Politique de Confidentialité de l'APP EVENT DONATIONS

Dernière mise à jour : 13 mai 2026

1. Introduction

La présente Politique de Confidentialité (cette « Politique ») explique comment Lepta Payment Solutions Limited (« Lepta », « nous », « notre » ou « nos ») collecte, utilise, stocke et partage les données personnelles en relation avec l’application mobile Event Donations (l’« Application »). L’Application permet à des bénévoles autorisés de collecter des dons au nom d’entités juridiques désignées en utilisant la technologie Tap-to-Pay.

La présente Politique s’applique à deux catégories de personnes :

  • Bénévoles : personnes autorisées par une entité juridique à utiliser l’Application pour collecter des dons ; et
  • Donateurs : personnes qui effectuent des dons via l’Application.

Le traitement des paiements est assuré par Stripe, Inc. (« Stripe »). Le traitement de vos données personnelles par Stripe est régi par la Politique de Confidentialité de Stripe, disponible à l’adresse stripe.com/privacy. L’entité juridique qui reçoit votre don peut également avoir sa propre politique de confidentialité, qui vous sera communiquée au moment du don.

2. Qui est responsable de vos données ?

Selon l’activité, différentes parties sont responsables de vos données personnelles :

  • L’entité juridique (responsable du traitement) : L’organisation qui reçoit le don est le responsable du traitement pour le flux de la transaction de don, y compris la collecte et le traitement des données personnelles des donateurs aux fins de la réception des dons et de l’émission des reçus fiscaux. L’entité juridique charge Lepta de collecter et de transmettre ces données en son nom.
  • Lepta en tant que sous-traitant : Pour le flux principal de la transaction de don—y compris la collecte et la transmission des données personnelles des donateurs via l’Application, et le transfert des enregistrements de transactions vers les systèmes de l’entité juridique—Lepta agit en tant que sous-traitant pour le compte de l’entité juridique. Lepta traite ces données uniquement sur les instructions documentées de l’entité juridique.
  • Lepta en tant que responsable du traitement : Lepta détermine les finalités et les moyens du traitement pour un ensemble limité d’activités internes : l’exploitation, la sécurité et la maintenance de la plateforme Lepta (y compris les journaux du serveur et la réponse aux incidents), l’administration des comptes utilisateurs administrateurs, la sélection et la gestion des propres prestataires de services de Lepta, et le respect des propres obligations légales de Lepta. Lepta n’agit pas en tant que responsable du traitement pour la surveillance des fraudes, le contrôle anti-blanchiment ou l’analyse des données de plusieurs entités juridiques.
  • Stripe : Stripe traite les données de cartes de paiement et les données personnelles des donateurs en sa qualité de prestataire de services de paiement indépendant. Stripe n’est pas un sous-traitant ultérieur de Lepta. Le rôle et les obligations de Stripe sont régis par la Politique de Confidentialité de Stripe et ses accords avec Lepta. Stripe est autocertifiée dans le cadre du Cadre de Protection des Données UE-États-Unis.
  • Google : Lorsque l’Application utilise l’API Google Places pour la saisie automatique des adresses, l’Application envoie la requête d’adresse partielle du donateur et les données de localisation de l’appareil au serveur de Lepta, qui transmet la demande à Google. Google agit en tant que sous-traitant ultérieur de Lepta à cette fin. Google, LLC est autocertifiée dans le cadre du Cadre de Protection des Données UE-États-Unis. Le traitement par Google est régi par la Politique de Confidentialité de Google.

3. Quelles données personnelles nous collectons

3.1 Données des Bénévoles

Lorsque vous vous connectez à l’Application avec un code d’autorisation, nous collectons :

  • Votre nom (prénom et nom)
  • Votre adresse e-mail

Ces données sont stockées dans un stockage sécurisé chiffré sur votre appareil et sont effacées lorsque vous vous déconnectez. Elles sont également transmises à Stripe en lien avec le traitement des paiements.

Si vous téléchargez l’Application mais ne saisissez pas de code d’autorisation, aucune donnée personnelle vous concernant n’est collectée, stockée ou transmise par l’Application ou par Lepta.

3.2 Données des Donateurs

Lorsqu’un donateur effectue un don via l’Application, les données suivantes peuvent être collectées, selon la configuration de la session :

  • Adresse e-mail (utilisée pour la remise des reçus de don)
  • Nom (prénom et nom)
  • Adresse postale (adresse, ville, état/province, code postal, pays)—collectée uniquement dans les juridictions où la loi l’exige pour l’émission d’un reçu fiscal

Ces données du donateur sont transmises directement aux serveurs de Stripe via l’API Stripe. Elles ne sont pas écrites dans ni stockées dans la propre base de données de Lepta ou le portail de l’Application.

3.3 Données de carte de paiement

Les données de carte de paiement (numéro de carte, expiration, CVC) sont entièrement gérées par le SDK Stripe intégré à l’Application. Lepta n’a à aucun moment accès aux données de carte de paiement, ne les traite ni ne les stocke.

3.4 Données de localisation de l’appareil

Après avoir saisi un code d’autorisation et commencé le processus d’intégration Tap-to-Pay, l’Application demande la permission d’accéder à la localisation précise de votre appareil. Cela est nécessaire pour deux raisons :

  • Exigence du SDK Stripe Terminal : Stripe exige la confirmation de la localisation précise de l’appareil pour vérifier que le Tap-to-Pay est utilisé dans un pays approuvé. Il s’agit d’un prérequis obligatoire du SDK Stripe Terminal, sans lequel l’Application ne peut pas s’initialiser ni accepter des paiements.
  • Saisie automatique des adresses : L’Application utilise l’API Google Places pour fournir des résultats de saisie automatique des adresses de haute qualité lorsqu’un donateur saisit son adresse postale. Les données de localisation de l’appareil sont utilisées pour améliorer la pertinence de ces suggestions.

Les données de localisation ne sont pas stockées par Lepta dans le portail ou la base de données de l’Application.

3.5 Données non collectées

L’Application ne collecte, n’utilise ni ne transmet :

  • Les identifiants publicitaires (IDFA ou GAID)
  • Les données de plantage, les données de performance ou la télémétrie de diagnostic (aucun SDK de rapport de plantage ou de surveillance des performances n’est inclus dans l’Application)
  • Les données de suivi inter-applications ou inter-sites
  • Les données biométriques (y compris les données de reconnaissance faciale)

L’Application utilise une bibliothèque de journalisation locale uniquement pour les diagnostics de développement. Dans les versions de production, seuls les messages de niveau informatif sont journalisés, et ces journaux restent sur l’appareil et ne sont jamais transmis à aucun serveur.

4. Comment nous utilisons vos données personnelles

Finalité Données utilisées Base juridique (RGPD) Conservation
Intégration et authentification des Bénévoles Nom, e-mail, code d’autorisation du Bénévole Intérêt légitime (Art. 6(1)(f))—nécessaire pour exploiter le service de collecte de dons Sur l’appareil : jusqu’à la déconnexion.
Chez Stripe : conformément à la Politique de Conservation de Stripe
Traitement des dons Nom, e-mail du donateur, données de carte de paiement (via le SDK Stripe), montant du don Exécution du contrat (Art. 6(1)(b))—nécessaire pour traiter la transaction de don Stripe : conformément à la Politique de Conservation de Stripe.
Entité juridique : conformément à ses obligations comptables
Émission de reçus fiscaux Nom, e-mail, adresse postale du donateur Obligation légale (Art. 6(1)(c))—requise par la législation fiscale nationale dans les juridictions spécifiées Entité juridique : conformément aux exigences de conservation des registres fiscaux applicables
Vérification du pays pour le Tap-to-Pay Localisation précise de l’appareil Intérêt légitime (Art. 6(1)(c),(f))—nécessaire pour respecter les exigences du SDK Stripe Terminal et les règles des réseaux de paiement ; et pour déterminer s’il est utilisé dans un pays approuvé Non stocké
Saisie automatique des adresses Localisation de l’appareil Intérêt légitime (Art. 6(1)(f))—amélioration de la précision de la saisie des adresses pour les donateurs Non stocké
Exploitation du serveur Adresses IP, chaînes user-agent, paramètres URL (journaux de serveur standard) Intérêt légitime (Art. 6(1)(f))—sécurité et intégrité du système Transitoires ; 60 jours
Contexte religieux Lorsque l’entité juridique est une association religieuse, les données de dons peuvent en contexte révéler les convictions religieuses ou philosophiques du donateur (Art. 9(1) RGPD) Art. 9(2)(d)—traitement effectué dans le cadre des activités légitimes d’une association religieuse, avec des garanties appropriées. L’entité juridique certifie pouvoir se prévaloir de cette condition. Conformément aux périodes de conservation ci-dessus

5. Consentement pour les reçus et les lettres de remerciement

Lorsque l’Application offre aux donateurs la possibilité de recevoir un reçu de don ou une lettre de remerciement, cela est basé sur le consentement librement donné par le donateur. Le mécanisme de consentement fonctionne comme suit :

  • L’opt-in est présenté sous la forme d’un interrupteur ou d’une case à cocher séparé(e) et clairement libellé(e) qui est désactivé(e) par défaut.
  • Le don lui-même n’est pas conditionné à l’opt-in—un donateur peut effectuer le don sans consentir à recevoir un reçu ou une lettre.
  • Le donateur est informé, au moment de l’opt-in, que ses coordonnées (nom, e-mail et, le cas échéant, adresse postale) seront partagées avec l’entité juridique qui reçoit le don aux fins de l’émission du reçu ou de la lettre.
  • Le consentement peut être retiré à tout moment en contactant Lepta ou l’entité juridique (voir Section 9 ci-dessous).

6. Où sont stockées vos données et avec qui elles sont partagées

Lepta ne tient pas sa propre base de données de données personnelles de donateurs. Le flux de données est le suivant :

  • Sur l’appareil : Le nom et l’e-mail du Bénévole sont stockés dans un stockage sécurisé chiffré sur l’appareil et effacés lors de la déconnexion.
  • Stripe : Le nom, l’e-mail, l’adresse postale (lorsqu’elle est collectée) et les données de paiement du donateur sont conservés sur les serveurs de Stripe. Stripe est un prestataire de services de paiement certifié PCI DSS Niveau 1. La conservation des données, les mesures de sécurité et les pratiques de confidentialité de Stripe sont régies par la Politique de Confidentialité de Stripe (stripe.com/privacy). Stripe est autocertifiée dans le cadre du Cadre de Protection des Données UE-États-Unis.
  • L’entité juridique : Les données de transaction nécessaires aux registres financiers de l’entité juridique sont transférées de Stripe au système informatique de l’entité juridique. Cela reflète le flux de données existant utilisé pour donate.jw.org.
  • Watchtower Bible and Tract Society of New York, Inc. (« WTNY ») : WTNY fournit l’environnement informatique étendu de Lepta dans le cadre d’un Accord de Services Informatiques, incluant le système de planification des ressources d’entreprise HuB, Microsoft 365/SharePoint Online (la plateforme Ressources Clients de Lepta), les services cloud Microsoft Azure, Microsoft Power BI, Microsoft Exchange (e-mail), les services de sauvegarde et l’hébergement de domaine, tous depuis les États-Unis. WTNY agit en tant que sous-traitant et sous-traitant ultérieur de Lepta et traite les données personnelles uniquement sur les instructions documentées de Lepta. Le sous-traitant ultérieur de WTNY pour la couche Microsoft 365/SharePoint Online/Azure/Power BI/Exchange est Microsoft Ireland Operations Limited, qui s’appuie à son tour sur Microsoft Corporation (États-Unis, certifiée DPF) pour la fourniture du service. WTNY elle-même n’est pas certifiée dans le cadre du Cadre de Protection des Données UE-États-Unis ; les garanties appropriées pour le transfert de Lepta à WTNY sont décrites dans la Section 7 ci-dessous. Les données personnelles des donateurs et des bénévoles soumises via l’Application ne sont pas transmises par Lepta à WTNY : selon le flux de données de l’Application, les données des donateurs et des bénévoles sont envoyées depuis l’Application vers le Portail Lepta (hébergé sur Amazon Web Services, Inc. aux États-Unis) et de là vers Stripe, qui est le système d’enregistrement.
  • Amazon Web Services, Inc. (journaux de serveur, États-Unis—sous-traitant ultérieur) : Le backend de l’Application est hébergé sur Amazon Web Services, Inc. (« AWS ») aux États-Unis (région us-east-1). AWS est autocertifiée dans le cadre du Cadre de Protection des Données UE-États-Unis. Les journaux de demandes de serveur standard peuvent contenir de manière transitoire des données telles que des adresses IP, des chaînes user-agent et des paramètres URL. Ces journaux sont conservés 60 jours puis supprimés.
  • Google (saisie automatique des adresses) : Lorsqu’un donateur saisit une adresse postale, l’Application utilise l’API Google Places pour fournir des suggestions de saisie automatique. Le traitement de ces données par Google est régi par la Politique de Confidentialité de Google. Google, LLC est autocertifiée dans le cadre du Cadre de Protection des Données UE-États-Unis.

Le portail de Lepta (tableau de bord administrateur) ne stocke pas les DPI des donateurs dans sa propre base de données. Le tableau de bord administrateur affiche les données de paiement et de don via l’interface Embedded Payments de Stripe, en extrayant les données directement de Stripe en temps réel.

Les seules données personnelles stockées dans la propre base de données du portail consistent en des comptes utilisateurs administrateurs (nom, e-mail, mot de passe haché) pour les représentants des entités juridiques qui gèrent le système. Il ne s’agit pas d’enregistrements de donateurs.

Une liste complète des sous-traitants ultérieurs de Lepta est disponible à l’adresse lepta.io/resources.

7. Transferts internationaux de données

Vos données personnelles peuvent être transférées vers et traitées dans des pays en dehors de votre pays de résidence, y compris les États-Unis. Lorsque de tels transferts impliquent des données personnelles originaires de l’Espace Économique Européen (EEE), du Royaume-Uni ou de la Suisse, des garanties appropriées sont en place. Les détails complets des mécanismes de transfert sont énoncés dans l’Avenant sur les Transferts de Données de Lepta, disponible à l’adresse leptapay.com/legal/dta. Un résumé des garanties pour chaque transfert est fourni ci-dessous.

  • Stripe (États-Unis—responsable du traitement indépendant) : Stripe est autocertifiée dans le cadre du Cadre de Protection des Données UE-États-Unis (DPF) et de l’Extension Royaume-Uni au DPF. La décision d’adéquation de la Commission européenne (Décision d’Exécution (UE) 2023/1795 du 10 juillet 2023) s’applique aux transferts de données personnelles vers Stripe. Lepta surveille le statut de certification DPF de Stripe.
  • WTNY (États-Unis—sous-traitant ultérieur) : WTNY n’est pas certifiée dans le cadre du Cadre de Protection des Données. Les transferts de données personnelles de Lepta vers WTNY sont protégés par les Clauses Contractuelles Types de l’UE (Module 2 : Responsable du traitement vers Sous-traitant, lorsque Lepta agit en tant que responsable du traitement ; Module 3 : Sous-traitant vers Sous-traitant, lorsque Lepta agit en tant que sous-traitant) approuvées par la Commission européenne et incorporées à l’Accord de Services Informatiques entre Lepta et WTNY. Les Clauses Contractuelles Types sont accompagnées d’Avenants sur les Garanties Supplémentaires fournissant des mesures complémentaires, notamment le chiffrement des données personnelles en transit et au repos, des engagements contractuels de rediriger les demandes, de résister et de contester les demandes d’accès gouvernementales en vertu de la loi de surveillance américaine, de notifier Lepta de toute demande légale contraignante de données personnelles (sous réserve des restrictions légales applicables), et de ne divulguer que la quantité minimale de données personnelles nécessaire pour satisfaire toute ordonnance inévitable. Le sous-traitant ultérieur de WTNY pour les services Microsoft 365/SharePoint Online/Azure/Power BI/Exchange est Microsoft Ireland Operations Limited (Irlande), contractée dans le cadre du Contrat Client Microsoft ; Microsoft Ireland Operations Limited s’appuie à son tour sur Microsoft Corporation (États-Unis, autocertifiée dans le cadre du Cadre de Protection des Données UE-États-Unis), qui fournit le service sous-jacent depuis les centres de données Microsoft aux États-Unis.
  • Google (États-Unis—sous-traitant ultérieur) : Google, LLC est autocertifiée dans le cadre du Cadre de Protection des Données UE-États-Unis. La décision d’adéquation s’applique aux transferts vers Google en tant que sous-traitant ultérieur certifié DPF pour l’API Google Places.
  • AWS (États-Unis—sous-traitant ultérieur) : Le backend de Lepta est hébergé sur AWS aux États-Unis (région us-east-1). AWS est autocertifiée dans le cadre du Cadre de Protection des Données UE-États-Unis. La décision d’adéquation s’applique aux transferts vers AWS en tant que sous-traitant ultérieur certifié DPF.
  • Transferts vers l’instance HuB de l’entité juridique : Les données de transaction sont transférées de Stripe vers l’instance du système HuB de l’entité juridique. Le mécanisme de transfert pour ce segment dépend de la localisation de chaque entité juridique et est couvert par les propres dispositions de traitement des données de l’entité juridique.

Lepta est établie en Irlande (EEE) et n’est pas elle-même éligible à la certification dans le cadre du Cadre de Protection des Données, qui n’est disponible que pour les organisations basées aux États-Unis. Lepta s’appuie sur les CCT de l’UE et les mesures supplémentaires (pour les destinataires américains non certifiés DPF) et sur la décision d’adéquation DPF (pour les destinataires américains certifiés DPF) comme mécanismes légaux pour les Transferts Restreints.

8. Conservation des données

Lepta conserve les données personnelles uniquement aussi longtemps que nécessaire aux fins décrites dans la présente Politique de Confidentialité :

Catégorie de données Lieu de stockage Durée de conservation
Nom et e-mail du Bénévole Appareil (chiffré) Jusqu’à la déconnexion
Nom et e-mail du Bénévole Stripe Conformément à la Politique de Conservation de Stripe
Nom, e-mail, adresse du donateur Stripe Conformément à la Politique de Conservation de Stripe (conservés tant que les services se poursuivent, plus toute période requise par la loi applicable)
Données de transaction du donateur Entité juridique (HuB) Conformément aux obligations comptables de l’entité juridique en vertu de la loi applicable
Données de carte de paiement Stripe (exclusivement) Conformément à la politique de conservation de Stripe et aux exigences PCI DSS
Localisation de l’appareil Non stocké Non applicable—utilisé uniquement en temps réel
Journaux de serveur (IP, user-agent) AWS 60 jours
Données de l’environnement informatique Lepta (HuB ERP, Microsoft 365/SharePoint Client Resources, fichier/impression/e-mail/sauvegarde) WTNY (sous-traitant/sous-traitant ultérieur) Conformément aux instructions de conservation de Lepta et à la Section 9.3 des Conditions Générales de HuB, qui prévoit la restitution des Données Client dans un format structuré, couramment utilisé et lisible par machine, et une assistance post-résiliation pour une durée minimale de 90 jours.

9. Vos droits

Selon votre localisation, vous pouvez disposer des droits suivants en ce qui concerne vos données personnelles :

  • Droit d’accès : Vous avez le droit de demander une copie des données personnelles que nous détenons sur vous.
  • Droit de rectification : Vous avez le droit de demander la correction de données personnelles inexactes ou incomplètes.
  • Droit à l’effacement : Vous avez le droit de demander la suppression de vos données personnelles, sous réserve de toute obligation légale en exigeant la conservation.
  • Droit à la limitation du traitement : Vous avez le droit de demander que nous limitions le traitement de vos données personnelles dans certaines circonstances.
  • Droit à la portabilité des données : Lorsque le traitement est basé sur votre consentement ou sur l’exécution d’un contrat, vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine.
  • Droit d’opposition : Lorsque le traitement est basé sur des intérêts légitimes, vous avez le droit de vous opposer à ce traitement. Nous cesserons le traitement à moins que nous ne puissions démontrer des motifs légitimes impérieux.
  • Droit de retirer votre consentement : Lorsque le traitement est basé sur le consentement (comme l’opt-in pour les reçus), vous pouvez retirer votre consentement à tout moment. Le retrait ne porte pas atteinte à la licéité du traitement effectué avant le retrait.

Étant donné que les données personnelles des donateurs sont traitées et stockées par Stripe et, le cas échéant, par l’entité juridique qui a reçu le don, les demandes d’exercice de droits tels que l’accès, la rectification, l’effacement ou la portabilité des données des donateurs peuvent nécessiter une coordination avec Stripe et/ou l’entité juridique concernée. Nous aiderons à faciliter ces demandes.

Pour les données des Bénévoles stockées localement sur votre appareil, vous pouvez supprimer ces données à tout moment en vous déconnectant de l’Application.

10. Données des enfants

L’Application n’est pas destinée aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès d’enfants de moins de 16 ans sans autorisation parentale, conformément à l’Article 8 du Règlement Général sur la Protection des Données. Les dons effectués par des mineurs (personnes de moins de 18 ans ou de l’âge de la majorité dans leur juridiction) peuvent être remboursés à la demande d’un parent ou tuteur en contactant l’entité juridique qui a reçu le don. Un parent ou tuteur peut exercer les droits de la personne concernée au nom d’un enfant en contactant Lepta en utilisant les coordonnées de la Section 12. Si vous pensez qu’un enfant a fourni des données personnelles via l’Application sans autorisation appropriée, veuillez nous contacter et nous prendrons des mesures pour supprimer ces données.

11. Modifications de la présente Politique de Confidentialité

Nous pouvons mettre à jour la présente Politique de Confidentialité de temps à autre. Si nous apportons des modifications substantielles, nous vous en informerons via l’Application ou par d’autres moyens appropriés avant l’entrée en vigueur des modifications. La date de « Dernière mise à jour » en haut de cette politique indique la date de la dernière révision.

12. Nous contacter

Si vous avez des questions concernant la présente Politique de Confidentialité, souhaitez exercer vos droits de personne concernée ou avez une réclamation, veuillez contacter :

Lepta Payment Solutions Limited
Watch Tower House, Blackditch, Newcastle, Co. Wicklow, A63 RF61 Irlande
[email protected]
Délégué à la Protection des Données / Contact Confidentialité : Daniel Melinder

L’autorité de contrôle principale de Lepta est la Commission de Protection des Données d’Irlande.

Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle dans l’État membre de l’UE de votre résidence habituelle, de votre lieu de travail ou du lieu de la violation présumée.

Picture of an arrow icon pointing up