Politique de confidentialité

Dernière mise à jour le 11/06/2025

Les activités de la société ECARD impliquent le traitement de vos données à caractère personnel et amènent cette dernière à collecter des informations concernant ses clients et les utilisateurs de ses services.Soucieuse d’apporter une information loyale et transparente à l’ensemble des personnes dont elle traite les données à caractère personnel, la société ECARD a établi une politique de confidentialité que vous trouverez ci-après, afin de vous informer sur ses traitements et sur vos droits.
‍

1. Qui sommes-nous ?

La société ECARD est une société par actions simplifiée au capital de 10 000 euros, dont le siège social est situé Villa Dallas, 18 avenue de l'Europe, 31520 Ramonville-Saint-Agne, immatriculée au Registre du Commerce et des Sociétés de Toulouse sous le numéro 910 128 974 (ci-après « nous »).Nous sommes responsables des traitements mentionnés présentés par la présente Politique de confidentialité au sens du Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après « RGPD »).Toutefois, nous pouvons parfois agir en tant que sous-traitant lorsque notre client est une personne morale et que nous traitons les données à caractère personnel de ses mandataires sociaux et/ou salariés dont les données nous sont confiées par le Client aux fins de réalisation de leurs cartes de visite.Pour toute question concernant le traitement de vos données à caractère personnel, vous pouvez contacter notre délégué à la protection des données (DPO) à l’adresse courriel : dpo@ecardnfc.fr
‍

2. De qui traitons-nous les données à caractère personnel et quelles sont les données à caractère personnel que nous collectons ?

Dans le cadre de nos activités et du déploiement de notre site internet, nous sommes amenés à traiter les données à caractère personnel de nos clients et des visiteurs de notre site Internet.Les données que pouvons être amenés à traiter sont les suivantes :

Formulaires de contact et Chatbot :

Vos noms, prénoms, numéros de téléphone, emails, nom de la société au sein de laquelle vous exercez ainsi que le message que vous nous adressez

Fourniture de nos profils ECARD :

Noms, prénoms, numéros de téléphone professionnel et/ou personnel le cas échéant, les adresses courriels professionnel et/ou personnelles le cas échéant, l’ensemble des liens hypertextes que vous choisissez de renseigner sur votre carte d’identité ainsi que votre photographie si vous avez fait le choix de renseigner

Le cas échéant, utilisation de l’espace personnel

Adresse courriel et mot de passe de la personne concernée

Témoignages clients

L’ensemble des informations indiquées par le client, ses mandataires sociaux et/ou salariés dans le cadre du témoignage

Formulaire de récupération d’informations

L'ensemble des informations que vous fournissez lorsque vous acceptez d'échanger vos coordonnées avec un utilisateur ECARD. Une page web apparaît (formulaire) depuis laquelle vous pouvez partager les informations de votre choix avec l’utilisateur. Un e-mail sera envoyé automatiquement à l'adresse e-mail fournie lors du remplissage de ce dernier. Nous ne partagerons pas les informations fournies avec des tiers et elles ne pourront être utilisées que par l’utilisateur à qui vous les avez partagées ainsi que par la société dans laquelle il exerce.

‍

3. Pourquoi traitons-nous vos données à caractère personnel ?

Le tableau ci-dessous a vocation à vous informer des traitements que nous mettons en œuvre, de leur base juridique au sens de l’article 6 du RGPD ainsi que de leurs finalités :

a. Revue des demandes effectuées par le biais du formulaire de contact : nous traitons vos données à caractère personnel et analysons votre demande lorsque vous prenez attache auprès de notre structure par le biais de notre formulaire de contact.

Base juridique : Notre intérêt légitime à traiter et répondre à votre demande de contact.

Finalités : Gérer les demandes effectuées par le biais du formulaire de contact.

‍

b. Gestion de notre relation client : dans le cadre de la gestion de notre relation client, nous traitons pour notre propre compte les données à caractère personnel de nos clients, lorsqu’il s’agit de personnes physiques ; ou des mandataires sociaux et/ou salariés de nos clients lorsqu’il s’agit de personnes morales.Dans ce contexte, nous vous pouvons vous adresser des communications afin d’effectuer un suivi de la relation contractuelle.

Base juridique : Notre intérêt légitime à assurer notre relation client.Dans l’hypothèse où un contrat serait signé entre vous-même et notre structure, la nécessité contractuelle de traiter vos données à caractère personnel.

Finalités : Gérer de façon administrative, financière et opérationnelle nos dossiers clients.

‍

c. Utilisation de notre espace personnel : nous traitons les données de nos clients et/ou des bénéficiaires des services proposés afin de vous connecter depuis notre site Internet sur votre espace personnel.

Base juridique : Notre intérêt légitime à vous fournir des outils numériques dans le cadre de la relation client.

Finalités : Vous fournir des outils numériques aux fins d’utilisation de nos services.

‍

d. Création de vos cartes de visite connectées : nous analysons et traitons vos données à caractère personnel afin de vous fournir nos services lorsque notre client est une personne physique.

Base juridique : L’exécution du contrat nous liant.

Finalités : Vous fournir le service pour lequel vous faites appel à notre société.

‍

e. Revue des avis clients : nous analysons et traitons les éventuelles données à caractère personnel que vous pouvez renseigner dans le cadre de la fourniture d’un avis s’agissant de nos services.

Base juridique : Notre intérêt légitime à connaître et diffuser les avis de nos clients.

Finalités : Revoir les avis de nos clients et diffuser sur notre site internet les témoignages de nos clients.

‍

f. Gestion de vos réclamations : nous analysons et traitons vos données à caractère personnel dans le cadre des éventuelles demandes de réclamations que vous effectuerez.

Base juridique : L’exécution du contrat nous liant à la personne concernée ou notre intérêt légitime lorsque le client est une personne morale.

Finalités : Répondre aux réclamations formulées par nos clients auprès de notre structure.

‍

4. Données issues de Google (OAuth)

Dans le cadre de notre application intégrée à Google Workspace via le SDK Google Workspace Marketplace, nous accordons une importance primordiale à la confidentialité et à la sécurité des données des utilisateurs. Cette politique décrit les types de données que nous accédons, la manière dont nous les utilisons et les garanties mises en place pour assurer leur protection.

‍4.1⁠ ⁠Accès aux données et permissions demandéesNotre application requiert les autorisations (scopes) suivantes, strictement limitées aux fonctionnalités nécessaires au bon fonctionnement du service.

‍a) Scopes Google Workspace Adminadmin.directory.rolemanagement.readonlyObjectif : Vérification des rôles des utilisateursPermet de vérifier si l’utilisateur est un administrateur dans Google Workspace, afin de restreindre certaines fonctionnalités (ex. : mise à jour des signatures) aux seuls administrateurs autorisés.admin.directory.customer.readonlyObjectif : Récupération d’informations sur le clientUtilisé pour afficher le nom du Workspace et d'autres informations de base à des fins de personnalisation et de clarté dans notre application.

‍b) Gmail API
gmail.settings.basicObjectif : Mise à jour des signatures emailUtilisé exclusivement pour permettre aux administrateurs de mettre à jour les signatures email des membres de leur organisation.Nous utilisons uniquement la méthode : users.settings.sendAs.patch.

‍c) Scopes d'identité (non sensibles)Ces autorisations permettent d’identifier l’utilisateur connecté à l'application, uniquement dans le cadre du processus d’authentification :openidPermet l’identification sécurisée de l’utilisateur via le protocole OAuth 2.0.https://www.googleapis.com/auth/userinfo.emailPermet d’accéder à l’adresse e-mail principale de l’utilisateur, utilisée pour l’authentification et l’affichage dans l’interface de l’application.https://www.googleapis.com/auth/userinfo.profilePermet d’accéder aux informations de base du profil de l’utilisateur (nom, image de profil), afin de proposer une expérience utilisateur contextualisée et personnalisée.Remarque importante : Ces données ne sont ni partagées, ni revendues, ni utilisées à des fins publicitaires. Elles servent uniquement à identifier les utilisateurs connectés.

‍4.3⁠ ⁠Utilisation des données
Toutes les données sont utilisées uniquement dans le cadre des fonctionnalités offertes par notre application. Nous ne collectons, stockons ni ne partageons aucune donnée en dehors de ce périmètre fonctionnel.

‍4.4⁠ ⁠Sécurité des données
Nous appliquons des mesures de sécurité strictes pour garantir la protection des données :Authentification via OAuth 2.0Chiffrement des communications (HTTPS)Accès restreint aux seules personnes autorisées

‍4.5⁠ ⁠Conservation des données
Les données d’utilisateur ne sont pas conservées de manière permanente. Toute information temporairement stockée (comme les jetons d’accès) est traitée de manière sécurisée et supprimée dès qu’elle n’est plus nécessaire.

‍4.6⁠ ⁠Consentement et révocation
Les utilisateurs donnent leur consentement explicite lors de la connexion ou de l'installation via Google Workspace. Ce consentement peut être révoqué à tout moment :En désinstallant l’applicationEn révoquant les autorisations dans leur compte Google : https://myaccount.google.com/permissions

‍

5. Données issues de Microsoft Azure AD / Entra ID (OAuth)

Dans le cadre de notre intégration avec Microsoft Azure Active Directory (Entra ID), nous accordons une attention particulière à la transparence, à la confidentialité et à la sécurité des données des utilisateurs. Cette section précise les types de données accessibles via cette connexion, les objectifs associés, ainsi que les garanties de sécurité mises en place.

‍5.1 Accès aux données et permissions demandées
Notre application demande uniquement les autorisations nécessaires au fonctionnement des fonctionnalités prévues. Voici la liste des permissions requises :

- Maintenir l’accès aux données déjà accordées

Objectif : Permet de garantir une session stable pour les utilisateurs connectés, sans redemande d’autorisation inutile.

- Lire les données de l’annuaire

Objectif : Accès en lecture aux utilisateurs, groupes et autres objets d’annuaire pour afficher les informations nécessaires dans l’application.

- Lire et écrire dans l’annuaire

Objectif : Permet à l’application de mettre à jour certaines informations liées aux utilisateurs ou aux groupes, si requis par l’administrateur.

Important : Cette permission n’autorise pas la suppression de comptes, la modification de mots de passe, ni la réinitialisation d’utilisateurs.

- Lire les profils complets des utilisateurs

Objectif : Affichage et gestion des informations de profil pour permettre une synchronisation cohérente dans l’application.

- Lire et écrire les profils complets des utilisateurs

Objectif : Permet aux administrateurs de modifier certaines informations (ex. : titre, numéro de téléphone, etc.) depuis l’interface centralisée.

- Lire tous les groupes

Objectif : Utilisé pour l’affichage des groupes dans l’application à des fins de filtrage ou d’affectation.

- Lire et écrire tous les groupes

Objectif : Pour permettre à l’administrateur de créer ou modifier des groupes si nécessaire.

‍

‍5.2 Utilisation des données
Les données collectées via Azure AD sont exclusivement utilisées pour permettre :

- la gestion centralisée des profils collaborateurs,

- la synchronisation des données d’annuaire (utilisateurs et groupes),

- l’attribution de droits ou de rôles au sein de notre application.Nous ne stockons pas de données au-delà de ce qui est nécessaire à la bonne exécution de ces fonctions.

‍

‍5.3 Sécurité des données
Toutes les communications avec les services Microsoft sont protégées par :

- l’authentification OAuth 2.0 via Microsoft Identity Platform,

- le chiffrement TLS/HTTPS des échanges,

- des contrôles d’accès internes stricts, limités aux personnes autorisées dans notre infrastructure.

‍

‍5.4 Conservation des données
Aucune donnée n’est conservée de manière permanente. Les informations utilisées temporairement (ex : jetons OAuth) sont automatiquement supprimées dès qu’elles ne sont plus nécessaires.5.5 Consentement et révocation
L’accès est accordé par l’administrateur Microsoft 365 lors de l’installation de l’application ou de l’approbation des permissions. Ce consentement peut être révoqué à tout moment :

- Depuis le portail Azure AD : https://portal.azure.com

- Ou via les paramètres de l’utilisateur concerné : https://myaccount.microsoft.com

‍

6. Quels sont les destinataires de vos données personnelles ?

Dans certaines situations, selon la nature du traitement effectué et son objectif, nous pouvons être amenés à transmettre vos données à caractère personnel à des organismes tiers relevant notamment des catégories suivantes :

– Nos fournisseurs, hébergeurs ou prestataires techniques, s’agissant des entreprises qui nous aident à gérer nos systèmes informatiques ou qui hébergent notre site internet ;

– Nos conseils professionnels, tels que nos avocats ou experts comptables ;

– Les autorités publiques si nous nous voyons dans l’obligation de divulguer ou de partager vos données afin de respecter une obligation légale.

‍

7. Pendant combien de temps gardons-nous vos données personnelles ?

Différents critères nous permettent d’établir la durée de conservation pertinente, laquelle varie selon le type de traitement mis en œuvre et ses finalités. Les critères pertinents que nous utilisons afin de déterminer cette durée de conservation dépendent des éléments suivants :

– La nature et la finalité des traitements en question,

– Les catégories des données traitées,

– Les délais de prescription applicables,

– Les dispositions contractuelles applicables,

– Les recommandations de la Commission Nationale de l’Informatique et des Libertés (CNIL), notamment le référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales.

Les données sont conservées uniquement pendant la durée nécessaire à la finalité pour laquelle elles sont collectées. En l’absence d’activité sur votre compte, elles sont supprimées ou anonymisées au bout de 24 mois maximum, conformément aux recommandations de la CNIL.Conformément au RGPD, vous pouvez également demander la suppression de vos données à tout moment en nous contactant à l’adresse suivante : dpo@ecardnfc.fr

‍

8. Où sont hébergées vos données à caractère personnel ?

Vos données à caractère personnel sont hébergées sur des serveurs localisés en France, conformément au Règlement Général sur la Protection des Données (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 (ci-après « RGPD »). Notre prestataire d'hébergement est certifié ISO/IEC 27001, garantissant un haut niveau de sécurité dans la gestion des données et des infrastructures informatiques.

‍

9. Quelles sont les mesures de sécurité mises en place ?

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles pour protéger vos données contre toute perte, mauvaise utilisation, accès ou divulgation non autorisée :

- Chiffrement des échanges via TLS/HTTPS ;

- Accès restreint basé sur des droits définis ;

- Journalisation des accès ;

- Audits de sécurité incluant des volets cyber, RGPD et tests d’intrusion (pentests) afin de garantir un niveau de protection optimal de notre environnement.

- En cas d’incident, une procédure adaptée est mise en œuvre afin de réagir de manière proportionnée, d’en limiter les impacts et d’informer nos clients dans les meilleurs délais.

‍

10. Quels sont vos droits au regard de vos données à caractère personnel ?

Conformément au RGPD, les personnes concernées dont les données à caractère personnel sont traitées disposent des droits suivants :

– Le droit de demander l’accès à leurs données à caractère personnel ainsi que certaines informations ;

– Le droit de demander la rectification des informations les concernant qui seraient inexactes ;

– Le droit de demander l’effacement de leurs données à caractère personnel (« droit à l’oubli ») ;

– Le droit de demander la limitation du traitement ;

– Le droit de recevoir les données à caractère personnel les concernant dans un format structuré ;

– Le droit de s’opposer à tout moment, pour des raisons tenant à leur situation particulière, à un traitement de données à caractère personnel les concernant ;

– Le droit de retirer leur consentement lorsque le traitement des données est fondé sur cette base légale. Ce retrait ne vaut que pour l’avenir et la licéité des traitements effectués avant le retrait du consentement ne sera pas remise en cause ;

– Le droit de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données personnelles après votre décès.

L’application de l’ensemble de ces droits n’est pas systématique et, selon les circonstances de votre demande, il pourra, ou non, y être donné suite.Si vous souhaitez exercer vos droits, vous pouvez nous contacter à l’adresse postale suivante :

ECARD, Villa Dallas, 18 Avenue de l'europe, 31520 Ramonville-Saint-Agne, Toulouse - France ou par courriel à l’adresse dpo@ecardnfc.fr

‍Vous avez également le droit de déposer une plainte auprès de la CNIL, dont le site Internet peut être consulté à l’adresse suivante : www.cnil.fr