Mise à jour le 30 septembre 2025
Le traitement transparent des données personnelles nous tient particulièrement à cœur. La présente politique de confidentialité explique quelles données personnelles nous collectons, à quelles fins et à qui nous les communiquons. Nous examinons et mettons régulièrement à jour cette politique afin d'assurer le plus haut niveau de transparence.
Pour toute question ou préoccupation concernant la protection de vos données, vous pouvez nous contacter à tout moment à l'adresse e-mail datenschutz@circlin.ch.
L'entité responsable du traitement des données via ce site web et notre application (le « Responsable du traitement ») est :
Circlin AG
c/o Filip Mares
Steinmatt 4
6404 Greppen
Suisse
Autorité de contrôle :
Préposé fédéral à la protection des données et à la transparence (PFPDT/EDÖB)
Feldeggweg 1, 3003 Berne, Suisse
Vous avez le droit d'introduire une réclamation auprès du PFPDT si vous estimez que vos données personnelles sont traitées de manière illicite.
Si vous résidez dans un pays de l'Union européenne, vous avez également le droit de déposer une réclamation auprès de votre autorité de protection des données locale.
Nous collectons des données personnelles lorsque vous créez et utilisez un compte Circlin dans l'app (la création d'un compte est nécessaire pour utiliser notre application) et lorsque vous naviguez ou interagissez avec notre site web. Nous utilisons ces données pour vous permettre d'utiliser nos services et pour satisfaire à nos obligations légales, de sécurité et opérationnelles. Dans certains cas, nous vous demandons également votre consentement pour des usages spécifiques (p. ex. pour l'analyse, les cookies publicitaires ou les communications marketing).
Fondements juridiques : nous traitons vos données principalement pour exécuter le contrat conclu avec vous (c.-à-d. fournir les services Circlin conformément à nos Conditions d'utilisation). Nous traitons également des données lorsque la loi nous y oblige, lorsque vous avez donné votre consentement, et lorsque nous avons des intérêts légitimes - par ex. assurer la sécurité de la plateforme et prévenir la fraude, améliorer et mesurer notre service, ou exploiter et protéger notre activité - à condition que vos intérêts ou droits fondamentaux ne prévalent pas.
Nous traitons vos données de bonne foi et uniquement aux fins énoncées dans cette politique. Nous veillons à ce que le traitement soit transparent et proportionné.
À titre exceptionnel, si nous ne pouvons pas respecter pleinement ces principes, le traitement peut néanmoins être licite s'il existe une base juridique. En particulier :
Si vous nous avez donné votre consentement pour certains traitements, nous n'utiliserons vos données que dans le cadre de ce consentement, sauf si une autre base légale s'applique.
Vous pouvez retirer votre consentement à tout moment, avec effet pour l'avenir. Les traitements effectués jusqu'au retrait restent licites, mais le traitement concerné cessera pour l'avenir.
Pour exploiter notre activité et fournir nos services, nous pouvons faire appel à des sociétés tierces ou à des entités affiliées pour traiter vos données pour notre compte (en tant que « sous-traitants ») ou pour collaborer en tant que responsables indépendants. Les principales catégories de destinataires sont :
Nous veillons à ce que tout tiers (y compris nos affiliés) qui traite des données personnelles pour notre compte soit soumis à des obligations de protection des données et traite vos données de manière confidentielle et sécurisée. Nous pouvons également être tenus de divulguer des données personnelles à des autorités ou tribunaux si la loi l'exige.
Notre site et notre app contiennent des liens/intégrations vers nos pages sur des plateformes sociales (p. ex. icônes menant à Facebook, Instagram, TikTok). Si vous cliquez, vous êtes redirigé vers le site du tiers, qui peut recevoir des données personnelles vous concernant (p. ex. le fait que vous avez cliqué depuis notre site). L'utilisation de ces plateformes est soumise à leurs propres politiques de confidentialité.
Dans certains cas, nous pouvons transférer des données personnelles à des sociétés situées hors de Suisse (et potentiellement hors de l'UE/EEE) dans le cadre de l'utilisation de services tiers ou de nos activités. Les destinataires sont tenus de protéger les données au même niveau que nous. Les transferts peuvent avoir lieu dans le monde entier (p. ex. cloud à infrastructure globale).
Si un destinataire se situe dans un pays dont le niveau de protection n'est pas adéquat au sens suisse (ou de l'UE, lorsque le RGPD s'applique), nous garantissons un niveau approprié via des mesures contractuelles et autres. Cela implique généralement une analyse des risques puis l'utilisation de garanties telles que les Clauses contractuelles types de la Commission européenne (CCT) ou d'autres mécanismes approuvés. En cas de risques résiduels élevés, nous mettons en place des mesures techniques supplémentaires (p. ex. chiffrement, pseudonymisation). (Vous pouvez consulter les CCT sur le site de la Commission.) Clauses contractuelles types de la Commission européenne.
Nous conservons les données personnelles uniquement le temps nécessaire aux finalités pour lesquelles elles ont été collectées, ou tel que requis par la loi.
À l'expiration de la période de conservation ou lorsque nous n'avons plus de raison juridique ou commerciale, nous supprimons ou anonymisons irréversiblement les données.
Nous appliquons des mesures techniques et organisationnelles appropriées pour protéger vos données contre l'accès non autorisé, la perte, l'usage abusif ou l'altération. Ces mesures sont mises à jour en continu selon les meilleures pratiques et les nouvelles menaces.
Par exemple, les données transmises entre votre appareil et nos serveurs sont protégées par un chiffrement SSL/TLS (vous verrez un cadenas ou « https:// » dans la barre d'adresse). En interne, l'accès aux données personnelles est limité aux personnes qui en ont besoin (p. ex. support, développeurs lors du dépannage) et ces personnes sont tenues à la confidentialité.
Nous imposons contractuellement à nos partenaires externes des normes strictes de protection des données (voir 3.4a). Si vous demandez un service impliquant une société affiliée, nous pouvons lui transmettre votre demande pour mieux vous aider - toujours de manière confidentielle et conformément à cette politique.
Vous avez le droit d'obtenir gratuitement une copie des données personnelles que nous détenons à votre sujet. Sur demande, nous vous indiquerons quelles données nous possédons, comment nous les traitons et à quelles fins. Pour des raisons de sécurité, un justificatif d'identité peut être requis. Adressez vos demandes d'accès à datenschutz@circlin.ch avec l'objet « Data Access Request » et joignez une copie d'une pièce d'identité officielle.
Si nous traitons des données par des moyens automatisés sur la base de votre consentement ou d'un contrat, vous avez le droit de recevoir (ou de faire transmettre à un tiers) les données que vous nous avez fournies, dans un format structuré, couramment utilisé et lisible par machine (portabilité).
Dans certaines situations, nous pouvons refuser ou limiter l'accès (p. ex. si cela affecte les droits d'autrui ou si la loi l'interdit). Nous vous informerons le cas échéant.
Vous pouvez nous demander d'effacer les données que nous détenons à votre sujet, ou de corriger toute erreur. Nous corrigerons ou supprimerons rapidement les données inexactes, sauf obligation légale de conservation ou intérêt légitime impérieux à les conserver (p. ex. impossibilité de supprimer des pièces soumises à conservation légale ; nécessité pour établir, exercer ou défendre des droits en justice).
Notez que la suppression de certaines données peut nous empêcher de fournir des services qui en dépendent (p. ex. sans vos coordonnées, nous ne pouvons pas envoyer d'avis importants). Les données liées à votre compte/transactions doivent être exactes ; de fausses informations peuvent avoir des conséquences selon nos Conditions.
Dans certaines circonstances, vous pouvez vous opposer au traitement de vos données ou demander sa limitation. Si nous traitons vos données sur la base de nos intérêts légitimes, vous pouvez vous y opposer ; sauf motifs impérieux, nous cesserons ce traitement (ou si les données sont nécessaires pour des réclamations juridiques).
Vous pouvez également demander que nous limitions le traitement (simple conservation sans autre usage) si vous contestez l'exactitude des données, la licéité du traitement, ou si vous avez besoin de leur conservation pour des réclamations juridiques.
Si vous estimez que vos droits ont été violés, vous pouvez introduire une réclamation auprès de l'autorité de protection des données compétente (voir 2 pour le PFPDT ; les résidents de l'UE peuvent contacter leur autorité locale) ou agir en justice. Nous vous invitons néanmoins à nous contacter d'abord à l'adresse datenschutz@circlin.ch : nous ferons de notre mieux pour résoudre votre problème. https://www.edoeb.admin.ch.
(Remarque : l'exercice de ces droits est en principe gratuit. Les demandes manifestement infondées ou excessives (p. ex. répétitives) peuvent entraîner des frais raisonnables ou un refus, conformément à la loi. Nous vérifierons votre identité pour protéger votre vie privée.)
Nous pouvons modifier ou mettre à jour la présente politique à tout moment sans préavis. La version publiée sur notre site/app fait foi. Nous vous encourageons à la consulter périodiquement. Si cette politique fait partie d'un accord avec vous (p. ex. intégrée dans nos Conditions) et qu'elle subit des modifications importantes, nous vous en informerons de manière appropriée (p. ex. e-mail ou notification in-app).
Nous utilisons des cookies et des technologies similaires (telles que le stockage local ou les SDK dans l'app) pour faire fonctionner et améliorer notre site et notre app, mesurer l'audience et - si vous y consentez - à des fins publicitaires et marketing. Un « cookie » est un petit fichier texte enregistré sur votre appareil. Dans l'app mobile, des technologies analogues sont utilisées.
Vous pouvez gérer vos préférences à tout moment via l'outil Usercentrics (lien en pied de page du site ou dans les réglages de l'app) et/ou via les paramètres de votre navigateur. Le refus/suppression de cookies peut empêcher certaines fonctionnalités de fonctionner correctement. Les cookies essentiels (nécessaires au fonctionnement) ne peuvent pas être désactivés dans l'outil.
Pour plus d'informations et pour ajuster vos préférences, consultez nos paramètres de cookies via Usercentrics sur notre site/app.
Les sections suivantes décrivent plus en détail la manière dont nous traitons les données personnelles dans des contextes spécifiques et lors de l'utilisation de services ou de fonctionnalités spécifiques :
Lors de chaque visite du site ou utilisation de l'app, certaines informations sont automatiquement générées et enregistrées dans nos journaux (ainsi que chez des tiers que nous utilisons), pour des raisons techniques et de sécurité. Notamment :
Nous n'utilisons pas ces données pour vous identifier personnellement. Notre objectif est d'assurer le bon fonctionnement du site/app et la sécurité de nos systèmes (détection d'incidents, dépannage), ainsi que d'obtenir des informations d'usage agrégées. Ce traitement repose sur notre intérêt légitime.
Ces données de connexion sont indispensables au fonctionnement d'un service en ligne et sont collectées automatiquement. Nous ne les conservons que le temps nécessaire, puis nous les supprimons. En règle générale, les journaux sont supprimés/anonymisés après chaque session ou une courte période. Il n'existe pas d'opt-out général ; ne pas utiliser nos services est la seule alternative. (Nous ne conservons pas ces données à long terme, sauf nécessité de sécurité, et elles ne sont pas utilisées à des fins marketing/profilage.)
Notre site/app et son infrastructure backend sont hébergés sur Amazon Web Services (AWS), 410 Terry Avenue North, Seattle, WA 98109-5210, USA.
Nous utilisons différents services AWS. Lorsque vous interagissez avec Circlin (site/app), vos requêtes et données transitent par des serveurs AWS pour une réponse rapide et fiable. Les données transmises/traitées pour notre compte incluent notamment :
AWS peut traiter ces données dans divers centres. Nous privilégions des régions UE lorsque possible ; selon le service/la configuration, des transferts ou accès depuis les États-Unis ou d'autres pays peuvent avoir lieu. Un accord de traitement incluant les Clauses contractuelles types est en place ; AWS est également certifié au titre du Data Privacy Framework UE-US (à la date de la présente).
Plus d'informations ici : Avis de confidentialité d'AWS.
Nous utilisons également Microsoft Azure (Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA) pour notre backend.
Azure traite des données similaires à AWS : identifiants réseau (IP), informations d'usage/appareils, et tout contenu nécessaire au service spécifique (y compris, le cas échéant, des données personnelles).
Les données peuvent être traitées dans des centres en Suisse/UE ou ailleurs (p. ex. États-Unis). Nous privilégions des régions suisses/UE et avons conclu des clauses contractuelles types pour les transferts. Microsoft applique des contrôles de sécurité/ confidentialité stricts et respecte le RGPD. Déclaration de confidentialité Microsoft.
Nous utilisons Google Analytics sur le site (et de manière limitée dans l'app) pour comprendre l'engagement des utilisateurs. Service fourni par Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Google Analytics collecte des informations sur votre visite (pages vues, durée, provenance, localisation approximative). Nous avons activé l'anonymisation des adresses IP (troncation dans l'UE/EEE ou en Suisse avant stockage).
Données collectées :
Google peut stocker ces données aux États-Unis ou ailleurs ; des clauses contractuelles types s'appliquent et Google est certifié selon les cadres de transfert pertinents.
Nous utilisons aussi Google Tag Manager pour gérer des scripts ; il ne collecte pas de données personnelles et sert à charger d'autres balises. Les balises ne se déclenchent qu'avec votre consentement (Usercentrics).
Opt-out : pas de suivi Analytics sans votre consentement. Vous pouvez le retirer via Usercentrics. Google propose aussi une extension de navigateur pour désactiver Analytics sur tous les sites. Politique de confidentialité de Google.
Nous utilisons Usercentrics GmbH (Rosental 4, 80331 Munich, Allemagne) pour la gestion du consentement.
Un bandeau s'affiche lors de la visite afin d'accepter/refuser les cookies/trackers optionnels. Votre choix est enregistré dans un cookie (ou jeton app) pour être rappelé.
Usercentrics traite pour notre compte :
Modifier vos paramètres de confidentialité ici.
Plus d'informations dans la Politique de confidentialité de Usercentrics.
Nous utilisons ZeroBounce (Hertza, LLC d/b/a ZeroBounce, 10 E Yanonali St, Santa Barbara, CA 93101, USA) pour valider les adresses e-mail.
Lorsque vous nous fournissez votre e-mail (inscription/newsletter), nous pouvons l'envoyer à ZeroBounce afin de vérifier sa validité/délivrabilité.
Seule l'adresse e-mail est transmise. Le traitement peut impliquer des serveurs aux États-Unis. Contractuellement, l'usage est limité à la validation pour notre compte.
Cela améliore la délivrabilité et évite des envois inutiles à des adresses invalides.
Plus d'informations dans la Politique de confidentialité de ZeroBounce.
Nous utilisons The Spamhaus Project (UK/CH) pour des informations en temps réel sur des IP malveillantes (spam, malware, attaques).
Lorsqu'une IP interagit avec nos serveurs (connexion, création de compte, message), nous interrogeons les bases Spamhaus quasi instantanément.
Nous n'envoyons que l'adresse IP ; Spamhaus renvoie un statut (p. ex. « listée »/« clean »). Aucun nom/e-mail n'est transmis.
Si une IP est signalée, nous pouvons prendre des mesures (blocage, vérifications supplémentaires).
Spamhaus traitera l'adresse IP aux seules fins de cette vérification et applique, en tant qu'organisation de sécurité à but non lucratif, ses propres règles strictes en matière de protection des données. Aucune conservation permanente de données personnelles n'a lieu chez Spamhaus du fait de notre requête, au-delà de la maintenance standard de ses listes de renseignement sur les menaces.
Plus d'informations dans la Politique de confidentialité de Spamhaus.
Notre site Web/app utilise des polices fournies par Google Fonts, un service de Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, États-Unis), afin d'assurer un affichage cohérent et visuellement agréable de nos textes sur différents appareils et navigateurs.
Lorsque vous chargez une page de notre site ou un écran de notre application qui utilise une police Google, votre navigateur peut se connecter aux serveurs de Google pour télécharger les fichiers de police (s'ils ne sont pas déjà mis en cache sur votre appareil). Ce faisant, les informations suivantes peuvent être transmises à Google :
Google indique utiliser les requêtes de polices pour le suivi des performances et pour s'assurer du bon fonctionnement de son service de polices, et ne pas utiliser ces informations pour profiler les utilisateurs finaux ni pour diffuser des publicités. Les données peuvent être stockées et traitées par Google, potentiellement aux États-Unis.
Nous intégrons Google Fonts afin d'améliorer l'expérience utilisateur (rendu des polices rapide et fiable). L'utilisation de Google Fonts repose sur notre intérêt légitime à présenter nos contenus avec une apparence uniforme.
Pour en savoir plus sur la manière dont Google traite les données dans son service de polices, consultez les Règles de confidentialité de Google.
L'utilisation de Google Fonts est couverte par les engagements de Google en matière de confidentialité ; des informations supplémentaires figurent dans la FAQ « Polices et confidentialité ».
Apple vous authentifie via votre identifiant Apple. Vous pouvez masquer votre e-mail (Apple crée une adresse relais) ou la partager. Apple nous transmet alors votre e-mail réel ou relais, votre nom (sauf modification/suppression) et un identifiant unique liant votre Apple ID à notre app. Nous utilisons ces infos pour créer/accéder à votre compte. Apple ne partage pas votre mot de passe ni d'autres données de votre appareil. Son utilisation est régie par la Politique de confidentialité d'Apple. Si vous masquez votre e-mail, nos messages sont relayés via le service privé d'Apple. Politique de confidentialité d'Apple.
Avec Facebook (Meta), vous êtes redirigé pour vous authentifier. Facebook peut vous demander quelles informations partager (profil public, e-mail). Facebook nous envoie ensuite un jeton et les données sélectionnées (p. ex. nom, e-mail) que nous utilisons pour vous connecter/inscrire. Nous ne voyons pas votre mot de passe. Facebook peut enregistrer le fait que vous vous êtes connecté via Facebook ; son utilisation est régie par sa Politique d'utilisation des données. En révoquant l'accès de Circlin dans vos paramètres Facebook, nous ne recevrons plus ces données. Politique d'utilisation des données de Meta (Facebook).
Google confirme votre identité et vous demande d'autoriser le partage de certaines informations (nom, e-mail, photo). Après accord, Google nous transmet ces données de base et un jeton sécurisé pour vous connecter/inscrire. Nous ne voyons pas votre mot de passe Google. Google peut enregistrer la connexion. L'utilisation par Google relève de ses Règles de confidentialité. Règles de confidentialité de Google.
Dans tous les cas ci-dessus, après la connexion initiale, nous traitons les informations que nous recevons (par exemple votre nom et votre adresse e-mail) comme si vous nous les aviez fournies directement. Elles deviennent partie intégrante du profil de votre compte Circlin. Nous vous recommandons vivement de consulter les paramètres et les règles de confidentialité d'Apple, de Facebook ou de Google (selon le service que vous utilisez) afin de comprendre comment ils utilisent vos données. Vous pouvez également révoquer l'accès de notre application dans les paramètres de votre compte Apple/Facebook/Google ; notez toutefois que cela peut empêcher l'utilisation de cette méthode de connexion sans une nouvelle autorisation.
Nous utilisons Intercom pour le chat d'assistance, les messages in-app et d'autres communications (Intercom, Inc., 55 2nd Street, 4th Floor, San Francisco, CA 94105, USA).
Lors d'interactions, Intercom traite :
Intercom agit en tant que sous-traitant. Un DPA avec CCT est en place ; Intercom est certifié selon le Data Privacy Framework UE-US.
Nous utilisons ces données uniquement pour vous assister et améliorer nos services. Les historiques sont conservés jusqu'à 12 mois. Vous pouvez demander une copie/effacement. Plus d'informations dans la Politique de confidentialité d'Intercom.
L'exploitation de la place de marché Circlin nécessite le traitement de différents types de données que vous générez ou fournissez. Ci-dessous, nous présentons les principales catégories de données personnelles que nous traitons dans l'application et la manière dont nous les utilisons :
À l'inscription, nous créons un profil : identifiants (e-mail + mot de passe haché, ou jetons d'authentification pour social login), nom et coordonnées (téléphone/e-mail), date de naissance (éligibilité), photo/bio éventuelles. Ces données vous identifient sur la plateforme, informent les autres utilisateurs (p. ex. prénom + initiale) et nous permettent de vous contacter pour votre compte/transactions.
Toutes les informations publiées lors de la mise en vente : images/vidéos, titre/description, catégorie, prix, métadonnées (date/heure, tags/attributs tels que état, marque). Ces données sont publiques pour présenter vos annonces, permettre la recherche/le filtrage et améliorer nos catégories/algorithmes (en agrégé).
Les acheteurs/vendeurs échangent via une messagerie in-app. Nous stockons le contenu (texte/pièces jointes) et les horodatages. Les messages sont privés, mais peuvent être analysés automatiquement à des fins de confiance/sécurité (détection de spam/arnaques). En cas de litige ou signalement, du personnel habilité peut consulter les échanges pertinents. Aucune divulgation à des tiers sauf nécessité de sécurité (p. ex. autorités).
Lors d'un achat/vente, une commande est créée. Nous traitons l'article, le prix, la date/heure, la méthode de livraison, le statut de paiement. En cas d'expédition, nous collectons l'adresse de livraison de l'acheteur et l'adresse de retour du vendeur, ainsi que les numéros de suivi (cf. 4.12 La Poste Suisse). Pour un retrait en personne, nous générons un code PIN unique et l'envoyons à l'acheteur pour la remise. Nous transmettons les informations nécessaires par e-mail ou notification in-app et limitons le partage de coordonnées au strict nécessaire.
Si une réclamation de protection des acheteurs est ouverte (p. ex. article non reçu, non conforme), nous collectons les données nécessaires : formulaire (motif, description), preuves (photos, captures des échanges, suivis), échanges avec le support et notes/décision internes. Finalité : exécuter notre engagement de protection, garantir l'équité et renforcer la sûreté. Les résultats peuvent influer sur de futures décisions (p. ex. bannissement en cas de fraude).
Ces traitements sont principalement nécessaires à l'exécution du contrat : sans eux, nous ne pouvons pas exploiter le marketplace ni fournir la protection des acheteurs. Certains traitements reposent sur nos intérêts légitimes (p. ex. détection de fraude, conservation des litiges). Nous veillons à ne pas porter atteinte à vos droits.
Les données du marketplace sont conservées tant que votre compte est actif puis pendant une période limitée (obligations légales, litiges). En cas de suppression/inactivité prolongée, certaines données peuvent être anonymisées (p. ex. anciennes annonces sans identifiants). Comme en 3.5, les pièces de transaction peuvent être conservées jusqu'à 10 ans. Les messages ne sont généralement pas conservés aussi longtemps et peuvent être supprimés/archivés après un certain délai (p. ex. > 2 ans) hors litige.
Pour les envois, nous collaborons avec La Poste Suisse (Die Schweizerische Post AG, Wankdorfallee 4, 3030 Berne, Suisse).
Lorsqu'une expédition est choisie, nous collectons les données nécessaires : nom/adresse de l'expéditeur (vendeur) et nom/adresse de livraison du destinataire (acheteur), ainsi que numéro de téléphone/e-mail si fournis (notifications). Nous transmettons ces données de manière sécurisée à La Poste pour créer l'étiquette et lancer l'envoi.
La Poste utilise ces données pour le transport et le suivi et agit comme responsable indépendant avec ses propres obligations de conservation. Nous n'utilisons l'adresse qu'aux fins d'exécution de la commande. Plus d'informations dans la Déclaration de confidentialité de La Poste Suisse.
Nous n'utilisons pas l'adresse de livraison que vous fournissez à d'autres fins que l'exécution de cette commande spécifique (et les éventuels services après-vente nécessaires, comme le traitement d'un retour ou d'une demande d'indemnisation si un incident survient pendant l'acheminement). Nous pouvons enregistrer, à des fins d'analyse, le fait qu'un certain utilisateur a fait livrer des articles à un code postal ou une ville donnés (par exemple pour connaître la répartition géographique de nos utilisateurs), mais nous ne divulguons pas d'adresses complètes à d'autres utilisateurs, sauf entre les parties à la transaction si cela est nécessaire.
En choisissant l'expédition, vous acceptez que nous partagions vos informations pertinentes avec La Poste Suisse. Si vous souhaitez en savoir plus sur la manière dont La Poste Suisse traite les données personnelles (par exemple au sujet de leurs durées de conservation ou de tout partage de données), veuillez consulter les informations de confidentialité de La Poste Suisse ou la contacter directement. En tant qu'entreprise suisse, La Poste Suisse est soumise au droit suisse de la protection des données.
Les paiements (p. ex. par l'acheteur) et les versements (au vendeur) sont facilités par des prestataires externes (PSP) que nous intégrons pour garantir la sécurité.
Centre de confidentialité Visa • Avis de confidentialité Mastercard • Politique de confidentialité TWINT • Politique de confidentialité de Stripe
Lorsque vous effectuez un paiement via Circlin, par exemple au moyen d'une carte bancaire ou d'une application de paiement direct, vous interagissez avec l'un de ces prestataires. Nous transmettons les informations de paiement nécessaires à la transaction : cela peut inclure le montant à débiter, votre identifiant utilisateur ou l'ID de commande (pour rattacher le paiement à votre compte Circlin) ainsi que les identifiants de paiement pertinents. S'il s'agit d'une carte bancaire, vous saisissez les données via notre formulaire de paiement sécurisé (les données sont envoyées directement au PSP, sans transiter par nos serveurs) ou, si vous avez enregistré un jeton de carte, nous demandons au PSP de débiter ce jeton. Pour TWINT ou des services similaires, vous pouvez être redirigé ou invité à confirmer dans votre application mobile.
Cela comprend généralement votre nom, l'adresse de facturation et les informations de paiement (par exemple le numéro et la date d'expiration de la carte, le compte bancaire ou, pour TWINT, le numéro de mobile), ainsi que le montant et les détails de la transaction. Ces prestataires peuvent aussi collecter des informations à des fins de lutte contre la fraude, comme des informations sur l'appareil ou des codes de vérification (par ex. codes SMS pour l'authentification 3-D Secure des cartes). Nous ne voyons ni ne stockons vos données de paiement sensibles (comme les numéros de carte complets). Le PSP nous confirme soit le succès du paiement, soit un échec, accompagné d'un identifiant de transaction.
Nous utilisons ces prestataires de paiement sur la base juridique de la nécessité contractuelle - nous devons traiter les paiements pour exécuter le contrat de vente entre acheteur et vendeur (art. 6, §1, b) du RGPD lorsque applicable, et équivalents en droit suisse). Nous avons également un intérêt légitime à proposer à nos utilisateurs des moyens de paiement sûrs et pratiques (art. 6, §1, f) du RGPD).
Certains PSP peuvent effectuer des vérifications de crédit. Ceux listés (Visa, Mastercard, TWINT, Stripe) ne réalisent généralement pas d'évaluations de score de crédit pour les transactions standard, mais ils disposent de dispositifs anti-fraude. Par exemple, Stripe ou les réseaux de cartes peuvent utiliser des systèmes automatisés pour signaler des transactions suspectes (p. ex. incohérences entre la localisation et l'adresse de facturation). Ces systèmes peuvent se référer à des listes noires ou bases de données de fraude. Cela est effectué par le PSP dans le cadre de son service pour nous et pour vous (afin d'empêcher l'utilisation non autorisée de votre compte). En outre, Stripe est légalement tenu de réaliser des contrôles KYC (Know Your Customer) sur les vendeurs avant de traiter les versements. Cela peut inclure la vérification de données personnelles et, lorsque la vérification automatique n'est pas possible, la demande de documents d'identité via Stripe Identity (p. ex. une pièce d'identité officielle et un selfie). Nous ne collectons de tels documents que lorsque Stripe les exige, et ils sont transmis en toute sécurité par l'intermédiaire du système de Stripe. Si un vendeur ne termine pas la vérification, Stripe peut retarder ou refuser les versements jusqu'à la finalisation du processus.
Les informations de paiement que vous fournissez sont traitées par le PSP et ne sont pas stockées sur nos serveurs (sauf éventuellement un jeton ou des informations masquées de carte, p. ex. les quatre derniers chiffres à titre de référence). Les PSP conservent vos données sur leurs serveurs sécurisés. Ils peuvent être tenus de partager des informations de transaction avec les banques ou les réseaux de cartes, et éventuellement avec les autorités en cas d'activité suspecte ou si la loi l'exige (p. ex. en matière de lutte contre le blanchiment).
Chaque prestataire de paiement dispose de sa propre politique de conservation ; en règle générale, les documents financiers doivent être conservés pendant plusieurs années pour satisfaire aux obligations réglementaires et d'audit. Nous conservons nous aussi les justificatifs de transaction (montant, date, payeur, bénéficiaire) à des fins comptables pendant jusqu'à 10 ans, mais ces enregistrements n'incluent pas vos données de paiement complètes - essentiellement des références et des montants.
Lorsque vous effectuez un paiement, vous entrez également dans une relation contractuelle avec le prestataire de paiement. Ses Conditions et sa Politique de confidentialité s'appliquent à cette transaction en plus de notre politique. Nous vous invitons à lire les informations de confidentialité du prestataire que vous utilisez (voir les références ci-dessus). Ces documents expliquent aussi vos droits auprès de ces prestataires (p. ex. comment accéder aux données qu'ils détiennent ou contester une transaction). Si vous avez besoin d'aide pour contacter un prestataire de paiement ou comprendre son rôle, vous pouvez bien sûr nous solliciter.
Si vous vous abonnez à notre newsletter ou à d'autres messages marketing, nous utiliserons votre e-mail pour vous envoyer des actualités sur Circlin (nouvelles fonctionnalités, promotions, contenus). Des informations similaires peuvent être envoyées par notifications push si activées.
Lors de l'inscription, nous enregistrons votre consentement avec date/heure. L'envoi est effectué via un service e-mail sécurisé (prestataire externe ou infrastructure interne, p. ex. AWS SES). Chaque e-mail contient un lien de désinscription. Vous pouvez aussi gérer vos préférences dans les paramètres de votre compte.
Nous pouvons analyser l'engagement vis-à-vis de nos e-mails à un niveau général - par exemple, voir combien d'utilisateurs ont ouvert un e-mail ou cliqué sur un lien particulier (cela se fait souvent via un pixel invisible inséré dans l'e-mail ou des liens suivis uniques). Cela nous aide à comprendre quels contenus intéressent les abonnés. Cette analyse est facultative et principalement destinée à un usage interne ; nous ne profilons pas les habitudes de lecture des e-mails des utilisateurs individuellement au-delà d'une segmentation de base (p. ex. pour renvoyer une fois un e-mail à ceux qui ne l'ont pas ouvert, ou pour éviter d'envoyer certains types d'e-mails aux personnes qui n'interagissent jamais).
Si vous vous désabonnez des e-mails marketing, nous placerons votre adresse en liste de suppression (c'est-à-dire que nous la marquons afin que vous ne receviez plus d'e-mails marketing). La suppression complète de toutes les listes de campagne peut prendre un court délai (quelques jours au maximum), mais nous nous efforçons de traiter les désinscriptions immédiatement. Notez que les e-mails transactionnels (p. ex. reçus d'achat, réinitialisations de mot de passe, notifications importantes de compte) ne sont pas affectés par le désabonnement marketing, car ils ne sont pas promotionnels - nous les limitons toutefois au strict nécessaire.
Nous ne vendons ni ne partageons notre liste de diffusion avec des tiers à des fins marketing. Si nous collaborons un jour avec un partenaire pour une promotion conjointe, vous recevrez la communication de notre part, et le partenaire n'obtiendra pas vos coordonnées sauf si vous vous inscrivez séparément auprès de lui.
Nous pouvons modifier cette politique périodiquement. En cas de modification, nous publierons la version mise à jour sur notre site et actualiserons la date « Mise à jour le ». La version en ligne fait foi.
En cas de changements importants et si cette politique fait partie d'un accord, nous vous en informerons (p. ex. e-mail ou notification in-app). En continuant d'utiliser nos services après la date d'effet, vous acceptez la nouvelle politique.