Politique de Confidentialité

1. Introduction

Zyvora est développée et opérée par ShadowPing LLC (« ShadowPing », « nous », « on », ou « notre »). Cette Politique de Confidentialité décrit comment nous collectons, utilisons, stockons et protégeons les informations lorsque vous utilisez la plateforme Zyvora (la « Plateforme »).

Cette Politique couvre deux catégories de personnes : (1) Abonnés — les entreprises et leurs employés qui utilisent Zyvora pour gérer leurs opérations, et (2) Clients Finaux — les clients de ces entreprises dont les données sont entrées dans la Plateforme par les Abonnés.

2. Informations que Nous Collectons

Données de Compte Abonné : Lors de votre inscription, nous collectons le nom de votre entreprise, vos informations de contact, vos détails de facturation et vos identifiants de compte. Ceci est utilisé pour créer et maintenir votre compte.

Données Opérationnelles Métier : Les données que vous entrez pour gérer votre entreprise — y compris les profils du personnel, les catalogues de services, les horaires, les dossiers de rendez-vous, les transactions de point de vente, les enregistrements d'inventaire, les données de paie et les paramètres commerciaux. Vous êtes propriétaire de ces données.

Données de Client Final : Les informations sur vos clients que vous entrez dans la Plateforme — y compris les noms, les détails de contact, l'historique des rendez-vous, les enregistrements de paiement, les points de fidélité, les enregistrements de consentement, et (si les fonctionnalités cliniques sont activées) les informations de santé. Vous êtes le responsable du traitement des données de vos clients ; ShadowPing agit en tant que responsable du traitement en votre nom.

Données Visuelles et Biométriques Connexes : Si vous utilisez les fonctionnalités d'identification des ongles ou de photos avant/après de Zyvora, la Plateforme collecte et stocke des photographies des ongles, de la peau ou d'autres caractéristiques physiques des clients. Ces images peuvent être associées à l'identité d'un client dans la Plateforme. Vous êtes responsable d'obtenir le consentement approprié de vos clients avant de collecter de telles images.

Données Audio et Vidéo de Surveillance : Si vous connectez une caméra ou une intégration de système de sécurité (telle que Solink, Verkada, Eagle Eye, ou Spot AI), les enregistrements audio et vidéo de vos locaux commerciaux — y compris les enregistrements des clients finaux qui visitent votre salon — peuvent être capturés et traités via cette intégration. ShadowPing ne stocke pas directement les enregistrements de caméra ; ils sont traités et stockés par le fournisseur de caméra tiers selon leurs propres conditions. Vous êtes responsable du respect de toutes les lois applicables en matière de consentement d'enregistrement et de l'affichage des avis requis dans vos locaux.

Données de Communications : Les communications par SMS, RCS, courrier électronique et voix envoyées via la Plateforme (via Twilio et Azure Communication Services). Le contenu des messages, l'état de livraison et les horodatages sont stockés pour la gestion de la boîte de réception et la conformité.

Données de Paiement : Les transactions de paiement traitées via des processeurs de paiement intégrés (Square, Stripe, etc.). Les numéros de carte bruts ne sont jamais stockés par ShadowPing — seules les références tokenisées fournies par le processeur de paiement.

Données d'Utilisation et d'Analyse : Les données de journal, les modèles d'utilisation des fonctionnalités, les rapports d'erreurs et les métriques de performance. Ces données sont utilisées pour améliorer la Plateforme et ne sont pas partagées avec des tiers à des fins publicitaires.

Données d'Appareil et de Matériel : Les adresses IP, le type de navigateur/application, les identifiants d'appareil et les données de session collectées lors de votre accès à la Plateforme. Si vous utilisez du matériel intégré (iPad, lecteurs de cartes, lecteurs de codes-barres, imprimantes de reçus), les identifiants d'appareil et les données d'interaction matérielle peuvent être collectées.

Données Cliniques (le cas échéant) : Si vous utilisez les fonctionnalités cliniques de Zyvora (notes SOAP, formulaires avec drapeau HIPAA), les informations de santé protégées (PHI) sont stockées avec des contrôles de sécurité renforcés et un enregistrement d'accès strict. Un Accord d'Associé Commercial (BAA) est requis pour l'utilisation des fonctionnalités cliniques.

3. Comment Nous Utilisons Vos Informations

Nous utilisons les informations que nous collectons pour :

• Fournir, exploiter et améliorer la Plateforme Zyvora et ses fonctionnalités
• Traiter et gérer votre abonnement, la facturation et les paiements
• Envoyer des communications transactionnelles (factures, alertes de compte, avis de non-paiement)
• Activer les fonctionnalités alimentées par l'IA de la Plateforme (planification, assistant intelligent, notation de risque, notes de coaching)
• Fournir une assistance client et répondre à vos questions
• Surveiller la sécurité de la Plateforme, détecter la fraude et assurer l'intégrité du système
• Respecter les obligations légales

Nous n'utilisons pas vos données ou les données de vos clients à des fins publicitaires, de marketing tiers ou à toute fin non liée à la fourniture de la Plateforme.

4. Partage de Données et Tiers

Nous ne vendons pas vos données. Nous partageons les données uniquement si nécessaire pour opérer la Plateforme :

• Processeurs de Paiement : Square, Stripe, PayPal, Global Payments, TSYS, Chase — pour traiter les transactions des clients. Les identifiants de votre processeur sont stockés dans Azure Key Vault, jamais dans la base de données.
• SDK de Matériel de Paiement : Les SDK Stripe Terminal et Square Terminal sont utilisés pour les paiements en personne avec présence de carte. Ces SDK traitent les données de carte directement sur l'appareil matériel et les transmettent au processeur de paiement respectif.
• Fournisseurs de Communications : Twilio (SMS, MMS, RCS, voix) et Azure Communication Services (courrier électronique) — pour livrer les messages envoyés via la Plateforme.
• Fournisseurs d'IA : Les demandes adressées aux services d'IA (y compris Anthropic Claude, Google Gemini, Groq et OpenAI, acheminées via la couche proxy d'IA de ShadowPing) sont limitées à ce qui est nécessaire pour générer la sortie demandée. Pour les fonctionnalités spécifiquement cliniques et conformes à HIPAA, ShadowPing utilise Azure OpenAI Service — un service distinct hébergé par Microsoft et régi par un Business Associate Agreement (BAA) avec Microsoft — plutôt que l'API grand public d'OpenAI. Les données envoyées aux fournisseurs d'IA ne sont pas conservées par ces fournisseurs pour l'entraînement de modèles en vertu de nos contrats d'entreprise.
• Infrastructure Cloud : Microsoft Azure — la Plateforme est hébergée sur Azure (Azure SQL, Azure Functions, Azure Blob Storage, Azure Key Vault, SignalR). Les données sont stockées dans des environnements Azure sécurisés et contrôlés par accès.
• Livraison d'Images : Imgix est utilisé pour servir les photos des clients (y compris les images avant/après et les photos de profil). Les images stockées dans Azure Blob Storage sont livrées via le CDN d'Imgix pour un affichage optimisé.
• Notifications Push : Apple Push Notification Service (APNs) et Google Firebase Cloud Messaging (FCM) sont utilisés pour livrer les notifications push aux appareils mobiles. Les tokens d'appareil et le contenu des notifications sont transmis à ces fournisseurs pour la livraison.
• Intégrations de caméras et de sécurité : Si vous activez une intégration de système de caméra ou de sécurité (Solink, Verkada, Eagle Eye, Spot AI), les noms de clients, les noms du personnel, les métadonnées de transactions, les horodatages, les données d'événements et l'audio capturé lorsque le matériel de la caméra le supporte à partir de la Plateforme peuvent être transmis au fournisseur de caméra pour activer la liaison d'événements et les fonctionnalités d'examen vidéo alimentées par l'IA. Ces fournisseurs traitent et stockent les enregistrements vidéo et audio en vertu de leurs propres politiques de confidentialité. Les identifiants API pour les intégrations de caméra sont stockés dans Azure Key Vault et sont supprimés définitivement lorsque vous déconnectez l'intégration ou résiliez votre compte.
• SDK de Matériel : Star Micronics (SDK d'imprimante de reçus) et Zebra (SDK de lecteur de codes-barres) sont utilisés pour les intégrations matérielles. Les travaux d'impression peuvent contenir les données de client et de transaction ; les données de scan de codes-barres (y compris les numéros de carte-cadeau et les codes-barres des clients) sont traitées localement par ces SDK.
• Intégrations Financières : Plaid peut être utilisé pour lier les comptes bancaires à des fins de rapprochement. QuickBooks, Xero et les intégrations comptables similaires reçoivent les données de transaction financière selon votre configuration.
• Intégrations de Paie : Si vous connectez une intégration de paie (telle que Gusto, ADP, ou Paychex), les informations personnelles du personnel, y compris les noms, les heures, la rémunération et les données fiscales, sont transmises au fournisseur de paie pour traiter la paie en votre nom.
• Intégrations de Réputation et de Marketing : Si vous connectez des outils de gestion de réputation (tels que Birdeye ou Podium) ou des plateformes de marketing (telles que Google, Meta, Mailchimp, ou TikTok Business), les données de client pertinentes pour ces intégrations (telles que les détails de contact et les demandes d'avis) sont partagées avec le fournisseur respectif selon votre configuration.
• Intégrations d'Approvisionnement : Si vous connectez des intégrations d'approvisionnement ou de fournisseur (telles que SalonInteractive ou Shopify), les données d'inventaire et de commande sont partagées avec ces fournisseurs selon votre configuration.
• Exigences Légales : Nous pouvons divulguer les données si requis par la loi, une ordonnance judiciaire, ou pour protéger les droits, la propriété ou la sécurité de ShadowPing, nos utilisateurs ou d'autres.

5. Stockage et Sécurité des Données

Toutes les données de la Plateforme sont stockées sur l'infrastructure Microsoft Azure avec des contrôles de sécurité de niveau entreprise. Nous mettons en œuvre les mesures de sécurité suivantes :

• Sécurité au niveau des lignes multi-locataires sur toutes les tables de base de données — vos données sont isolées des autres locataires
• Azure Key Vault pour toutes les identifiants sensibles (clés de processeur de paiement, tokens API, tokens OAuth)
• Chiffrement AES-256 pour les données au repos et TLS 1.2+ pour les données en transit
• Journal d'audit immuable et appender seulement pour tous les accès aux données et modifications
• Contrôle d'accès basé sur les rôles avec 250+ permissions granulaires
• Accès avec token SAS avec expiration de 15 minutes pour l'accès aux fichiers/médias
• Surveillance de la sécurité automatisée, détection des anomalies et limitation du taux

Aucune donnée de carte de paiement brute n'est jamais stockée sur nos serveurs. Les identifiants du processeur sont stockés exclusivement dans Azure Key Vault.

6. Données des clients finaux et vos responsabilités

En tant qu'abonné, vous êtes le responsable du traitement des données des clients stockées dans la Plateforme. ShadowPing traite ces données en tant que responsable du traitement en votre nom, uniquement pour fournir les services de la Plateforme.

Vous êtes responsable de:

• Obtenir tous les consentements légalement requis de vos clients avant de collecter leurs données, y compris le consentement pour les photographies, les images biométriques adjacentes et toutes les données collectées par le biais d'intégrations connectées
• Informer vos clients si vos locaux professionnels sont soumis à un enregistrement audio ou vidéo par l'intermédiaire d'une intégration de caméra connectée, et afficher tous les avis d'enregistrement légalement requis
• Répondre aux demandes de droits des personnes concernées de vos clients (accès, rectification, suppression)
• Respecter les lois applicables en matière de protection des données dans votre juridiction, y compris GDPR, CCPA et tout autre règlement applicable

Zyvora fournit des outils pour soutenir la conformité GDPR, y compris l'export des données des clients, les flux de droit à l'oubli avec traçabilité d'audit et le suivi du consentement par salon avec versioning du texte juridique.

7. GDPR & Transferts de données internationaux

Si vous êtes situé dans l'Espace économique européen (EEE), le Royaume-Uni ou une autre juridiction disposant de lois sur la protection des données, vous pouvez avoir des droits spécifiques concernant vos données personnelles. Ceux-ci peuvent inclure le droit d'accès, de rectification, d'effacement, de restriction du traitement ou de portabilité de vos données, et le droit de vous opposer à certains traitements.

Les transferts de données en dehors de l'EEE sont effectués en vertu de garanties appropriées, y compris les clauses contractuelles standard le cas échéant. Veuillez nous contacter à privacy@zyvora.app si vous avez des questions concernant les transferts de données internationaux.

8. CCPA (résidents de Californie)

Si vous êtes un résident de Californie, vous avez des droits en vertu de la Loi californienne sur la protection des données des consommateurs (CCPA), notamment le droit de savoir quelles informations personnelles nous collectons, le droit de supprimer vos informations personnelles et le droit de refuser la vente de vos informations personnelles.

ShadowPing ne vend pas d'informations personnelles. Pour exercer vos droits CCPA, contactez-nous à privacy@zyvora.app.

9. Conservation des données

Nous conservons les données d'abonnement aussi longtemps que votre abonnement est actif. Après l'annulation, les données sont accessibles en mode lecture seule pendant 90 jours, puis archivées dans un stockage à froid. Les données archivées sont conservées pendant un minimum de 7 ans à des fins juridiques et de conformité, sauf si vous demandez une suppression antérieure.

Les données des clients finaux sont conservées selon les politiques de rétention configurables dans la Plateforme (rétention par défaut de 7 ans pour les documents clients). Les données cliniques sont soumises aux exigences de rétention des dossiers de santé dans votre juridiction.

Les métadonnées d'intégration de caméra — y compris les enregistrements VideoBookmark, les métadonnées d'événements et les URL d'accès expirant associées aux intégrations de caméra comme Solink — sont conservées pendant que l'intégration est active et pendant 90 jours après la déconnexion ou l'annulation du compte, après quoi elles sont supprimées définitivement. Les images vidéo réelles ne sont pas stockées par ShadowPing ; elles restent chez le fournisseur de caméra tiers en vertu de leurs propres politiques de rétention. Les identifiants d'intégration de caméra stockés dans Azure Key Vault sont détruits lors de la déconnexion de l'intégration ou de la résiliation de votre compte.

Les données du journal d'audit sont conservées pendant 12 mois en stockage actif et archivées dans le stockage à long terme par la suite.

10. Cookies & suivi

L'application web Zyvora utilise des cookies de session et le stockage local pour l'authentification et l'état de l'application. Nous n'utilisons pas de cookies publicitaires tiers ni de pixels de suivi.

Le site de marketing Zyvora (zyvora.app) peut utiliser des outils d'analyse pour comprendre le comportement des visiteurs. Aucune information d'identification personnelle n'est collectée par le biais de ces analyses.

11. Confidentialité des enfants

La Plateforme est destinée à un usage professionnel et n'est pas dirigée vers des personnes de moins de 18 ans. Nous ne collectons pas sciemment d'informations personnelles auprès des mineurs. Si un abonné collecte des informations sur les mineurs (par exemple, pour les services jeunesse), l'abonné est responsable d'obtenir le consentement parental approprié.

12. Modifications apportées à cette politique

Nous pouvons mettre à jour cette politique de confidentialité de temps en temps. Nous vous notifierons des modifications matérielles par email ou au sein de la Plateforme. La « Date d'entrée en vigueur » en haut de cette page reflète le moment où la version actuelle a été publiée.

13. Nous contacter

Pour les questions relatives à la confidentialité, les demandes de droits des personnes concernées ou pour demander un accord d'associé commercial (BAA) pour l'utilisation des fonctionnalités cliniques, veuillez nous contacter:

ShadowPing LLC (Ohio, USA) — privacy@zyvora.app | support@zyvora.app