Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles est Linkatic, éditeur du service accessible à l’adresse https://linkatic.com.

(Adresse postale, forme juridique et numéro SIREN à compléter au moment de la mise en production commerciale. Le présent document tient lieu de placeholder dans l’attente de ces informations.)

Pour toute question relative à cette politique ou au traitement de vos données, vous pouvez écrire à l’adresse contact@linkatic.com.

2. Données que nous collectons

Linkatic collecte uniquement les données strictement nécessaires au fonctionnement du service. Nous distinguons quatre catégories.

2.1 Tenant administrateur

• Adresse email professionnelle (identifiant de connexion).
• Mot de passe, stocké sous forme de hash bcrypt avec un facteur de coût conforme aux recommandations actuelles. Le mot de passe en clair n’est jamais journalisé ni envoyé.
• Nom et rôle au sein de l’organisation (propriétaire, administrateur, employé).
• Nom commercial, domaine email et logo de l’organisation. L’email administrateur sert à la vérification implicite du domaine.

2.2 Données des cartes employés

Les données affichées sur la carte publique (prénom, nom, titre, téléphone, email, lien LinkedIn, biographie, langues) sont saisies par le tenant administrateur. La publication d’une carte employé est conditionnée à un consentement explicite et préalable de l’employé (champ consentPublished), conformément à l’article 7 du RGPD.

Les versions publiées sont enregistrées sous forme de snapshots immutables (PublishedCardVersion) afin de garantir une traçabilité complète de ce qui a été rendu public à chaque instant. Cela permet à la fois l’audit interne et l’exercice du droit à la rectification.

2.3 Leads capturés sur les cartes publiques

• Nom et adresse email du visiteur ayant rempli le formulaire de contact.
• Société et message libre, lorsqu’ils sont renseignés.
• Aucune adresse IP n’est associée au lead. Le formulaire est protégé par un champ honeypot pour limiter le spam, sans collecte d’empreinte navigateur.

2.4 Mesures d’audience

Pour chaque carte publique, nous enregistrons des compteurs simples : nombre de vues, téléchargements vCard, affichages QR, ajouts wallet. Ces compteurs sont agrégés au niveau de la carte et associés à un User-Agent tronqué à 200 caractères. Nous ne collectons pas l’adresse IP, ne déposons pas de cookie analytique et n’utilisons pas de solution tierce de tracking.

3. Bases légales du traitement

• Contrat (article 6.1.b RGPD) — pour la création et la gestion du compte administrateur. Sans ces données, l’accès au service est impossible.
• Consentement (article 6.1.a RGPD) — pour la publication des données d’un employé sur sa carte publique. Le consentement est librement révocable et entraîne le retrait immédiat des versions actives.
• Intérêt légitime (article 6.1.f RGPD) — pour la conservation des leads capturés via les cartes publiques (suivi commercial du tenant) et pour la mesure d’audience interne (amélioration continue du service).

4. Durée de conservation

• Données du compte tenant et des employés : tant que le compte est actif, puis 6 mois supplémentaires après suppression du compte pour permettre les audits de sécurité et le respect d’éventuelles obligations légales.
• Versions publiées des cartes (PublishedCardVersion) : conservées tant que la carte n’est pas explicitement détruite par le tenant ou que la rétention de 6 mois post-suppression n’est pas écoulée.
• Leads capturés : 3 ans à compter du dernier contact, conformément aux recommandations CNIL en matière de prospection B2B.
• Logs techniques (audit log, structured logs) : 12 mois maximum, par souci de traçabilité de sécurité.
• Sauvegardes Postgres : 14 jours glissants, chiffrées au repos.

5. Sous-traitants

Linkatic recourt aux sous-traitants suivants, tous situés en Union européenne, et encadrés par un accord de traitement de données (DPA).

• OVH (France) — hébergement des serveurs VPS, de la base PostgreSQL et de la file Redis. Toutes les données sont stockées sur le territoire français.
• Stripe (Irlande) — facturation de l’offre Starter à compter de la mise en production de la facturation en ligne. Stripe est inscrit au programme Standard Contractual Clauses et certifié PCI-DSS.
• Fournisseur SMTP(configurable, par défaut auto-hébergé)  — émission des emails transactionnels (réinitialisation de mot de passe, invitations). Le tenant peut configurer son propre serveur SMTP via les variables SMTP_HOST, SMTP_PORT, SMTP_USER, SMTP_PASS.

Nous n’utilisons aucun service de tracking publicitaire, de mesure d’audience tierce (Google Analytics, Matomo Cloud, Plausible Cloud), ni de réseau social pour le compte du tenant.

6. Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Droit d’accès (art. 15) — obtenir une copie des données vous concernant.
• Droit de rectification (art. 16) — corriger une donnée inexacte ou incomplète. Le tenant administrateur peut le faire directement depuis l’interface /app.
• Droit à l’effacement (art. 17) — demander la suppression de vos données. Sur les cartes publiées, l’effacement entraîne la désactivation immédiate des versions actives et la révocation des passes wallet correspondants.
• Droit à la portabilité (art. 20) — récupérer vos données dans un format structuré et couramment utilisé. L’export CSV des employés et des cartes est disponible directement dans l’interface tenant.
• Droit d’opposition (art. 21) — vous opposer au traitement de vos données, notamment à des fins de prospection.
• Droit d’introduire une réclamation auprès de la CNIL — www.cnil.fr.

Pour exercer ces droits, écrivez à contact@linkatic.com. Nous répondons dans un délai maximal d’un mois à compter de la réception de la demande, conformément à l’article 12.3 du RGPD. Une preuve d’identité pourra vous être demandée si un doute raisonnable existe sur l’identité du demandeur.

7. Cookies et traceurs

Linkatic dépose un seul cookie : linkatic_session. Il s’agit d’un cookie strictement nécessaire au fonctionnement de l’authentification. Il est exempté du consentement préalable au sens de la délibération CNIL du 17 septembre 2020. Ses caractéristiques :

• Catégorie : technique (session, HttpOnly, Secure, SameSite=lax).
• Durée : jusqu’à la déconnexion ou expiration de la session côté serveur.
• Contenu : identifiant opaque, jamais le mot de passe. Le token complet est haché (SHA-256) en base : en cas de vol de la base, les tokens ne sont pas utilisables.

Aucun cookie analytique, publicitaire ou de réseau social n’est déposé. Aucune empreinte navigateur (fingerprinting) n’est calculée.

8. Délégué à la protection des données

Linkatic n’est pas tenu de désigner un délégué à la protection des données (DPO) au sens de l’article 37 du RGPD : le volume de traitement et la nature des données ne franchissent pas les seuils déclencheurs.

Le point de contact unique pour toute question RGPD reste contact@linkatic.com.

9. Transferts hors Union européenne

Aucun transfert hors UE n’est effectué. Toutes nos données sont stockées en France (VPS OVH, base Postgres, file Redis). Le serveur SMTP par défaut est également auto-hébergé en France. Si le tenant configure un fournisseur SMTP situé hors UE, c’est lui qui en assume la responsabilité au titre de l’article 44 du RGPD.

10. Modifications de la présente politique

Toute modification substantielle de la présente politique est notifiée par email au tenant administrateur avec un préavis minimum de 30 jours. Les versions antérieures restent consultables sur demande. Cette politique a été mise à jour pour la dernière fois le 17 mai 2026.