← Historique des versions
Version archivée v1.0 · 28 avril 2026 · phase de tests fermés. Aller à la version actuelle →

Politique de confidentialité de la Plateforme DAMOSTA

Version : 1.0 (phase de test fermée) Date d’entrée en vigueur : 28 avril 2026 Dernière mise à jour : 28 avril 2026 Responsable du traitement : DAMOSTA (la plateforme se trouve en phase de développement privé ; les coordonnées complètes de la personne morale du Responsable, le pays d’enregistrement, le numéro d’enregistrement et l’adresse du siège seront indiqués dans une version actualisée avant la date du lancement public de la plateforme) Contact pour les demandes de protection des données : [email protected]

Statut du document. La présente version est publiée pour la phase de test fermée. L’accès à la Plateforme est limité à une liste d’utilisateurs autorisés. Avant le lancement public seront finalisés et vérifiés : les coordonnées complètes du Responsable, la nécessité de désigner un représentant dans l’UE et/ou un Délégué à la Protection des Données (DPO), la liste définitive des sous-traitants, les régions de traitement, les contrats de sous-traitance (Data Processing Agreements), les mécanismes de transfert international de données et le modèle de paiement. La liste des décisions ouvertes figure dans docs/legal/launch_checklist.md, partie 3.

Préambule

La présente Politique de confidentialité (ci-après, la « Politique ») décrit quelles données personnelles nous collectons lors de votre utilisation de la plateforme DAMOSTA (ci-après, la « Plateforme »), comment nous les utilisons, à qui nous les transférons et comment nous les protégeons.

Nous nous efforçons d’agir avec la plus grande transparence. Si quelque chose dans la Politique n’est pas clair pour vous, écrivez à l’adresse [email protected] et nous vous l’expliquerons.

La Politique a été élaborée en tenant compte des exigences :

  • du Règlement (UE) 2016/679 (RGPD) — pour les utilisateurs dans l’Espace économique européen et pour ceux dont les données sont traitées dans l’EEE ;
  • de la loi de l’Ukraine « Sur la protection des données personnelles » — pour les utilisateurs en Ukraine ;
  • d’autres législations applicables sur la protection des données personnelles dans les pays où la Plateforme est disponible.

En utilisant la Plateforme, vous confirmez avoir lu la Politique et compris quelles données sont traitées et comment.

1. Qui traite vos données

Responsable du traitement (controller) : DAMOSTA ; les coordonnées complètes de la personne morale seront indiquées après l’enregistrement — voir docs/legal/launch_checklist.md, partie 3.1.

Le « Responsable du traitement » est la personne morale ou la personne physique en tant que travailleur indépendant qui détermine les finalités et les moyens du traitement des données personnelles et assume la responsabilité de leur traitement.

1.1. Représentant dans l’UE (article 27 du RGPD)

Si, sur la base de l’analyse de la structure définitive d’enregistrement du Responsable et du ciblage de la Plateforme dans l’Espace économique européen (EEE), un représentant au sens de l’article 27 du RGPD s’avère nécessaire, ses coordonnées seront indiquées ici avant le moment à partir duquel la Plateforme sera publiquement disponible pour les utilisateurs de l’EEE.

1.2. Délégué à la Protection des Données (Data Protection Officer, DPO)

Le Responsable évaluera l’obligation de désigner un DPO sur la base des critères de l’article 37 du RGPD (nature de l’activité principale, ampleur du traitement, catégories de données traitées). Si un DPO est désigné, ses coordonnées seront publiées dans la présente Politique.

2. Quelles données nous collectons

2.1. Données de Telegram

Au lancement de la Telegram Mini App, Telegram peut nous transmettre les données suivantes via le mécanisme standard initData de Telegram Web App, en fonction des paramètres Telegram, de la version du client et des champs effectivement disponibles :

  • ID Telegram — l’identifiant numérique de votre compte dans Telegram ;
  • Prénom ;
  • Nom, s’il est indiqué dans Telegram ;
  • Nom d’utilisateur, s’il est indiqué dans Telegram ;
  • Code de langue (language_code) — la langue définie dans les paramètres Telegram ;
  • URL de la photo de profil dans Telegram, si Telegram la transmet dans les champs disponibles ;
  • autres indicateurs techniques du profil ou de l’interaction (par exemple, l’indicateur Telegram Premium ou un indicateur que vous avez autorisé le bot à vous envoyer des messages privés), si Telegram les transmet dans le cadre de la Mini App.

Nous ne recevons pas de Telegram votre numéro de téléphone, votre email, votre mot de passe ni d’autres moyens d’authentification. Telegram nous transmet ces données automatiquement au moment du lancement de la Plateforme.

2.2. Email et vérification obligatoire pour les Titulaires

Pour les Utilisateurs ayant le rôle de Titulaires de Fiches d’Entreprise, nous traitons en outre :

  • l’adresse email indiquée par l’Utilisateur lors de la création de la première Fiche d’Entreprise ;
  • le fait et la date de la confirmation de l’email par un code de vérification envoyé par notre prestataire transactionnel (Resend) ;
  • la liaison de l’adresse email avec l’ID Telegram — aux fins de l’identification de l’Utilisateur dans les communications formelles.

L’email est utilisé en tant que canal formel de communication et est obligatoire pour la création d’une Fiche d’Entreprise. Sans email confirmé, la fonction de création d’une Fiche d’Entreprise n’est pas disponible.

Pour les Utilisateurs ayant le rôle de Clients, l’email n’est pas demandé au moment de la simple consultation de la Plateforme. L’email devient obligatoire lors de la réalisation d’actes formels nécessitant une identification.

2.3. Données que vous nous fournissez

Vous pouvez nous communiquer de votre propre initiative :

  • des données sur la Fiche d’Entreprise : nom, description, catégorie, secteur de vente, photographies, adresse, horaires d’ouverture, coordonnées (y compris téléphone, email, liens vers des sites et réseaux sociaux) ;
  • les paramètres et préférences (par exemple, la langue de l’interface, différente de celle de Telegram) ;
  • les messages que vous envoyez au service de support ;
  • d’autres données que vous publiez volontairement sur la Plateforme.

2.4. Données techniques

Nous collectons automatiquement des données techniques sur votre interaction avec la Plateforme :

  • adresse IP — aux fins de sécurité, de protection contre les attaques, de limitation de la fréquence des requêtes, de vérification du respect des restrictions territoriales (section 3.4 des Conditions d’utilisation) ;
  • type d’appareil, système d’exploitation, version du client Telegram, version de la Plateforme — pour la compatibilité et le diagnostic ;
  • date et heure de l’interaction avec la Plateforme ;
  • actions sur la Plateforme (transitions entre écrans, pressions de boutons, erreurs, performance) — sous une forme anonymisée ou pseudonymisée, lorsque cela est techniquement possible ;
  • journaux d’erreurs — messages techniques sur les erreurs survenant pendant le fonctionnement de la Plateforme.

Précision terminologique. Nous pouvons traiter des événements techniques et produit de l’utilisation de la Plateforme, y compris les transitions entre écrans, les pressions de boutons, les erreurs, la performance et les informations sur la compatibilité, sous une forme anonymisée ou pseudonymisée, lorsque cela est techniquement possible. Si ces données peuvent être liées au Compte, à l’ID Telegram, à l’adresse IP, à l’appareil ou à la session, elles sont considérées comme des données personnelles et sont traitées conformément à la présente Politique.

2.5. Données de paiement

Si vous payez les fonctionnalités payantes de la Plateforme, le paiement est traité par des prestataires de paiement externes. Le prestataire concret est indiqué dans la section 4 de la présente Politique après la finalisation du modèle de paiement (voir docs/legal/launch_checklist.md, partie 3.5).

Nous ne stockons pas les numéros complets des cartes de paiement, les codes CVV ou d’autres données transmises pendant le processus de paiement. Du prestataire de paiement, nous pouvons recevoir uniquement les données nécessaires à l’enregistrement du paiement, en fonction du modèle de paiement choisi :

  • le fait et le montant du paiement ;
  • l’identifiant de la transaction ;
  • le statut du paiement ;
  • le plan tarifaire et la période de paiement ;
  • des données limitées sur le moyen de paiement, si elles sont fournies par le prestataire et nécessaires à l’affichage à l’Utilisateur ou à la comptabilité ;
  • les données pour la déclaration comptable et fiscale.

2.6. Journaux d’acceptation des documents

Lorsque vous acceptez les Conditions d’utilisation, les Règles de la Plateforme ou la présente Politique, la Plateforme enregistre :

  • la version du document accepté ;
  • la date et l’heure de l’acceptation (UTC) ;
  • votre ID Telegram ;
  • l’adresse IP ;
  • le hash (SHA-256) du texte accepté ;
  • l’indicateur si l’acceptation est de test (pendant la phase de test fermée) ou si elle constitue une acceptation juridique réelle (après le lancement public).

Les journaux sont conservés pendant le délai établi par la législation, mais au moins 3 (trois) ans après la résiliation du Compte. Les journaux constituent une exception au droit à l’effacement conformément à l’article 17, paragraphe 3, point e) du RGPD — ils sont nécessaires à la constatation, à l’exercice ou à la défense de droits en justice.

2.7. Adresse email et attribution referral dans la liste d’attente (waitlist)

Si vous avez laissé votre email dans le formulaire « Liste d’attente » sur le site damosta.com ou dans le banner de test fermé de la Mini App, nous traitons les catégories de données suivantes :

  • l’adresse email que vous avez indiquée dans le formulaire ;
  • le code de langue de l’interface (locale) dans lequel vous avez interagi avec le formulaire, — afin d’envoyer l’email de confirmation dans la langue correspondante ;
  • la date et l’heure de l’expression du consentement à recevoir une notification concernant le lancement public — afin de documenter le consentement au sens de l’article 7 RGPD ;
  • la source de la demande (page du site, banner de la Mini App, autre point d’entrée) — afin d’évaluer l’efficacité des canaux de communication ;
  • le code referral par lequel vous êtes arrivé au formulaire, le cas échéant, — aux fins du programme referral (§ 7.9 des Conditions d’utilisation) ;
  • le code referral personnel, généré par la Plateforme exclusivement après confirmation de votre email au moyen d’une procédure en deux étapes (double opt-in) conformément au § 7.9.2 des Conditions d’utilisation, — pour votre participation ultérieure au programme referral.

Séparément, aux fins de prévention des abus automatisés du formulaire de demande (anti-abuse rate-limiting), la Plateforme tient un enregistrement technique de soumission de demande contenant un hash de l’adresse IP (HMAC-SHA256 avec un sel non public), des indicateurs techniques minimaux de soumission du formulaire et un horodatage. Cet enregistrement est créé indépendamment de la demande de liste d’attente, conservé séparément de celle-ci (voir § 6) et n’est pas utilisé à des fins non liées à la protection du formulaire contre les abus.

Distinction avec l’email du Propriétaire d’Entreprise. La confirmation d’un email dans la liste d’attente ne constitue pas la création d’un Compte, l’enregistrement d’une Entreprise ni la confirmation de l’email du Propriétaire d’Entreprise au sens du § 4.4 des Conditions d’utilisation. Un email laissé dans la liste d’attente n’est pas utilisé comme canal formel de communication avec le Propriétaire d’Entreprise et ne crée pas de lien avec Telegram ID jusqu’à ce que la personne concernée procède elle-même à l’enregistrement d’une Entreprise avec confirmation du même email selon la procédure décrite au § 2.2 de la présente Politique.

Vous avez le droit de retirer à tout moment votre consentement à participer à la liste d’attente en envoyant une demande à [email protected]. Le retrait du consentement entraîne la suppression de votre adresse email et des données de liste d’attente qui y sont liées dans un délai raisonnable n’excédant pas 30 (trente) jours calendaires, à l’exception des enregistrements minimaux conservés pour confirmer l’attribution referral (§ 7.9 des Conditions d’utilisation), respecter des obligations légales ou défendre des droits en justice.

2.8. Cookies et stockage local

La Plateforme utilise un ensemble limité de fichiers cookie et de mécanismes de stockage local du navigateur. Nous n’utilisons pas de cookies pour le tracking publicitaire, le profilage intersites, la transmission de données à des réseaux publicitaires ou toute autre finalité dépassant les tâches fonctionnelles expressément décrites ci-dessous.

Ensemble actuel des cookies et technologies similaires utilisés :

Technologie Finalité Catégorie Durée de vie Condition d’installation
Cookie dps_ref Conservation du code referral par lequel l’utilisateur est arrivé sur le site, afin de permettre l’attribution correcte ultérieure d’un bonus au participant du programme referral (§ 7.9 des Conditions d’utilisation) Functional / referral attribution 30 (trente) jours calendaires à compter de la première visite via le lien referral Installé uniquement après le consentement explicite de l’utilisateur demandé dans un banner affiché exclusivement lors de l’accès au site par un lien contenant un code referral. En l’absence de consentement, le cookie n’est pas installé et l’attribution referral n’est pas appliquée. Si le cookie est déjà installé et que sa durée de vie n’a pas expiré, une nouvelle visite via un autre lien referral n’écrase pas l’attribution existante. Le consentement de l’utilisateur s’applique pendant la durée de vie du cookie installé.
Local Storage dps-site-theme Mémorisation du thème du site choisi par l’utilisateur (clair / sombre) Strictly necessary — nécessaire à l’application des préférences d’affichage de l’utilisateur Conservé jusqu’à suppression explicite par l’utilisateur via les paramètres du navigateur Installé lors du premier changement de thème par l’utilisateur. Ne nécessite pas de consentement distinct, car il est utilisé exclusivement pour fournir le paramètre demandé par l’utilisateur dans la mesure permise par le droit applicable aux cookies, y compris les exigences mettant en œuvre l’article 5(3) de la Directive 2002/58/CE.
Local Storage dps-cookie-consent Conservation du choix de l’utilisateur concernant le cookie dps_ref (accepté / refusé), afin que le banner de consentement ne soit pas affiché à nouveau Strictly necessary — nécessaire à l’exécution du choix exprimé par l’utilisateur concernant les cookies Conservé jusqu’à suppression explicite par l’utilisateur via le lien « Gérer les cookies » en bas du site ou via les paramètres du navigateur Installé au moment du clic de l’utilisateur sur l’un des boutons du banner de consentement. Ne nécessite pas de consentement distinct, car il est utilisé exclusivement pour exécuter le choix de l’utilisateur concernant les cookies dans la mesure permise par le droit applicable aux cookies, y compris les exigences mettant en œuvre l’article 5(3) de la Directive 2002/58/CE.

L’utilisateur peut modifier à tout moment son choix concernant le cookie dps_ref via le lien « Gérer les cookies » placé en bas de chaque page du site. L’ouverture du panneau correspondant ne recharge pas la page et n’installe pas de nouveaux cookies avant une action explicite de l’utilisateur. La désactivation du cookie dps_ref n’affecte pas la possibilité d’utiliser la Plateforme ni de soumettre une demande à la liste d’attente, mais entraîne la perte de l’attribution referral — l’invitation referral par laquelle l’utilisateur est arrivé sur le site ne sera pas prise en compte dans le programme referral.

En cas d’ajout de nouveaux cookies ou d’autres technologies similaires, la présente section sera complétée avec l’indication de leur finalité, catégorie, durée de vie et condition d’installation.

2.9. Analyse web

La Plateforme utilise le service d’analyse web self-hosted Umami, déployé sur notre propre infrastructure dans l’Union européenne. Nous avons choisi une solution self-hosted avec un ensemble minimal de fonctionnalités, car elle permet de comprendre une vue agrégée de l’utilisation de la Plateforme sans créer de profils individuels, sans utiliser de cookies et sans transmettre de données à des fournisseurs d’analyse externes, à des réseaux publicitaires ou à des data brokers (courtiers en données).

Ce que nous collectons. L’analyse collecte exclusivement des informations techniques agrégées concernant la visite de la Plateforme et l’interaction avec les pages :

  • type d’événement (à la date d’entrée en vigueur de cette version — voir la liste des catégories ci-dessous) ;
  • pays (au niveau du pays, sans coordonnées précises ni géolocalisation) ;
  • type d’appareil (desktop / tablette / mobile) ;
  • navigateur et système d’exploitation ;
  • référent (la page précédente depuis laquelle le visiteur est arrivé) ;
  • balises UTM, si elles sont présentes dans l’URL.

L’adresse IP peut être techniquement traitée pendant la requête exclusivement afin de déterminer le pays au niveau du pays et n’est pas conservée dans la base de données d’analyse en tant qu’élément de l’événement.

Liste des catégories d’événements à la date d’entrée en vigueur de cette version :

Catégorie Ce que cela signifie
Consultation de page le fait qu’une page ait été ouverte (URL sans paramètres query pouvant contenir des données personnelles)
Consultation du formulaire waitlist la page contenant le formulaire d’inscription à la liste d’attente a été ouverte
Soumission du formulaire waitlist résultat technique : tentative d’envoi, succès, erreur de validation (sans divulguer le code d’erreur exact), erreur de livraison
Confirmation de l’email ouverture de la landing page de confirmation, clic sur le bouton de confirmation, consultation de la page de confirmation réussie
Changement de langue de l’interface l’utilisateur a modifié la locale
Changement du thème d’affichage l’utilisateur a basculé entre le thème clair et le thème sombre
Clic sur les CTA principaux clic sur les principaux boutons d’appel à l’action
Clic sur des liens de navigation clic sur des liens dans le pied de page ou l’en-tête du site
Consultation d’un plan tarifaire le bloc d’un tarif spécifique est entré dans la zone visible de l’écran
Ouverture d’une question dans la FAQ l’utilisateur a développé une question spécifique dans la liste des questions fréquentes

Aucun événement ne contient le nom de l’utilisateur, l’adresse email, telegram_id, le numéro de téléphone, le code de parrainage, le statut de paiement, le contenu des champs de formulaire, le texte exact des messages d’erreur susceptibles de contenir des données personnelles, ni tout autre identifiant d’une personne déterminée. Il s’agit d’un invariant de l’architecture d’analyse, consigné dans notre documentation technique interne.

Les nouveaux événements ne peuvent pas contenir de données personnelles ni d’identifiants d’une personne déterminée. Toute modification substantielle de la composition de l’analyse est reflétée dans une version mise à jour de la présente section.

Ce que nous NE collectons PAS. L’analyse ne reçoit ni ne conserve :

  • les adresses email des utilisateurs ;
  • Telegram ID, telegram username, les noms issus du profil Telegram ;
  • les numéros de téléphone ;
  • les adresses IP en tant qu’élément de l’événement (l’IP peut être traitée « à la volée » exclusivement afin de déterminer le pays) ;
  • le contenu des champs de formulaires ;
  • le contenu des messages personnels ;
  • les données de paiement ;
  • les données biométriques, les données de santé et autres catégories particulières ;
  • les identifiants personnels (account ID, business ID, referral code) ;
  • la géolocalisation précise (ville, coordonnées).

Nous n’utilisons pas l’analyse pour le profilage publicitaire, le suivi intersites, la création de profils d’utilisateurs, la prise de décisions automatisées produisant des effets juridiques ou des effets significatifs similaires, ni pour transmettre des données à des réseaux publicitaires.

Les événements liés à l’acceptation ou au refus des cookies ne sont pas transmis à l’analyse web ; le choix de l’utilisateur est conservé localement dans le navigateur (voir § 2.8).

Base juridique du traitement. La base juridique du traitement des données d’analyse web est l’intérêt légitime de l’opérateur (Art. 6(1)(f) GDPR) — l’intérêt à comprendre l’audience agrégée de la Plateforme afin de la développer et d’améliorer le service. Nous considérons que, dans ces conditions, l’intérêt légitime de l’Opérateur n’est pas supplanté par les droits et libertés des personnes concernées : le volume des données est minimisé, les cookies ne sont pas utilisés, aucun profil individuel n’est créé et les données ne sont pas transmises à des fournisseurs d’analyse externes ni à des réseaux publicitaires.

Cookies et autres technologies de stockage d’informations sur l’appareil. Étant donné que l’analyse web n’utilise pas de cookies, de local storage ni d’autres mécanismes de stockage ou de lecture d’informations depuis l’appareil de l’utilisateur à des fins d’analyse, aucun consentement distinct au titre de l’article 5(3) de la Directive 2002/58/EC n’est demandé pour cette analyse.

Durée de conservation. Les données d’analyse web sont conservées pendant 180 (cent quatre-vingts) jours calendaires à compter de leur collecte. À l’issue de cette période, les enregistrements correspondants sont automatiquement supprimés de la base de données d’analyse. Cette durée a été choisie comme durée minimale suffisante pour comprendre les tendances saisonnières d’utilisation de la Plateforme tout en minimisant les risques liés à la conservation.

Transfert de données. L’analyse est déployée sur notre propre infrastructure au sein de l’Union européenne. Les données d’analyse web ne sont pas transmises à des fournisseurs d’analyse externes, à des réseaux publicitaires ou à des data brokers, ne sont pas vendues et ne sont pas utilisées pour la publicité comportementale. Le traitement peut être effectué par nos fournisseurs d’infrastructure uniquement dans les limites décrites au § 4 du présent document.

Respect de Do Not Track. Nous respectons l’en-tête standard du navigateur Do Not Track (DNT). Si votre navigateur envoie l’en-tête DNT: 1, le script d’analyse web n’est pas initialisé sur les pages de la Plateforme et aucune donnée relative à votre interaction n’est collectée.

Disponibilité territoriale du service. Certaines fonctions interactives de la Plateforme peuvent être techniquement indisponibles depuis des territoires qui ne font pas partie des marchés desservis par la Plateforme, conformément aux Conditions d’utilisation et aux Règles de la plateforme. Ces restrictions peuvent être appliquées au niveau CDN/WAF. Des security logs minimaux CDN/WAF (timestamp, adresse IP, pays, décision firewall) peuvent être générés à des fins de protection de l’infrastructure. Il s’agit d’un périmètre distinct de l’analyse web ; ces logs ne sont pas utilisés pour le profilage publicitaire ni pour l’analyse web.

Vos droits concernant les données d’analyse web. Étant donné que l’analyse web ne conserve pas d’identifiants individuels, l’exercice du droit d’accès à des enregistrements spécifiques vous concernant personnellement est techniquement impossible — le système ne comporte aucun lien entre un enregistrement d’événement et une personne déterminée. Vous avez néanmoins le droit :

  • de vous opposer au traitement fondé sur l’intérêt légitime (article 21 GDPR) — dans ce cas, nous recommandons d’activer l’en-tête Do Not Track dans les paramètres de votre navigateur, ce qui exclura automatiquement votre interaction du suivi ;
  • d’obtenir des explications supplémentaires concernant le traitement en contactant notre service d’assistance à l’adresse suivante : [email protected] ;
  • d’introduire une réclamation auprès de l’autorité compétente de protection des données personnelles dans votre juridiction.

Modifications de la composition des événements. Toute modification substantielle de la composition de l’analyse web, l’ajout de nouvelles catégories d’événements ou une modification de l’architecture du service d’analyse est reflété dans une version mise à jour de la présente section. La liste des catégories indiquée ci-dessus est valable à la date d’entrée en vigueur de cette version du document.

2.10. Données que nous NE collectons PAS

Nous ne collectons pas :

  • votre localisation exacte par GPS (sauf si vous avez indiqué manuellement l’adresse d’une Fiche d’Entreprise) ;
  • des données sur vos autres activités hors de la Plateforme ;
  • vos contacts dans Telegram, votre correspondance dans Telegram, d’autres données au-delà de ce que Telegram nous transmet dans le cadre de la Telegram Mini App ;
  • des données biométriques ;
  • des données de santé ;
  • des données sur l’origine raciale et ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, des données génétiques, l’orientation sexuelle (à l’exception des cas où vous publiez ces données volontairement dans le cadre d’une Fiche d’Entreprise — mais nous ne le recommandons pas).

3. Pour quoi nous traitons les données (finalités et bases juridiques)

Conformément à l’article 6 du RGPD, tout traitement de données personnelles doit avoir une base juridique. Ci-dessous, nous indiquons pour chaque finalité du traitement la base juridique correspondante.

3.1. Fourniture des fonctionnalités de la Plateforme

Ce que nous traitons : ID Telegram, prénom, nom d’utilisateur, photo, langue, email du Titulaire, Contenu de la Fiche d’Entreprise, données techniques.

Pour quoi : créer votre Compte, vous permettre de créer et de gérer des Fiches d’Entreprise, afficher votre Fiche d’Entreprise aux autres Utilisateurs, garantir un canal formel de communication avec les Titulaires via l’email.

Base juridique (RGPD) : article 6, paragraphe 1, point b) — exécution d’un contrat (Conditions d’utilisation).

3.2. Sécurité et protection contre les abus

Ce que nous traitons : adresse IP, journaux d’actions, données techniques, données sur l’activité suspecte, métadonnées de connexions pour la vérification des restrictions territoriales (section 3.4 des Conditions d’utilisation).

Pour quoi : détecter et faire cesser la fraude, les cyberattaques, les violations des Règles, protéger la Plateforme et les autres Utilisateurs ; contrôler le respect de la législation sur les sanctions et de l’interdiction territoriale concernant la Fédération de Russie et le Bélarus.

Base juridique : article 6, paragraphe 1, point f) — notre intérêt légitime à garantir la sécurité de la Plateforme et à protéger les Utilisateurs ; article 6, paragraphe 1, point c) — exécution d’une obligation légale relative au respect des régimes de sanctions.

3.3. Support des utilisateurs

Ce que nous traitons : le contenu de vos demandes, vos coordonnées.

Pour quoi : répondre à vos questions et traiter les réclamations.

Base juridique : article 6, paragraphe 1, point b) — exécution d’un contrat et mesures précontractuelles.

3.4. Amélioration de la Plateforme

Ce que nous traitons : données pseudonymisées sur les actions sur la Plateforme, données techniques, journaux d’erreurs.

Pour quoi : améliorer la fonctionnalité, corriger les erreurs, mesurer la performance.

Base juridique : article 6, paragraphe 1, point f) — intérêt légitime au développement et au maintien du fonctionnement de la Plateforme.

3.5. Surveillance des erreurs et de la performance

Nous pouvons utiliser des services de surveillance des erreurs, de la stabilité et de la performance pour détecter les défaillances, diagnostiquer les problèmes, protéger la sécurité et améliorer le fonctionnement de la Plateforme. Ces services peuvent recevoir des données techniques, des journaux d’erreurs, des données sur l’appareil, des versions du client, l’heure de l’événement et un contexte limité de l’action lors de laquelle l’erreur s’est produite. Le service de surveillance concret est indiqué dans la section 4 de la présente Politique.

Les services de surveillance sont engagés en tant que sous-traitants au sens de l’article 28 du RGPD. Avant le lancement public, le Responsable vérifiera et formalisera les contrats de sous-traitance correspondants (Data Processing Agreements), les régions de traitement et les garanties pour les transferts internationaux, le cas échéant. Nous n’utilisons pas ces données pour le profilage publicitaire et nous ne les transférons pas à des courtiers en données.

3.6. Obligations légales

Ce que nous traitons : données dont la conservation est obligatoire en vertu de la législation applicable (déclaration comptable et fiscale, journaux d’acceptation des Conditions, données sur les paiements).

Pour quoi : respecter les exigences obligatoires de la loi.

Base juridique : article 6, paragraphe 1, point c) — exécution d’une obligation légale.

3.7. Défense des droits et réclamations juridiques

Ce que nous traitons : données relatives aux litiges, aux demandes et aux actions en justice.

Pour quoi : constater, exercer ou défendre nos droits légitimes ; traiter les réclamations ; répondre aux demandes des autorités publiques.

Base juridique : article 6, paragraphe 1, point f) — intérêt légitime.

3.8. Communications de service et marketing

Communications de service. Nous pouvons vous envoyer des communications nécessaires au fonctionnement de la Plateforme : modifications des Conditions, de la Politique ou des Règles, communications de sécurité, récupération d’accès, mesures de réaction, paiements et autres communications juridiquement ou techniquement significatives.

Base juridique : article 6, paragraphe 1, point b) du RGPD — exécution d’un contrat ; article 6, paragraphe 1, point c) du RGPD — exécution d’une obligation légale ; article 6, paragraphe 1, point f) du RGPD — intérêt légitime au maintien de la sécurité et du bon fonctionnement de la Plateforme.

Communications marketing. Nous pouvons vous envoyer des informations sur les nouvelles fonctionnalités, les mises à jour ou les offres de la Plateforme uniquement dans la mesure permise par la législation applicable et avec la possibilité de vous opposer à de telles communications.

Base juridique : article 6, paragraphe 1, point a) du RGPD — consentement, s’il est nécessaire ; ou article 6, paragraphe 1, point f) du RGPD — intérêt légitime à informer les utilisateurs existants sur les fonctionnalités connexes de la Plateforme, si une telle information est autorisée par la loi.

Vous avez à tout moment le droit de vous opposer aux communications marketing (voir la section 7). L’opposition au marketing n’affecte pas la réception des communications de service, de sécurité ou juridiquement significatives.

3.9. Pour quoi nous N’utilisons PAS vos données

  • nous ne vendons pas vos données personnelles à des tiers ;
  • nous n’utilisons pas vos données pour de la publicité ciblée hors de la Plateforme ;
  • nous ne transférons pas vos données à des courtiers en données, à des réseaux publicitaires ou à des services de profilage ;
  • nous n’établissons pas de profil vous concernant pour la prise de décisions automatisées ayant des effets juridiques (voir la section 9).

3.10. Information sur le lancement public de la Plateforme (liste d’attente)

Ce que nous traitons : adresse email, locale, date du consentement, source de la demande, code referral, code referral personnel, ainsi que le fait et la date de confirmation de l’email au moyen d’une procédure en deux étapes.

Séparément, dans le cadre de l’enregistrement anti-abuse, — hash de l’adresse IP et indicateurs techniques minimaux de soumission du formulaire.

Pourquoi :

(a) envoyer à l’utilisateur une notification unique concernant le lancement public de DAMOSTA à l’adresse email indiquée ;

(b) fournir à l’utilisateur un code referral personnel pour participer au programme referral conformément au § 7.9 des Conditions d’utilisation, si l’utilisateur a confirmé son email au moyen d’une procédure en deux étapes ;

(c) comptabiliser correctement l’attribution referral si l’utilisateur est arrivé dans la liste d’attente via le lien referral d’une autre personne et a consenti à l’installation du cookie dps_ref ;

(d) protéger le formulaire de demande contre les abus automatisés, y compris les soumissions massives et les attaques contre la délivrabilité du canal email, en appliquant la minimisation des données et une durée de conservation limitée des indicateurs techniques.

Base juridique :

article 6(1)(a) RGPD — consentement explicite de l’utilisateur, exprimé par une action active (saisie de l’adresse email et clic sur le bouton correspondant dans un formulaire avec une finalité clairement indiquée), concernant le traitement de l’adresse email, du locale, du fait du consentement, de la source de la demande et de l’attribution referral ;

article 6(1)(f) RGPD — intérêt légitime de la Plateforme à assurer la sécurité du formulaire de demande, à prévenir les abus automatisés massifs et à protéger la délivrabilité du canal email, concernant le hash de l’adresse IP et les métadonnées techniques de la soumission de la demande. Les mesures appliquées — pseudonymisation de l’adresse IP au moyen de HMAC-SHA256 avec un sel non public, conservation séparée de la demande de liste d’attente, durée de conservation limitée, absence d’utilisation à des fins non liées à l’anti-abuse rate-limiting — assurent la proportionnalité du traitement au regard de la finalité déclarée et l’équilibre entre les intérêts de la Plateforme et les droits de la personne concernée.

L’utilisateur a le droit de retirer à tout moment son consentement à participer à la liste d’attente selon la procédure décrite au § 2.7 de la présente Politique, sans avoir à fournir de motif et sans conséquences défavorables sur la possibilité d’utiliser la Plateforme à l’avenir.

4. À qui nous transférons les données

4.1. Sous-traitants agissant pour notre compte

Nous faisons appel à des prestataires de services tiers (sous-traitants au sens du RGPD) qui traitent les données exclusivement selon nos instructions et dans notre intérêt.

Pour la phase de test fermée, est indiquée ci-dessous l’architecture technique actuelle et les catégories attendues de sous-traitants. Avant le lancement public, le Responsable vérifiera et formalisera les coordonnées définitives des sous-traitants, les régions de traitement, l’existence de contrats de sous-traitance, de CCT ou d’autres garanties nécessaires pour les transferts internationaux.

Composition actuelle des sous-traitants (à la date de la dernière mise à jour de la Politique) :

Catégorie Prestataire Pays de juridiction / localisation des serveurs Contrat de sous-traitance / garanties
DNS, proxy, routage des emails entrants, hébergement de la page web publique Cloudflare, Inc. États-Unis (siège) ; réseau mondial, centres UE disponibles Sujet à vérification et formalisation avant le lancement public
Hébergement du backend et des bases de données DigitalOcean, LLC États-Unis (siège) ; serveurs à Francfort (FRA1, Allemagne) Sujet à vérification et formalisation avant le lancement public
Email transactionnel et envoi SMTP au nom du domaine Resend (Resend, Inc.) États-Unis (siège) ; région de traitement eu-west-1 (Irlande) Sujet à vérification et formalisation avant le lancement public
Surveillance des erreurs et de la performance Sentry (Functional Software, Inc., d/b/a Sentry) États-Unis (siège) ; région sentry.io/eu (Irlande/Allemagne) Sujet à vérification et formalisation avant le lancement public
Opérations de paiement (sur les plans payants) Sera indiqué après la finalisation du modèle de paiement — voir docs/legal/launch_checklist.md, partie 3.5 TBD TBD
Conseillers juridiques, comptables et auditeurs Selon les besoins Selon la juridiction du conseiller Accords de confidentialité

Avant le lancement public, des contrats de traitement des données personnelles (Data Processing Agreement, DPA) seront conclus avec tous les sous-traitants permanents, les obligeant à respecter les standards du RGPD.

4.2. Telegram

Telegram Messenger Inc. collecte par lui-même certaines données sur votre interaction avec le bot et la Mini App conformément à sa politique de confidentialité. Telegram n’est pas notre sous-traitant — Telegram est un responsable du traitement indépendant de ses données. Si vous souhaitez savoir ce que Telegram collecte, consultez la Politique de confidentialité de Telegram.

4.3. Divulgation sur demande légale

Nous divulguons des données personnelles :

  • sur demande obligatoire d’une autorité publique compétente (tribunal, parquet, police, autorités fiscales et autres) — dans la mesure expressément prévue par la loi applicable ;
  • pour la protection de la vie et de la santé des personnes dans des situations d’urgence ;
  • pour la prévention et la répression d’infractions ;
  • pour la défense de nos droits légitimes dans des procédures judiciaires, administratives et autres ;
  • pour le respect de la législation sur les sanctions, de la législation de lutte contre le blanchiment de capitaux et le financement du terrorisme.

Dans de tels cas, nous nous efforçons de divulguer le volume minimal nécessaire de données et, lorsque la loi le permet, nous notifions l’Utilisateur concerné.

4.4. Transfert en cas de réorganisation

En cas de fusion, d’acquisition, de vente de l’activité, de réorganisation ou de procédure collective, nous pouvons transférer les données personnelles au nouveau propriétaire ou successeur légal. Dans ce cas, nous avertirons les Utilisateurs à l’avance, et le nouveau propriétaire sera tenu de garantir un niveau de protection non inférieur à celui établi par la présente Politique.

4.5. Nous ne transférons pas à n’importe qui

Nous ne transférons pas vos données :

  • aux annonceurs ;
  • aux courtiers en données ;
  • à d’autres plateformes à des fins commerciales ;
  • à d’autres Utilisateurs, sauf dans les cas où les Utilisateurs eux-mêmes publient volontairement des données dans le cadre d’une Fiche d’Entreprise.

5. Où nous stockons les données

5.1. Stockage principal

Les serveurs sur lesquels sont hébergées les données des Utilisateurs sont situés en Allemagne (Francfort, centre de données DigitalOcean FRA1). Lors du choix de l’emplacement du stockage, nous donnons la priorité aux juridictions offrant une protection solide des données personnelles et conformes aux standards de l’UE.

En outre, certaines catégories de données peuvent transiter par l’infrastructure suivante :

  • Cloudflare (réseau mondial de proxy et de DNS avec possibilité de routage via les centres UE) ;
  • Resend (région eu-west-1, Irlande) — pour les emails transactionnels ;
  • Sentry (région UE, Irlande / Allemagne) — pour les journaux d’erreurs.

5.2. Transfert international

Si, au cours du fonctionnement de la Plateforme, des données sont transférées vers un pays hors de votre juridiction (par exemple, pour les utilisateurs de l’EEE — hors de l’EEE via des partenaires d’infrastructure à présence mondiale), nous garantissons les garanties appropriées :

  • transfert vers des pays reconnus par l’UE comme assurant un niveau de protection adéquat (décision d’adéquation) ;
  • clauses contractuelles types (Standard Contractual Clauses, SCC) approuvées par la Commission européenne ;
  • autres mécanismes prévus par le chapitre V du RGPD.

Si un prestataire a son siège social ou son groupe de sociétés hors de l’EEE, dans certains cas l’accès aux données ou leur maintenance technique peuvent être effectués depuis l’extérieur de l’EEE, même si la région principale de stockage a été choisie dans l’UE. Dans de tels cas, nous appliquons les garanties correspondantes prévues par le chapitre V du RGPD, y compris les CCT et des mesures techniques et organisationnelles supplémentaires, si elles sont nécessaires.

La liste des transferts internationaux actuels et des garanties applicables est disponible sur demande à [email protected].

6. Combien de temps nous conservons les données

Les délais indiqués ci-dessous sont les délais de base de conservation pour la phase de test fermée et peuvent être précisés avant le lancement public en fonction de la juridiction choisie du Responsable, du modèle de paiement et des exigences fiscales et comptables. Si la loi exige un délai de conservation plus long ou si les données sont nécessaires pour un litige, une enquête ou la défense de droits, nous les conservons pendant le délai nécessaire.

Catégorie de données Délai de conservation
Données de base du Compte (ID Telegram, prénom, langue) Tant que le Compte est actif ; après l’effacement — jusqu’à 30 jours dans la base principale, jusqu’à 90 jours dans les copies de sauvegarde
Email du Titulaire et liaison avec l’ID Telegram Tant que le Compte est actif ; après l’effacement — jusqu’à 30 jours (sous réserve d’exceptions, si l’email figure dans les journaux d’acceptation des documents)
Contenu de la Fiche d’Entreprise Tant que la Fiche d’Entreprise est active ; après l’effacement — jusqu’à 30 jours (ensuite — anonymisation ou effacement)
Journaux d’actions et logs techniques Jusqu’à 12 mois (à des fins de sécurité et de diagnostic)
Journaux d’acceptation des Conditions, Règles et Politique Au moins 3 ans après la résiliation du Compte (pour la défense dans d’éventuels litiges)
Données sur les paiements et déclaration financière Dans les délais prévus par la législation fiscale et comptable applicable (en règle générale, 3 à 7 ans)
Correspondance avec le support Jusqu’à 2 ans à compter du moment de la clôture de la demande
Données liées à l’enquête sur des incidents ou à un litige actif Jusqu’à la fin des procédures correspondantes et l’expiration des délais de recours

À l’expiration des délais, les données sont effacées ou anonymisées (mises sous une forme ne permettant pas de les identifier avec une personne précise).

6.1. Données de la liste d’attente (waitlist) et enregistrements techniques associés

Demandes non confirmées (email indiqué par l’utilisateur, mais confirmation via le lien figurant dans l’email non effectuée) : conservées pendant 24 (vingt-quatre) heures à compter de la soumission, puis supprimées automatiquement. Le token technique de confirmation est conservé sous forme de hash et supprimé avec la demande.

Demandes confirmées concernant l’adresse email : conservées jusqu’à la date du lancement public de la Plateforme et pendant 30 (trente) jours calendaires après l’envoi unique de la notification de lancement. À l’expiration de ce délai, l’adresse email et les données d’identification associées de la liste d’attente sont supprimées. Si, au moment de la suppression, la personne concernée a procédé elle-même à l’enregistrement d’une Entreprise avec confirmation de la même adresse email selon la procédure décrite au § 2.2 de la présente Politique et au § 4.4 des Conditions d’utilisation, l’adresse email est traitée dans le cadre du cycle de vie du Compte du Propriétaire d’Entreprise. Les autres données de la liste d’attente sont supprimées conformément à la présente section.

Enregistrements minimaux d’attribution referral : le code referral personnel de l’utilisateur, les informations relatives aux utilisateurs qu’il a invités et les informations relatives à l’attribution referral par laquelle l’utilisateur lui-même est arrivé dans la liste d’attente sont conservés séparément pendant la durée de validité des bonus referral correspondants et la période nécessaire à la vérification de l’exactitude de leur attribution, conformément aux délais établis au § 7.9 des Conditions d’utilisation, en particulier au § 7.9.9, — mais pas plus de 12 (douze) mois calendaires à compter de la confirmation de l’email de l’utilisateur, sauf si l’application des bonus à un abonnement actif implique autrement.

Enregistrement anti-abuse de soumission de demande (hash de l’adresse IP et indicateurs techniques minimaux) : conservé séparément de la demande de liste d’attente pendant 30 (trente) jours calendaires à compter de la soumission, puis supprimé automatiquement. Le système ne conserve pas l’adresse IP d’origine dans le cadre de la demande waitlist ou de l’enregistrement anti-abuse ; le hash est utilisé exclusivement pour rapprocher les demandes répétées pendant la durée de conservation indiquée à des fins de rate-limiting.

Cookie dps_ref sur l’appareil du visiteur : 30 (trente) jours calendaires à compter de son installation. Local Storage dps-cookie-consent et dps-site-theme : jusqu’à suppression explicite par l’utilisateur via le lien « Gérer les cookies » ou les paramètres du navigateur.

Demandes de retrait du consentement : traitées dans un délai n’excédant pas 30 (trente) jours calendaires à compter de leur réception, en tenant compte des exceptions indiquées ci-dessus concernant les enregistrements minimaux d’attribution referral, si au moment du retrait ces enregistrements sont nécessaires pour confirmer des bonus déjà attribués ou devant être attribués au bénéfice de tiers — participants au programme referral.

6.2. Cycle de vie de l’abonnement et suppression des données

Les durées de conservation et la procédure de suppression des données personnelles du propriétaire, du contenu de la fiche entreprise et des données clients qui y sont liées en cas de fin de la période d’essai sans paiement de l’abonnement payant, d’annulation de l’abonnement payant ou de non-renouvellement de celui-ci sont décrites au § 7.4 des Conditions d’utilisation, notamment dans les dispositions relatives au mode gelé, au mode archive, à la durée de conservation de 90 jours, à la suppression des données, aux exceptions pour les enregistrements juridiquement nécessaires et aux actions sensibles accessibles uniquement au propriétaire de l’entreprise.

Les identifiants de protection formés sur la base de l’identifiant Telegram et de l’adresse email peuvent être conservés pendant la durée nécessaire pour prévenir les abus de la période d’essai et protéger les intérêts légitimes de l’Opérateur. L’adresse email n’est pas conservée en clair, mais est traitée sous forme de hachage cryptographique. Cette conservation est fondée sur l’intérêt légitime de l’Opérateur conformément à l’Art. 6(1)(f) GDPR, et le hachage de l’adresse email constitue une mesure de pseudonymisation au sens de l’Art. 4(5) GDPR.

7. Vos droits

Conformément au RGPD (articles 12 à 22) et aux normes analogues de la législation applicable, concernant vos données personnelles, vous avez les droits suivants :

7.1. Droit d’accès (article 15 du RGPD)

Vous avez le droit d’obtenir de notre part la confirmation que des données vous concernant sont ou ne sont pas traitées et, le cas échéant, une copie des données traitées et des informations sur les finalités, les catégories, les destinataires, les délais de conservation, les sources et l’existence d’une prise de décision automatisée.

7.2. Droit de rectification (article 16 du RGPD)

Vous avez le droit d’exiger la rectification des données inexactes ou incomplètes. La majeure partie des données peut être rectifiée par vous-même via l’interface de la Plateforme.

7.3. Droit à l’effacement (« droit à l’oubli », article 17 du RGPD)

Vous avez le droit d’exiger l’effacement de vos données lorsque :

  • les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ;
  • vous retirez le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre base ;
  • vous vous opposez au traitement et qu’il n’existe pas de motifs légitimes impérieux ;
  • les données ont fait l’objet d’un traitement illicite ;
  • les données doivent être effacées en vertu d’une obligation légale.

Le droit à l’effacement ne s’applique pas lorsque la conservation est nécessaire pour :

  • l’exécution d’une obligation légale (par exemple, déclaration fiscale) ;
  • la constatation, l’exercice ou la défense de droits en justice (y compris les journaux d’acceptation des documents — section 2.6) ;
  • l’intérêt public dans le domaine de la santé publique ;
  • des fins archivistiques, scientifiques, de recherche ou statistiques avec les garanties appropriées ;
  • la liberté d’expression et d’information.

7.4. Droit à la limitation du traitement (article 18 du RGPD)

Vous avez le droit d’exiger la limitation du traitement dans les cas où vous contestez l’exactitude des données, considérez le traitement illicite, ou lorsque le traitement n’est plus nécessaire pour nous mais l’est pour vous pour la défense de droits.

7.5. Droit à la portabilité des données (article 20 du RGPD)

Vous avez le droit de recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (par exemple, JSON ou CSV) et de les transmettre à un autre responsable du traitement.

7.6. Droit d’opposition (article 21 du RGPD)

Vous avez le droit de vous opposer au traitement fondé sur nos intérêts légitimes (voir la section 3). Nous cesserons le traitement, sauf si nous démontrons l’existence de motifs légitimes impérieux ou que le traitement est nécessaire à la défense de droits en justice.

S’agissant de la prospection directe, vous avez le droit de vous y opposer sans aucune justification, et nous cesserons le traitement à ces fins immédiatement.

7.7. Droit de retirer le consentement (article 7 du RGPD)

Si le traitement est fondé sur votre consentement, vous avez le droit de le retirer à tout moment. Le retrait du consentement n’affecte pas la licéité du traitement effectué avant le retrait.

7.8. Droit de ne pas faire l’objet d’une décision automatisée (article 22 du RGPD)

Vous avez le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, lorsque de telles décisions produisent à votre égard des effets juridiques ou vous affectent de manière significative similaire. Voir la section 9.

7.9. Droit d’introduire une réclamation auprès d’une autorité de contrôle (article 77 du RGPD)

Vous avez le droit d’introduire une réclamation auprès d’une autorité de contrôle de la protection des données, en premier lieu auprès de l’autorité du pays de votre résidence habituelle, de votre lieu de travail ou du lieu de la violation supposée.

Liste des autorités de contrôle de l’EEE : https://edpb.europa.eu/about-edpb/about-edpb/members_en.

En Ukraine — le Commissaire de la Verkhovna Rada de l’Ukraine pour les droits de l’homme : https://www.ombudsman.gov.ua.

7.10. Comment exercer vos droits

Pour exercer l’un quelconque des droits énumérés, envoyez une demande :

  • via l’interface de la Plateforme (pour des fonctions spécifiques — effacement du Compte, exportation des données) ;
  • à l’adresse [email protected].

Nous répondons aux demandes dans un délai de 30 (trente) jours calendaires. Dans des cas complexes, ce délai peut être prolongé de 60 jours supplémentaires, en vous communiquant les motifs de la prolongation.

L’exercice des droits est gratuit, à l’exception des cas de demandes manifestement infondées ou excessives (par exemple, répétitives), dans lesquels nous avons le droit soit de demander une rétribution raisonnable, soit de refuser le traitement avec justification.

Pour confirmer votre identité avant le traitement de la demande, nous pouvons demander des données supplémentaires. Si la demande est envoyée depuis un email vérifié lié au Compte, cela peut être pris en compte comme l’un des facteurs de confirmation de l’identité, mais nous pouvons demander une vérification supplémentaire si la demande concerne l’effacement, l’exportation ou la modification de données critiques ou s’il existe un risque d’accès non autorisé.

8. Cookies et technologies similaires

8.1. Ce que nous utilisons

La Plateforme fonctionne principalement comme Telegram Mini App, c’est pourquoi les « cookies » traditionnels sont utilisés de manière limitée. Nous utilisons les technologies suivantes de stockage de données sur votre appareil :

  • localStorage et sessionStorage dans la Telegram Mini App — pour la conservation des paramètres de langue, de l’indicateur d’acceptation des Conditions et du cache de l’interface ;
  • identifiants techniques de session — exclusivement pour l’autorisation, sans suivi publicitaire entre différents services.

Nous n’utilisons pas de cookies pour vous suivre dans d’autres applications et sites web et nous ne transférons pas de cookies à des tiers à des fins publicitaires.

8.2. Gestion

Vous pouvez effacer le stockage local via les paramètres du navigateur ou de Telegram. L’effacement entraînera la nécessité de choisir à nouveau la langue et d’accepter à nouveau les Conditions au prochain lancement.

9. Décision automatisée et profilage

9.1. Ce que nous faisons

Nous appliquons un traitement automatisé pour :

  • le fonctionnement technique de la Plateforme (par exemple, l’affichage des Fiches d’Entreprise en fonction de la catégorie et de la langue choisies) ;
  • la détection des abus (par exemple, indices de manipulation, spam, fraude) ;
  • la limitation de la fréquence des requêtes (rate limiting) pour la protection contre les attaques ;
  • la vérification du respect des restrictions territoriales (section 3.4 des Conditions d’utilisation).

9.2. Ce que nous ne faisons pas

Nous ne prenons pas de décisions automatisées produisant à votre égard des effets juridiques ou vous affectant de manière significative similaire fondées exclusivement sur un traitement automatisé.

Les décisions sur l’application de mesures de réaction ayant des conséquences significatives (blocage permanent du Compte, suppression d’une Fiche d’Entreprise) sont prises avec intervention humaine ou sont soumises à révision avec intervention humaine sur votre demande. Si vous considérez qu’une décision a été prise à votre égard sur la base exclusive d’un traitement automatisé et que vous souhaitez sa révision, écrivez à [email protected].

10. Sécurité des données

Nous appliquons des mesures techniques et organisationnelles correspondant raisonnablement aux risques du traitement :

  • chiffrement des données transmises (HTTPS/TLS) ;
  • chiffrement des données au repos dans la partie techniquement accessible au prestataire d’infrastructure ;
  • restriction de l’accès des employés et des sous-traitants selon le principe du moindre privilège ;
  • journaux d’accès aux données sensibles ;
  • copies de sauvegarde avec vérification régulière de l’intégrité ;
  • mise à jour des dépendances et audit des vulnérabilités ;
  • authentification à deux facteurs pour les comptes administratifs ;
  • surveillance des erreurs et des incidents via un service spécialisé avec priorité d’utilisation de la région UE, si cette région est disponible et configurée ;
  • formation des employés aux règles de traitement des données personnelles (au fur et à mesure de la croissance de l’équipe).

10.1. Notification de violations de la sécurité des données personnelles (Data Breach)

En cas de violation de la sécurité des données personnelles susceptible d’engendrer un risque pour les droits et libertés des Utilisateurs :

  • nous notifions l’autorité de contrôle compétente dans un délai de 72 heures à compter du moment de la détection (article 33 du RGPD) ;
  • si la violation engendre un risque élevé, nous notifions directement les Utilisateurs concernés sans retard injustifié à leur email vérifié (article 34 du RGPD) ;
  • nous enquêtons sur les causes et prenons des mesures pour éviter la répétition.

11. Enfants

La Plateforme n’est pas destinée aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données sur des enfants. Si nous apprenons que des données d’une personne de moins de 18 ans ont été collectées via l’utilisation de la Plateforme, nous effaçons ces données dès que possible, à l’exception des données qu’il est nécessaire de conserver temporairement pour des raisons de sécurité, de prévention des abus ou d’exécution d’une obligation légale.

Si vous êtes un parent ou un représentant légal et considérez que votre enfant a accédé à la Plateforme et nous a communiqué des données, écrivez à [email protected] et nous effacerons les données.

12. Modifications de la Politique

Nous avons le droit d’apporter des modifications à la Politique. Sur les modifications substantielles, nous informons les Titulaires de Fiches d’Entreprise à leur email vérifié au moins 14 jours calendaires avant leur entrée en vigueur. En outre, les modifications sont publiées sur la Plateforme. La date de la dernière mise à jour est indiquée au début du document.

Historique des versions. La version actuelle de la Politique est publiée sur la page https://damosta.com/privacy. Toutes les versions antérieures sont conservées et accessibles via des liens permanents dans l’archive des versions sur la page https://damosta.com/privacy/history. Sur demande, les versions antérieures de la Politique vous sont fournies.

13. Précisions juridictionnelles

13.1. Pour les utilisateurs dans l’Union européenne

Législation applicable de protection des données : RGPD (Règlement (UE) 2016/679) et lois nationales des États membres de l’EEE. Autorité de contrôle : indiquée à la section 7.9.

13.2. Pour les utilisateurs en Ukraine

Législation applicable : loi de l’Ukraine « Sur la protection des données personnelles ». Autorité de contrôle : le Commissaire de la Verkhovna Rada de l’Ukraine pour les droits de l’homme.

13.3. Pour les utilisateurs au Royaume-Uni

Législation applicable : UK GDPR et Data Protection Act 2018. Autorité de contrôle : Information Commissioner’s Office (ICO).

13.4. Pour les utilisateurs dans d’autres pays

La législation applicable de protection des données du pays de votre résidence, dans la mesure où ses règles impératives s’appliquent.

14. Langues

La Politique est publiée en plusieurs langues. La version en ukrainien est la version juridique de référence. Les traductions sont fournies pour la commodité des Utilisateurs et ne prévalent pas sur la version de référence. Si la législation impérative applicable du pays de résidence d’un Utilisateur-consommateur exige la fourniture du document dans la langue officielle de ce pays ou accorde au consommateur une protection indépendamment de la langue choisie, ces exigences restent en vigueur dans la partie obligatoire.

15. Contacts

Pour les demandes relatives au traitement des données personnelles : [email protected] Exercice des droits de la personne concernée : [email protected] Notifications d’incidents de sécurité : [email protected] Représentant dans l’UE (le cas échéant, article 27 du RGPD) : sera indiqué après l’évaluation de la nécessité — voir la partie 1.1 DPO (le cas échéant) : sera indiqué après l’évaluation de la nécessité — voir la partie 1.2

Coordonnées juridiques du Responsable : seront indiquées après l’enregistrement de la personne morale — voir docs/legal/launch_checklist.md, partie 3.1.

Annexe A : Résumé bref (TL;DR)

Si vous n’avez pas le temps de tout lire — l’essentiel :

  1. Nous recevons de Telegram uniquement des données de base que Telegram transmet via la Mini App : ID, prénom, nom d’utilisateur, langue, ainsi que photo de profil ou autres indicateurs techniques, si Telegram transmet de tels champs.
  2. Pour les Titulaires de Fiches d’Entreprise, un email vérifié est en outre nécessaire — c’est le canal formel de communication et il est obligatoire pour la création d’une Fiche d’Entreprise.
  3. Nous conservons ce que vous publiez vous-même dans une Fiche d’Entreprise (textes, photographies, contacts).
  4. Nous ne vendons pas vos données.
  5. Nous ne vous montrons pas de publicité de tiers.
  6. Nous ne transférons pas de données à des réseaux publicitaires.
  7. Nous stockons les données sur des serveurs en Allemagne (Francfort, DigitalOcean).
  8. Nous utilisons des prestataires de services (Cloudflare, DigitalOcean, Resend, Sentry). Avant le lancement public, la liste définitive des prestataires, les régions de traitement et les contrats de sous-traitance seront vérifiés et formalisés.
  9. Vous avez le droit de consulter vos données, de les rectifier, de les effacer et de les obtenir dans un fichier. Écrivez à [email protected] et nous examinerons votre demande conformément à la présente Politique.
  10. Si quelque chose ne va pas, écrivez à [email protected] ou introduisez une réclamation auprès de l’autorité de contrôle du pays de votre résidence.
  11. Si vous avez moins de 18 ans, la Plateforme n’est pas pour vous, ne l’utilisez pas.

Fin du document « Politique de confidentialité de la Plateforme DAMOSTA », version 1.0 (phase de test fermée).

Toutes les décisions ouvertes devant être clôturées avant le lancement public sont énumérées dans docs/legal/launch_checklist.md, partie 3.