Politique de Confidentialité
Aviş de Traduction
⚠️ AVIS IMPORTANT : Ce document a été traduit du turc à titre informatif uniquement. La version originale turque est le document juridiquement contraignant. En cas de divergence entre les versions turque et française, la version turque prévaudra.
1. Introduction et Responsable du Traitement
1.1. Introduction
Cette Politique de Confidentialité explique comment la plateforme Evaste ("Plateforme", "Nous", "Notre") collecte, traite, stocke, transfère et protège les données personnelles.
Votre vie privée est extrêmement importante pour nous. En tant que plateforme de confidentialité des données et de gestion du consentement, nous considérons la protection des données personnelles comme notre priorité absolue.
1.2. Responsable du Traitement
- Evaste (au sein de Group Taiga)
- Adresse : Levent, Istanbul, Turquie
- E-mail : privacy@evaste.co
- Web : https://evaste.co
- Téléphone : +90 532 494 42 64
1.3. Représentant de Protection des Données
Pour nos utilisateurs dans l'Union Européenne, notre représentant de protection des données désigné conformément à l'article 27 du RGPD : dpo@evaste.co
1.4. Champ d'Application
Cette Politique de Confidentialité s'applique dans les cas suivants :
- Lorsque vous visitez le site web evaste.co
- Lorsque vous vous inscrivez sur la Plateforme et utilisez nos Services
- Lorsque vous contactez le support client
- Lorsque vous recevez nos communications marketing
1.5. Cadre Juridique
Cette politique a été préparée conformément aux réglementations suivantes :
- Loi n° 6698 sur la Protection des Données Personnelles (KVKK) - Turquie
- Règlement Général sur la Protection des Données (RGPD) - Union Européenne
- California Consumer Privacy Act (CCPA) - USA Californie
- Loi n° 6563 sur la Réglementation du Commerce Électronique - Turquie
2. Catégories de Données Personnelles Traitées
2.1. Données que Vous Fournissez Directement
| Catégorie de Données | Types de Données |
|---|---|
| Données d'Identité | Prénom, nom, nom d'utilisateur |
| Données de Contact | Adresse e-mail, numéro de téléphone, adresse |
| Données de Compte | Mot de passe (haché), préférences de compte |
| Données de Paiement | Adresse de facturation, numéro fiscal* |
| Données d'Entreprise | Nom de l'entreprise, poste, secteur |
| Contenu des Communications | Demandes de support, commentaires |
* Les informations de carte de crédit ne sont pas stockées par Evaste ; elles sont traitées par notre fournisseur de paiement sécurisé (Stripe).
2.2. Données Collectées Automatiquement
| Catégorie de Données | Types de Données |
|---|---|
| Données de l'Appareil | Adresse IP, type de navigateur, système d'exploitation |
| Données d'Utilisation | Pages vues, clics, durée de session |
| Données de Localisation | Pays, ville (basé sur IP, approximatif) |
| Données de Cookies | Cookies de session, cookies de préférence |
| Données de Journal | Journaux d'accès, journaux d'erreurs, appels API |
2.3. Données Obtenues de Tiers
| Source | Types de Données |
|---|---|
| Connexion Sociale | Nom, e-mail, photo de profil (Google, LinkedIn) |
| Fournisseurs de Paiement | Statut de transaction, confirmation de paiement |
| Partenaires Commerciaux | Informations de parrainage, données de campagne |
2.4. Catégories Spéciales de Données
Evaste ne traite pas les catégories spéciales de données personnelles au sens de l'article 6 de la KVKK et de l'article 9 du RGPD (race, origine ethnique, opinions politiques, croyances religieuses, données de santé, données biométriques, etc.).
3. Finalités du Traitement et Bases Juridiques
3.1. Finalités et Bases Juridiques du Traitement
| Finalité | Base KVKK | Base RGPD |
|---|---|---|
| Fourniture de services | Art. 5/2(c) | Art. 6/1(b) |
| Création et gestion de compte | Art. 5/2(c) | Art. 6/1(b) |
| Traitement des paiements | Art. 5/2(c) | Art. 6/1(b) |
| Support client | Art. 5/2(c) | Art. 6/1(b) |
| Amélioration des services | Art. 5/2(f) | Art. 6/1(f) |
| Sécurité et prévention de la fraude | Art. 5/2(f) | Art. 6/1(f) |
| Obligations légales | Art. 5/2(ç) | Art. 6/1(c) |
| Marketing (avec consentement) | Art. 5/1 | Art. 6/1(a) |
| Analytique et statistiques | Art. 5/2(f) | Art. 6/1(f) |
3.2. Explication des Bases Juridiques
- Exécution du Contrat (KVKK Art. 5/2(c), RGPD Art. 6/1(b)) : Activités de traitement des données nécessaires pour fournir nos services et remplir nos obligations contractuelles.
- Intérêt Légitime (KVKK Art. 5/2(f), RGPD Art. 6/1(f)) : Activités de traitement nécessaires pour améliorer nos services, assurer la sécurité et mener nos opérations commerciales.
- Obligation Légale (KVKK Art. 5/2(ç), RGPD Art. 6/1(c)) : Activités de traitement nécessaires pour remplir nos obligations en vertu du droit fiscal, du droit commercial et d'autres réglementations légales.
- Consentement (KVKK Art. 5/1, RGPD Art. 6/1(a)) : Traitement basé sur le consentement explicite pour les communications marketing, les préférences de cookies et autres activités de traitement optionnelles.
3.3. Retrait du Consentement
Vous pouvez retirer votre consentement pour les activités de traitement basées sur le consentement à tout moment. Pour retirer votre consentement, vous pouvez mettre à jour vos préférences dans les paramètres du compte, utiliser le lien "se désabonner" dans les e-mails marketing, ou écrire à privacy@evaste.co.
Le retrait du consentement n'affecte pas la licéité du traitement effectué avant le retrait.
4. Durées de Conservation des Données
4.1. Principes Généraux
Nous conservons vos données personnelles pendant la durée nécessaire à la finalité du traitement, tant que les obligations contractuelles subsistent et pendant les périodes de conservation légales.
4.2. Durées de Conservation par Catégorie de Données
| Catégorie de Données | Durée de Conservation |
|---|---|
| Données de Compte | Tant que le compte est actif + 3 ans |
| Registres de Transactions | 10 ans (réglementation fiscale) |
| Factures | 10 ans (Code de commerce) |
| Registres de Consentement | Durée de validité du consentement + 5 ans |
| Registres de Support | 3 ans |
| Données de Journal | 2 ans |
| Données Analytiques | 26 moiş (indéfiniment si anonymisées) |
| Préférences Marketing | Jusqu'au retrait du consentement |
4.3. Après Fermeture du Compte
Lorsque vous fermez votre compte : Vos données personnelles sont supprimées ou anonymisées dans les 30 jours, les données soumises aux obligations légales de conservation sont conservées jusqu'à la fin de la période correspondante, les données dans les sauvegardes sont supprimées dans le cadre de la rotation des sauvegardes (90 jours).
4.4. Méthodes de Suppression
Les données sont détruites de manière sécurisée par les méthodes suivantes :
- Données numériques : Algorithmes de suppression sécurisée (normes NIST)
- Données de sauvegarde : Rotation automatique avec suppression permanente
- Données de journal : Vieillissement et suppression automatiques
5. Transfert de Données et Transfert International
5.1. Transfert National de Données
Vos données personnelles peuvent être transférées aux groupes de destinataires suivants :
| Groupe de Destinataires | Finalité du Transfert |
|---|---|
| Sociétés du Groupe | Opérations commerciales, services de support |
| Prestataires de Services | Infrastructure technique, traitement des paiements |
| Conseillers Juridiques | Conseil juridique |
| Auditeurs | Audits financiers et de conformité |
| Autorités Publiques | Obligations légales (tribunal, impôts) |
5.2. Transfert International de Données
Vos données peuvent être transférées vers des pays situés en dehors de l'Espace Économique Européen (EEE) pour la fourniture de nos services. Dans ce cas :
- Décision d'Adéquation de la Commission Européenne : Le transfert vers des pays ayant un niveau de protection adéquat est possible.
- Clauses Contractuelles Types (CCT) : Les clauses contractuelles types approuvées par la Commission Européenne sont utilisées (avec des garanties supplémentaires conformément à l'arrêt Schrems II).
- Règles d'Entreprise Contraignantes (BCR) : Règles contraignantes approuvées entre les sociétés du groupe.
- Consentement Explicite : Dans les cas où d'autres garanties ne sont pas disponibles, votre consentement explicite est obtenu.
5.3. Sous-traitants
La liste actuelle de nos sous-traitants est disponible sur : https://evaste.co/legal-center/sub-processors
Lors de l'ajout de nouveaux sous-traitants, une notification est faite au moins 30 jours à l'avance.
5.4. Transfert de Données vers les États-Unis
Des données sont transférées aux prestataires de services aux États-Uniş (AWS, Stripe, etc.). Suite à l'arrêt Schrems II, les garanties supplémentaires suivantes sont appliquées :
- Clauses Contractuelles Types mises à jour (CCT 2021)
- Mesures techniques supplémentaires (chiffrement, pseudonymisation)
- Évaluation d'impact du transfert (TIA)
- Évaluation du risque de soumission aux loiş de renseignement américaines
6. Mesures de Sécurité des Données
6.1. Mesures Techniques
- Chiffrement : TLS 1.3 lors du transfert, AES-256 lors du stockage, stockage des mots de passe bcrypt/Argon2
- Contrôle d'Accès : Contrôle d'accès basé sur les rôles (RBAC), Authentification multi-facteurs (MFA), Principe du moindre privilège
- Sécurité Réseau : Pare-feu et IDS/IPS, Protection DDoS, VPN pour l'accès à distance
- Sécurité des Applications : Analyses de sécurité régulières, Tests de pénétration, Cycle de vie de développement logiciel sécurisé (SDLC)
6.2. Mesures Organisationnelles
- Accords de confidentialité (tous les employés et fournisseurs)
- Formations régulières de sensibilisation à la sécurité
- Analyses d'impact sur la protection des données (AIPD)
- Plans d'intervention en cas d'incident
- Plans de continuité des activités et de reprise après sinistre
6.3. Certifications de Sécurité
L'infrastructure Evaste est conforme aux normes suivantes :
- ISO 27001 (gestion de la sécurité de l'information)
- SOC 2 Type II (fournisseurs d'infrastructure)
6.4. Notification de Violation de Sécurité
En cas de violation de données personnelles :
- Notification à l'Autorité de Protection des Données dans les 72 heures (KVKK/RGPD)
- Notification immédiate aux personnes concernées en cas de risque élevé
- Tenue d'un registre des violations
- Mise en œuvre de mesures correctives
7. Droits des Personnes Concernées
7.1. Vos Droits selon le KVKK (Article 11)
- Droit à l'Information : Le droit de savoir si vos données personnelles sont traitées.
- Droit de Demande d'Information : Le droit de demander des informations si vos données sont traitées.
- Droit de Connaître la Finalité du Traitement : Le droit de connaître la finalité du traitement de vos données personnelles et si elles sont utilisées conformément à cette finalité.
- Droit à l'Information sur le Transfert : Le droit de connaître les tiers auxquels vos données ont été transférées, au niveau national ou international.
- Droit de Rectification : Le droit de demander la correction d'un traitement incomplet ou incorrect.
- Droit à l'Effacement/Destruction : Le droit de demander la suppression ou la destruction conformément à l'article 7 de la KVKK.
- Droit à la Notification de Rectification/Effacement : Le droit de demander que les opérations de rectification/effacement soient notifiées aux tiers auxquels les données ont été transférées.
- Droit d'Opposition au Traitement Automatisé : Le droit de s'opposer à un résultat survenu à votre détriment par des systèmes exclusivement automatisés.
- Droit à Réparation du Préjudice : Le droit de demander réparation en cas de traitement illicite.
7.2. Droits Supplémentaires selon le RGPD
- Droit à la Portabilité des Données (Article 20) : Le droit de recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et de les transférer à un autre responsable du traitement.
- Droit à la Limitation du Traitement (Article 18) : Le droit de demander la limitation du traitement dans certaines conditions.
- Droit de Réclamation auprès d'une Autorité de Contrôle (Article 77) : Le droit de déposer une plainte auprès de l'autorité de protection des données compétente.
7.3. Demande d'Exercice des Droits
Pour exercer vos droits :
- E-mail : privacy@evaste.co
- Plateforme : Paramètres du Compte > Confidentialité > Demande de Données
- Courrier : Evaste (Group Taiga), Levent, Istanbul, Turquie
7.4. Délaiş de Réponse
| Réglementation | Délai de Réponse | Possibilité de Prolongation |
|---|---|---|
| KVKK | 30 jours | - |
| RGPD | 1 mois | +2 moiş (demandes complexes) |
7.5. Tarification
- Droit à l'information gratuit une foiş par an
- Des fraiş raisonnables peuvent être facturés pour les demandes répétitives ou excessives
- Le droit de refuser les demandes non fondées ou excessives est réservé
8. Prise de Décision Automatisée et Profilage
8.1. Prise de Décision Automatisée
Evaste ne prend pas de décisions basées uniquement sur un traitement automatisé produisant des effets juridiques ou vous affectant de manière significative (Article 22 du RGPD).
8.2. Activités de Profilage
Le profilage est effectué à des fins limitées suivantes :
- Recommandations de services (basées sur les modèles d'utilisation)
- Sécurité (détection d'activités anormales)
- Analytique (statistiques d'utilisation anonymes)
Ces activités ne produisent pas d'effets juridiques et ne vous affectent pas de manière significative.
8.3. Opposition à la Prise de Décision Automatisée
Si vous pensez que des décisions automatisées sont prises :
- Vous pouvez demander une intervention humaine
- Vous pouvez exprimer votre point de vue
- Vous pouvez contester la décision
9. Protection de la Vie Privée des Enfants
9.1. Limite d'Âge
Les services Evaste ne sont pas destinés aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 16 ans (RGPD) ou de moins de 13 ans (COPPA).
9.2. Détection des Données d'Enfants
Si nous découvrons que nous avons collecté des données d'une personne de moins de 18 ans :
- Nous supprimons immédiatement les données
- Nous fermons le compte
- Nous notifions le parent ou le tuteur légal
9.3. Notification aux Parents/Tuteurs
Si vous pensez que votre enfant a fourni des données à Evaste, veuillez nous contacter à privacy@evaste.co.
10. Liens vers des Tiers
10.1. Liens Externes
Notre Plateforme peut contenir des liens vers des sites web tiers. Ces liens sont fourniş uniquement pour votre commodité.
10.2. Exclusion de Responsabilité
Evaste :
- N'est pas responsable des pratiques de confidentialité des sites web tiers
- Ne contrôle pas le contenu de ces sites
- Ne garantit pas la sécurité de ces sites
Nous vous recommandons de lire les politiques de confidentialité respectives avant de visiter ces sites.
10.3. Fonctionnalités des Médias Sociaux
Notre Plateforme peut contenir des boutons de médias sociaux (LinkedIn, Twitter, etc.). Ces fonctionnalités sont soumises aux politiques de confidentialité des plateformes de médias sociaux respectives.
11. Droits des Consommateurs Californiens (CCPA)
11.1. Champ d'Application
Cette section explique les droits supplémentaires accordés aux consommateurs résidant dans l'État de Californie ("Consommateurs Californiens") en vertu du California Consumer Privacy Act (CCPA).
11.2. Catégories d'Informations Collectées
Catégories d'informations personnelles collectées au cours des 12 derniers moiş :
| Catégorie | Exemples |
|---|---|
| Identifiants | Nom, e-mail, adresse IP |
| Informations Commerciales | Historique d'achats, informations d'abonnement |
| Activité Internet | Historique de navigation, données d'interaction |
| Géolocalisation | Localisation approximative basée sur IP |
| Informations Professionnelles | Nom de l'entreprise, poste |
| Inférences | Profils de préférences |
11.3. Droits des Consommateurs Californiens
- Droit de Savoir (Right to Know) : Le droit de demander des informations sur les informations personnelles collectées, utilisées, partagées ou vendues au cours des 12 derniers mois.
- Droit de Suppression (Right to Delete) : Le droit de demander la suppression de vos informations personnelles (sous réserve d'exceptions légales).
- Droit de Refus de Vente (Right to Opt-Out) : IMPORTANT : Evaste ne "vend" PAS vos informations personnelles au sens du CCPA.
- Droit à la Non-Discrimination (Right to Non-Discrimination) : Le droit de ne pas être discriminé pour avoir exercé vos droits à la vie privée.
11.4. Mandataire Autorisé
Si vous résidez en Californie, vous pouvez désigner un mandataire autorisé pour exercer vos droits. Le mandataire autorisé doit présenter une autorisation écrite, vérifier son identité et prouver son autorité à ağır en votre nom.
11.5. Méthode de Demande
Demande pour les droits californiens : E-mail : privacy@evaste.co, Objet : "CCPA Request - [Type de Droit]"
Délai de réponse : 45 jours (prolongeable de +45 jours pour les demandes complexes)
11.6. Processus de Vérification
Avant de traiter votre demande, nous devons vérifier votre identité :
- Si vous êtes titulaire d'un compte : Vérification par connexion au compte
- Si vous n'avez pas de compte : Correspondance avec au moins 2-3 points de données
11.7. "Ne Vendez Pas Mes Informations Personnelles"
Evaste ne mène pas d'activités de "vente" au sens du CCPA. Cependant, pour gérer vos préférences : E-mail : privacy@evaste.co, Objet : "Do Not Sell My Personal Information"
12. Modifications de la Politique
12.1. Droit de Mise à Jour
Evaste se réserve le droit de mettre à jour cette Politique de Confidentialité à tout moment. Les modifications sont indiquées par la date "Dernière Mise à Jour", les modifications importantes sont notifiées par e-mail et annoncées sur la Plateforme.
12.2. Modifications Importantes
Les modifications suivantes sont considérées comme "importantes" :
- Modification des catégories de données collectées
- Nouvelles finalités de traitement
- Nouveaux partages avec des tiers
- Modifications affectant vos droits
12.3. Délai de Notification
Les modifications importantes sont notifiées au moins 30 jours avant leur entrée en vigueur.
12.4. Acceptation de la Modification
Continuer à utiliser les Services après la notification signifie que vous acceptez la politique mise à jour. Si vous n'êtes pas d'accord, vous pouvez fermer votre compte.
13. Coordonnées
13.1. Responsable du Traitement
- Evaste (Group Taiga)
- Adresse : Levent, Istanbul, Turquie
- E-mail : privacy@evaste.co
- Web : https://evaste.co
- Téléphone : +90 532 494 42 64
13.2. Délégué à la Protection des Données
E-mail : dpo@evaste.co
13.3. Autorités de Contrôle
- Turquie : Autorité de Protection des Données (KVKK) - https://kvkk.gov.tr
- Union Européenne : Autorité de protection des données de l'État membre de l'UE concerné
- Californie : California Attorney General - https://oag.ca.gov/privacy
Cette Politique de Confidentialité est entrée en vigueur le 12 janvier 2026.
Politique de Confidentialité
Aviş de Traduction
⚠️ AVIS IMPORTANT : Ce document a été traduit du turc à titre informatif uniquement. La version originale turque est le document juridiquement contraignant. En cas de divergence entre les versions turque et française, la version turque prévaudra.
1. Introduction et Responsable du Traitement
1.1. Introduction
Cette Politique de Confidentialité explique comment la plateforme Evaste ("Plateforme", "Nous", "Notre") collecte, traite, stocke, transfère et protège les données personnelles.
Votre vie privée est extrêmement importante pour nous. En tant que plateforme de confidentialité des données et de gestion du consentement, nous considérons la protection des données personnelles comme notre priorité absolue.
1.2. Responsable du Traitement
- Evaste (au sein de Group Taiga)
- Adresse : Levent, Istanbul, Turquie
- E-mail : privacy@evaste.co
- Web : https://evaste.co
- Téléphone : +90 532 494 42 64
1.3. Représentant de Protection des Données
Pour nos utilisateurs dans l'Union Européenne, notre représentant de protection des données désigné conformément à l'article 27 du RGPD : dpo@evaste.co
1.4. Champ d'Application
Cette Politique de Confidentialité s'applique dans les cas suivants :
- Lorsque vous visitez le site web evaste.co
- Lorsque vous vous inscrivez sur la Plateforme et utilisez nos Services
- Lorsque vous contactez le support client
- Lorsque vous recevez nos communications marketing
1.5. Cadre Juridique
Cette politique a été préparée conformément aux réglementations suivantes :
- Loi n° 6698 sur la Protection des Données Personnelles (KVKK) - Turquie
- Règlement Général sur la Protection des Données (RGPD) - Union Européenne
- California Consumer Privacy Act (CCPA) - USA Californie
- Loi n° 6563 sur la Réglementation du Commerce Électronique - Turquie
2. Catégories de Données Personnelles Traitées
2.1. Données que Vous Fournissez Directement
| Catégorie de Données | Types de Données |
|---|---|
| Données d'Identité | Prénom, nom, nom d'utilisateur |
| Données de Contact | Adresse e-mail, numéro de téléphone, adresse |
| Données de Compte | Mot de passe (haché), préférences de compte |
| Données de Paiement | Adresse de facturation, numéro fiscal* |
| Données d'Entreprise | Nom de l'entreprise, poste, secteur |
| Contenu des Communications | Demandes de support, commentaires |
* Les informations de carte de crédit ne sont pas stockées par Evaste ; elles sont traitées par notre fournisseur de paiement sécurisé (Stripe).
2.2. Données Collectées Automatiquement
| Catégorie de Données | Types de Données |
|---|---|
| Données de l'Appareil | Adresse IP, type de navigateur, système d'exploitation |
| Données d'Utilisation | Pages vues, clics, durée de session |
| Données de Localisation | Pays, ville (basé sur IP, approximatif) |
| Données de Cookies | Cookies de session, cookies de préférence |
| Données de Journal | Journaux d'accès, journaux d'erreurs, appels API |
2.3. Données Obtenues de Tiers
| Source | Types de Données |
|---|---|
| Connexion Sociale | Nom, e-mail, photo de profil (Google, LinkedIn) |
| Fournisseurs de Paiement | Statut de transaction, confirmation de paiement |
| Partenaires Commerciaux | Informations de parrainage, données de campagne |
2.4. Catégories Spéciales de Données
Evaste ne traite pas les catégories spéciales de données personnelles au sens de l'article 6 de la KVKK et de l'article 9 du RGPD (race, origine ethnique, opinions politiques, croyances religieuses, données de santé, données biométriques, etc.).
3. Finalités du Traitement et Bases Juridiques
3.1. Finalités et Bases Juridiques du Traitement
| Finalité | Base KVKK | Base RGPD |
|---|---|---|
| Fourniture de services | Art. 5/2(c) | Art. 6/1(b) |
| Création et gestion de compte | Art. 5/2(c) | Art. 6/1(b) |
| Traitement des paiements | Art. 5/2(c) | Art. 6/1(b) |
| Support client | Art. 5/2(c) | Art. 6/1(b) |
| Amélioration des services | Art. 5/2(f) | Art. 6/1(f) |
| Sécurité et prévention de la fraude | Art. 5/2(f) | Art. 6/1(f) |
| Obligations légales | Art. 5/2(ç) | Art. 6/1(c) |
| Marketing (avec consentement) | Art. 5/1 | Art. 6/1(a) |
| Analytique et statistiques | Art. 5/2(f) | Art. 6/1(f) |
3.2. Explication des Bases Juridiques
- Exécution du Contrat (KVKK Art. 5/2(c), RGPD Art. 6/1(b)) : Activités de traitement des données nécessaires pour fournir nos services et remplir nos obligations contractuelles.
- Intérêt Légitime (KVKK Art. 5/2(f), RGPD Art. 6/1(f)) : Activités de traitement nécessaires pour améliorer nos services, assurer la sécurité et mener nos opérations commerciales.
- Obligation Légale (KVKK Art. 5/2(ç), RGPD Art. 6/1(c)) : Activités de traitement nécessaires pour remplir nos obligations en vertu du droit fiscal, du droit commercial et d'autres réglementations légales.
- Consentement (KVKK Art. 5/1, RGPD Art. 6/1(a)) : Traitement basé sur le consentement explicite pour les communications marketing, les préférences de cookies et autres activités de traitement optionnelles.
3.3. Retrait du Consentement
Vous pouvez retirer votre consentement pour les activités de traitement basées sur le consentement à tout moment. Pour retirer votre consentement, vous pouvez mettre à jour vos préférences dans les paramètres du compte, utiliser le lien "se désabonner" dans les e-mails marketing, ou écrire à privacy@evaste.co.
Le retrait du consentement n'affecte pas la licéité du traitement effectué avant le retrait.
4. Durées de Conservation des Données
4.1. Principes Généraux
Nous conservons vos données personnelles pendant la durée nécessaire à la finalité du traitement, tant que les obligations contractuelles subsistent et pendant les périodes de conservation légales.
4.2. Durées de Conservation par Catégorie de Données
| Catégorie de Données | Durée de Conservation |
|---|---|
| Données de Compte | Tant que le compte est actif + 3 ans |
| Registres de Transactions | 10 ans (réglementation fiscale) |
| Factures | 10 ans (Code de commerce) |
| Registres de Consentement | Durée de validité du consentement + 5 ans |
| Registres de Support | 3 ans |
| Données de Journal | 2 ans |
| Données Analytiques | 26 moiş (indéfiniment si anonymisées) |
| Préférences Marketing | Jusqu'au retrait du consentement |
4.3. Après Fermeture du Compte
Lorsque vous fermez votre compte : Vos données personnelles sont supprimées ou anonymisées dans les 30 jours, les données soumises aux obligations légales de conservation sont conservées jusqu'à la fin de la période correspondante, les données dans les sauvegardes sont supprimées dans le cadre de la rotation des sauvegardes (90 jours).
4.4. Méthodes de Suppression
Les données sont détruites de manière sécurisée par les méthodes suivantes :
- Données numériques : Algorithmes de suppression sécurisée (normes NIST)
- Données de sauvegarde : Rotation automatique avec suppression permanente
- Données de journal : Vieillissement et suppression automatiques
5. Transfert de Données et Transfert International
5.1. Transfert National de Données
Vos données personnelles peuvent être transférées aux groupes de destinataires suivants :
| Groupe de Destinataires | Finalité du Transfert |
|---|---|
| Sociétés du Groupe | Opérations commerciales, services de support |
| Prestataires de Services | Infrastructure technique, traitement des paiements |
| Conseillers Juridiques | Conseil juridique |
| Auditeurs | Audits financiers et de conformité |
| Autorités Publiques | Obligations légales (tribunal, impôts) |
5.2. Transfert International de Données
Vos données peuvent être transférées vers des pays situés en dehors de l'Espace Économique Européen (EEE) pour la fourniture de nos services. Dans ce cas :
- Décision d'Adéquation de la Commission Européenne : Le transfert vers des pays ayant un niveau de protection adéquat est possible.
- Clauses Contractuelles Types (CCT) : Les clauses contractuelles types approuvées par la Commission Européenne sont utilisées (avec des garanties supplémentaires conformément à l'arrêt Schrems II).
- Règles d'Entreprise Contraignantes (BCR) : Règles contraignantes approuvées entre les sociétés du groupe.
- Consentement Explicite : Dans les cas où d'autres garanties ne sont pas disponibles, votre consentement explicite est obtenu.
5.3. Sous-traitants
La liste actuelle de nos sous-traitants est disponible sur : https://evaste.co/legal-center/sub-processors
Lors de l'ajout de nouveaux sous-traitants, une notification est faite au moins 30 jours à l'avance.
5.4. Transfert de Données vers les États-Unis
Des données sont transférées aux prestataires de services aux États-Uniş (AWS, Stripe, etc.). Suite à l'arrêt Schrems II, les garanties supplémentaires suivantes sont appliquées :
- Clauses Contractuelles Types mises à jour (CCT 2021)
- Mesures techniques supplémentaires (chiffrement, pseudonymisation)
- Évaluation d'impact du transfert (TIA)
- Évaluation du risque de soumission aux loiş de renseignement américaines
6. Mesures de Sécurité des Données
6.1. Mesures Techniques
- Chiffrement : TLS 1.3 lors du transfert, AES-256 lors du stockage, stockage des mots de passe bcrypt/Argon2
- Contrôle d'Accès : Contrôle d'accès basé sur les rôles (RBAC), Authentification multi-facteurs (MFA), Principe du moindre privilège
- Sécurité Réseau : Pare-feu et IDS/IPS, Protection DDoS, VPN pour l'accès à distance
- Sécurité des Applications : Analyses de sécurité régulières, Tests de pénétration, Cycle de vie de développement logiciel sécurisé (SDLC)
6.2. Mesures Organisationnelles
- Accords de confidentialité (tous les employés et fournisseurs)
- Formations régulières de sensibilisation à la sécurité
- Analyses d'impact sur la protection des données (AIPD)
- Plans d'intervention en cas d'incident
- Plans de continuité des activités et de reprise après sinistre
6.3. Certifications de Sécurité
L'infrastructure Evaste est conforme aux normes suivantes :
- ISO 27001 (gestion de la sécurité de l'information)
- SOC 2 Type II (fournisseurs d'infrastructure)
6.4. Notification de Violation de Sécurité
En cas de violation de données personnelles :
- Notification à l'Autorité de Protection des Données dans les 72 heures (KVKK/RGPD)
- Notification immédiate aux personnes concernées en cas de risque élevé
- Tenue d'un registre des violations
- Mise en œuvre de mesures correctives
7. Droits des Personnes Concernées
7.1. Vos Droits selon le KVKK (Article 11)
- Droit à l'Information : Le droit de savoir si vos données personnelles sont traitées.
- Droit de Demande d'Information : Le droit de demander des informations si vos données sont traitées.
- Droit de Connaître la Finalité du Traitement : Le droit de connaître la finalité du traitement de vos données personnelles et si elles sont utilisées conformément à cette finalité.
- Droit à l'Information sur le Transfert : Le droit de connaître les tiers auxquels vos données ont été transférées, au niveau national ou international.
- Droit de Rectification : Le droit de demander la correction d'un traitement incomplet ou incorrect.
- Droit à l'Effacement/Destruction : Le droit de demander la suppression ou la destruction conformément à l'article 7 de la KVKK.
- Droit à la Notification de Rectification/Effacement : Le droit de demander que les opérations de rectification/effacement soient notifiées aux tiers auxquels les données ont été transférées.
- Droit d'Opposition au Traitement Automatisé : Le droit de s'opposer à un résultat survenu à votre détriment par des systèmes exclusivement automatisés.
- Droit à Réparation du Préjudice : Le droit de demander réparation en cas de traitement illicite.
7.2. Droits Supplémentaires selon le RGPD
- Droit à la Portabilité des Données (Article 20) : Le droit de recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et de les transférer à un autre responsable du traitement.
- Droit à la Limitation du Traitement (Article 18) : Le droit de demander la limitation du traitement dans certaines conditions.
- Droit de Réclamation auprès d'une Autorité de Contrôle (Article 77) : Le droit de déposer une plainte auprès de l'autorité de protection des données compétente.
7.3. Demande d'Exercice des Droits
Pour exercer vos droits :
- E-mail : privacy@evaste.co
- Plateforme : Paramètres du Compte > Confidentialité > Demande de Données
- Courrier : Evaste (Group Taiga), Levent, Istanbul, Turquie
7.4. Délaiş de Réponse
| Réglementation | Délai de Réponse | Possibilité de Prolongation |
|---|---|---|
| KVKK | 30 jours | - |
| RGPD | 1 mois | +2 moiş (demandes complexes) |
7.5. Tarification
- Droit à l'information gratuit une foiş par an
- Des fraiş raisonnables peuvent être facturés pour les demandes répétitives ou excessives
- Le droit de refuser les demandes non fondées ou excessives est réservé
8. Prise de Décision Automatisée et Profilage
8.1. Prise de Décision Automatisée
Evaste ne prend pas de décisions basées uniquement sur un traitement automatisé produisant des effets juridiques ou vous affectant de manière significative (Article 22 du RGPD).
8.2. Activités de Profilage
Le profilage est effectué à des fins limitées suivantes :
- Recommandations de services (basées sur les modèles d'utilisation)
- Sécurité (détection d'activités anormales)
- Analytique (statistiques d'utilisation anonymes)
Ces activités ne produisent pas d'effets juridiques et ne vous affectent pas de manière significative.
8.3. Opposition à la Prise de Décision Automatisée
Si vous pensez que des décisions automatisées sont prises :
- Vous pouvez demander une intervention humaine
- Vous pouvez exprimer votre point de vue
- Vous pouvez contester la décision
9. Protection de la Vie Privée des Enfants
9.1. Limite d'Âge
Les services Evaste ne sont pas destinés aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 16 ans (RGPD) ou de moins de 13 ans (COPPA).
9.2. Détection des Données d'Enfants
Si nous découvrons que nous avons collecté des données d'une personne de moins de 18 ans :
- Nous supprimons immédiatement les données
- Nous fermons le compte
- Nous notifions le parent ou le tuteur légal
9.3. Notification aux Parents/Tuteurs
Si vous pensez que votre enfant a fourni des données à Evaste, veuillez nous contacter à privacy@evaste.co.
10. Liens vers des Tiers
10.1. Liens Externes
Notre Plateforme peut contenir des liens vers des sites web tiers. Ces liens sont fourniş uniquement pour votre commodité.
10.2. Exclusion de Responsabilité
Evaste :
- N'est pas responsable des pratiques de confidentialité des sites web tiers
- Ne contrôle pas le contenu de ces sites
- Ne garantit pas la sécurité de ces sites
Nous vous recommandons de lire les politiques de confidentialité respectives avant de visiter ces sites.
10.3. Fonctionnalités des Médias Sociaux
Notre Plateforme peut contenir des boutons de médias sociaux (LinkedIn, Twitter, etc.). Ces fonctionnalités sont soumises aux politiques de confidentialité des plateformes de médias sociaux respectives.
11. Droits des Consommateurs Californiens (CCPA)
11.1. Champ d'Application
Cette section explique les droits supplémentaires accordés aux consommateurs résidant dans l'État de Californie ("Consommateurs Californiens") en vertu du California Consumer Privacy Act (CCPA).
11.2. Catégories d'Informations Collectées
Catégories d'informations personnelles collectées au cours des 12 derniers moiş :
| Catégorie | Exemples |
|---|---|
| Identifiants | Nom, e-mail, adresse IP |
| Informations Commerciales | Historique d'achats, informations d'abonnement |
| Activité Internet | Historique de navigation, données d'interaction |
| Géolocalisation | Localisation approximative basée sur IP |
| Informations Professionnelles | Nom de l'entreprise, poste |
| Inférences | Profils de préférences |
11.3. Droits des Consommateurs Californiens
- Droit de Savoir (Right to Know) : Le droit de demander des informations sur les informations personnelles collectées, utilisées, partagées ou vendues au cours des 12 derniers mois.
- Droit de Suppression (Right to Delete) : Le droit de demander la suppression de vos informations personnelles (sous réserve d'exceptions légales).
- Droit de Refus de Vente (Right to Opt-Out) : IMPORTANT : Evaste ne "vend" PAS vos informations personnelles au sens du CCPA.
- Droit à la Non-Discrimination (Right to Non-Discrimination) : Le droit de ne pas être discriminé pour avoir exercé vos droits à la vie privée.
11.4. Mandataire Autorisé
Si vous résidez en Californie, vous pouvez désigner un mandataire autorisé pour exercer vos droits. Le mandataire autorisé doit présenter une autorisation écrite, vérifier son identité et prouver son autorité à ağır en votre nom.
11.5. Méthode de Demande
Demande pour les droits californiens : E-mail : privacy@evaste.co, Objet : "CCPA Request - [Type de Droit]"
Délai de réponse : 45 jours (prolongeable de +45 jours pour les demandes complexes)
11.6. Processus de Vérification
Avant de traiter votre demande, nous devons vérifier votre identité :
- Si vous êtes titulaire d'un compte : Vérification par connexion au compte
- Si vous n'avez pas de compte : Correspondance avec au moins 2-3 points de données
11.7. "Ne Vendez Pas Mes Informations Personnelles"
Evaste ne mène pas d'activités de "vente" au sens du CCPA. Cependant, pour gérer vos préférences : E-mail : privacy@evaste.co, Objet : "Do Not Sell My Personal Information"
12. Modifications de la Politique
12.1. Droit de Mise à Jour
Evaste se réserve le droit de mettre à jour cette Politique de Confidentialité à tout moment. Les modifications sont indiquées par la date "Dernière Mise à Jour", les modifications importantes sont notifiées par e-mail et annoncées sur la Plateforme.
12.2. Modifications Importantes
Les modifications suivantes sont considérées comme "importantes" :
- Modification des catégories de données collectées
- Nouvelles finalités de traitement
- Nouveaux partages avec des tiers
- Modifications affectant vos droits
12.3. Délai de Notification
Les modifications importantes sont notifiées au moins 30 jours avant leur entrée en vigueur.
12.4. Acceptation de la Modification
Continuer à utiliser les Services après la notification signifie que vous acceptez la politique mise à jour. Si vous n'êtes pas d'accord, vous pouvez fermer votre compte.
13. Coordonnées
13.1. Responsable du Traitement
- Evaste (Group Taiga)
- Adresse : Levent, Istanbul, Turquie
- E-mail : privacy@evaste.co
- Web : https://evaste.co
- Téléphone : +90 532 494 42 64
13.2. Délégué à la Protection des Données
E-mail : dpo@evaste.co
13.3. Autorités de Contrôle
- Turquie : Autorité de Protection des Données (KVKK) - https://kvkk.gov.tr
- Union Européenne : Autorité de protection des données de l'État membre de l'UE concerné
- Californie : California Attorney General - https://oag.ca.gov/privacy
Cette Politique de Confidentialité est entrée en vigueur le 12 janvier 2026.