Mentions légales & Politique de confidentialité

Dernière mise à jour : 28 avril 2026

1. Éditeur du site

Nom du site : Tampino

Éditeur et responsable de publication : Mathieu Gasparella

Localisation : Metz, France

Email de contact : contact@tampino.fr

Tampino est un outil technique conçu et maintenu par l'éditeur pour les commerçants souhaitant proposer un programme de fidélité digital à leurs clients. Les relations commerciales (abonnement, facturation) sont traitées directement avec l'éditeur ; aucune transaction en ligne n'est effectuée sur le site.

2. Hébergeur

Société : OVH SAS

Adresse : 2 rue Kellermann, 59100 Roubaix, France

Téléphone : 1007

Site : www.ovh.com

Localisation des données : France (Union européenne), centre de données OVH.

3. Responsable de traitement

L'ensemble des données personnelles collectées via le site Tampino (comptes commerçants et cartes de fidélité clients) est traité sous la responsabilité de :

Mathieu Gasparella

Metz, France

contact@tampino.fr

L'éditeur est seul responsable de traitement au sens de l'article 4.7 du RGPD. Il détermine les finalités et les moyens du traitement, assure la sécurité technique des données et veille au respect de vos droits.

Les commerçants qui utilisent Tampino pour gérer leur programme de fidélité sont des utilisateurs de la plateforme. Les clients qui scannent le QR code d'un commerçant deviennent porteurs de carte Tampino. Dans les deux cas, les données traitées le sont par l'éditeur selon les conditions de la présente politique, et non sous-traitées pour le compte d'un tiers.

4. Données personnelles collectées

Tampino applique le principe de minimisation (art. 5.1.c RGPD) : seules les données strictement nécessaires au service sont collectées.

4.1 Commerçants (utilisateurs professionnels)

Donnée	Finalité
Nom commercial, type d'activité	Affichage sur la carte fidélité et dans le tableau de bord
Adresse email professionnelle	Identifiant de connexion et communication
Mot de passe	Authentification — stocké haché avec bcrypt, jamais lisible en clair
Logo, image de fond de la carte	Personnalisation visuelle de la carte client (stocké sur le serveur Tampino)
Date d'activation, date d'expiration d'abonnement	Gestion commerciale de l'abonnement
Historique des notifications envoyées	Journalisation technique (limitation anti-abus)
Adresse IP et horodatage de connexion	Sécurité (détection d'intrusion, anti-brute-force)

4.2 Clients porteurs de carte

Donnée	Finalité
Identifiant anonyme (UUID v4)	Reconnaître l'appareil sans authentification — généré localement, non rattaché à l'identité civile
Nombre de points de fidélité, historique de visites	Exécution du programme de fidélité
Date de dernière visite	Affichage du dernier passage, purge automatique des cartes inactives
Pseudonyme (optionnel)	Personnalisation — saisi volontairement par le client, librement supprimable
Adresse email de contact (optionnelle)	Contact non-prioritaire — peut être renseignée après validation d'un code SMS, jamais utilisée comme canal de récupération de carte
Numéro de téléphone mobile (optionnel)	Double finalité — (a) identifier le porteur de carte lors d'une demande de récupération (un code à 6 chiffres est envoyé par SMS sur le numéro lui-même, valable 10 minutes ; il faut donc posséder le téléphone pour récupérer la carte) ; (b) recevoir des SMS commerciaux du commerçant chez qui la carte a été scannée (offres, nouveautés), uniquement si le client a explicitement coché la case de consentement marketing dédiée. Saisi volontairement par le client via une fenêtre dédiée expliquant les deux usages. Jamais obligatoire — la carte fonctionne sans. Un horodatage de consentement (`phone_consent_at` pour la collecte, `marketing_consent_at` pour la prospection SMS) est conservé comme preuve RGPD.
Abonnement aux notifications push (endpoint, clés de chiffrement, user-agent)	Envoi des notifications si le client a explicitement consenti
Empreinte technique (fingerprint)	Hash MD5 non-réversible de l'IP + résolution d'écran + user-agent + identifiant commerçant. Utilisé exclusivement comme mécanisme de secours pour retrouver une carte si le cookie a été supprimé (notamment sur Safari iOS qui purge le stockage local au bout de 7 jours d'inactivité — politique ITP). Aucun rapprochement n'est effectué entre commerçants. Base légale : intérêt légitime (continuité du service).

4.3 Données techniques serveur

Donnée	Finalité
Logs HTTP (IP, user-agent, URL)	Sécurité, anti-abus, obligations LCEN — conservés 30 jours maximum, puis purgés automatiquement par le serveur web
Monitoring d'erreurs (Sentry)	Détection des dysfonctionnements techniques

Aucune donnée n'est vendue, louée ou partagée à des tiers à des fins publicitaires ou commerciales. Les seuls transferts techniques nécessaires sont listés en section 7.

4.4 Cloisonnement strict des données clients

Les données des clients porteurs de carte ne sont jamais transmises au commerçant en dehors de l'interface de consultation Tampino, et ce, même sur demande explicite :

Le commerçant accède aux clients de sa propre boutique uniquement en lecture, depuis le tableau de bord (nom optionnel, points, dernière visite). Il ne voit jamais l'email ni le numéro de téléphone d'un client.
Aucune fonction d'export n'est proposée : pas de CSV, pas de téléchargement de fichier, pas d'API d'extraction. Cette absence est une décision produit volontaire et permanente.
Les numéros de téléphone et adresses email ne sont jamais affichés ni exportables par le commerçant — ils servent uniquement aux mécanismes internes (récupération de carte par SMS, envoi de SMS commerciaux relayé par la plateforme si le client a coché la case dédiée, contact email facultatif renseigné après validation du code SMS).
En cas de fin d'abonnement, de cessation d'activité ou de changement de prestataire, le commerçant ne peut pas récupérer la base clients. Les données restent exclusivement chez Tampino, le temps de la conservation légale (cf. section 6), puis sont supprimées.

Ce cloisonnement protège les clients d'une utilisation hors-Tampino de leurs données (revente, transfert vers un autre logiciel de fidélité, prospection croisée). Il est garanti par l'architecture technique du service : aucun endpoint d'export n'existe côté serveur, et toute évolution allant dans ce sens fera l'objet d'une mise à jour préalable de la présente politique.

5. Finalités et base légale

Finalité	Base légale (RGPD)
Fournir le service de carte de fidélité aux commerçants	Exécution du contrat (art. 6.1.b)
Authentifier les commerçants et sécuriser leurs comptes	Exécution du contrat (art. 6.1.b)
Permettre au client de cumuler, consulter et utiliser ses points chez le commerçant	Exécution du contrat (relation client-commerçant, art. 6.1.b)
Envoyer des notifications push au client	Consentement explicite (art. 6.1.a) — recueilli via une modale avant tout envoi
Envoyer un SMS de récupération de carte (code OTP à 6 chiffres)	Consentement explicite (art. 6.1.a) — le client saisit volontairement son numéro de téléphone, le code part par SMS au numéro lui-même
Envoyer des SMS commerciaux (offres, nouveautés) du commerçant chez qui la carte a été scannée	Consentement explicite et spécifique (art. 6.1.a) — case dédiée non pré-cochée dans la fenêtre de saisie du numéro, révocable à tout moment par réponse STOP
Protéger le service contre les abus (rate limiting, fingerprinting)	Intérêt légitime (art. 6.1.f)
Conserver les logs techniques imposés par la LCEN	Obligation légale (art. 6.1.c)

6. Durées de conservation

Donnée	Durée
Compte commerçant actif	Pendant toute la durée de l'abonnement
Compte commerçant après fin d'abonnement	365 jours maximum, puis suppression définitive automatique
Cartes de fidélité clients	24 mois après la dernière visite — purge automatique quotidienne
Abonnements aux notifications push	Jusqu'au désabonnement volontaire, ou suppression en même temps que la carte liée
Historique des notifications envoyées	12 mois
Logs techniques (IP, user-agent)	30 jours (art. L34-1 CPCE / LCEN)
Factures et pièces comptables	10 ans (art. L123-22 Code de commerce)
Sauvegardes chiffrées de la base de données	7 jours glissants (rotation automatique)
Numéro de téléphone client	3 ans après la dernière visite, conformément aux recommandations CNIL pour la prospection commerciale — ou immédiatement si le client exerce son droit d'opposition (réponse STOP par SMS, ou demande écrite)
Horodatage du consentement SMS	Conservé aussi longtemps que le numéro comme preuve de consentement (art. 7.1 RGPD)
Codes OTP de récupération (envoyés par SMS, stockés hashés en SHA-256)	10 minutes maximum (expiration automatique), purge immédiate après usage

La suppression volontaire d'un compte (par le client ou le commerçant) entraîne l'effacement des données actives sous 30 jours maximum. Les sauvegardes quotidiennes sont automatiquement purgées sous 7 jours.

7. Sous-traitants et transferts

Tampino fait appel aux sous-traitants techniques suivants, tous situés ou conformes aux exigences de l'UE :

Sous-traitant	Rôle	Localisation
OVH SAS	Hébergement du serveur et de la base de données	Roubaix, France (UE)
Let's Encrypt / ISRG	Certificats TLS (HTTPS)	États-Unis — organisme à but non lucratif, standards publics. Aucune donnée client transmise.
Apple Push Notification Service	Acheminement des notifications push vers les iPhone/iPad (si le client a consenti)	États-Unis — uniquement le endpoint technique, sans contenu personnel
Google Firebase Cloud Messaging	Acheminement des notifications push vers les appareils Android (si le client a consenti)	États-Unis — idem, uniquement le endpoint
Prestataire SMTP (configuré via variables d'environnement)	Envoi des emails transactionnels du commerçant (réinitialisation de mot de passe, notification de nouveau lead). Aucune utilisation pour les clients porteurs de carte.	Union européenne (prestataire SMTP configuré côté serveur)
OVH SMS	Acheminement (a) des SMS commerciaux du commerçant chez qui la carte a été scannée, uniquement si le client a coché la case de consentement marketing dédiée ; et (b) des SMS transactionnels contenant le code de récupération à 6 chiffres, envoyés au numéro lui-même (validité 10 minutes). Flux limité au numéro destinataire + contenu du message.	Roubaix, France (UE)
Sentry.io	Monitoring d'erreurs — données techniques uniquement (pile d'appel, pas de contenu utilisateur)	États-Unis — contrat DPA Sentry conforme, flux limité aux métadonnées d'erreur

Les transferts techniques vers les services Apple/Google sont strictement limités au push endpoint généré par le navigateur du client — il ne contient aucune information personnelle. Ces transferts s'opèrent dans le cadre de l'exécution du service de notification et n'ont lieu que si le client a préalablement consenti aux notifications.

8. Vos droits RGPD

RGPD — Articles 15 à 22

Vous disposez à tout moment des droits suivants sur vos données personnelles :

Droit d'accès (art. 15) — obtenir une copie des données vous concernant
Droit de rectification (art. 16) — corriger des données inexactes ou incomplètes
Droit à l'effacement (art. 17) — demander la suppression de vos données
Droit à la limitation (art. 18) — suspendre un traitement en cours
Droit à la portabilité (art. 20) — recevoir vos propres données dans un format lisible par machine. Ce droit s'exerce uniquement par la personne concernée elle-même (le client porteur de carte ou le commerçant pour son compte) et ne peut être exercé par un tiers — un commerçant ne peut pas demander la portabilité des données de ses clients.
Droit d'opposition (art. 21) — vous opposer à un traitement fondé sur l'intérêt légitime
Droit de retirer votre consentement (art. 7.3) — à tout moment, notamment pour les notifications push et les SMS commerciaux (voir section 13), sans justification

Comment exercer vos droits

Pour les clients porteurs de carte, la suppression de vos données peut également être effectuée directement depuis la carte client via le bouton « Supprimer mes données » (effet immédiat).

Pour toute autre demande (accès, portabilité, rectification, etc.), ou pour les commerçants (uniquement concernant leurs propres données de compte — pas celles de leurs clients, voir section 4.4), envoyez un email à :

contact@tampino.fr

En précisant :

Votre nom ou le nom de votre commerce
Le droit que vous souhaitez exercer
Un justificatif d'identité simple (email associé au compte)

Nous vous répondons sous 30 jours maximum (art. 12.3 RGPD). La procédure est gratuite et ne nécessite aucune justification.

En cas de litige non résolu, vous pouvez saisir la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

9. Cookies et stockage technique

Tampino n'utilise aucun cookie publicitaire, ni aucun traceur à des fins statistiques ou de profilage. Aucune analytique tierce (Google Analytics, Facebook Pixel, etc.) n'est installée.

Cookies strictement nécessaires (exemptés de consentement)

Conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL, les cookies suivants sont strictement nécessaires au service et ne requièrent pas de consentement préalable :

Nom	Rôle	Durée	Type
`fid_<slug>`	Conserver le token de carte fidélité sur l'appareil du client. Permet de retrouver la carte sans ressaisie même si Safari supprime le stockage local au bout de 7 jours (politique ITP).	2 ans	HttpOnly, Secure, SameSite=Lax
`device_id`	Identifiant anonyme de l'appareil (UUID v4 généré côté navigateur). Permet d'agréger toutes les cartes du client dans le wallet Tampino sans authentification.	2 ans	Secure, SameSite=Lax
`tmp_device`	Synchronise `device_id` entre l'application wallet et le scan natif d'un QR code. Évite que les nouvelles cartes soient orphelines.	2 ans	Secure, SameSite=Lax

Stockage local navigateur

Le service utilise également le localStorage et sessionStorage du navigateur pour :

Mémoriser l'identifiant anonyme de l'appareil (UUID v4 généré côté client)
Conserver la session du commerçant connecté (jeton JWT)
Mémoriser certaines préférences de l'utilisateur (ex. confirmation que le splash d'intro a été vu)

Ces données restent uniquement sur votre appareil. Vous pouvez les supprimer à tout moment en vidant le stockage de votre navigateur (paramètres du navigateur → confidentialité → effacer les données de navigation).

10. Sécurité des données

Les mesures techniques et organisationnelles suivantes sont en place (art. 32 RGPD) :

Chiffrement en transit — HTTPS (TLS 1.2/1.3) obligatoire sur l'ensemble du site, redirection automatique HTTP→HTTPS, HSTS activé (2 ans, includeSubDomains)
Chiffrement des mots de passe — bcrypt, fonction irréversible, jamais stockés en clair
Tokens de session — JWT signés HS256 avec secret serveur, expiration 7 jours
Protection anti-brute-force — limitation stricte des tentatives de connexion (10 essais / 15 min par IP), détection automatique des comportements anormaux
Politique de mot de passe — 8 caractères minimum, avec majuscule, chiffre et caractère spécial obligatoires
Isolation réseau — base de données PostgreSQL accessible uniquement en boucle locale (localhost), jamais exposée publiquement
Sauvegardes quotidiennes — dump PostgreSQL chaque nuit, rotation 7 jours, stockées sur le même serveur (OVH France)
Monitoring — supervision des erreurs en temps réel via Sentry, alertes automatiques
Headers de sécurité HTTP — CSP stricte, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin
Mise à jour régulière — dépendances logicielles surveillées via npm audit, patch des vulnérabilités critiques sous 7 jours

11. Notification en cas de violation de données

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées (art. 33-34 RGPD), l'éditeur s'engage à :

Notifier la CNIL sous 72 heures après constat de la violation
Informer directement les personnes concernées (commerçants et/ou clients) lorsque la violation présente un risque élevé pour leurs droits et libertés
Documenter toute violation dans un registre interne, même celles ne nécessitant pas de notification formelle
Mettre en œuvre les mesures correctives dans les meilleurs délais

12. Contact et réclamations

Pour toute question relative à cette politique ou à vos données personnelles :

Email : contact@tampino.fr

Responsable : Mathieu Gasparella, Metz, France

Autorité de contrôle compétente : Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr

13. SMS commerciaux — cadre spécifique

L'envoi de SMS commerciaux (offres promotionnelles, nouveautés du commerçant) est encadré par :

L'article L.34-5 du Code des postes et communications électroniques (CPCE)
Le RGPD (art. 6.1.a — consentement explicite) et la directive ePrivacy 2002/58/CE
Les recommandations de la CNIL et les bonnes pratiques de la Fédération e-commerce et vente à distance (FEVAD)

13.1 Comment le consentement est recueilli

Après avoir scanné le QR code d'un commerçant adhérent, le client se voit proposer (de manière non bloquante) de renseigner son numéro de téléphone mobile via une fenêtre dédiée. Cette fenêtre explique clairement :

Que le numéro servira à identifier la carte en cas de perte d'appareil — le code de validation à 6 chiffres est envoyé par SMS sur le numéro lui-même, valable 10 minutes (il faut donc posséder le téléphone pour récupérer la carte) ;
Que le client peut, via une case à cocher dédiée non pré-cochée, accepter de recevoir des SMS commerciaux du commerçant (offres, nouveautés) ;
Que le numéro n'est jamais partagé avec un autre commerçant ou un tiers.

La saisie est strictement facultative. La carte fonctionne sans numéro. Deux horodatages de consentement distincts sont enregistrés comme preuve conformément à l'article 7.1 du RGPD : phone_consent_at (collecte du numéro pour le service) et marketing_consent_at (acceptation des SMS commerciaux — non rempli si la case n'a pas été cochée).

13.2 Droit d'opposition — réponse STOP

Comment vous désinscrire des SMS commerciaux :

• Répondez STOP à n'importe quel SMS reçu (gratuit, traité par l'opérateur SMS OVH) ;

• Ou envoyez un email à contact@tampino.fr avec votre numéro et la demande de désinscription.

La désinscription prend effet immédiatement et définitivement. Aucun nouveau SMS commercial ne vous sera envoyé, quel que soit le commerçant. Vos points de fidélité et votre carte restent intacts.

13.3 Horaires d'envoi

Conformément à l'article R.10-1 du CPCE et aux recommandations CNIL, les SMS commerciaux Tampino sont envoyés uniquement durant les horaires commerciaux autorisés en France :

Du lundi au vendredi : 8h00 – 20h30
Le samedi : 10h00 – 18h00
Le dimanche et jours fériés : aucun envoi

Tout envoi tenté en dehors de ces horaires est automatiquement bloqué par la plateforme, y compris si le commerçant tente de le déclencher.

13.4 Contenu et mention obligatoire

Chaque SMS commercial contient obligatoirement :

L'identité de l'expéditeur (nom du commerçant) ;
La possibilité de se désinscrire via la mention « STOP au XXXXX » (ajoutée automatiquement par OVH ou par Tampino si l'émetteur est un nom alphanumérique).

13.5 Volume et cadence

Pour protéger les clients de tout abus :

Chaque commerçant est limité à 1 campagne SMS par 24 heures (limite produit non contournable) ;
Un client ne peut recevoir de SMS que d'un commerçant chez qui il a lui-même scanné la carte ;
Le numéro n'est jamais partagé entre commerçants (cloisonnement strict des bases de données).

13.6 Conservation du numéro

Le numéro est conservé 3 ans après la dernière visite chez le commerçant (recommandation CNIL pour la prospection commerciale). Il est supprimé immédiatement si vous exercez votre droit d'opposition (STOP ou email).