Avis de confidentialité

Vos données. Notre responsabilité.

SVRNG Pay opère dans plusieurs régimes de protection des données : Loi 25 (Québec), RGPD (Union européenne), PIPEDA (Canada fédéral), CCPA (Californie). Cet avis explique ce que nous collectons, pourquoi, combien de temps, et comment exercer vos droits.

Dernière mise à jour : 29 avril 2026 · Version 2.1

Identité du responsable

Le responsable du traitement des données personnelles collectées via svrngpay.com est Giroux Sovereign Inc., société du Delaware (file # 7842XXX), siège social 651 N. Broad Street, Suite 201, Middletown, DE 19709, États-Unis.

Pour toute question concernant le traitement de vos données : [email protected]

Ce que nous collectons

Compte merchant

Email, nom complet, mot de passe (haché bcrypt), 2FA secret (chiffré). Adresses IP de connexion. Device fingerprint pour la détection de fraude.

Vérification KYC (selon tier)

Pour les tiers 2 et 3 : ID gouvernemental, selfie de vérification, structure corporate, beneficial ownership. Stockés chez Persona (notre sous-traitant SOC 2). Côté SVRNG Pay : seuls les hashes de vérification.

Données transactionnelles

Montants, devises, adresses crypto utilisées (publiques onchain), horodatages, métadonnées merchant. Adresses IP des payeurs (pour détection fraude). Email du payeur si fourni au moment du paiement.

Données techniques

Logs d'accès API (IP, endpoint, timestamp, status). Erreurs applicatives via Sentry self-hosted (PII filtré avant capture). User-agent et type de device pour les sessions dashboard.

Communications

Emails transactionnels (notifications de paiement, sécurité). Tickets support. Aucun email marketing — nous ne faisons pas de marketing par email.

Pourquoi nous collectons

  • Exécution du contrat — fournir le service de paiement que vous avez souscrit (base légale RGPD art. 6(1)(b)).
  • Obligations légales — KYC/AML, signalement transactions suspectes, conservation comptable (base légale RGPD art. 6(1)(c) ; PCMLTFA Canada).
  • Intérêt légitime — détection de fraude, sécurité de l'infrastructure, amélioration produit (base légale RGPD art. 6(1)(f)).
  • Consentement — pour les finalités secondaires (cookies non-essentiels, communications optionnelles), avec retrait à tout moment.

Combien de temps nous gardons

Donnée Durée
Compte merchant actifTant que le compte existe
Compte fermé (données nominales)12 mois puis effacement
Données KYC (Persona)5 ans après fermeture (obligation AML)
Logs transactionnels7 ans (obligation comptable / fiscale)
Logs d'accès API90 jours puis effacement
Logs erreurs Sentry30 jours puis effacement

Sous-traitants (sub-processors)

Tous nos sous-traitants sont sous DPA (Data Processing Agreement) conformes RGPD. Les modifications de cette liste sont notifiées 30 jours à l'avance.

  • Digital OceanInfrastructure (compute, DB) · TOR1, FRA1
  • CloudflareCDN, DDoS, TLS · global
  • PersonaKYC / vérification d'identité · USA
  • PostmarkEmail transactionnel · USA
  • ChainalysisScreening sanctions / risk scoring · USA

Vos droits

Selon votre juridiction, vous disposez de tout ou partie des droits suivants. Pour exercer un droit, écrivez à [email protected] avec une preuve d'identité minimale. Réponse dans les 30 jours (15 jours sous Loi 25).

  • Droit d'accès — obtenir copie de toutes les données vous concernant.
  • Droit de rectification — corriger les données inexactes.
  • Droit à l'effacement — supprimer les données (sous réserve des obligations légales de conservation).
  • Droit à la portabilité — recevoir vos données dans un format structuré et lisible.
  • Droit d'opposition — au traitement basé sur l'intérêt légitime.
  • Droit de plainte — auprès de votre autorité de contrôle (CAI Québec, CNIL France, ICO UK, OPC Canada, etc.).

Transferts internationaux

Nos infrastructures sont situées au Canada (TOR1) et en Allemagne (FRA1). Certaines de nos données peuvent transiter vers les États-Unis via nos sous-traitants (Persona, Postmark, Chainalysis, Cloudflare). Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD et aux exigences de la Loi 25 du Québec.

Cookies

SVRNG Pay utilise uniquement des cookies essentiels au fonctionnement du service (session d'authentification, CSRF). Aucun cookie analytique ou publicitaire. Aucun tracker tiers (pas de Google Analytics, pas de Facebook Pixel, pas de HotJar).

Modifications

Toute modification substantielle de cet avis est notifiée 30 jours à l'avance par email aux merchants actifs. L'historique des versions est conservé sur demande à [email protected].