Skip to main content
satooB

Politique de confidentialité

Dernière mise à jour: 6 mai 2026Date d'effet: À l'acceptation

La présente Politique de confidentialité décrit la manière dont Konatamo LLCsatooB », « nous », « notre », « nos ») collecte, utilise, partage et protège les données personnelles dans le cadre de la plateforme satooB, de ses sites internet, de ses applications mobiles et des services associés (le « Service »). Elle s'applique à tous les utilisateurs du Service à travers le monde et est publiée en conformité avec les lois applicables en matière de protection des données, dont le Règlement général sur la protection des données 2016/679 (« RGPD »), le UK General Data Protection Regulation, le California Consumer Privacy Act tel qu'amendé par le California Privacy Rights Act (« CCPA/CPRA »), la Lei Geral de Proteção de Dados brésilienne (« LGPD »), la Loi 25 du Québec sur la protection des renseignements personnels dans le secteur privé, et la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »).

La présente Politique de confidentialité est incorporée par référence aux Conditions générales d'utilisation, aux Conditions Partenaires et aux Conditions Utilisateurs. Les termes définis non précisés ici ont le sens qui leur est donné dans ces documents.

1. Introduction

Konatamo LLC est responsable du traitement des données personnelles décrites dans la présente Politique lorsque nous déterminons les finalités et les moyens du traitement. Lorsque nous traitons des données personnelles pour le compte d'un Commerçant dans le cadre du programme de fidélité de ce dernier, le Commerçant est responsable du traitement et nous agissons en qualité de sous-traitant. Les modalités de traitement applicables sont définies dans notre Accord de traitement des données.

Pour toute question relative à la présente Politique de confidentialité ou à nos activités de traitement, vous pouvez contacter notre Délégué à la protection des données à l'adresse privacy@satoob.com ou par courrier à l'adresse indiquée à la Section 16.

2. Données que nous collectons

Nous collectons des données personnelles relevant des catégories suivantes. Les champs précisément collectés dépendent de votre utilisation du Service en tant qu'Utilisateur Final (consommateur) ou en tant que Commerçant (représentant d'une entreprise).

Identité et coordonnées

Adresse e-mail, nom de compte (pseudonyme pour les Utilisateurs Finaux, dénomination légale pour les représentants autorisés des Commerçants), numéro de téléphone lorsque vous le fournissez, pays et préférences de langue. Pour les comptes Commerçants, nous collectons également les noms et fonctions des représentants autorisés.

Authentification

Identifiants hachés (nous ne stockons pas de mots de passe en clair), codes à usage unique utilisés pour la vérification e-mail et téléphone, jetons de session, empreintes d'appareil pour le portail caisse Commerçant, et métadonnées d'événements de sécurité (connexions réussies, échecs de connexion, verrouillages).

Adresse et localisation

Adresse postale (collectée durant l'onboarding Commerçant à des fins de KYB et fiscales ; facultative pour les Utilisateurs Finaux). Localisation approximative déduite de votre adresse IP à des fins de prévention de la fraude et d'orientation linguistique. Les coordonnées GPS précises ne sont traitées qu'avec votre consentement explicite et en cours de session pour des fonctionnalités telles que la carte « drive-to-store » en magasin et le check-in des Commerçants ambulants, et ne sont pas conservées au-delà de la session active.

Identifiants d'entreprise (Commerçants)

Dénomination légale de l'entité, numéro d'immatriculation (SIREN/SIRET en France, Companies House au Royaume-Uni, EIN aux États-Unis, équivalents dans d'autres juridictions), numéro d'identification TVA, adresse du siège social, secteur d'activité, type d'activité déclaré, et documents Know-Your-Business téléversés durant l'onboarding. Nous pouvons vérifier ces données auprès de registres publics (INSEE, VIES, Companies House) et de listes de sanctions.

Transactionnel

Activité au sein du Service : satoPOINTS gagnés, satoPOINTS convertis en Bons, Bons utilisés, Bons remboursés, tentatives de quêtes et leurs résultats, identifiants externes de tickets (la référence du reçu fournie par votre Commerçant pour le cashback). Pour les comptes Commerçants : réserves, règlements et rapports de compensation.

Comportemental

Pages visitées, fonctionnalités utilisées, durée de session, type d'appareil, système d'exploitation, type et langue du navigateur, URL de référence, et autres informations de diagnostic similaires collectées via les cookies et technologies équivalentes. Nous utilisons ces informations pour exploiter le Service, l'améliorer et détecter les fraudes ou abus.

Communications et support

Contenu des messages que vous nous envoyez via le formulaire de contact, des tickets de support, et des réponses que vous adressez à nos e-mails transactionnels. Nous ne surveillons pas les messages privés échangés en dehors du Service.

Cookies et technologies similaires

Cookies strictement nécessaires (authentification, langue, devise, état du consentement), et, lorsque vous y avez consenti (ou lorsque le droit local le permet sur la base de l'intérêt légitime), cookies d'analyse et d'amélioration du produit. La liste complète des cookies que nous déposons est publiée dans la Politique de cookies.

3. Sources des données

Nous obtenons des données personnelles auprès de trois sources :

  1. Directement auprès de vous — lorsque vous créez un compte, complétez l'onboarding, configurez vos préférences, utilisez des Bons, contactez le support ou interagissez d'une autre manière avec le Service.
  2. Automatiquement — via les cookies, les journaux serveur, les outils d'analyse et les systèmes de surveillance de sécurité.
  3. Auprès de tiers — registres publics d'entreprises (INSEE, VIES, Companies House et équivalents) pour la vérification KYB ; prestataires de filtrage des sanctions ; confirmations de notre prestataire de paiement ; et, le cas échéant, agrégateurs de signaux de fraude.

4. Finalités du traitement

Nous traitons les données personnelles aux finalités suivantes :

  1. Fournir et maintenir le Service — authentifier les comptes, enregistrer l'activité satoPOINTS et Bons, générer les rapports de compensation, assurer la continuité multi-appareils.
  2. Vérifier l'éligibilité des Commerçants — réaliser les contrôles KYB, filtrer les listes de sanctions, valider les identifiants fiscaux, et relancer ces contrôles périodiquement.
  3. Traiter les transactions — émettre et valider les Bons, enregistrer les écritures comptables correspondantes, prendre en charge les règlements Commerçants.
  4. Communiquer avec vous — envoi d'e-mails transactionnels (vérification de compte, alertes de sécurité, reçus, rapports de compensation) et, avec votre consentement, communications marketing.
  5. Personnaliser votre expérience — appliquer vos préférences de langue, devise et accessibilité.
  6. Améliorer le Service — analyse, tests A/B, debug, planification de capacité.
  7. Prévenir la fraude et les abus — détecter les activités suspectes, bloquer les abus automatisés, protéger les programmes Commerçants des manipulations et les comptes contre les prises de contrôle.
  8. Respecter les obligations légales — conservation des registres fiscaux et comptables, réponse aux demandes légales des autorités de surveillance ou judiciaires, conformité en matière de lutte contre le blanchiment d'argent lorsque cela est applicable.
  9. Établir, exercer ou défendre des droits en justice — lorsque nous sommes parties à une procédure judiciaire ou exposés à une telle procédure.

5. Bases légales du traitement (RGPD Article 6)

Pour les utilisateurs résidant dans l'Union européenne ou au Royaume-Uni, nous nous appuyons sur les bases légales suivantes :

  • Exécution d'un contrat avec vous (RGPD Art. 6, 1, b) — pour l'authentification, le traitement des transactions, la gestion du compte et le support client, qui sont nécessaires à la fourniture du Service auquel vous avez souscrit.
  • Respect d'une obligation légale (RGPD Art. 6, 1, c) — pour la vérification KYB, le filtrage des sanctions, la conservation des registres fiscaux et la réponse aux demandes légitimes des autorités.
  • Intérêts légitimes (RGPD Art. 6, 1, f) — pour la prévention de la fraude, la surveillance de la sécurité, l'analyse produit et le marketing direct auprès de clients existants, lorsque nos intérêts ne sont pas supplantés par vos droits et libertés fondamentaux. Nous documentons nos évaluations d'intérêt légitime et les fournissons sur demande.
  • Consentement (RGPD Art. 6, 1, a) — pour les cookies non essentiels, le marketing par e-mail auprès de prospects, la géolocalisation précise, et toute fonctionnalité optionnelle expressément identifiée comme reposant sur le consentement au moment où vous l'activez. Le consentement peut être retiré à tout moment, sans porter atteinte à la licéité du traitement réalisé avant le retrait.

Nous ne traitons pas de catégories particulières de données (Art. 9 RGPD) dans le cadre de l'exploitation ordinaire du Service. Lorsque la vérification d'un document KYB révèle accessoirement de telles données (par exemple, une carte d'identité comportant des informations biométriques ou de santé), nous n'extrayons pas et ne traitons pas davantage ces catégories particulières.

6. Partage des données personnelles

Nous partageons les données personnelles uniquement lorsque cela est strictement nécessaire à l'exploitation du Service, au respect de la loi, ou avec votre consentement.

6.1 Prestataires (sous-traitants ultérieurs)

Nous faisons appel à des prestataires tiers soigneusement sélectionnés pour héberger, sécuriser, surveiller et exploiter le Service. La liste complète est publiée à l'adresse /legal/subprocessors, avec les catégories de données personnelles que chaque prestataire reçoit, le lieu de traitement et les garanties que nous appliquons. Les sous-traitants ultérieurs sont liés par des accords écrits qui reproduisent les protections de la présente Politique de confidentialité et, le cas échéant, de notre Accord de traitement des données.

6.2 Commerçants avec lesquels vous interagissez

Lorsque vous participez au programme de fidélité d'un Commerçant, nous partageons avec ce dernier les données nécessaires à l'exploitation de son programme : un identifiant pseudonyme stable, le solde satoPOINTS alloué au programme du Commerçant, les Bons que vous avez émis ou utilisés chez ce Commerçant, la référence de ticket correspondante le cas échéant, et l'identifiant de session caisse au point de vente. Nous ne partageons pas votre adresse e-mail, votre numéro de téléphone, votre adresse postale ou d'autres données directement identifiantes avec le Commerçant, sauf si vous avez expressément choisi de les partager via une action explicite et clairement identifiée dans le produit.

6.3 Autorités légales et divulgations

Nous pouvons divulguer des données personnelles aux tribunaux, régulateurs, autorités de poursuite et autres tiers lorsque le droit applicable nous y oblige (par exemple, en réponse à une décision de justice, à une demande d'une autorité de régulation ou à un contrôle fiscal), ou lorsque la divulgation est nécessaire pour : (i) protéger les droits, biens ou la sécurité de Konatamo LLC, de nos clients ou du public ; (ii) détecter ou prévenir la fraude, les abus ou la violation de notre Politique d'usage acceptable ; ou (iii) faire respecter nos Conditions d'utilisation. Lorsque cela est légalement permis, nous vous notifierons toute telle divulgation affectant vos données.

6.4 Transferts d'entreprise

Si Konatamo LLC fait l'objet d'une fusion, d'une acquisition, d'une opération de financement, d'une cession d'actifs, d'une procédure d'insolvabilité, d'une réorganisation ou d'une transaction similaire, des données personnelles peuvent être divulguées ou transférées à la contrepartie, dans la continuité des protections définies par la présente Politique de confidentialité. Nous vous notifierons tout changement de responsable du traitement et vous donnerons, lorsque cela est requis, l'occasion de vous y opposer avant la prise d'effet du transfert.

6.5 Nous ne vendons pas de données personnelles

Aux fins du CCPA/CPRA et des lois équivalentes, nous ne vendons pas et ne partageons pas à des fins de publicité comportementale inter-contextes de données personnelles. Nous n'échangeons pas de données personnelles contre une contrepartie monétaire ou autre, et nous ne divulguons pas de données personnelles à des tiers à des fins indépendantes de publicité ou de marketing.

7. Conservation des données

Nous conservons les données personnelles uniquement pendant la durée nécessaire aux finalités décrites ci-dessus, sauf lorsqu'une durée de conservation plus longue est requise par la loi.

  • Données de compte actif — conservées tant que votre compte est actif.
  • Données de compte clôturé — conservées pendant la plus longue des durées suivantes : sept (7) ans (conservation fiscale US) ou dix (10) ans (conservation imposée par le code de commerce de l'UE), puis supprimées ou anonymisées de manière définitive. Certains enregistrements peuvent être conservés plus longtemps lorsque la loi l'exige (par exemple, conformité en matière de lutte contre le blanchiment d'argent).
  • Écritures du grand livre transactionnel — conservées pendant la plus longue des durées suivantes : la prescription applicable ou dix (10) ans, conformément aux exigences d'intégrité de la comptabilité à partie double.
  • Journaux d'audit (portail caisse) — conservés pendant treize (13) mois puis purgés automatiquement.
  • Événements d'analyse comportementale — conservés pendant vingt-six (26) mois par notre prestataire d'analyse selon ses paramètres par défaut, susceptibles d'être réduits sur demande.
  • Journaux serveur — conservés pendant trente (30) jours.
  • Sauvegardes — conservées pendant trente (30) jours en rotation.

Lorsqu'une obligation de conservation à des fins judiciaires (« legal hold ») s'applique, les durées de conservation ci-dessus sont prolongées jusqu'à la levée de cette obligation.

8. Transferts internationaux de données

Konatamo LLC est établie aux États-Unis, et notre infrastructure est hébergée dans plusieurs régions, dont les États-Unis, l'Union européenne et le Royaume-Uni. Lorsque les données personnelles de résidents UE ou britanniques sont transférées vers un pays ne bénéficiant pas d'une décision d'adéquation de la Commission européenne ou du Royaume-Uni, nous nous appuyons sur les garanties appropriées requises par les Articles 44 à 49 du RGPD, notamment :

  • les Clauses contractuelles types émises par la Commission européenne (Décision 2021/914) pour les transferts depuis l'Espace économique européen vers des pays tiers ;
  • l'Addendum britannique au transfert international de données aux CCT UE pour les transferts depuis le Royaume-Uni.

Nous réalisons une évaluation d'impact des transferts pour chaque transfert ultérieur et appliquons des mesures supplémentaires lorsque l'évaluation indique qu'elles sont nécessaires (par exemple, chiffrement supplémentaire, restrictions contractuelles à l'accès gouvernemental, droits d'audit). Un résumé de notre évaluation d'impact est disponible sur demande.

9. Vos droits — UE et Royaume-Uni

Si vous résidez dans l'Union européenne ou au Royaume-Uni, les lois applicables en matière de protection des données vous accordent les droits suivants à l'égard de vos données personnelles :

  1. Droit d'accès (Art. 15 RGPD / équivalents) — obtenir la confirmation que vos données personnelles sont traitées et, le cas échéant, en obtenir une copie ainsi que des méta-informations sur le traitement.
  2. Droit de rectification (Art. 16 RGPD) — corriger les données personnelles inexactes et compléter les données incomplètes.
  3. Droit à l'effacement / « droit à l'oubli » (Art. 17 RGPD) — obtenir la suppression de vos données personnelles, sous réserve des exceptions prévues par la loi (par exemple, conservation requise par des obligations légales).
  4. Droit à la limitation du traitement (Art. 18 RGPD) — exiger que nous limitions le traitement de vos données dans des circonstances spécifiques.
  5. Droit à la portabilité (Art. 20 RGPD) — recevoir les données personnelles que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
  6. Droit d'opposition (Art. 21 RGPD) — vous opposer, à tout moment et pour des raisons tenant à votre situation particulière, au traitement fondé sur nos intérêts légitimes (Art. 6, 1, f). Lorsque le traitement vise la prospection commerciale, vous pouvez vous y opposer à tout moment et sans justification.
  7. Droit de retrait du consentement — lorsque le traitement est fondé sur votre consentement (Art. 6, 1, a), vous pouvez retirer votre consentement à tout moment, sans porter atteinte à la licéité du traitement réalisé avant le retrait.
  8. Droit d'introduire une réclamation auprès d'une autorité de contrôle — par exemple, la CNIL en France, le BfDI en Allemagne, l'AEPD en Espagne, le Garante per la protezione dei dati personali en Italie, la CNPD au Portugal et l'ICO au Royaume-Uni.

Pour exercer l'un quelconque de ces droits, veuillez écrire à privacy@satoob.com depuis l'adresse associée à votre compte ou, à défaut, avec un niveau de détail suffisant pour identifier le compte concerné. Nous répondrons dans un délai de trente (30) jours. Nous pouvons prolonger ce délai de deux mois supplémentaires en cas de demandes complexes ou nombreuses, auquel cas nous vous informerons de la prolongation et de ses motifs.

10. Vos droits — Californie

Si vous résidez en Californie, le California Consumer Privacy Act, tel qu'amendé par le California Privacy Rights Act (« CCPA/CPRA »), vous accorde les droits suivants à l'égard de vos données personnelles :

  1. Droit de savoir — demander que nous divulguions les catégories et éléments précis de données personnelles que nous avons collectés à votre sujet, les catégories de sources, les finalités commerciales de la collecte, les catégories de tiers avec lesquels nous partageons les données, et (le cas échéant) toute vente ou partage à des fins de publicité comportementale inter-contextes.
  2. Droit à la suppression — demander la suppression de vos données personnelles, sous réserve des exceptions légales.
  3. Droit de correction — demander la correction de données personnelles inexactes.
  4. Droit de refuser la vente ou le partage — bien que nous ne vendons ni ne partageons de données personnelles à des fins de publicité comportementale inter-contextes, nous honorons le signal Global Privacy Control (« GPC ») comme une demande valide d'opt-out, et nous affichons un lien « Do Not Sell or Share My Personal Information » dans le pied de page du Service.
  5. Droit de limiter l'usage des données personnelles sensibles — bien que nous n'utilisions pas de données personnelles sensibles au-delà de ce qui est nécessaire à la fourniture du Service, vous pouvez à tout moment demander que nous limitions un tel usage.
  6. Droit à la non-discrimination — nous ne vous discriminerons pas pour avoir exercé l'un de ces droits. Nous ne refuserons pas le Service, n'appliquerons pas de tarifs différents et ne fournirons pas un niveau de qualité différent en raison de l'exercice de vos droits CCPA/CPRA.

Pour exercer ces droits, veuillez écrire à privacy@satoob.com ou utiliser le lien dédié dans le pied de page du Service. Nous vérifierons votre identité par des moyens raisonnables avant de donner suite à la demande et répondrons dans un délai de quarante-cinq (45) jours, avec une prolongation pouvant atteindre quarante-cinq (45) jours supplémentaires lorsque cela est raisonnablement nécessaire.

Vous pouvez également désigner un agent autorisé pour formuler une demande en votre nom. L'agent doit fournir une preuve signée de son habilitation, et nous pouvons vous demander de confirmer directement l'autorité de l'agent.

11. Vos droits — autres régions

Les résidents d'autres juridictions bénéficient de droits similaires en vertu de leurs lois locales de protection des données, notamment :

  • Brésil — Lei Geral de Proteção de Dados (LGPD) : droits d'accès, de correction, d'anonymisation, de blocage, de suppression, de portabilité, d'information sur le partage et de retrait du consentement. L'autorité de contrôle est l'Autoridade Nacional de Proteção de Dados (ANPD).
  • Québec — Loi 25 : droits d'accès, de rectification, de suppression, de portabilité, de cessation de diffusion, de désindexation et de refus de la décision automatisée. L'autorité de contrôle est la Commission d'accès à l'information du Québec (CAI).
  • Canada (fédéral) — Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) : droits d'accès et de correction, avec traitement des plaintes par le Commissariat à la protection de la vie privée du Canada.
  • Australie — Privacy Act 1988 : droits d'accès et de correction, avec traitement des plaintes par l'Office of the Australian Information Commissioner.

Pour exercer l'un de ces droits, veuillez contacter privacy@satoob.com. Nous identifierons le cadre applicable en fonction de votre pays de résidence et répondrons dans le délai imposé par ce cadre, en règle générale n'excédant pas trente (30) jours.

12. Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles destinées à protéger les données personnelles contre tout accès, altération, divulgation ou destruction non autorisés. Ces mesures incluent, sans s'y limiter :

  • Chiffrement en transit — TLS 1.3 sur tous les points d'accès clients et toutes les communications inter-services internes.
  • Chiffrement au repos — AES-256 sur le stockage des bases de données et sur le stockage objet.
  • Hygiène des identifiants — les mots de passe sont stockés sous forme de hachages bcrypt (facteur de coût minimum 12) ; les codes PIN des caissiers Commerçants sont stockés sous forme de hachages bcrypt avec vérification anti-attaques temporelles et verrouillage exponentiel après échecs répétés.
  • Gestion des identités et accès — contrôles d'accès au moindre privilège, authentification multi-facteurs pour les environnements de production, journalisation d'audit des actions administratives.
  • Grand livre auditable — l'activité financière est enregistrée dans un grand livre à partie double immuable, fournissant une comptabilité résistante à l'altération.
  • Systèmes anti-abus — limitation de débit, détection d'anomalies et verrouillage automatique en cas d'activité suspecte.
  • Gestion des vulnérabilités — revue périodique des dépendances, correctifs de sécurité, et programme coordonné de divulgation de vulnérabilités décrit dans notre Politique de sécurité.
  • Réponse aux incidents — procédure documentée pour détecter, contenir et notifier les violations de données personnelles conformément au droit applicable (dans les 72 heures lorsque le RGPD Art. 33 l'exige).

Aucun système n'est parfaitement sécurisé. Si vous suspectez que votre compte ou vos données personnelles ont été compromis, veuillez nous notifier immédiatement à l'adresse security@satoob.com.

13. Confidentialité des mineurs

Le Service n'est pas destiné aux enfants de moins de dix-huit (18) ans. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de dix-huit ans. Si vous pensez qu'un enfant nous a fourni des données personnelles, veuillez contacter privacy@satoob.com et nous prendrons rapidement les mesures pour supprimer les données concernées, sous réserve des exceptions de conservation légales.

Pour les utilisateurs aux États-Unis, la présente Politique de confidentialité vise à respecter le Children's Online Privacy Protection Act (« COPPA »). Pour les utilisateurs dans l'Union européenne, elle vise à respecter l'Article 8 du RGPD (services de la société de l'information offerts directement aux enfants).

14. Cookies et technologies similaires

Nous utilisons des cookies et technologies équivalentes à des fins d'authentification, de sécurité, d'orientation linguistique, d'analyse et (le cas échéant) de fonctionnalités optionnelles d'amélioration du produit. Les catégories de cookies que nous déposons, les prestataires concernés, les durées de conservation et les contrôles à votre disposition sont documentés en détail dans la Politique de cookies.

La bannière de cookies affichée lors de votre première visite reflète le régime de consentement applicable à votre pays de résidence : opt-in pour les utilisateurs de l'UE, du Royaume-Uni, du Québec et du Brésil ; opt-out (avec respect du signal Global Privacy Control) pour les résidents de Californie ; pas de bannière lorsque le droit local n'en exige pas.

15. Modifications de la présente Politique

Nous pouvons modifier la présente Politique de confidentialité de temps à autre. Si une modification est substantielle — c'est-à-dire si elle élargit les catégories de données personnelles que nous traitons, modifie les finalités du traitement, modifie les bases légales sur lesquelles nous nous appuyons, ou modifie les durées de conservation de manière non-triviale — nous vous donnerons un préavis d'au moins trente (30) jours avant la prise d'effet de la modification, par e-mail à l'adresse associée à votre compte ou via une notification visible sur le Service.

Pour les modifications non substantielles (clarifications, correctifs typographiques, mise en forme), nous publierons la Politique de confidentialité mise à jour avec une date de « Dernière mise à jour » révisée. Votre utilisation continue du Service après la date d'effet d'une modification constitue l'acceptation de la Politique de confidentialité mise à jour.

16. Contact

Pour toute question, réclamation ou demande au titre de la présente Politique de confidentialité, veuillez contacter :

Adresse postale (pour la signification d'actes) : Konatamo LLC, 1209 Mountain Road Pl NE, Ste R, Albuquerque, NM 87110, USA.

Si vous n'êtes pas satisfait de notre réponse, vous pouvez introduire une réclamation auprès de l'autorité de contrôle de votre pays de résidence. La liste des autorités de contrôle UE/EEE est disponible à l'adresse https://edpb.europa.eu/about-edpb/about-edpb/members_en.