VZIONSInnovation Hub
DiscussionsProduits
...
Vzions RGPD — Customer Base Manager

Politique de confidentialité — Vzions RGPD Customer Base Manager

Dernière mise à jour : 1er juillet 2026 — Version 1.0

1. Éditeur

L'application « Vzions RGPD — Customer Base Manager » (ci-après « l'Application ») est éditée et publiée par vzions.com (ci-après « Vzions », « nous », « l'Éditeur »).

  • Éditeur : vzions.com — Entrepreneur individuel
  • SIREN / RCS : 524 745 163
  • Adresse : Rue du Vignoble, 44450 Saint-Julien-de-Concelles, France
  • Contact & support : support@vzions.com
  • Point de contact vie privée / DPO : support@vzions.com
  • Hébergeur : OVH — infrastructure située dans l'Union européenne

L'Application est distribuée publiquement sur le Shopify App Store. Les déploiements privés hors App Store ne sont pas couverts par la présente politique.

2. Notre rôle : sous-traitant (processor)

Au sens du RGPD (Règlement UE 2016/679) :

  • Le marchand Shopify qui installe l'Application est le responsable de traitement (controller) : il détermine les finalités et les moyens du traitement des données de ses clients.
  • Vzions agit en qualité de sous-traitant (processor) : nous traitons les données personnelles uniquement sur instruction du marchand, pour exécuter le service, et ne définissons pas les finalités du traitement.

Le marchand reste responsable de l'information de ses clients, du recueil des bases légales et du respect de ses obligations de responsable de traitement. Les relations marchand/Vzions sont régies par un accord de sous-traitance (DPA).

3. Finalité de l'Application

L'Application a une finalité unique : permettre au marchand d'exercer et d'automatiser le droit à l'effacement des données de ses clients (« droit à l'oubli », article 17 du RGPD). Elle :

  1. Identifie les clients inactifs selon des règles définies par le marchand (ex. dernière commande au-delà de N jours), via l'API Admin Shopify et les Bulk Operations.
  2. Orchestre l'effacement natif de Shopify en déclenchant la mutation customerRequestDataErasure (fenêtre d'annulation d'environ 10 jours via customerCancelDataErasure).
  3. Propage l'effacement vers les outils marketing tiers connectés par le marchand (voir §6).

L'effacement repose sur le mécanisme natif de Shopify : l'Application ne réalise aucune anonymisation propriétaire.

4. Données traitées

4.a Données lues de façon transitoire (jamais persistées en clair)

Pour identifier les clients à effacer, l'Application lit de façon transitoire (en mémoire) via l'API Admin : l'adresse e-mail du client et des métadonnées de commande (ex. date de dernière commande). Ces données relèvent du régime Protected Customer Data — Level 2 de Shopify.

4.b Données stockées par l'Application

Donnée stockée Nature
customer_gid (identifiant client Shopify) Identifiant technique
email_hash (empreinte SHA-256 de l'e-mail — jamais l'e-mail en clair) Pseudonyme irréversible
Métadonnées de run (horodatage, règle, volume) Métadonnées techniques
Journal d'audit append-only (uniquement le customer_gid) Preuve de conformité
propagation_log (codes HTTP, sans e-mail) Journal technique
Clés API tierces (chiffrées AES-256-GCM) Secret marchand
E-mail du DPO du marchand, données d'abonnement Contact / facturation

Invariant NO-PII : l'Application ne stocke jamais l'adresse e-mail d'un client en clair. Privacy by design (art. 25 RGPD).

4.c Journaux techniques

Les journaux techniques sont conçus pour ne pas contenir de PII en clair. Durée de rétention des logs techniques : [à compléter].

5. Permissions Shopify et base légale

Scope Usage
read_customers Appliquer les règles d'inactivité
read_orders Calculer l'inactivité (date de dernière commande)
write_customer_data_erasure Déclencher l'effacement natif Shopify
read_customer_data_erasure Lire l'état des demandes d'effacement

En tant que sous-traitant, Vzions traite les données sur la base des instructions du marchand. C'est le marchand, responsable de traitement, qui détermine la base légale applicable à ses clients.

6. Destinataires et sous-traitants ultérieurs

  • Hébergeur : OVH — hébergement de l'infrastructure et de la base de données au sein de l'Union européenne.
  • Shopify Inc. — l'Application s'exécute dans l'écosystème Shopify (voir https://www.shopify.com/legal/privacy).
  • Outils marketing tiers connectés par le marchand : Klaviyo (https://www.klaviyo.com/legal/privacy) et Brevo (https://www.brevo.com/legal/privacypolicy/). Propagation en mode « tag » (par défaut) ou « suppression réelle » (option, plans Pro/Scale), déclenchée par le webhook customers/redact.

Transferts hors UE : Klaviyo et Brevo peuvent traiter des données hors de l'UE (notamment aux États-Unis). De tels transferts doivent être encadrés par des garanties appropriées (clauses contractuelles types et/ou EU-U.S. Data Privacy Framework). Mécanisme de transfert applicable : [à compléter].

7. Durée de conservation

  • Données transitoires (PII) : conservées uniquement le temps du traitement, en mémoire, non persistées en clair.
  • customer_gid, email_hash, métadonnées, journal d'audit, propagation_log, clés API, e-mail DPO, abonnement : conservés tant que l'Application est installée.
  • Désinstallation (shop/redact) : à la désinstallation, Shopify déclenche shop/redact (~48 h après) ; l'Application efface alors les données de la boutique qu'elle détient.
  • Rétention résiduelle éventuelle (obligation légale) : [à compléter].

8. Webhooks de conformité

L'Application implémente les webhooks obligatoires, authentifiés par vérification HMAC (401 si invalide, 200 sinon) : customers/data_request, customers/redact (source de vérité de l'effacement), shop/redact.

9. Droits des personnes concernées

Les clients du marchand exercent leurs droits auprès du marchand (responsable de traitement). Vzions, sous-traitant, assiste le marchand pour les droits des articles 15 à 22 du RGPD (accès, rectification, effacement, limitation, portabilité, opposition). Contact vie privée : support@vzions.com.

Réclamation : toute personne peut saisir une autorité de contrôle — en France, la CNIL (https://www.cnil.fr) — ou celle de son État de résidence.

Caractère irréversible : une fois la fenêtre d'annulation d'environ 10 jours écoulée, l'effacement est définitif. Le marchand vérifie le bien-fondé de chaque demande avant l'expiration de ce délai.

10. Sécurité

Mesures techniques et organisationnelles (art. 32 RGPD) : chiffrement en transit (TLS/HTTPS) ; clés API tierces chiffrées au repos (AES-256-GCM) ; pseudonymisation par construction (e-mails jamais en clair, email_hash SHA-256) ; journal d'audit append-only sans PII ; authentification HMAC des webhooks. Séparation des environnements test/production. Procédure de notification d'incident : [à compléter].

11. Tarification

Plans (EUR, cycle 30 jours, essai gratuit 14 jours), facturés via la Shopify Billing API : Free 0 €, Growth 19 €, Pro 49 €, Scale 99 €. La facturation est gérée par Shopify ; Vzions ne traite pas les données de paiement.

12. Modifications

La version en vigueur est publiée sur cette page avec sa date de dernière mise à jour. Toute modification substantielle sera communiquée aux marchands utilisateurs.

VZIONS

Apps Shopify pour la conformité et la croissance des marchands européens.

Produits

RGPDWithdraw EU ProCross-sell Up-Sell

Entreprise

BlogContact

Légal

Mentions légalesConfidentialité
© 2026 Vzions. Tous droits réservés.