← Walityk

Documentation RGPD

Référence destinée aux clients, prospects et autorités. Chaque page indique sa date de dernière mise à jour ; tout changement matériel est notifié par email aux clients actifs au moins 30 jours avant prise d'effet.

Dernière mise à jour : 2026-05-06

1. Identité du responsable de traitement

Pour les données collectées via le tag installé sur les sites de nos clients, le responsable de traitement est le client lui-même (l'éditeur du site). Walityk agit comme sous-traitant au sens de l'article 28 RGPD — voir l'accord de traitement (DPA).

Pour les données relatives aux comptes utilisateurs de la plateforme Walityk elle-même (inscription, facturation, support), le responsable de traitement est :

  • Impulse Analytics — éditeur du service Walityk
  • Contact RGPD : privacy@walityk.com

2. Données traitées

2.1 Données collectées via le tag (pour le compte du client)

  • Événements de navigation : URL de page (tronquée à 2 KB, paramètres sensibles supprimés), référent, type d'événement (vue de page, ajout panier, achat, etc.), horodatage.
  • Identifiants pseudonymes : uid (cookie first-party HMAC-signé, durée 13 mois), sid (session, durée 30 minutes).
  • Données d'attribution : click IDs (gclid, fbclid, ttclid, msclkid, gbraid, wbraid) et UTM extraits de l'URL — supprimés si ad_storage est refusé.
  • Géolocalisation au pays uniquement (dérivée de l'IP, IP brute jamais journalisée — uniquement un hash SHA-256 conservé pour la déduplication 24h).
  • Pour les conversions : email haché (SHA-256) et téléphone haché(SHA-256) si fournis par le site, transmis aux destinations marketing (GA4, Meta CAPI, Google Ads, TikTok Events) en respect du Consent Mode v2. Les valeurs en clair ne sont jamais persistées dans nos bases.

2.2 Données du compte plateforme

  • Email professionnel (authentification magic link / OAuth Google).
  • Nom de l'organisation, sites déclarés, configurations destinations.
  • Données de facturation : email, ID client Stripe (les numéros de carte ne transitent jamais par nos serveurs).
  • Logs techniques : adresses IP des connexions admin, agent utilisateur.

3. Finalités & bases légales

FinalitéBase légaleDurée
Mesure d'audience exemptée (anonymisée)Intérêt légitime + lignes directrices CNIL13 mois
Mesure publicitaire (CAPI, conversions Ads)Consentement explicite (Consent Mode v2)13 mois
Debug temps-réel (live tail)Intérêt légitime du client24 heures (purge horaire automatique)
Authentification & gestion du compteExécution du contratDurée du contrat + 3 ans
FacturationObligation légale10 ans (obligations comptables)

4. Destinataires

Les données sont accessibles aux équipes habilitées de Walityk et à nos sous-traitants ultérieurs listés sur la page Sous-traitants. Aucune donnée n'est revendue ni utilisée à des fins de profilage cross-client.

5. Localisation des données

Les données analytiques sont stockées dans Supabase (Postgres, région Frankfurt, Union européenne). Le tag et les workers de réception sont opérés sur Cloudflare ; les Cloudflare Workers exécutent le code à proximité de l'utilisateur final mais aucune donnée brute n'est persistée dans les Edge/KV/Queues au-delà de la durée nécessaire au traitement (déduplication 24h, file de forwarding <1h).

Aucun transfert hors UE n'a lieu pour les données analytiques. Les données de paiement transitent par Stripe (États-Unis) sous Clauses Contractuelles Types et le DPF UE-USA.

6. Sécurité

  • Chiffrement TLS 1.2+ pour toutes les communications réseau.
  • Chiffrement at-rest des bases Supabase (AES-256).
  • RLS Postgres strict : isolation tenant via politique tenant_id.
  • HMAC sur les cookies first-party, pas de stockage de PII en clair côté DB.
  • Accès admin journalisé, MFA obligatoire pour les opérateurs Walityk, principe du moindre privilège.
  • Notification de violation : 24h pour informer le client (au-delà du délai légal de 72h pour notifier la CNIL côté responsable de traitement).

7. Droits des personnes concernées

Conformément aux articles 15 à 22 RGPD, toute personne concernée dispose des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité.

Les demandes adressées directement à Walityk pour des données collectées via le tag d'un client sont relayées au responsable de traitement (le client). Pour les données de compte plateforme, contactez privacy@walityk.com. Réponse sous 30 jours.

Réclamation possible auprès de la CNIL (cnil.fr/fr/plaintes).

8. Délégué à la protection des données

Walityk n'est pas tenu de désigner un DPO statutaire (article 37 RGPD non déclenché à ce stade). Un référent RGPD est néanmoins nommé en interne et joignable à privacy@walityk.com.