Politique de confidentialité

Dernière mise à jour · 11/06/2026

1. Responsable de traitement

Le responsable du traitement des données personnelles collectées via le site www.kodaswap.com est :

  • Denis ZHENG (KodaSwap)
  • 14 rue Olympe de Gouges, 92600 Asnières-sur-Seine, France
  • Email : [email protected]

2. Données collectées et finalités

Donnée collectéeFinalitéBase légaleConservation
Nom, prénom, email professionnel, entreprise, téléphone (formulaire de démo)Traiter votre demande de démo et vous recontacterMesures précontractuelles (art. 6.1.b RGPD)3 ans à compter du dernier contact
Données de navigation (Google Analytics)Mesurer l'audience et améliorer le SiteConsentement (art. 6.1.a RGPD)14 mois maximum
Adresse IP, logs serveurSécurité et bon fonctionnement du SiteIntérêt légitime (art. 6.1.f RGPD)12 mois

Aucune donnée sensible (au sens de l'article 9 RGPD) n'est collectée.

3. Destinataires des données

Vos données sont traitées par Denis ZHENG et peuvent être transmises aux sous-traitants suivants, agissant uniquement sur instruction :

  • Scaleway SAS — hébergement, données stockées dans l'Union européenne
  • Google Ireland Limited — Google Analytics (cf. section transferts hors UE)
  • Calendly LLC — prise de rendez-vous pour les démos (cf. section transferts hors UE)

Vos données ne sont ni vendues, ni louées, ni cédées à des tiers à des fins commerciales.

4. Transferts hors Union européenne

L'utilisation de Google Analytics et de Calendly implique des transferts de données vers les États-Unis (Google LLC et Calendly LLC). Ces transferts sont encadrés par le Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) et par les clauses contractuelles types.

5. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • Accès : obtenir une copie des données vous concernant
  • Rectification : corriger des données inexactes
  • Effacement (« droit à l'oubli »)
  • Limitation du traitement
  • Opposition au traitement
  • Portabilité des données
  • Retrait du consentement à tout moment
  • Définir des directives post-mortem sur vos données

Pour exercer ces droits, écrivez à [email protected] en justifiant de votre identité. Nous répondrons sous un mois maximum.

En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

6. Sécurité

Les données sont stockées sur des serveurs situés dans l'Union européenne, sécurisés par chiffrement TLS, contrôle d'accès et sauvegardes régulières.

7. Modifications

La présente politique peut être mise à jour. La date de dernière modification figure en haut du document.


8. Application Shopify KodaSwap

Cette section complète la politique ci-dessus et s'applique spécifiquement à l'application KodaSwap installée par les marchands sur leur boutique Shopify. Pour les données personnelles des clients du marchand traitées dans ce cadre, le marchand est responsable de traitement et KodaSwap agit en qualité de sous-traitant (article 28 RGPD), sur instruction du marchand et pour les seules finalités de gestion des retours, échanges et remboursements.

8.1 Données traitées via Shopify

DonnéeSourceFinalité
N° de commande, articles, prix, codes de réduction, paysAPI Shopify (commandes)Permettre au client de sélectionner les articles à retourner et calculer le remboursement
Nom et e-mail du clientAPI Shopify / widgetIdentifier la demande et communiquer avec le client (e-mails de suivi)
Adresse postale et téléphone (échanges)Saisis par le client dans le widgetGénérer l'étiquette de retour ou de réexpédition
Photos des articles retournésTéléversées par le clientPermettre au marchand d'évaluer l'état des articles
Catalogue produits, variantes, stockAPI ShopifyProposer des échanges et la remise en stock
N° de suivi, point relais, transporteurAPI transporteursAssurer le suivi de l'acheminement du colis retour

KodaSwap n'accède jamais aux données de paiement (carte bancaire) des clients : les paiements éventuels (échanges avec différence de prix) sont réalisés directement via le checkout sécurisé de Shopify.

8.2 Permissions demandées à Shopify

À l'installation, l'application demande uniquement les accès nécessaires à son fonctionnement :

  • Lecture des commandes — afficher les articles éligibles au retour
  • Lecture/écriture des commandes et brouillons de commande — remboursements, échanges et liens de paiement
  • Lecture des produits et des stocks — catalogue d'échange et remise en stock
  • Lecture des clients — nom et e-mail nécessaires au traitement de la demande
  • Avoirs (store credit) — émettre un remboursement sous forme d'avoir
  • Balise de script (script tag) — afficher le widget de retour sur la boutique

8.3 Sous-traitants de l'application

Dans le cadre de l'application, les données peuvent être traitées par les sous-traitants suivants, agissant uniquement sur instruction :

  • Scaleway SAS — hébergement applicatif, base de données et stockage des étiquettes et photos de retour, Union européenne
  • Amazon Web Services (Amazon SES) — envoi des e-mails transactionnels, région Paris (eu-west-3)
  • Transporteurs (Colissimo / La Poste, Mondial Relay, Chronopost) — génération des étiquettes : reçoivent le nom, l'adresse et le téléphone du client
  • Cloudflare, Inc. — diffusion technique du widget (réseau de distribution de contenu)
  • Shopify (Shopify Billing) — facturation de l'abonnement du marchand uniquement (aucune donnée de retour client n'y transite)

8.4 Hébergement et localisation

Les données de l'application sont hébergées au sein de l'Union européenne. Vos données ne sont ni vendues, ni louées, ni cédées à des tiers à des fins commerciales.

8.5 Sécurité

Les échanges sont chiffrés via TLS. Les identifiants des transporteurs et les jetons d'accès sont chiffrés au repos (AES-256-GCM). L'accès aux données est restreint, contrôlé et journalisé, et des sauvegardes régulières sont effectuées.

8.6 Durée de conservation

À titre indicatif et sauf instruction contraire du marchand :

  • Les demandes de retour et les données associées sont conservées pendant la durée de l'abonnement du marchand, puis jusqu'à 3 ans à des fins comptables et de preuve.
  • Les photos téléversées par le client sont supprimées 90 jours après la clôture du retour.
  • En cas de désinstallation de l'application, l'ensemble des données de la boutique est supprimé sous 60 jours.
  • Une demande d'effacement émanant d'un client est traitée sous 30 jours maximum.

8.7 Demandes d'accès, d'effacement et webhooks de conformité

Conformément aux exigences de Shopify et au RGPD, KodaSwap traite les demandes émises automatiquement via les webhooks de conformité Shopify :

  • Demande de données client (« customers/data_request ») — restitution des données détenues sur un client
  • Effacement des données client (« customers/redact ») — suppression des données d'un client
  • Effacement des données de la boutique (« shop/redact ») — suppression des données après désinstallation

Toute demande directe peut être adressée à [email protected]. Les clients finaux exercent leurs droits auprès du marchand, responsable de traitement, que KodaSwap assiste en sa qualité de sous-traitant.