Politique de Confidentialité

Dernière mise à jour : 03/05/2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est Justine B. .

2. Données collectées

Nous collectons les données suivantes :

  • Nom et prénom
  • Adresse email
  • Numéro de téléphone (optionnel)
  • Mode de paiement choisi (espèces, carte, virement — règlement sur place)

3. Finalités du traitement

Vos données sont utilisées pour :

  • Gestion de votre compte utilisateur
  • Traitement de vos réservations
  • Envoi de confirmations et rappels
  • Communication relative aux séances

4. Base légale

Le traitement est fondé sur :

  • L'exécution du contrat (réservation)
  • Votre consentement (acceptation des CGU à l'inscription)
  • Nos obligations légales

5. Durée de conservation

  • Compte client : pendant la durée de la relation contractuelle, puis 3 ans après votre dernière activité (recommandation CNIL)
  • Factures et pièces comptables : 10 ans (article L123-22 du Code de commerce)
  • Réservations confirmées et payées : liées à la facture, conservées 10 ans
  • Réservations annulées sans paiement : 3 ans
  • Logs de connexion : 1 an (article 6 LCEN)
  • Messages de support : 3 ans après dernière interaction
  • Preuve du consentement : durée du traitement + 5 ans

6. Vos droits

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :

  • Droit d'accès à vos données
  • Droit de rectification via votre profil
  • Droit à l'effacement (suppression du compte depuis votre profil)
  • Droit à la limitation du traitement
  • Droit à la portabilité : téléchargez l'intégralité de vos données au format JSON depuis votre profil > « Télécharger mes données »
  • Droit d'opposition

Pour exercer vos droits, contactez-nous.

7. Destinataires des données et sous-traitants

Vos données sont traitées par les sous-traitants suivants, avec lesquels nous avons signé un accord de sous-traitance (DPA) conforme à l'article 28 du RGPD :

  • Nicolas PAYET (Auto-entrepreneur) — éditeur de la plateforme « Otium Booking », sous-traitant technique, contact : nicolas.pa@live.com
  • Render Services, Inc. — hébergeur web et base de données, données stockées en région UE (Francfort, Allemagne)
  • Resend, Inc. (États-Unis) — service d'envoi des emails transactionnels (confirmation, annulation, rappels). Transfert encadré par les clauses contractuelles types (CCT) de la Commission européenne.
  • Stripe Payments Europe Ltd. (Irlande) — traitement sécurisé des paiements en ligne. Aucune donnée de carte bancaire n'est stockée sur nos serveurs.
  • Cloudflare R2 — stockage des images et fichiers (logo, photos), données stockées en région UE.

8. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données (article 32 RGPD) :

  • Chiffrement des mots de passe (algorithme bcrypt)
  • Connexions HTTPS forcées (TLS) avec en-têtes HSTS
  • Protection CSRF sur tous les formulaires
  • Politique de sécurité de contenu (CSP) restrictive
  • Limitation de débit sur les tentatives de connexion
  • Isolation stricte des données entre praticiens (multi-tenant)
  • Sauvegardes automatiques quotidiennes de la base de données

9. Délégué à la protection des données (DPO)

Pour toute question relative au traitement de vos données, vous pouvez contacter notre référent à l'adresse : nicolas.pa@live.com

10. Réclamation

Vous avez le droit d'introduire une réclamation auprès de la CNIL si vous estimez que vos droits ne sont pas respectés : www.cnil.fr