Politique de confidentialité
La présente Politique de confidentialité explique comment nous traitons vos données à caractère personnel lorsque vous utilisez miapos.eu, le parcours d'inscription des commerçants miaPOS ou la plateforme d'acceptation miaPOS. Elle s'applique conjointement à notre Politique relative aux cookies et à nos Conditions d'utilisation.
Date de prise d'effet : 18 juillet 2026.
1. Qui sommes-nous
Les responsables conjoints du traitement des données à caractère personnel via miapos.eu sont :
- Finergy Tech S.R.L. — siège à Chișinău, République de Moldavie ; IDNO 1014600013927. Responsable principal pour la Moldavie et les marchés hors UE.
- Instapay Tech S.R.L. — Bucarest, Roumanie. Responsable pour les personnes concernées de l'Union européenne et les opérations sur les marchés de l'UE.
Vous pouvez contacter l'un ou l'autre des responsables — y compris le Délégué à la protection des données — à [email protected]. Demandes générales : [email protected].
2. Données à caractère personnel traitées
Visiteurs du site. Lorsque vous naviguez sur miapos.eu, nous traitons les données techniques transmises automatiquement par votre navigateur (adresse IP, user-agent, langue, horodatages) et toute information que vous soumettez volontairement (par exemple via des liens mailto ou des formulaires).
Demandeurs de compte marchand. Lorsque vous utilisez le parcours d'inscription à /onboarding/, nous traitons : le numéro d'immatriculation de l'entreprise (IDNO/CUI ou équivalent), le numéro de téléphone mobile de l'administrateur, la banque partenaire sélectionnée, un code SMS de vérification à usage unique, des horodatages et les signaux de risque reCAPTCHA fournis par Google (voir §5).
Commerçants et leurs utilisateurs. Lors de l'utilisation de la plateforme d'acceptation, nous traitons les coordonnées professionnelles, les métadonnées de transaction (montants, horodatages, références, identifiants des banques contreparties) et les données d'audit exigées par les autorités financières. Nous ne traitons pas de données de porteur de carte — miaPOS n'accepte pas les paiements par carte.
3. Bases juridiques du traitement
Nous nous appuyons sur les bases juridiques suivantes au titre du RGPD (règlement (UE) 2016/679) et de la loi moldave 133/2011 :
- Contrat (art. 6, § 1, point b, RGPD) — activer et exploiter le compte marchand que vous demandez.
- Obligation légale (art. 6, § 1, point c) — respecter la LCB-FT, les règles connexes au PCI-DSS, le droit fiscal et les règles des schémas de paiement instantané (SEPA Instant, MIA, RoPay et équivalents).
- Intérêt légitime (art. 6, § 1, point f) — sécuriser le site (prévention de la fraude, limitation du débit, scoring de risque reCAPTCHA), tenir des indicateurs opérationnels agrégés et répondre à vos demandes.
- Consentement (art. 6, § 1, point a) — pour les cookies non essentiels et la case à cocher de consentement du parcours d'inscription, révocables à tout moment sans affecter les traitements antérieurs.
4. Durées de conservation
- Journaux d'accès au site : jusqu'à 30 jours à des fins de sécurité.
- Demandes d'inscription : jusqu'à 24 mois à compter de la dernière activité si l'activation n'aboutit pas, puis suppression ou anonymisation.
- Enregistrements de commerçants activés et données de transaction : selon la durée de conservation applicable en droit financier — en règle générale, 5 ans après la fin de la relation d'affaires, conformément aux cadres LCB-FT moldave et de l'UE.
- Coordonnées marketing : jusqu'à votre désabonnement ou demande d'effacement.
5. Destinataires des données
Nous partageons les données à caractère personnel uniquement avec les catégories suivantes de destinataires, chacun étant lié par un accord écrit de traitement des données lorsque cela est requis :
- Banques partenaires — la banque que vous sélectionnez dans le parcours d'inscription, afin qu'elle puisse activer votre compte marchand (contrat, art. 6, § 1, point b).
- Opérateurs des schémas de paiement et banques de règlement — pour acheminer les messages de paiement instantané (obligation légale, contrat).
- Sous-traitants d'infrastructure : Cloudflare, Inc. (hébergement, DNS, atténuation DDoS), HubSpot, Inc. (CRM), Brevo SA (livraison d'e-mails transactionnels — sous-traitant UE, Paris, France ; les données restent dans l'EEE) et une passerelle SMS opérant en République de Moldavie (livraison OTP).
- Services anti-abus : Google Ireland Ltd / Google LLC — reCAPTCHA v3, activé uniquement après votre acceptation des cookies. En cas de refus, la soumission des formulaires bascule vers un traitement par e-mail.
- Autorités compétentes — sur réquisition légale, décision de justice ou demande réglementaire (Banque nationale de Moldavie, ANSPDCP, CNPDCP, autorités fiscales, juridictions).
6. Transferts internationaux de données
Les données à caractère personnel peuvent être transférées à des sous-traitants situés en dehors de l'Espace économique européen, principalement aux États-Unis (Google, Cloudflare, HubSpot). Ces transferts sont couverts par les Clauses contractuelles types (CCT) de la Commission européenne et, le cas échéant, par le cadre de protection des données UE–États-Unis (EU-US Data Privacy Framework). Une copie des garanties appliquées à un transfert spécifique peut être obtenue en écrivant à [email protected].
7. Vos droits
Au titre du RGPD et de la loi moldave 133/2011, vous disposez des droits suivants :
- Accès aux données à caractère personnel vous concernant (art. 15 RGPD).
- Rectification des données inexactes ou incomplètes (art. 16).
- Effacement — « droit à l'oubli » — sous réserve des obligations légales de conservation (art. 17).
- Limitation du traitement pendant la résolution d'un litige (art. 18).
- Portabilité des données dans un format structuré, exploitable par machine (art. 20).
- Opposition au traitement fondé sur l'intérêt légitime (art. 21).
- Retrait du consentement à tout moment pour les traitements fondés sur le consentement (art. 7, § 3) — sans effet sur les traitements antérieurs licites.
- Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques (art. 22). Nous n'utilisons pas un tel traitement dans le parcours d'inscription ; la décision finale d'activation revient à la banque partenaire.
8. Exercice de vos droits
Adressez votre demande à [email protected]. Nous répondrons dans un délai d'un mois (prorogeable de deux mois supplémentaires pour les demandes complexes conformément à l'art. 12, § 3, RGPD). Nous pouvons demander une preuve raisonnable d'identité afin de protéger vos données.
9. Droit de réclamation
Si vous estimez que nous n'avons pas traité vos données conformément à la loi, vous pouvez saisir une autorité de contrôle :
- Personnes concernées de l'UE : Autorité nationale de surveillance du traitement des données à caractère personnel (ANSPDCP), Bucarest — dataprotection.ro. Vous pouvez également saisir l'autorité de votre pays de résidence dans l'UE (par exemple, la CNIL en France).
- Personnes concernées de Moldavie : Centre national pour la protection des données à caractère personnel (CNPDCP), Chișinău — datepersonale.md.
10. Sécurité
Nous appliquons des mesures techniques et organisationnelles adaptées au risque, notamment le chiffrement en transit (TLS 1.2+), la limitation du débit, le scoring de risque reCAPTCHA v3, des contrôles d'accès selon le principe du moindre privilège et des procédures opérationnelles auditées, alignées sur les attentes de supervision de la Banque nationale de Moldavie.
11. Modifications de la présente notice
Nous pouvons mettre à jour la présente notice de temps à autre. Les modifications substantielles seront annoncées sur cette page avec une « Date de prise d'effet » révisée. Nous conservons les versions antérieures sur demande.
12. Contact
Délégué à la protection des données / équipe confidentialité : [email protected]
Adresse postale (UE) : Instapay Tech S.R.L., Bucarest, Roumanie.
Adresse postale (MD) : Finergy Tech S.R.L., Chișinău, République de Moldavie.