Légal
Politique de confidentialité
Comment nous collectons, utilisons et protégeons vos données personnelles — avec couverture RGPD, CCPA et LGPD.
1. Résumé rapide
Si vous ne voulez pas lire 5 000 mots de juridique, voici le résumé honnête :
- Ce que nous collectons : vos données de compte, les données de votre entreprise, et les données de vos clients qui réservent (traitées en votre nom).
- Pourquoi : faire fonctionner le service (rendez-vous, rappels, microsite), le maintenir sécurisé, facturer, et respecter les obligations légales.
- Avec qui : sous-traitants nécessaires pour opérer (Twilio, Cloudflare, Railway, Resend, Meta via Twilio). Liste complète plus bas.
- Nous ne vendons jamais vos données. Point.
- Vos droits : accès, rectification, effacement, portabilité, opposition, retrait du consentement. Écrivez à privacy@marcly.app.
2. Qui est responsable de vos données
Marcly, domicilié à 75 avenida norte, local 3, San Salvador, El Salvador, est le responsable du traitement (data controller sous RGPD / contrôleur sous LGPD) des données collectées directement via le site public et les comptes des titulaires.
Pour les données de vos clients finaux (ceux qui réservent des rendez-vous), Marcly agit comme sous-traitant (processor) et vous êtes le responsable. Cela est régi par le contrat implicite dans nos Conditions ; si vous avez besoin d'un DPA formel pour des raisons réglementaires, écrivez à legal@marcly.app.
Contact confidentialité : privacy@marcly.app
3. Quelles données nous collectons
Nous collectons uniquement les données nécessaires au fonctionnement du service :
| Catégorie | Exemples | Base légale (RGPD) |
|---|---|---|
| Données du titulaire du compte | nom, e-mail, mot de passe haché, téléphone, langue préférée | Exécution du contrat (RGPD 6(1)(b)) |
| Données de l'entreprise | raison commerciale, slug, logo, adresse, horaires, services et prix | Exécution du contrat (RGPD 6(1)(b)) |
| Données des clients finaux (traitées pour le compte du titulaire) | nom, numéro WhatsApp, e-mail optionnel, historique des rendez-vous | Exécution du contrat et/ou intérêt légitime du titulaire (RGPD 6(1)(b)/(f)) |
| Messages WhatsApp et métadonnées | contenu du message, horodatage, identifiant Twilio | Exécution du contrat (RGPD 6(1)(b)) |
| Données techniques | adresse IP (hachée avec sel), navigateur, OS, événements de connexion | Intérêt légitime : sécurité et prévention de la fraude (RGPD 6(1)(f)) |
| Données de paiement | 4 derniers chiffres de la carte, plan, date de renouvellement. Nous ne stockons PAS la carte complète — le processeur de paiement le fait. | Exécution du contrat (RGPD 6(1)(b)) |
Nous ne collectons pas de catégories spéciales de données (origine raciale, santé, religion, orientation sexuelle, etc.). Si votre entreprise a besoin de traiter ce type de données, contactez-nous d'abord — cela nécessite des garanties supplémentaires.
5. Avec qui nous partageons les données
Pour faire fonctionner le service, nous nous appuyons sur ces sous-traitants. Chacun est contractuellement tenu de traiter vos données uniquement selon nos instructions et avec des mesures techniques et organisationnelles adéquates :
| Sous-traitant | Finalité | Lieu | Politique |
|---|---|---|---|
| Railway Corp. | Hébergement de l'application et base de données PostgreSQL | Estados Unidos | Voir politique |
| Cloudflare, Inc. | Stockage de fichiers (R2), CDN, DNS, Turnstile (anti-bot) | Global / Estados Unidos | Voir politique |
| Twilio, Inc. | Envoi et réception de messages WhatsApp Business | Estados Unidos | Voir politique |
| Meta Platforms, Inc. | Plateforme WhatsApp Business API (via Twilio) | Estados Unidos / Irlanda | Voir politique |
| Resend, Inc. | Envoi d'e-mails transactionnels (vérification, rappels) | Estados Unidos | Voir politique |
Si nous ajoutons ou modifions un sous-traitant avec un impact matériel pour vous, nous vous en informerons par e-mail au moins 30 jours à l'avance.
Nous ne vendons pas de données à des tiers. Nous ne partageons pas non plus avec des réseaux publicitaires (pas de Google Ads, Facebook Pixel, etc. dans l'app).
6. Transferts internationaux de données
Marcly opère principalement depuis une infrastructure située aux États-Unis (Railway, Cloudflare, Twilio, Resend). Si vous êtes dans l'Union Européenne, au Royaume-Uni, au Brésil ou dans une autre juridiction avec des restrictions sur les transferts internationaux, vos données peuvent être transférées hors de votre pays.
Ces transferts sont couverts par :
- Clauses Contractuelles Types (CCT) de la Commission Européenne lorsque applicable (RGPD).
- Adhésion des sous-traitants au EU-US Data Privacy Framework lorsque applicable.
- Pour LGPD : exécution du contrat et consentement de la personne concernée.
7. Durée de conservation
| Type de donnée | Période |
|---|---|
| Données de compte | Jusqu'à demande de suppression ou 30 jours après fermeture du compte |
| Rendez-vous | 2 ans pour comptabilité et résolution de litiges |
| Messages WhatsApp | 12 mois, puis anonymisés |
| Tentatives de connexion | 30 jours pour détection d'abus |
| Événements de sécurité | 90 jours pour investigation d'incidents |
| Factures | 5 ans selon la loi fiscale salvadorienne |
Lorsque vous demandez la suppression, nous anonymisons les données dans les 30 jours (sauf celles que nous devons conserver par obligation légale — ex. factures).
8. Vos droits sur vos données
Selon votre juridiction, vous avez certains ou tous ces droits :
- Accès : obtenir une copie des données que nous détenons sur vous.
- Rectification : corriger les données inexactes ou incomplètes.
- Effacement / droit à l'oubli : demander la suppression de vos données (sous réserve d'obligations légales).
- Portabilité : recevoir vos données dans un format structuré et lisible par machine (JSON).
- Opposition : vous opposer aux traitements basés sur l'intérêt légitime.
- Limitation : limiter le traitement pendant qu'un litige est résolu.
- Retrait du consentement : lorsque le traitement est basé sur le consentement.
- Non-discrimination : exercer vos droits n'affectera pas la qualité du service.
Pour les exercer, écrivez à privacy@marcly.app depuis l'e-mail de votre compte. Nous répondons dans le délai légal applicable (30 jours RGPD, 45 jours CCPA, 15 jours LGPD).
Si vous n'êtes pas satisfait de notre réponse, vous pouvez déposer une plainte auprès de l'autorité de protection des données compétente.
10. Données des mineurs
Marcly n'est pas destiné aux mineurs de moins de 16 ans et nous ne collectons pas sciemment de données de mineurs de cet âge. Dans les juridictions avec des seuils plus élevés (certains états US sous COPPA : 13 ans ; certains pays UE : 16 ans), nous appliquons le plus strict.
Si nous découvrons que nous avons collecté des données d'un mineur sans consentement parental vérifiable, nous les supprimerons immédiatement. Si vous êtes parent/tuteur et croyez que nous avons des données de votre enfant, écrivez à privacy@marcly.app.
11. Avis pour les résidents UE / Royaume-Uni (RGPD / UK GDPR)
Si vous résidez dans l'Espace Économique Européen, en Suisse ou au Royaume-Uni, en plus des droits généraux ci-dessus, vous avez le droit de :
- Déposer une plainte auprès de votre autorité de protection des données (ex. CNIL en France, AEPD en Espagne, ICO au Royaume-Uni).
- Connaître la base légale spécifique de chaque traitement (voir tableau en section 3).
- Savoir si nous transférons vos données hors EEE et sous quelles garanties (section 6).
Marcly n'a pas de représentant dans l'UE pour le moment (nous ne dépassons pas les seuils de l'Art. 27 RGPD). Pour les demandes réglementaires, écrivez à privacy@marcly.app.
12. Avis pour les résidents de Californie (CCPA / CPRA)
Si vous résidez en Californie, vous avez le droit de :
- Savoir quelles catégories d'informations personnelles nous collectons, les finalités, sources et tiers avec qui nous partageons.
- Supprimer vos informations personnelles (sous réserve d'exceptions légales).
- Corriger les informations inexactes.
- Refuser la vente ou le partage de vos informations personnelles.
- Limiter l'utilisation d'informations personnelles sensibles.
- Non-discrimination pour avoir exercé ces droits.
Pour exercer ces droits, écrivez à privacy@marcly.app depuis l'e-mail enregistré ou utilisez un agent autorisé avec procuration signée.
13. Avis pour les résidents du Brésil (LGPD)
En vertu de la Loi Générale sur la Protection des Données (LGPD, Lei 13.709/2018), vous avez le droit de :
- Confirmation de l'existence du traitement.
- Accès aux données.
- Correction des données incomplètes, inexactes ou obsolètes.
- Anonymisation, blocage ou suppression des données inutiles ou non conformes à la LGPD.
- Portabilité vers un autre fournisseur.
- Suppression des données traitées avec consentement.
- Information sur avec qui nous partageons les données.
- Information sur les conséquences du refus de consentement.
- Révocation du consentement.
Délégué à la Protection des Données (DPO / Encarregado) : privacy@marcly.app
Vous pouvez déposer plainte auprès de l'Autoridade Nacional de Proteção de Dados (ANPD).
14. Modifications de cette politique
Nous pouvons mettre à jour cette politique. Si les changements affectent matériellement vos droits, nous vous en informerons par e-mail au moins 30 jours à l'avance. Les versions précédentes sont disponibles sur demande à privacy@marcly.app.
15. Contact
Pour toute question de confidentialité :
- Confidentialité / DPO : privacy@marcly.app
- Affaires juridiques : legal@marcly.app
Marcly · 75 avenida norte, local 3, San Salvador, El Salvador
4. Comment et pourquoi nous utilisons les données
Décisions automatisées : nous n'utilisons pas d'algorithmes pour prendre des décisions produisant des effets juridiques ou significatifs sur vous ou vos clients. Le bot WhatsApp est une assistance conversationnelle — il n'autorise ni ne rejette de demandes avec effets juridiques.