Préambule
La société Fliz (ci-après « Fliz », « nous », « notre ») accorde une importance particulière à la protection des données personnelles des utilisateurs de ses services. La présente Politique de confidentialité décrit les traitements de données personnelles pour lesquels Fliz est responsable de traitement, dans le cadre de l'édition du site affilane.com et du service Affilane (ci-après le « Service »).
Cette Politique est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (ci-après « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci-après « Loi Informatique et Libertés »).
1. Responsable de traitement
Éditeur : Fliz, SAS au capital de 1 000 € Siège : 18 Rue Masséna, Bureau 3, 06000 Nice, France RCS : Nice B 977 626 118 Contact général : hello@affilane.com Contact pour les questions relatives aux données : hello@affilane.com (objet : « [RGPD] »)
Fliz n'a pas désigné de Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD, cette désignation n'étant pas obligatoire compte tenu de la nature de nos traitements. Néanmoins, un point de contact interne pour les questions de protection des données est disponible à hello@affilane.com.
2. Champ d'application et articulation avec nos services
Fliz intervient selon plusieurs qualifications RGPD en fonction du traitement concerné. Il est essentiel de comprendre cette distinction pour identifier qui est votre interlocuteur.
| Contexte | Qualification de Fliz | Responsable à contacter |
|---|---|---|
| Visite du site affilane.com, inscription à la newsletter, demande de démonstration, création d'un compte marchand | Responsable de traitement | Fliz directement (présente politique) |
| Utilisation du Service Affilane par un marchand (gestion de son programme d'affiliation, ses affiliés, ses données de tracking) | Sous-traitant du marchand (article 28 RGPD) | Le marchand, votre partenaire contractuel |
| Pose de cookies de suivi d'affiliation sur les sites des marchands via le script Affilane | Coresponsable avec le marchand (article 26 RGPD, logique CJUE Fashion ID C-40/17) | Point de contact unique : le marchand |
| Détection de fraude, obligations comptables et légales, sécurité du Service | Responsable de traitement | Fliz directement |
La présente Politique couvre uniquement les traitements pour lesquels Fliz est responsable. Pour les traitements où Fliz agit comme sous-traitant, consultez la politique de confidentialité du marchand concerné.
3. Données traitées, finalités et bases légales
3.1 Visiteurs du site affilane.com
| Finalité | Catégories de données | Base légale | Durée de conservation |
|---|---|---|---|
| Fourniture et amélioration du site | Données de navigation (pages visitées, temps passé, referrer) anonymisées ou pseudonymisées | Intérêt légitime (art. 6.1.f RGPD) | 13 mois (cookies) |
| Mesure d'audience | Statistiques agrégées via outils de mesure avec consentement | Consentement (art. 6.1.a RGPD + art. 82 LIL) | 25 mois (CNIL) |
| Formulaire de contact | Nom, email, message | Mesures précontractuelles ou intérêt légitime (art. 6.1.b ou 6.1.f) | 3 ans après dernier contact |
| Newsletter | Email, préférences | Consentement (art. 6.1.a) | Jusqu'à désabonnement + 3 ans |
3.2 Comptes marchands (clients du Service Affilane)
| Finalité | Catégories de données | Base légale | Durée de conservation |
|---|---|---|---|
| Création et gestion du compte, authentification | Identification (nom, prénom, email, mot de passe hashé), société (dénomination, SIRET, adresse, RCS) | Exécution contractuelle (art. 6.1.b) | Durée du contrat |
| Facturation et paiement de l'abonnement | Coordonnées bancaires (via Stripe), historique de facturation | Exécution contractuelle + obligation légale (art. 6.1.b et 6.1.c) | 10 ans (art. L.123-22 C. com.) |
| Support client | Tickets, échanges, identifiants | Exécution contractuelle (art. 6.1.b) | 3 ans après fin de contrat |
| Prospection et communication commerciale | Email professionnel, fonction, secteur | Intérêt légitime B2B (art. 6.1.f + art. L.34-5 CPCE) | 3 ans après dernier contact |
| Amélioration du Service et analytics produit | Logs d'utilisation pseudonymisés, métriques | Intérêt légitime (art. 6.1.f) | 25 mois |
| Détection de fraude et sécurité | Logs de connexion, IP, fingerprint, patterns | Intérêt légitime (art. 6.1.f) | 1 an |
| Respect des obligations légales (LCB-FT, fiscales) | Données KYC transmises via Stripe, documents comptables | Obligation légale (art. 6.1.c) | 5 à 10 ans selon texte applicable |
3.3 Prospects et demandes de démonstration
| Finalité | Catégories de données | Base légale | Durée de conservation |
|---|---|---|---|
| Traitement de la demande | Nom, prénom, email professionnel, société, message | Mesures précontractuelles (art. 6.1.b) | 3 ans après dernier contact commercial |
4. Destinataires des données
Vos données peuvent être communiquées, dans la limite de leurs attributions et des finalités ci-dessus, aux catégories de destinataires suivantes :
4.1 Personnel interne
Les employés et prestataires de Fliz habilités, soumis à des obligations de confidentialité strictes.
4.2 Sous-traitants techniques
Les sous-traitants intervenant pour le compte de Fliz dans le cadre strict des finalités décrites ci-dessus. Un DPA (Data Processing Agreement) est conclu avec chacun d'eux conformément à l'article 28 RGPD.
| Sous-traitant | Rôle | Localisation des données | Encadrement transfert |
|---|---|---|---|
| Vercel Inc. | Hébergement du site et de l'application | Multi-régions (UE privilégiée) | EU-US Data Privacy Framework |
| Supabase Inc. | Base de données principale | UE (via AWS Irlande/Francfort) | Intra-UE (pas de transfert) |
| Amazon Web Services EMEA SARL | Infrastructure technique | UE (Irlande, Francfort) | Intra-UE |
| Stripe Payments Europe Ltd. | Traitement des paiements d'abonnement | UE + US (transferts groupe) | EU-US DPF + CCT 2021/914 |
| Resend / équivalent | Envoi d'emails transactionnels | UE ou US | EU-US DPF + CCT 2021/914 |
| Anthropic PBC / OpenAI LLC | Fonctionnalités d'intelligence artificielle (analyse, insights) | US | EU-US DPF + CCT 2021/914 + minimisation des données |
| Upstash Inc. | Cache et file d'attente (Redis) | UE | EU-US DPF |
La liste à jour des sous-traitants est tenue par nos soins et communiquée sur demande à hello@affilane.com.
4.3 Tiers autorisés
- Autorités administratives ou judiciaires, sur réquisition légale
- Experts-comptables et commissaires aux comptes, dans le cadre d'obligations légales
- Conseils juridiques, fiscaux ou d'assurance, en cas de besoin justifié
4.4 Cessions de données
Fliz ne vend ni ne loue vos données personnelles à des tiers.
5. Transferts de données hors Union européenne
Certains de nos sous-traitants peuvent être amenés à traiter des données aux États-Unis ou dans d'autres pays tiers. Ces transferts sont encadrés par :
-
La décision d'adéquation EU-US Data Privacy Framework du 10 juillet 2023 (Décision d'exécution (UE) 2023/1795 de la Commission européenne), applicable aux sous-traitants US certifiés. Cette décision a été confirmée par le Tribunal de l'Union européenne le 3 septembre 2025 (affaire T-553/23, Latombe c/ Commission).
-
Les Clauses Contractuelles Types (CCT) adoptées par la Décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021, assorties d'une évaluation d'impact des transferts (Transfer Impact Assessment) conformément aux Recommandations 01/2020 du Comité Européen de la Protection des Données (CEPD).
-
Des mesures supplémentaires lorsque nécessaire : pseudonymisation, chiffrement en transit et au repos, contrôles d'accès.
Vous pouvez obtenir copie des garanties mises en place en contactant hello@affilane.com.
6. Durées de conservation
Les durées de conservation sont précisées dans le tableau en section 3. De manière générale, nous appliquons les principes suivants :
- Données en base active : pendant la durée d'utilisation du Service ou du contrat
- Archivage intermédiaire : pour respecter les obligations légales ou prescriptions (prescription civile 5 ans, commerciale 5 ans, fiscale 6 ans, comptable 10 ans)
- Données anonymisées : conservation possible sans limite de durée (les données n'étant plus personnelles)
Au terme des durées applicables, les données sont supprimées ou anonymisées de manière irréversible.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la Loi Informatique et Libertés, vous disposez des droits suivants :
7.1 Droit d'accès (art. 15 RGPD)
Vous pouvez obtenir la confirmation que nous traitons ou non vos données, ainsi qu'une copie des données traitées.
7.2 Droit de rectification (art. 16)
Vous pouvez demander la correction de données inexactes ou incomplètes.
7.3 Droit à l'effacement (art. 17, « droit à l'oubli »)
Vous pouvez demander la suppression de vos données, sous réserve des exceptions légales (obligations légales de conservation, exercice du droit à la liberté d'expression, défense de droits en justice, etc.).
7.4 Droit à la limitation du traitement (art. 18)
Vous pouvez demander le gel du traitement de vos données dans certaines circonstances.
7.5 Droit à la portabilité (art. 20)
Pour les données que vous avez fournies et traitées sur la base du consentement ou de l'exécution d'un contrat, vous pouvez demander leur transmission dans un format structuré, couramment utilisé et lisible par machine.
7.6 Droit d'opposition (art. 21)
Vous pouvez vous opposer au traitement de vos données fondé sur notre intérêt légitime. Pour la prospection commerciale, votre opposition est absolue et effective immédiatement.
7.7 Droit de retirer votre consentement (art. 7.3)
Lorsque le traitement est fondé sur votre consentement (cookies non essentiels, newsletter), vous pouvez le retirer à tout moment, aussi facilement que vous l'avez donné. Le retrait n'affecte pas la licéité du traitement antérieur.
7.8 Droit de définir des directives post-mortem (art. 85 LIL)
Vous pouvez définir des directives générales (auprès d'un tiers de confiance numérique certifié CNIL) ou particulières (auprès de nous) sur le sort de vos données après votre décès.
7.9 Droit d'introduire une réclamation (art. 77)
Vous pouvez introduire une réclamation auprès de la CNIL :
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Site : www.cnil.fr/fr/plaintes
Si vous résidez dans un autre État membre de l'UE, vous pouvez vous adresser à votre autorité nationale de protection des données.
7.10 Comment exercer ces droits
Envoyez votre demande à hello@affilane.com avec « [RGPD] » en objet. Précisez la nature de votre demande et joignez, si possible, une preuve d'identité pour les demandes sensibles. Nous vous répondrons dans un délai d'un mois maximum (art. 12.3 RGPD), prolongeable de deux mois en cas de complexité particulière.
8. Profilage et décision automatisée
Fliz ne prend aucune décision produisant des effets juridiques à votre égard ou vous affectant de manière significative de façon uniquement automatisée au sens de l'article 22 du RGPD.
Certaines fonctionnalités du Service incluent un scoring automatisé (détection de fraude affiliés, suggestions IA). Ces scorings sont systématiquement assortis d'une revue humaine avant toute décision à effet pour l'utilisateur.
9. Sécurité des données
Fliz met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données, conformément à l'article 32 du RGPD, notamment :
- Chiffrement : TLS 1.2 minimum en transit, AES-256 au repos
- Authentification : mots de passe hashés (bcrypt), authentification multi-facteurs recommandée
- Contrôle d'accès : principe du moindre privilège, séparation des environnements (production/développement)
- Journalisation : traces d'accès conservées 1 an pour détection d'incidents
- Sauvegardes : quotidiennes, chiffrées, conservées 30 jours
- Gestion des incidents : procédure documentée, notification à la CNIL sous 72h et aux personnes concernées en cas de violation à risque élevé (art. 33 et 34 RGPD)
- Formation : sensibilisation régulière des collaborateurs
- Audits : tests de sécurité périodiques
En cas de violation de données vous concernant et présentant un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais conformément à l'article 34 RGPD.
10. Cookies et traceurs
L'utilisation des cookies et traceurs similaires est détaillée dans notre Politique cookies. Conformément à l'article 82 de la Loi Informatique et Libertés et aux recommandations de la CNIL, aucun traceur non strictement nécessaire n'est déposé avant votre consentement exprès.
11. Mineurs
Le Service Affilane est destiné à un usage professionnel (B2B) et n'est pas destiné aux mineurs de moins de 18 ans. Nous ne collectons pas sciemment de données de mineurs. Si vous pensez qu'un mineur nous a transmis des données personnelles, contactez-nous immédiatement à hello@affilane.com.
12. Modifications de la politique
Fliz se réserve le droit de modifier la présente Politique pour refléter l'évolution de ses traitements, du cadre légal ou de la jurisprudence. Toute modification substantielle fera l'objet :
- D'une notification par email aux utilisateurs enregistrés au moins 15 jours avant l'entrée en vigueur
- D'un bandeau d'information sur le site pendant au moins 30 jours
- De la mise à jour de la date en haut de ce document et de l'incrémentation du numéro de version
L'historique des versions est disponible sur demande à hello@affilane.com.
13. Droit applicable
La présente Politique est régie par le droit français. En cas de litige relatif à la protection des données personnelles, les juridictions françaises sont compétentes, sans préjudice de votre faculté de saisir les juridictions de votre État membre de résidence conformément à l'article 79.2 du RGPD.
Politique établie en conformité avec :
- Règlement (UE) 2016/679 du 27 avril 2016 (RGPD)
- Loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés)
- Recommandations et lignes directrices du CEPD (Comité Européen de la Protection des Données)
- Recommandations et délibérations de la CNIL
- Décision (UE) 2021/914 du 4 juin 2021 (Clauses Contractuelles Types)
- Décision (UE) 2023/1795 du 10 juillet 2023 (EU-US Data Privacy Framework)