées des clés API)
- Horodatages (compte créé, mis à jour, suppression demandée)
Nous ne stockons pas de mots de passe ; l'authentification est déléguée à abundera.ai. Nous ne collectons pas de données démographiques, de préférences marketing, ni d'identifiants d'appareils au-delà de ce qui est déjà décrit ici.
2.2 Vos codes et URL
Lorsque vous créez un code QR dynamique, nous stockons l'URL de destination, un libellé optionnel que vous définissez, des tags optionnels, le shortcode à 7 caractères, et le statut du cycle de vie du code. C'est ce qui rend possible la résolution de QR dynamique.
2.3 Données de paiement
Les paiements sont traités par Stripe, Inc. Nous ne stockons pas les numéros de carte, les codes CVC, ni les numéros de compte bancaire. Stripe renvoie une référence (l'identifiant client et l'identifiant d'abonnement) que nous stockons pour pouvoir réconcilier les renouvellements et les factures. Vos coordonnées de paiement restent chez Stripe.
3. Analyses de scan (ce que nous enregistrons quand quelqu'un scanne l'un de vos codes)
C'est là que la plupart des fournisseurs de QR commerciaux collectent un profil comportemental détaillé. Nous faisons l'inverse.
Ce que nous enregistrons par scan :
- La date calendaire UTC (agrégée au niveau du jour)
- Le pays dérivé de l'en-tête de requête
CF-IPCountryde Cloudflare - La classe d'appareil (mobile / tablette / ordinateur / inconnu) classée à partir d'une courte expression régulière User-Agent
- Le shortcode du code (pour attribuer le scan au bon code)
Pour les niveaux Team et Agency, nous enregistrons également le créneau horaire UTC-heure du jour pour les 7 derniers jours. Les enregistrements agrégés à la journée sont conservés par abonnement (voir Section 7).
Ce que nous n'enregistrons pas : adresse IP, géolocalisation précise (pas de ville ni de latitude/longitude), URL de référent, chaîne User-Agent brute, horodatage inférieur à l'heure, cookie ou identifiant de session du scanner, ou quoi que ce soit d'autre. Après classification de la classe d'appareil, la chaîne User-Agent est supprimée ; elle n'est jamais écrite dans notre base de données.
Les pays avec moins de cinq scans dans la fenêtre d'analyse sélectionnée sont regroupés sous « Autre » afin qu'aucun scanner individuel ne puisse être réidentifié à partir d'un petit échantillon.
4. Cookies et suivi
Free Tool : aucun cookie, aucun suivi, aucune empreinte numérique.
Pro Service : un seul cookie strictement nécessaire, __Secure-abundera_session, transporte le jeton de session signé requis pour vous maintenir connecté. Il est HttpOnly, Secure et SameSite=Strict. Nous n'utilisons pas de cookies marketing, publicitaires, ni de traceurs intersites. Pas de Google Analytics, Meta Pixel, ni équivalent.
5. Sous-traitants que nous utilisons
L'exploitation du service nécessite quelques tiers. La liste actuelle :
| Sous-traitant | Finalité | Données accédées | Juridiction |
|---|---|---|---|
| Cloudflare, Inc. | Calcul, mise en cache en périphérie, base de données (D1), stockage clé-valeur (KV), DNS | Toutes les données du Pro Service ; en-têtes de scan en périphérie | États-Unis avec périphérie mondiale |
| Stripe, Inc. | Traitement des paiements et facturation | E-mail, coordonnées de paiement, enregistrements d'abonnement | États-Unis |
| Zoho Corporation / ZeptoMail | E-mail transactionnel (bienvenue, annulation, échec de paiement) | Adresse e-mail, corps du message | États-Unis / Inde |
Une liste à jour et datée des sous-traitants est maintenue à abundera.ai/legal/subprocessors/. Nous mettrons à jour cette page avant d'ajouter un nouveau sous-traitant et donnerons aux abonnés au moins trente (30) jours pour s'y opposer lorsque la loi applicable l'exige.
6. Durée de conservation de vos données
Données du compte : conservées pendant que votre compte est actif. Lorsque vous demandez la suppression du compte, celui-ci entre dans une période de rétention de 30 jours, puis toutes les données personnelles sont purgées des systèmes de production.
Codes QR dynamiques : conservés pendant la durée active de l'abonnement associé, pendant toute période de grâce, et pendant les 30 jours de rétention avant suppression du compte. Après cela, les codes et leurs shortcodes sont supprimés.
Enregistrements de scan : conservés selon l'abonnement : 365 jours pour Solo, 730 jours pour Business, 1 095 jours pour Team et Agency, 30 jours pour Keep-Alive. Au-delà de cette fenêtre, les anciens enregistrements sont purgés de façon continue par notre cron quotidien.
Enregistrements de paiement et fiscaux : les enregistrements de transactions Stripe et les enregistrements fiscaux sont conservés pendant au moins sept (7) ans conformément à la législation fiscale américaine ; les juridictions TVA européennes peuvent exiger une conservation supplémentaire. Ces données ne peuvent pas être supprimées sur demande pendant cette période.
Journaux de sécurité : les journaux d'application structurés (sans PII au-delà de ce que le gestionnaire écrit explicitement, tel que les identifiants utilisateur des webhooks Stripe) sont conservés par Cloudflare jusqu'à 30 jours.
7. Base juridique du traitement (utilisateurs GDPR / EEE)
Lorsque le GDPR s'applique, nous nous appuyons sur les bases juridiques suivantes :
- Exécution du contrat, pour la création de compte, la facturation des abonnements, la résolution des codes, et le support technique. Cela couvre essentiellement tout le traitement du Pro Service.
- Intérêts légitimes, pour la surveillance de la sécurité, la prévention des fraudes, et les analyses de scan que vous utilisez en tant que client pour comprendre les performances de campagne, minimales par conception. Notre évaluation est que l'impact sur les scanners est minimal car aucune donnée identifiant le scanner n'est conservée.
- Obligation légale, pour la conservation des enregistrements de paiement et fiscaux comme décrit à la Section 7.
- Consentement, uniquement lorsque nous le demandons explicitement (ex. : futures communications optionnelles). Nous ne nous appuyons actuellement pas sur le consentement pour tout traitement obligatoire.
8. Vos droits
Sous réserve de la loi applicable et des exceptions de conservation à la Section 7, vous disposez des droits suivants :
- Accès : téléchargez un ZIP de vos données de compte (codes, scans, README) à tout moment depuis Compte → Confidentialité → Exporter, ou en envoyant un e-mail à support@abundera.ai.
- Rectification : mettez à jour les données du compte via votre page de compte ou en contactant le support.
- Suppression : demandez la suppression du compte depuis Compte → Confidentialité → Supprimer. Période de rétention de 30 jours, puis suppression définitive.
- Portabilité : le ZIP d'export est en CSV lisible par machine, accompagné d'un README.
- Opposition / restriction du traitement : contactez support@abundera.ai. Nous honorerons les demandes valides et en confirmerons la réalisation par écrit.
- Retrait du consentement : lorsque le traitement est basé sur le consentement, vous pouvez le retirer à tout moment sans affecter le traitement antérieur.
- Déposer une plainte : les utilisateurs EEE peuvent se plaindre auprès de leur autorité de contrôle locale. Utilisateurs britanniques : l'ICO. Autres juridictions : l'autorité équivalente.
Délai de réponse : nous accusons réception dans les 5 jours ouvrables et répondons dans les 30 jours suivant l'accusé de réception, conformément à l'Article 12 du GDPR. Les demandes complexes peuvent être prolongées jusqu'à 90 jours avec notification. Les droits des lois sur la vie privée des États américains, Californie (CCPA), Colorado (CPA), Virginie (VCDPA) et autres, sont honorés dans le même délai de 30 jours.
9. « Ne pas vendre ni partager mes informations personnelles »
Nous ne vendons pas vos informations personnelles. Nous ne partageons pas vos informations personnelles à des fins de publicité comportementale intersites. Nous n'utilisons pas ni ne divulguons d'informations personnelles sensibles à des fins autres que la fourniture du service. Parce que nous n'exerçons pas ces pratiques, aucune désinscription n'est requise. Toutefois, les résidents californiens souhaitant une confirmation écrite peuvent en faire la demande à support@abundera.ai.
10. Enfants
Le Pro Service n'est pas destiné aux enfants de moins de 16 ans. Nous ne collectons pas sciemment d'informations personnelles auprès d'enfants de moins de 16 ans. Si vous pensez que c'est le cas, contactez support@abundera.ai et nous les supprimerons.
11. Transferts internationaux
Nous sommes basés aux États-Unis. Les données personnelles collectées auprès des résidents EEE, britanniques ou suisses sont transférées aux États-Unis. Nous nous appuyons sur les Clauses Contractuelles Types (SCC) de l'UE pour ces transferts avec nos sous-traitants (Cloudflare, Stripe, Zoho/ZeptoMail). La liste actuelle des sous-traitants à abundera.ai/legal/subprocessors/ documente le mécanisme de transfert pour chacun.
12. Sécurité
Nous utilisons des contrôles standard du secteur : TLS 1.3 en transit, stockage chiffré au repos (Cloudflare D1, KV), clés API à portée limitée, limitation de débit, protection CSRF (cookies SameSite=Strict + vérifications d'origine), et journalisation structurée des accès. Nous ne prétendons pas que le service est inviolable. Si vous suspectez un problème de sécurité, signalez-le à security@abundera.ai.
13. Notification de violation
Si nous avons connaissance d'une violation de données personnelles affectant votre compte, nous vous en informerons sans délai excessif et en tout état de cause dans les soixante-douze (72) heures suivant la prise de connaissance, conformément à l'Article 33 du GDPR pour notre rôle de responsable de traitement. Les notifications comprennent : la nature de la violation, les catégories et le nombre approximatif d'enregistrements concernés, les conséquences probables, et les mesures prises ou envisagées.
14. Modifications de cette politique
Nous pouvons mettre à jour cette Politique de confidentialité périodiquement. Les modifications importantes seront notifiées par e-mail à l'adresse enregistrée pour les abonnés Pro et par affichage d'un avis bien visible sur cette page. La date d'entrée en vigueur en haut de cette page reflète la version actuelle. Les versions historiques sont disponibles sur le journal des modifications.
15. Contact
Questions sur la confidentialité, demandes des personnes concernées, ou préoccupations : privacy@abundera.ai (dédié) ou support@abundera.ai.
Abundera, Inc., 200 W Sahara Ave, Unit 3301, Las Vegas, NV 89102, USA.