Politique de confidentialité

Bienvenue dans la politique de confidentialité de Geos !

La présente politique de confidentialité explique comment nous collectons, utilisons et protégeons les données personnelles, et décrit les droits de nos visiteurs, clients et commerçants concernant leurs données.

En utilisant notre site web ou l'une de nos applications et l'un de nos services, vous acceptez les conditions décrites dans la présente politique de confidentialité et toutes les autres conditions et politiques figurant sur notre site web. Si vous n'êtes pas d'accord avec la présente politique de confidentialité, veuillez quitter le site et cesser d'utiliser nos services.

This Privacy Policy describes how Geos (“we”, “us”, or “our”) collects, uses, and discloses personal information when you visit our website or install and use the Geos Shopify application (the “App”). This policy is designed to comply with the GDPR, the Shopify Partner Agreement, and the Shopify App Store Data Protection Requirements.

Our Role: Controller and Processor

• Data Controller: Geos is the Controller for the personal data of Merchants (our direct customers) and Website Visitors.
• Data Processor: Geos acts as a Data Processor on behalf of the Merchant (the Data Controller) regarding the personal data of the Merchant’s Customers. We process this data strictly according to the Merchant’s instructions and our Data Processing Addendum (DPA).

Legal Basis for Processing (GDPR Article 6)

We process personal data based on the following legal grounds:

• Performance of a Contract: To provide the App’s functionality to the Merchant (e.g., geolocation and language switching).
• Legitimate Interests: To ensure the security of our services, prevent fraud, and improve app performance.
• Legal Obligation: To comply with tax, accounting, or law enforcement requirements.
• Consent: Where you have provided explicit consent (e.g., for marketing or non-essential cookies).

Data Minimization and API Usage

In compliance with Shopify’s policies, we adhere to the principle of Data Minimization. We only request and access the specific Shopify API data fields required to provide our service.

• We access: Shop locale, currency, and basic contact info.
• We do NOT access: Customer names, addresses, or order history, as these are not necessary for geolocation services.
• Usage Limitation: We use Shopify API data exclusively to provide and improve the App’s functionality. We do not sell this data to third parties.

Merchant Responsibility & DPA

• DPA: By installing the App, the Merchant enters into our Data Processing Addendum, which governs the processing of customer data in accordance with GDPR Article 28.Shared Responsibility: Merchants are the Data Controllers. By using Geos, the Merchant agrees to inform their customers that Geos is used to process IP addresses for geolocation and utilize Local Storage for language preferences.

Données collectées auprès des commerçants 

Lors de l'installation de nos applications, nous pouvons accéder à certaines informations de votre compte Shopify. Ces données nous aident à fournir nos services, tels que la vérification de votre identité, la prise de contact avec vous, l'offre d'assistance et la fourniture de contenu marketing.

Données collectées auprès des clients du commerçant 

To provide geolocation and localization services, the App processes the customer’s IP address to determine their country/region and accesses the customer’s browser language settings to ensure the store is displayed in the most appropriate language.

• Usage and Storage: We process the IP address and browser language to provide localized experiences. While we maintain redirection logs to show localized traffic patterns, we do not collect or have access to the customer’s name, email, or phone number.
• Data Rights: This data can be requested for deletion at any time by the Merchant.
• Local Storage: We store the customer’s preferred language and country in the browser’s Local Storage. This remains on the user’s device and can be cleared by them at any time.

Données collectées lors de la visite de notre site web

Lorsque vous visitez notre site web, nous recueillons des informations sur votre appareil, notamment votre navigateur web, votre adresse IP, votre fuseau horaire et vos cookies. Nous utilisons les technologies suivantes pour collecter ces informations

• Cookies : Fichiers de données placés sur votre appareil, contenant souvent un identifiant unique anonyme. Pour plus d’informations sur les cookies et sur la façon de les désactiver, visitez allaboutcookies.org.
• Fichiers journaux : Enregistrent les actions effectuées sur le site, y compris votre adresse IP, le type de navigateur, le fournisseur d’accès Internet (FAI), les pages de provenance/de sortie et les horodatages.
• Balises Web, Tags et Pixels : Fichiers électroniques qui suivent votre activité de navigation.

Partage d'informations 

Nous partageons vos informations personnelles avec les tiers suivants afin de soutenir nos activités commerciales et nos services à la clientèle :

• Google Analytics : Nous aide à comprendre l’utilisation du site Web et de l’application. En savoir plus sur la politique de confidentialité de Google. Vous pouvez vous désinscrire sur tools.google.com/dlpage/gaoptout.
• CustomerIO: Used for email marketing and maintaining customer lists. Learn more about CustomerIO privacy policy. 
• Freshdesk : utilisé pour la communication et le service client. Pour en savoir plus, consultez la politique de confidentialité de Freshdesk.

Nous pouvons également partager vos données afin de nous conformer aux exigences légales, répondre à des demandes légitimes ou protéger nos droits. Nous pouvons utiliser vos données à des fins de publicité ciblée, avec la possibilité de vous désinscrire sur facebook.com/settings/? tab=ads et google.com/settings/ads/anonymous. Si notre entreprise est rachetée, vos données peuvent être partagées avec les nouveaux propriétaires, et nous vous en informerons sur notre page d'accueil.

Transferts internationaux de données 

Geos processes and stores personal data on servers located in the United States. To ensure that personal data from the European Union (EU), European Economic Area (EEA), and United Kingdom (UK) receives an adequate level of protection when transferred to the U.S., we rely on Standard Contractual Clauses (SCCs) approved by the European Commission (and the UK Addendum where applicable). These clauses provide specific guarantees regarding the security and handling of your data. By using our services, you acknowledge and consent to these transfer mechanisms.

Utilisation de Geos par les enfants 

Geos n'est pas destiné aux enfants de moins de 18 ans. Si vous avez moins de 18 ans, vous ne pouvez utiliser nos services que sous la surveillance d'un parent ou d'un tuteur.

Vos droits concernant vos données 

Geos reconnaît vos droits concernant vos données personnelles et met tout en œuvre pour vous permettre d'accéder à celles-ci, de les corriger, de les modifier, de les supprimer ou d'en limiter l'utilisation. Les commerçants peuvent exercer ces droits en nous contactant à l'adresse [email protected]. Nous pouvons vous demander de vérifier votre identité avant de vous donner accès à vos données.

Si vous êtes client d'un commerçant, veuillez contacter directement ce dernier pour exercer ces droits, car nous traitons les données en son nom.

Data Retention and Deletion

In strict accordance with Shopify policy, all Merchant personal data is permanently deleted within 48 hours of app uninstallation. This deletion includes all database records, logs, and backups. We do not retain data longer than necessary to fulfill the purposes outlined in this policy.

For questions about your data or this Privacy Policy, or to file a complaint, reach out to us at [email protected] immediate data removal requests, contact us at [email protected]. Verification of identity may be required.

Politique de réponse aux incidents de sécurité 

Cette politique décrit notre approche en matière de détection, de signalement, d'évaluation et de réponse aux incidents de sécurité afin de minimiser leur impact sur les activités, la réputation et les actifs de l'entreprise.

Niveaux de gravité des incidents

• Niveau 1 (faible) : incidents ayant un impact mineur qui peuvent être résolus rapidement sans causer de dommages importants.
• Niveau 2 (modéré) : incidents ayant un impact notable qui nécessitent une attention immédiate afin d'éviter des dommages supplémentaires.
• Niveau 3 (élevé) : incidents ayant un impact grave sur les opérations et nécessitant une action urgente pour les contenir et les résoudre.

Rôles et responsabilités

• Équipe d'intervention en cas d'incident (IRT) : équipe chargée de traiter les incidents de sécurité, composée de personnel informatique, d'experts en sécurité et d'autres parties prenantes clés.
• Incident Coordinator: The individual managing the incident response, coordinating with the IRT and stakeholders, evaluating the incident’s impact, and ensuring a proper response.
• Personnel informatique/sécurité : chargé de détecter, d'enquêter et de traiter les incidents de sécurité.

Voies d'escalade

• Signalement des incidents : tous les incidents doivent être signalés sans délai à l'équipe d'intervention en cas d'incident (IRT) dès leur découverte. Le signalement peut être effectué via un système dédié, par e-mail ou par téléphone. Le rapport doit inclure une description de l'incident, son impact sur l'organisation et toute preuve à l'appui.
• Évaluation initiale : l'IRT procédera à une évaluation initiale afin d'évaluer la gravité et l'impact de l'incident. En fonction des conclusions, l'IRT peut escalader la situation à un niveau supérieur pour que des mesures supplémentaires soient prises.
• Escalade de niveau 1 : pour les incidents mineurs, l'IRT peut traiter le problème sans escalade supplémentaire. Cela peut impliquer des corrections temporaires, l'application de mises à jour de sécurité ou l'ajustement des politiques de sécurité.
• Escalade de niveau 2 : pour les incidents modérés, l'IRT transmettra le dossier au coordinateur des incidents. Le coordinateur déterminera la réponse appropriée, qui pourra inclure le recours à des ressources ou à des experts supplémentaires. La communication avec la direction et les autres parties concernées sera maintenue afin de les tenir informées de l'incident et des mesures prises.
• Escalade de niveau 3 : pour les incidents graves, l'IRT fera remonter le problème à la direction générale ou à la direction exécutive. Cela peut déclencher le plan d'intervention d'urgence de l'organisation ou impliquer l'aide d'experts externes. Le coordinateur des incidents continuera à gérer la réponse, mais sous la supervision supplémentaire de la direction générale.

Collecte de preuves

Une fois qu'un incident est détecté ou signalé, tous les systèmes, appareils et journaux pertinents sont conservés afin d'empêcher toute modification ou suppression supplémentaire des données. Ce processus implique la collecte et la sauvegarde des données électroniques, telles que les journaux système, le trafic réseau et les données d'application.

Actions requises :

• Détection des incidents : tous les employés sont formés pour reconnaître et signaler rapidement tout incident lié à la sécurité. Cela inclut les comportements suspects, les accès non autorisés, les violations de données, les logiciels malveillants et autres menaces potentielles.
• Classification des incidents : l'IRT procède à une évaluation initiale afin d'évaluer la gravité et l'impact de l'incident. Sur la base d'une échelle de gravité prédéfinie, l'incident est classé afin de déterminer le niveau de réponse approprié.
• Confinement des incidents : l'IRT prend rapidement des mesures pour contenir l'incident et empêcher tout dommage supplémentaire ou perte de données. Cela peut impliquer l'isolation des systèmes touchés, la coupure de l'accès au réseau ou la désactivation des services affectés.
• Enquête sur l'incident : l'IRT analysera l'incident afin d'en comprendre la cause profonde et d'identifier tout signe de compromission. Cette enquête comprendra l'examen des journaux système, du trafic réseau et d'autres données connexes.
• Plan d'intervention en cas d'incident : l'IRT élaborera un plan d'action adapté à la gravité et aux effets de l'incident. Ce plan détaillera les stratégies de communication, les efforts de coordination et les actions collaboratives requises par l'IRT et les parties prenantes concernées.
• Récupération après incident : les efforts porteront principalement sur le rétablissement du fonctionnement normal tout en garantissant la sécurité et l'intégrité des systèmes et des données. Les tâches de récupération peuvent inclure la restauration des sauvegardes, l'application de correctifs de sécurité ou la reconstruction des systèmes si nécessaire.
• Examen post-incident : après la résolution, l'IRT procédera à un examen afin d'identifier les enseignements tirés et les domaines à améliorer. Ces commentaires permettront de mettre à jour les stratégies de réponse aux incidents de l'organisation, renforçant ainsi la préparation future.

Changes

We may update this Privacy Policy from time to time to reflect changes in our practices or for operational, legal, or regulatory reasons. Updates will be posted on our website and take effect immediately upon publication, without prior notice. We encourage you to review this page periodically to stay informed. Continuing to use our website or services following any updates indicates your acceptance of the revised terms.

Coordonnées 

Si vous avez d'autres questions concernant vos données ou la présente politique de confidentialité, veuillez nous envoyer un e-mail à l'adresse [email protected].

Last updated: 30 March 2026