Politique de confidentialité
1. Introduction
mintus exploite une plateforme de bons numériques et de fidélité fondée sur blockchain, comprenant le portefeuille mintus (app consommateur), l'app Caisse mintus (app marchand), la Console d'entreprise (web), ce site et les API associées (ensemble, les « Services »). La présente politique décrit les données personnelles traitées, leurs finalités, les bases juridiques, les destinataires et vos droits.
Elle est conçue pour respecter le RGPD de l'UE/UK, la CCPA/CPRA de Californie, la PIPL chinoise, la PDPA de Singapour, et les lois équivalentes d'autres juridictions.
2. Responsable du traitement
Le responsable du traitement est mintus (la « Société », « nous »). Vous pouvez nous contacter, y compris notre DPO, à privacy@mintus.world. Les représentants pays au titre de l'article 27 du RGPD, de l'article 53 de la PIPL ou d'autres régimes seront identifiés ici lorsque nommés.
Lorsque un marchand utilise la Console ou l'app Caisse pour émettre, distribuer ou échanger des bons, il agit comme responsable indépendant pour les données de ses clients. mintus agit alors comme sous-traitant pour ces opérations, et reste responsable autonome pour les données opérationnelles strictement nécessaires (identifiants, facturation, journaux de sécurité, etc.).
3. Champ d'application
La politique s'applique aux données personnelles collectées via :
- ce site, mintus.world, et ses sous-domaines ;
- le portefeuille mintus, l'app Caisse et la Console ;
- nos canaux support, ventes et partenaires.
4. Données collectées
| Catégorie | Exemples | Source |
|---|---|---|
| Données de compte | Identifiant, hachage du mot de passe, e-mail de récupération, questions de sécurité, langue | Vous, à l'inscription |
| Données d'identité (marchands, si requis) | Raison sociale, immatriculation, représentant légal, coordonnées bancaires, KYC au-delà des seuils légaux | Vous |
| Données techniques & d'appareil | Modèle, OS, version app, IP, langue, fuseau, rapports de crash, métriques | Automatique |
| Données d'usage | Pages/écrans, fonctionnalités, interactions, actions de bons (émission, transfert, échange) initiées par vous | Automatique |
| Identifiants on-chain | DID, clés publiques, hash de transactions | Générés à la création du compte ; inscrits sur la blockchain publique |
| Communications | Messages à nos équipes support, ventes, juridique ; réponses à enquêtes | Vous |
| Identifiants de notification push | Le jeton de l'appareil émis par Firebase Cloud Messaging (FCM) / Apple Push Notification (APNs), la plate-forme (iOS / Android), l'identifiant bundle de l'app et votre langue | Généré par votre appareil et le service de notifications du système d'exploitation après votre acceptation de l'autorisation de notification ; transmis à mintus lors de l'enregistrement de l'app |
| Marketing (opt-in) | Abonnement newsletter, consentement marketing | Vous |
Nous ne demandons aucune donnée sensible (origine, opinions politiques, religion, santé, orientation sexuelle, biométrie, génétique). Merci de ne pas nous en transmettre.
5. Finalités et bases juridiques
| Finalité | Catégories | Base juridique (RGPD art. 6) |
|---|---|---|
| Créer et exploiter votre compte ; fournir les Services | Compte, identifiants on-chain, données d'appareil | Exécution du contrat (6.1.b) |
| Traiter les actions de bons sur votre demande | Compte, usage, identifiants on-chain | Exécution du contrat |
| Respecter nos obligations légales (fiscalité, LCB-FT, sanctions, demandes d'autorités) | Identité, communications, usage | Obligation légale (6.1.c) |
| Détecter et prévenir la fraude, l'abus et les incidents | Appareil, usage, communications | Intérêt légitime (6.1.f) |
| Maintenir et améliorer les Services | Appareil, usage agrégé, crashes | Intérêt légitime |
| Notifications de service | Compte | Intérêt légitime / obligation légale |
| Délivrer les notifications push que vous avez autorisées (mouvements du portefeuille, messages reçus, événements de sécurité) | Identifiants de notification push, compte, communications | Exécution du contrat (6.1.b). L'autorisation de notification elle-même est accordée au niveau du système d'exploitation et peut être révoquée à tout moment. |
| Communications marketing | Compte, marketing | Consentement (6.1.a), retirable à tout moment |
6. Informations sur la blockchain publique
Les Services utilisent une blockchain publique pour enregistrer l'état des bons. Les informations écrites sur cette chaîne — DID, clés publiques, adresses de contrats, hash de transactions — sont par conception publiques, immuables et hors de notre contrôle. Nous n'y écrivons jamais votre nom, votre e-mail ou d'autres données directement identifiantes.
L'exercice d'un droit de suppression efface le lien hors-chaîne entre votre identité et vos identifiants on-chain ; les transactions on-chain demeurent, mais pseudonymes. Nous considérons cet équilibre justifié au regard de l'article 17.3.b RGPD (obligation légale) et 17.1.c (intérêts légitimes des Services et de l'écosystème). Raisonnement équivalent en PIPL, CCPA/CPRA et PDPA.
7. Partage des données
- Sous-traitants fournissant infrastructure, support, communications, analytics et sécurité ; liés par contrat de confidentialité et restrictions d'usage ;
- Passerelles de notifications push : Google (Firebase Cloud Messaging) et Apple (Apple Push Notification service) agissent en tant que sous-traitants lorsque nous acheminons des notifications vers votre appareil. Ils reçoivent uniquement le jeton de l'appareil et le contenu de la notification nécessaires à la délivrance ; nous ne partageons pas de données de compte avec Google ou Apple à d'autres fins ;
- Marchands avec qui vous transigez, uniquement le strict nécessaire à l'exécution de votre demande ;
- Auditeurs et conseillers professionnels soumis au secret professionnel ;
- Autorités dans la mesure requise par la loi ;
- Acquéreurs en cas de fusion-acquisition, sous réserve du respect de la présente politique.
Nous ne vendons ni ne louons vos données personnelles et ne les « partageons » pas pour de la publicité comportementale inter-contextes au sens du CPRA.
8. Transferts internationaux
mintus opère à l'international. Les transferts hors EEE/UK/Suisse vers un pays sans décision d'adéquation s'appuient sur les clauses contractuelles types (décision UE 2021/914), assorties d'évaluations d'impact et de mesures techniques complémentaires (chiffrement, contrôle d'accès, journalisation).
Les transferts depuis la Chine se font selon les voies prévues aux articles 38–43 PIPL (évaluation de sécurité, contrat type ou certification) selon les volumes.
9. Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte actif | Durée de vie du compte + 30 jours après suppression |
| Comptabilité / fiscalité marchands | Selon la loi applicable (7 à 10 ans) |
| Documents KYC marchand | 5 ans après la fin de la relation |
| Journaux de sécurité / fraude | Jusqu'à 24 mois |
| Jetons de notification push | Jusqu'à votre déconnexion, désinstallation de l'app, rotation du jeton par le service système, ou retour d'une erreur not-registered par la passerelle — selon le premier de ces événements. Les jetons inactifs sont marqués automatiquement ; les enregistrements inactifs depuis plus de 30 jours peuvent être purgés. |
| Historique support | Jusqu'à 36 mois après clôture |
| Enregistrements on-chain | Permanents (voir §6) |
10. Sécurité
Mesures techniques et organisationnelles appropriées : TLS en transit, chiffrement au repos, isolation des clés, principe du moindre privilège, MFA obligatoire pour le personnel, gestion des secrets, scans de vulnérabilités, tests d'intrusion tiers, journal d'audit, plan de réponse aux incidents conforme à l'article 33 RGPD (72 h). Voir Sécurité.
11. Vos droits (RGPD / UK GDPR)
Dans l'EEE/UK/Suisse, vous bénéficiez : du droit d'accès (art. 15), de rectification (16), d'effacement (17), de limitation (18), de portabilité (20), d'opposition (21), du retrait du consentement (7.3), du droit à l'introduction d'une réclamation auprès d'une autorité de contrôle (77). Demandes à privacy@mintus.world, réponse sous un mois (prorogeable de deux mois).
12. Droits CCPA / CPRA (Californie)
Droits de connaître, d'accéder, de supprimer, de corriger, de s'opposer à la « vente » ou au « partage », de limiter l'usage des données sensibles, et de non-discrimination. Adresse : privacy@mintus.world.
13. Droits PIPL (Chine)
Information et décision (art. 44), accès et copie (45), rectification (46), suppression (47), retrait du consentement (15), explication des règles (48), exercice par les proches d'une personne décédée (49). Adresse : privacy@mintus.world.
14. Droits PDPA (Singapour)
Accès et correction (art. 21–22), retrait du consentement (art. 16). Adresse : privacy@mintus.world.
15. Autres juridictions
Résidents du Brésil (LGPD), Canada (PIPEDA), Japon (APPI), Corée (PIPA), Inde (DPDP 2023), Australie, Émirats (PDPL) et États américains dotés de lois (Colorado, Connecticut, Virginie, Utah, Texas, etc.) — exercice à la même adresse, application selon la loi locale.
16. Mineurs
Les Services ne sont pas destinés aux moins de 13 ans (ou âge légal minimum local supérieur, ex. 16 dans certains États membres UE selon l'art. 8 RGPD). Aucune collecte sciemment auprès de ces personnes. En cas de collecte involontaire, contactez privacy@mintus.world.
17. Cookies et technologies similaires
Voir la politique cookies.
18. Décisions automatisées
Des systèmes automatisés détectent la fraude et les abus. Lorsque ces décisions ont un effet juridique ou similairement significatif, vous avez le droit d'obtenir une intervention humaine, d'exprimer votre point de vue et de contester (art. 22 RGPD).
19. Modifications
Mises à jour ponctuelles, signalées par changement de la date « Dernière mise à jour » et, si la loi l'exige, par notification dans l'app ou par e-mail.
20. Contact
- E-mail : privacy@mintus.world
- Adresse postale : fournie dans le kit d'onboarding marchand, ou sur demande.
- Représentants pays nommés mentionnés ici dès qu'effectifs.
Vous pouvez également saisir votre autorité locale de protection des données. En France, la CNIL : cnil.fr.