Vie privée & RGPD

Cette Politique de confidentialité décrit la manière dont PAYPOS LLC et PAYTWEAK SAS collectent, utilisent, protègent et partagent les données à caractère personnel dans le cadre de l’utilisation de l’application PayPOS, de ses API et du site paypos.fr.

La présente Politique complète l’article 12 « Protection des données & hébergement (RGPD) » et l’article 13 « Restitution & suppression des données » des Conditions Générales de Vente applicables au service PayPOS.

Version applicable à compter du 5 décembre 2025.

1. 1. Accueil
2. 2. Vie privée & RGPD

1. Préambule & champ d’application

Le traitement des données à caractère personnel réalisé dans le cadre de PayPOS est soumis au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), ainsi qu’aux lois nationales applicables en matière de protection des données.

La présente Politique s’applique :

• aux clients professionnels (Marchands) utilisant l’application PayPOS ;
• aux utilisateurs de l’interface SaaS (administrateurs, managers, vendeurs) ;
• aux visiteurs du site web paypos.fr ;
• le cas échéant, aux personnes physiques payeurs dont les données peuvent transiter via PayPOS dans le cadre d’un paiement en proximité ou à distance.

2. Responsable(s) du traitement

Dans le cadre de l’exploitation du service PayPOS en Europe :

• PAYPOS LLC, société de droit de l’État du Delaware (U.S.A.), agit en qualité d’éditeur de la solution logicielle et de propriétaire de la marque PayPOS.
• PAYTWEAK SAS, 268 avenue de la Californie, 06200 NICE, France, agit en qualité de licencié et distributeur exclusif de PayPOS pour l’Europe, et en qualité de responsable du traitement pour les clients européens lorsqu’elle détermine les finalités et moyens des traitements.

Pour les clients européens, PAYTWEAK SAS est en général responsable du traitement des données relatives à la relation commerciale et à l’exploitation de la plateforme, tandis que les Marchands restent responsables des traitements réalisés pour leurs propres clients finaux. PayPOS et/ou PAYTWEAK peuvent intervenir en qualité de sous-traitants lorsque les données sont traitées pour le compte des Marchands.

Tu peux contacter le responsable du traitement pour toute question liée à la présente Politique à l’adresse : privacy@paytweak.com.

3. Données collectées

Conformément au principe de minimisation (article 5.1.c RGPD), seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies sont collectées.

3.1. Données relatives au compte Marchand

• Identité de la société (dénomination, SIRET, TVA, secteur d’activité) ;
• Coordonnées professionnelles (adresse postale, email, téléphone) ;
• Identité et coordonnées des contacts (administrateurs, référents facturation, technique, etc.) ;
• Identifiants de connexion, rôles et droits au sein de l’espace SaaS.

3.2. Données liées aux paiements

Dans le cadre de l’utilisation de PayPOS pour déclencher ou suivre des encaissements, les données suivantes peuvent être traitées :

• Références de transaction, date, heure, montant, devise ;
• Identifiants d’appareils (TPE, terminaux Android, smartphones, tablettes) ;
• Statuts de paiement, codes de réponse fournis par les prestataires de paiement ;
• Données pseudonymisées relatives aux moyens de paiement (ex. PAN tronqué, token).

Les données complètes de carte bancaire ne sont ni stockées ni accessibles en clair par PayPOS ou PAYTWEAK. Elles sont traitées par des prestataires de services de paiement (PSP, acquéreurs) certifiés PCI-DSS.

3.3. Journaux techniques & sécurité

• Logs d’accès et d’actions dans l’interface SaaS ;
• Adresses IP, identifiants de session, user-agent ;
• Journaux de fonctionnement de l’application (erreurs, crash, diagnostics) ;
• Données techniques issues des terminaux Android (version OS, modèle, identifiant interne).

Ces informations sont utilisées pour assurer la sécurité des services, la détection d’incidents, la prévention de la fraude et l’amélioration du produit.

3.4. Cookies & traceurs

Le site paypos.fr peut utiliser des cookies et autres traceurs pour :

• permettre le fonctionnement, l’accessibilité et la sécurisation du site (cookies strictement nécessaires) ;
• mesurer l’audience de manière agrégée et anonyme ;
• éventuellement proposer des contenus, fonctionnalités ou campagnes ciblés, sous réserve de ton consentement préalable.

Pour les cookies non strictement nécessaires, ton consentement est recueilli préalablement, et tu peux refuser aussi facilement qu’accepter leur dépôt.

Un mécanisme de gestion des préférences te permet de modifier à tout moment tes choix par finalité (mesure d’audience, personnalisation, etc.).

4. Finalités des traitements

Les données sont traitées pour les finalités suivantes :

• Fourniture du service PayPOS (création et gestion du compte Marchand, rattachement des devices, gestion des droits utilisateurs) ;
• Exécution des opérations de paiement en lien avec les prestataires de services de paiement partenaires ;
• Facturation, comptabilité et gestion de la relation client (contrats, suivi des encaissements, recouvrement) ;
• Sécurité, prévention de la fraude et détection d’incidents (surveillance des usages, logs, alertes) ;
• Amélioration continue du service et statistiques agrégées ;
• Envoi de communications d’information liées au service (évolutions produits, incidents, sécurité) ;
• Marketing B2B (newsletters, invitations, événements) pour les contacts professionnels, sous réserve d’un intérêt légitime et du droit d’opposition.

5. Bases légales des traitements

Selon les cas, les traitements reposent sur l’une ou plusieurs des bases suivantes :

• Exécution du contrat conclu avec le Marchand (article 6.1.b RGPD) ;
• Respect d’obligations légales, notamment en matière comptable, fiscale, de lutte contre le blanchiment et le financement du terrorisme (article 6.1.c) ;
• Intérêt légitime de PayPOS et/ou de PAYTWEAK SAS à assurer la sécurité des services, à prévenir la fraude, à améliorer la solution et à développer l’activité (article 6.1.f) ;
• Consentement de la personne concernée pour les opérations qui le requièrent, notamment certains cookies ou certaines communications marketing (article 6.1.a).

6. Durées de conservation

Les données sont conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités poursuivies, conformément au principe de limitation de la conservation (article 5.1.e RGPD) et en cohérence avec les articles 12 et 13 des CGV PayPOS.

• Données de compte Marchand : pendant la durée du contrat, puis pour une durée maximale de douze (12) mois après suppression du compte, à des fins de preuve, de facturation et de gestion des litiges, sauf obligations légales imposant une durée supérieure (comptabilité, fiscalité).
• Données de transactions : pendant la durée nécessaire au suivi des encaissements, à la lutte contre la fraude, à la conformité réglementaire et à la preuve, dans la limite des durées prévues par la réglementation applicable (par exemple, obligations comptables et anti-blanchiment).
• Logs techniques et de sécurité : sur une période glissante comprise en principe entre six (6) mois et un (1) an, pouvant être prolongée en cas d’incident de sécurité ou de contentieux.
• Cookies : durée de vie conforme aux recommandations de la CNIL, généralement limitée à treize (13) mois maximum pour les cookies soumis à consentement.

À la résiliation ou suppression du compte, PAYPOS maintient en principe l’accès à l’export des données du Marchand pendant trente (30) jours. Passé ce délai, les données peuvent être supprimées ou archivées conformément aux obligations légales applicables.

Au-delà de ces durées, les données peuvent être archivées de manière intermédiaire, avec des accès restreints, ou supprimées/anonymisées de façon irréversible.

7. Destinataires des données

Les données traitées via PayPOS peuvent être communiquées, dans la limite de leurs habilitations, aux catégories de destinataires suivantes :

• Équipes internes de PAYPOS LLC et de PAYTWEAK SAS (support, technique, produit, facturation) ;
• Prestataires de services de paiement (PSP, acquéreurs, banques partenaires) ;
• Hébergeurs et sous-traitants techniques (infrastructures, emailing, monitoring, etc.) ;
• Conseils externes (avocats, auditeurs) soumis à obligation de confidentialité ;
• Autorités administratives ou judiciaires, lorsque la loi l’exige ou l’autorise.

Lorsque des sous-traitants sont impliqués, leurs obligations sont encadrées par un contrat de traitement des données conforme à l’article 28 RGPD.

8. Transferts de données hors de l’Union européenne

Certains prestataires ou entités du groupe peuvent être situés en dehors de l’Espace économique européen. Dans ce cas, des garanties appropriées sont mises en place, par exemple :

• décision d’adéquation de la Commission européenne pour le pays concerné ;
• signature de clauses contractuelles types (CCT) approuvées par la Commission européenne ;
• mesures complémentaires techniques et organisationnelles (chiffrement, pseudonymisation, etc.).

Tu peux obtenir davantage d’informations sur ces garanties en contactant privacy@paytweak.com.

9. Sécurité des données

PAYPOS et PAYTWEAK SAS mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (article 32 RGPD), notamment :

• chiffrement des communications (TLS) ;
• contrôles d’accès, gestion des habilitations, authentification renforcée ;
• journalisation et surveillance des actions sensibles ;
• sauvegardes régulières et tests de reprise ;
• conformité aux référentiels de sécurité des prestataires de paiement (notamment PCI-DSS).

En cas de violation de données personnelles, la Partie agissant comme responsable du traitement notifie l’autorité de contrôle compétente et, lorsque nécessaire, les personnes concernées, dans les conditions prévues par le RGPD.

10. Droits des personnes concernées

Conformément aux articles 12 à 22 du RGPD, tu disposes, lorsque cela est applicable, des droits suivants sur tes données personnelles :

• droit d’accès ;
• droit de rectification ;
• droit d’effacement (« droit à l’oubli ») ;
• droit à la limitation du traitement ;
• droit d’opposition, notamment au marketing direct ;
• droit à la portabilité des données ;
• droit de retirer ton consentement à tout moment lorsque le traitement est fondé sur celui-ci.

Certains de ces droits peuvent être exercés directement depuis l’interface Marchand (mise à jour des informations, suppression de compte, gestion des utilisateurs).

10.1. Modalités d’exercice

Pour exercer tes droits ou pour toute question liée à la protection des données, tu peux écrire à :

• privacy@paytweak.com
• ou par courrier à : PAYTWEAK SAS – 268, avenue de la Californie, 06200 NICE – France.

Une réponse te sera apportée dans un délai d’un (1) mois à compter de la réception de la demande, délai pouvant être prolongé en cas de complexité ou de nombre important de demandes, conformément au RGPD.

10.2. Réclamation auprès d’une autorité de contrôle

Si tu estimes, après nous avoir contactés, que tes droits ne sont pas respectés, tu peux adresser une réclamation à l’autorité de contrôle compétente. Pour les clients et utilisateurs situés en France, il s’agit de la CNIL (www.cnil.fr).

11. Sous-traitance & Data Processing Agreement (DPA)

Lorsque PAYPOS et/ou PAYTWEAK SAS agissent en qualité de sous-traitants pour le compte d’un Marchand au sens de l’article 28 du RGPD, un contrat de traitement de données (« Data Processing Agreement » ou DPA) peut être conclu pour préciser les droits et obligations de chacune des Parties.

Ce DPA peut notamment couvrir :

• l’objet, la durée, la nature et la finalité des traitements ;
• les catégories de données et de personnes concernées ;
• les obligations de sécurité, de confidentialité et d’assistance ;
• les conditions de recours à la sous-traitance en chaîne ;
• les modalités de coopération en cas de violation de données ;
• les conditions d’effacement ou de restitution des données en fin de contrat.

Un modèle de DPA standard peut être mis à disposition des Marchands sur demande ou, le cas échéant, via l’espace Marchand lorsque cette fonctionnalité est disponible. Pour en savoir plus, tu peux contacter privacy@paytweak.com.

12. Délégué à la protection des données (DPO)

PAYTWEAK SAS a désigné un Délégué à la protection des données (DPO) qui peut être contacté à l’adresse suivante :

• dpo@paytweak.com

13. Mise à jour de la présente Politique

La présente Politique peut être amenée à évoluer, notamment en cas de modification de la réglementation applicable ou des services proposés. Toute nouvelle version sera publiée sur cette page avec une indication de la date de dernière mise à jour.

Dernière mise à jour : 5 décembre 2025.

---

— English Summary —

This Privacy Policy explains how PAYPOS LLC and PAYTWEAK SAS collect, use and protect personal data when merchants, users or payers interact with the PayPOS application, its APIs, or the paypos.fr website.

1. Data we collect

• Account data: company information, contact details, login identifiers and roles.
• Payment data: transaction IDs, timestamps, device identifiers, masked card information.
• Technical & security logs: IP address, session IDs, device info, crash and error logs.
• Cookies: essential cookies and anonymous analytics; optional cookies require prior consent.

2. Purposes

• Provide and operate the PayPOS service.
• Process payments with PSPs and acquiring banks.
• Security, fraud prevention and regulatory compliance.
• Customer management, billing and support.
• Service improvement and aggregated statistics.

3. Legal bases

Depending on the context, processing is based on one or more of the following legal grounds: performance of a contract, compliance with legal obligations, legitimate interest, or consent (for specific marketing or tracking purposes).

4. Data retention

Data is retained only as long as necessary for contractual, legal, security or proof purposes. Merchant account data generally remains available for up to 12 months after account closure, in line with applicable legal retention periods.

5. Data transfers

Some service providers may be located outside the EU/EEA. When this is the case, data transfers rely on appropriate safeguards such as adequacy decisions, Standard Contractual Clauses (SCCs) and additional technical and organizational measures where required.

6. Your rights

• Right of access, rectification and erasure.
• Right to restriction of processing and data portability.
• Right to object, in particular to direct marketing.
• Right to withdraw consent at any time where processing is based on consent.

For any request or question regarding data protection, you can contact: privacy@paytweak.com.

Vie privée & RGPD

Cette Politique de confidentialité décrit la manière dont PAYPOS LLC et PAYTWEAK SAS collectent, utilisent, protègent et partagent les données à caractère personnel dans le cadre de l’utilisation de l’application PayPOS, de ses API et du site paypos.fr.

La présente Politique complète l’article 12 « Protection des données & hébergement (RGPD) » et l’article 13 « Restitution & suppression des données » des Conditions Générales de Vente applicables au service PayPOS.

Version applicable à compter du 5 décembre 2025.

1. 1. Accueil
2. 2. Vie privée & RGPD

1. Préambule & champ d’application

Le traitement des données à caractère personnel réalisé dans le cadre de PayPOS est soumis au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), ainsi qu’aux lois nationales applicables en matière de protection des données.

La présente Politique s’applique :

• aux clients professionnels (Marchands) utilisant l’application PayPOS ;
• aux utilisateurs de l’interface SaaS (administrateurs, managers, vendeurs) ;
• aux visiteurs du site web paypos.fr ;
• le cas échéant, aux personnes physiques payeurs dont les données peuvent transiter via PayPOS dans le cadre d’un paiement en proximité ou à distance.

2. Responsable(s) du traitement

Dans le cadre de l’exploitation du service PayPOS en Europe :

• PAYPOS LLC, société de droit de l’État du Delaware (U.S.A.), agit en qualité d’éditeur de la solution logicielle et de propriétaire de la marque PayPOS.
• PAYTWEAK SAS, 268 avenue de la Californie, 06200 NICE, France, agit en qualité de licencié et distributeur exclusif de PayPOS pour l’Europe, et en qualité de responsable du traitement pour les clients européens lorsqu’elle détermine les finalités et moyens des traitements.

Pour les clients européens, PAYTWEAK SAS est en général responsable du traitement des données relatives à la relation commerciale et à l’exploitation de la plateforme, tandis que les Marchands restent responsables des traitements réalisés pour leurs propres clients finaux. PayPOS et/ou PAYTWEAK peuvent intervenir en qualité de sous-traitants lorsque les données sont traitées pour le compte des Marchands.

Tu peux contacter le responsable du traitement pour toute question liée à la présente Politique à l’adresse : privacy@paytweak.com.

3. Données collectées

Conformément au principe de minimisation (article 5.1.c RGPD), seules les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies sont collectées.

3.1. Données relatives au compte Marchand

• Identité de la société (dénomination, SIRET, TVA, secteur d’activité) ;
• Coordonnées professionnelles (adresse postale, email, téléphone) ;
• Identité et coordonnées des contacts (administrateurs, référents facturation, technique, etc.) ;
• Identifiants de connexion, rôles et droits au sein de l’espace SaaS.

3.2. Données liées aux paiements

Dans le cadre de l’utilisation de PayPOS pour déclencher ou suivre des encaissements, les données suivantes peuvent être traitées :

• Références de transaction, date, heure, montant, devise ;
• Identifiants d’appareils (TPE, terminaux Android, smartphones, tablettes) ;
• Statuts de paiement, codes de réponse fournis par les prestataires de paiement ;
• Données pseudonymisées relatives aux moyens de paiement (ex. PAN tronqué, token).

Les données complètes de carte bancaire ne sont ni stockées ni accessibles en clair par PayPOS ou PAYTWEAK. Elles sont traitées par des prestataires de services de paiement (PSP, acquéreurs) certifiés PCI-DSS.

3.3. Journaux techniques & sécurité

• Logs d’accès et d’actions dans l’interface SaaS ;
• Adresses IP, identifiants de session, user-agent ;
• Journaux de fonctionnement de l’application (erreurs, crash, diagnostics) ;
• Données techniques issues des terminaux Android (version OS, modèle, identifiant interne).

Ces informations sont utilisées pour assurer la sécurité des services, la détection d’incidents, la prévention de la fraude et l’amélioration du produit.

3.4. Cookies & traceurs

Le site paypos.fr peut utiliser des cookies et autres traceurs pour :

• permettre le fonctionnement, l’accessibilité et la sécurisation du site (cookies strictement nécessaires) ;
• mesurer l’audience de manière agrégée et anonyme ;
• éventuellement proposer des contenus, fonctionnalités ou campagnes ciblés, sous réserve de ton consentement préalable.

Pour les cookies non strictement nécessaires, ton consentement est recueilli préalablement, et tu peux refuser aussi facilement qu’accepter leur dépôt.

Un mécanisme de gestion des préférences te permet de modifier à tout moment tes choix par finalité (mesure d’audience, personnalisation, etc.).

4. Finalités des traitements

Les données sont traitées pour les finalités suivantes :

• Fourniture du service PayPOS (création et gestion du compte Marchand, rattachement des devices, gestion des droits utilisateurs) ;
• Exécution des opérations de paiement en lien avec les prestataires de services de paiement partenaires ;
• Facturation, comptabilité et gestion de la relation client (contrats, suivi des encaissements, recouvrement) ;
• Sécurité, prévention de la fraude et détection d’incidents (surveillance des usages, logs, alertes) ;
• Amélioration continue du service et statistiques agrégées ;
• Envoi de communications d’information liées au service (évolutions produits, incidents, sécurité) ;
• Marketing B2B (newsletters, invitations, événements) pour les contacts professionnels, sous réserve d’un intérêt légitime et du droit d’opposition.

5. Bases légales des traitements

Selon les cas, les traitements reposent sur l’une ou plusieurs des bases suivantes :

• Exécution du contrat conclu avec le Marchand (article 6.1.b RGPD) ;
• Respect d’obligations légales, notamment en matière comptable, fiscale, de lutte contre le blanchiment et le financement du terrorisme (article 6.1.c) ;
• Intérêt légitime de PayPOS et/ou de PAYTWEAK SAS à assurer la sécurité des services, à prévenir la fraude, à améliorer la solution et à développer l’activité (article 6.1.f) ;
• Consentement de la personne concernée pour les opérations qui le requièrent, notamment certains cookies ou certaines communications marketing (article 6.1.a).

6. Durées de conservation

Les données sont conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités poursuivies, conformément au principe de limitation de la conservation (article 5.1.e RGPD) et en cohérence avec les articles 12 et 13 des CGV PayPOS.

• Données de compte Marchand : pendant la durée du contrat, puis pour une durée maximale de douze (12) mois après suppression du compte, à des fins de preuve, de facturation et de gestion des litiges, sauf obligations légales imposant une durée supérieure (comptabilité, fiscalité).
• Données de transactions : pendant la durée nécessaire au suivi des encaissements, à la lutte contre la fraude, à la conformité réglementaire et à la preuve, dans la limite des durées prévues par la réglementation applicable (par exemple, obligations comptables et anti-blanchiment).
• Logs techniques et de sécurité : sur une période glissante comprise en principe entre six (6) mois et un (1) an, pouvant être prolongée en cas d’incident de sécurité ou de contentieux.
• Cookies : durée de vie conforme aux recommandations de la CNIL, généralement limitée à treize (13) mois maximum pour les cookies soumis à consentement.

À la résiliation ou suppression du compte, PAYPOS maintient en principe l’accès à l’export des données du Marchand pendant trente (30) jours. Passé ce délai, les données peuvent être supprimées ou archivées conformément aux obligations légales applicables.

Au-delà de ces durées, les données peuvent être archivées de manière intermédiaire, avec des accès restreints, ou supprimées/anonymisées de façon irréversible.

7. Destinataires des données

Les données traitées via PayPOS peuvent être communiquées, dans la limite de leurs habilitations, aux catégories de destinataires suivantes :

• Équipes internes de PAYPOS LLC et de PAYTWEAK SAS (support, technique, produit, facturation) ;
• Prestataires de services de paiement (PSP, acquéreurs, banques partenaires) ;
• Hébergeurs et sous-traitants techniques (infrastructures, emailing, monitoring, etc.) ;
• Conseils externes (avocats, auditeurs) soumis à obligation de confidentialité ;
• Autorités administratives ou judiciaires, lorsque la loi l’exige ou l’autorise.

Lorsque des sous-traitants sont impliqués, leurs obligations sont encadrées par un contrat de traitement des données conforme à l’article 28 RGPD.

8. Transferts de données hors de l’Union européenne

Certains prestataires ou entités du groupe peuvent être situés en dehors de l’Espace économique européen. Dans ce cas, des garanties appropriées sont mises en place, par exemple :

• décision d’adéquation de la Commission européenne pour le pays concerné ;
• signature de clauses contractuelles types (CCT) approuvées par la Commission européenne ;
• mesures complémentaires techniques et organisationnelles (chiffrement, pseudonymisation, etc.).

Tu peux obtenir davantage d’informations sur ces garanties en contactant privacy@paytweak.com.

9. Sécurité des données

PAYPOS et PAYTWEAK SAS mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (article 32 RGPD), notamment :

• chiffrement des communications (TLS) ;
• contrôles d’accès, gestion des habilitations, authentification renforcée ;
• journalisation et surveillance des actions sensibles ;
• sauvegardes régulières et tests de reprise ;
• conformité aux référentiels de sécurité des prestataires de paiement (notamment PCI-DSS).

En cas de violation de données personnelles, la Partie agissant comme responsable du traitement notifie l’autorité de contrôle compétente et, lorsque nécessaire, les personnes concernées, dans les conditions prévues par le RGPD.

10. Droits des personnes concernées

Conformément aux articles 12 à 22 du RGPD, tu disposes, lorsque cela est applicable, des droits suivants sur tes données personnelles :

• droit d’accès ;
• droit de rectification ;
• droit d’effacement (« droit à l’oubli ») ;
• droit à la limitation du traitement ;
• droit d’opposition, notamment au marketing direct ;
• droit à la portabilité des données ;
• droit de retirer ton consentement à tout moment lorsque le traitement est fondé sur celui-ci.

Certains de ces droits peuvent être exercés directement depuis l’interface Marchand (mise à jour des informations, suppression de compte, gestion des utilisateurs).

10.1. Modalités d’exercice

Pour exercer tes droits ou pour toute question liée à la protection des données, tu peux écrire à :

• privacy@paytweak.com
• ou par courrier à : PAYTWEAK SAS – 268, avenue de la Californie, 06200 NICE – France.

Une réponse te sera apportée dans un délai d’un (1) mois à compter de la réception de la demande, délai pouvant être prolongé en cas de complexité ou de nombre important de demandes, conformément au RGPD.

10.2. Réclamation auprès d’une autorité de contrôle

Si tu estimes, après nous avoir contactés, que tes droits ne sont pas respectés, tu peux adresser une réclamation à l’autorité de contrôle compétente. Pour les clients et utilisateurs situés en France, il s’agit de la CNIL (www.cnil.fr).

11. Sous-traitance & Data Processing Agreement (DPA)

Lorsque PAYPOS et/ou PAYTWEAK SAS agissent en qualité de sous-traitants pour le compte d’un Marchand au sens de l’article 28 du RGPD, un contrat de traitement de données (« Data Processing Agreement » ou DPA) peut être conclu pour préciser les droits et obligations de chacune des Parties.

Ce DPA peut notamment couvrir :

• l’objet, la durée, la nature et la finalité des traitements ;
• les catégories de données et de personnes concernées ;
• les obligations de sécurité, de confidentialité et d’assistance ;
• les conditions de recours à la sous-traitance en chaîne ;
• les modalités de coopération en cas de violation de données ;
• les conditions d’effacement ou de restitution des données en fin de contrat.

Un modèle de DPA standard peut être mis à disposition des Marchands sur demande ou, le cas échéant, via l’espace Marchand lorsque cette fonctionnalité est disponible. Pour en savoir plus, tu peux contacter privacy@paytweak.com.

12. Délégué à la protection des données (DPO)

PAYTWEAK SAS a désigné un Délégué à la protection des données (DPO) qui peut être contacté à l’adresse suivante :

• dpo@paytweak.com

13. Mise à jour de la présente Politique

La présente Politique peut être amenée à évoluer, notamment en cas de modification de la réglementation applicable ou des services proposés. Toute nouvelle version sera publiée sur cette page avec une indication de la date de dernière mise à jour.

Dernière mise à jour : 5 décembre 2025.

---

— English Summary —

This Privacy Policy explains how PAYPOS LLC and PAYTWEAK SAS collect, use and protect personal data when merchants, users or payers interact with the PayPOS application, its APIs, or the paypos.fr website.

1. Data we collect

• Account data: company information, contact details, login identifiers and roles.
• Payment data: transaction IDs, timestamps, device identifiers, masked card information.
• Technical & security logs: IP address, session IDs, device info, crash and error logs.
• Cookies: essential cookies and anonymous analytics; optional cookies require prior consent.

2. Purposes

• Provide and operate the PayPOS service.
• Process payments with PSPs and acquiring banks.
• Security, fraud prevention and regulatory compliance.
• Customer management, billing and support.
• Service improvement and aggregated statistics.

3. Legal bases

Depending on the context, processing is based on one or more of the following legal grounds: performance of a contract, compliance with legal obligations, legitimate interest, or consent (for specific marketing or tracking purposes).

4. Data retention

Data is retained only as long as necessary for contractual, legal, security or proof purposes. Merchant account data generally remains available for up to 12 months after account closure, in line with applicable legal retention periods.

5. Data transfers

Some service providers may be located outside the EU/EEA. When this is the case, data transfers rely on appropriate safeguards such as adequacy decisions, Standard Contractual Clauses (SCCs) and additional technical and organizational measures where required.

6. Your rights

• Right of access, rectification and erasure.
• Right to restriction of processing and data portability.
• Right to object, in particular to direct marketing.
• Right to withdraw consent at any time where processing is based on consent.

For any request or question regarding data protection, you can contact: privacy@paytweak.com.