Déclaration de Conformité RGPD

Dernière mise à jour : 20 avril 2026

Cette page détaille la manière dont Keptly respecte le Règlement Général sur la Protection des Données (Règlement UE 2016/679 — RGPD) et la Loi Informatique et Libertés.

1. Notre engagement

Le respect de la vie privée est un principe fondateur de Keptly. Nous :

Collectons uniquement les données strictement nécessaires (minimisation)
Chiffrons les données sensibles au repos et en transit
Supprimons les données immédiatement à la désinstallation
Vous donnons, ainsi qu'à vos clients, le plein contrôle sur les données personnelles
Fournissons un Accord de Sous-Traitance (DPA) signé sur demande

2. Responsable de traitement vs. sous-traitant

Contexte	Rôle de Keptly	Rôle du Marchand
Données de compte marchand (email boutique, facturation, paramètres)	Responsable	Personne concernée
Données clients finaux traitées dans l'App	Sous-traitant	Responsable
Données des visiteurs du site (getkeptly.com)	Responsable	Personne concernée

En qualité de sous-traitant des données clients du marchand, Keptly traite ces données uniquement sur instructions documentées du marchand (via les paramètres de l'App et les scopes installés), conformément à l'article 28 du RGPD.

3. Accord de Sous-Traitance (DPA)

Un Accord de Sous-Traitance type est disponible sur demande à hello@getkeptly.com. Cet accord :

Définit l'étendue, la nature et la finalité du traitement
Liste les sous-traitants autorisés
Précise les mesures de sécurité
Fixe les procédures de notification de violation
Inclut les Clauses Contractuelles Types de l'UE pour les transferts internationaux

4. Droits des personnes concernées

Vous pouvez exercer à tout moment les droits suivants :

Droit	Article RGPD	Comment exercer
Accès	Art. 15	Nous écrire
Rectification	Art. 16	Nous écrire
Effacement (« droit à l'oubli »)	Art. 17	Nous écrire / désinstaller l'App
Limitation	Art. 18	Nous écrire
Portabilité	Art. 20	Nous écrire — export JSON fourni
Opposition	Art. 21	Nous écrire
Retrait du consentement	Art. 7.3	Nous écrire / lien de désinscription
Réclamation	Art. 77	Contacter la CNIL (www.cnil.fr)

Toutes les demandes sont traitées sous un (1) mois, extensible à trois (3) mois si la demande est complexe, conformément à l'art. 12.3 RGPD.

5. Sous-traitants

La liste complète et à jour des sous-traitants est disponible dans notre Politique de Confidentialité, section 5. Nous notifions aux responsables de traitement tout ajout ou remplacement de sous-traitant au moins 30 jours à l'avance.

6. Transferts internationaux

Les données transférées hors de l'EEE sont protégées par :

EU-US Data Privacy Framework (pour les prestataires américains certifiés)
Clauses Contractuelles Types (CCT) pour les autres transferts
Garanties techniques : chiffrement de bout en bout, contrôles d'accès

7. Conservation et suppression

Keptly applique la politique de conservation la plus stricte possible :

Les données sont conservées uniquement tant que l'App est installée
Lorsque le marchand désinstalle l'App, Shopify envoie un webhook app/uninstalled
À réception, toutes les données du marchand et des clients sont supprimées immédiatement en cascade de notre base de production
Les sauvegardes sont écrasées sous 30 jours
Les demandes individuelles de suppression client (webhook Shopify customers/redact) déclenchent la suppression immédiate de l'enregistrement

8. Mesures de sécurité

Chiffrement au repos : AES-256-GCM pour les tokens OAuth
Chiffrement en transit : TLS 1.2+ pour tout le trafic réseau
Intégrité des webhooks : vérification de signature HMAC-SHA256
Contrôle d'accès : accès par rôle aux systèmes de production
Monitoring : suivi d'erreurs Sentry + logs d'audit
Hygiène des dépendances : mises à jour de sécurité régulières et scan de vulnérabilités
Réponse aux incidents : procédure documentée, notification de violation sous 72 h conformément à l'art. 33 RGPD

9. Délégué à la Protection des Données (DPO)

Compte tenu de l'échelle de notre traitement (principalement B2B, aucune donnée sensible au sens de l'art. 9 RGPD), nous ne sommes pas tenus de désigner un DPO au titre de l'art. 37 RGPD. Vincent Lebrun, en qualité de représentant légal de Synnervate, traite toutes les demandes relatives à la protection des données.

10. Autorité de contrôle

L'autorité de contrôle compétente pour Keptly est la Commission Nationale de l'Informatique et des Libertés (CNIL) :

Site : www.cnil.fr
Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
Téléphone : +33 1 53 73 22 22

11. Contact

Pour toute question RGPD, demande de DPA, ou exercice d'un droit :

Vincent Lebrun — Synnervate
4 allée Catherine Sauvage, 35136 Saint-Jacques-de-la-Lande, France
Email : hello@getkeptly.com