Politique de confidentialité
1. Responsable du traitement
Conformément au Règlement (UE) 2016/679 du Parlement européen (RGPD) et à la loi Informatique et Libertés modifiée, le responsable du traitement des données à caractère personnel collectées via le site GestionRDV est :
ENTREPRISE, SIREN 813 557 097
Siège social : 98 RUE DE LA CLOCHE 59200 TOURCOING
E-mail : formulaire de contact
2. Données collectées
2.1 Lors de la création d'un compte professionnel
- Nom, prénom
- Adresse e-mail
- Mot de passe (stocké sous forme hachée avec bcrypt — non lisible)
- Nom de l'entreprise / établissement
2.2 Lors de la configuration d'un établissement
- Nom et description de l'établissement
- Adresse postale, téléphone
- Horaires d'ouverture
- Photos et logo (téléchargement optionnel)
2.3 Lors d'une réservation par un client final
- Nom, prénom, adresse e-mail, numéro de téléphone
- Prestation choisie, date et heure du rendez-vous
- Historique des réservations
- Données de paiement — traitées directement par Stripe ; aucune donnée bancaire n'est stockée sur nos serveurs
2.4 Via le formulaire de contact
- Nom complet, adresse e-mail
- Nom de l'entreprise (optionnel)
- Sujet et contenu du message
2.5 Données de navigation (logs serveur)
- Adresse IP (pseudonymisée après 13 mois)
- Date, heure et page consultée
- Navigateur et système d'exploitation
Ces données sont collectées automatiquement à des fins de sécurité et de diagnostic technique.
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion du compte professionnel | Exécution du contrat (art. 6.1.b) |
| Prise et gestion des réservations | Exécution du contrat (art. 6.1.b) |
| Traitement des paiements en ligne | Exécution du contrat (art. 6.1.b) |
| Envoi d'e-mails transactionnels (confirmation, réinitialisation mot de passe) | Exécution du contrat (art. 6.1.b) |
| Réponse aux demandes via le formulaire de contact | Intérêt légitime (art. 6.1.f) |
| Sécurité, prévention de la fraude, logs serveur | Intérêt légitime (art. 6.1.f) |
| Respect des obligations légales (comptabilité, etc.) | Obligation légale (art. 6.1.c) |
4. Durée de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données du compte professionnel | Durée de la relation contractuelle + 3 ans (intérêt légitime) |
| Données des clients finaux (réservations) | 3 ans à compter du dernier rendez-vous |
| Données de facturation et de paiement | 10 ans (obligation légale comptable) |
| Messages reçus via le formulaire de contact | 3 ans à compter de la réception |
| Logs serveur (adresses IP) | 13 mois (recommandation CNIL) |
À l'expiration de ces délais, les données sont supprimées de manière sécurisée ou anonymisées à des fins statistiques.
5. Sous-traitants et destinataires
Certaines données sont transmises à des sous-traitants tiers, dans le strict cadre de la réalisation des services décrits ci-dessus. Ces prestataires agissent uniquement selon nos instructions et sont contractuellement tenus de respecter le RGPD.
| Prestataire | Rôle | Localisation | Politique de confidentialité |
|---|---|---|---|
| OVH SAS | Hébergement des serveurs et des données | France (Roubaix) — UE | ovhcloud.com |
| Brevo SAS (ex-Sendinblue) |
Envoi des e-mails transactionnels (confirmations, mots de passe) | France (Paris) — UE | brevo.com |
| Stripe Payments Europe | Traitement des paiements par carte bancaire | Irlande (Dublin) — UE | stripe.com |
| Cloudflare (Turnstile) | Protection anti-bot sur le formulaire de contact | États-Unis (avec garanties) | cloudflare.com |
Aucune donnée personnelle n'est vendue, louée ou cédée à des tiers à des fins commerciales.
6. Transferts de données hors Union européenne
Les données hébergées par OVH et les e-mails envoyés via Brevo restent au sein de l'Union européenne.
Cloudflare, Inc. est une société américaine. Le transfert de données vers les États-Unis est encadré par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD. Seul le token de vérification anti-bot est transmis — aucune donnée personnelle identifiante n'est envoyée à Cloudflare.
Stripe Payments Europe, Ltd. est domiciliée en Irlande (UE). Des transferts vers Stripe Inc. (États-Unis) peuvent avoir lieu, encadrés par les CCT et la certification au cadre EU-US Data Privacy Framework.
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants concernant vos données personnelles :
Pour exercer l'un de ces droits, contactez-nous via notre formulaire de contact. Nous nous engageons à répondre dans un délai d'un mois suivant la réception de votre demande.
Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : 3 Place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07, tél. 01 53 73 22 22.
8. Cookies et traceurs
GestionRDV utilise uniquement des cookies strictement nécessaires au fonctionnement de la plateforme, ne nécessitant pas de consentement au sens de la directive ePrivacy :
- Cookie de session Symfony (
PHPSESSID) : maintient votre session authentifiée. Durée : session du navigateur. - Cookie CSRF : protège les formulaires contre les attaques CSRF. Durée : session du navigateur.
- Cookie Remember me (si activé) : maintient votre connexion entre les visites. Durée : 30 jours maximum.
Aucun cookie publicitaire, de suivi ou de profilage n'est déposé sur votre terminal. Le widget Turnstile de Cloudflare peut poser un cookie fonctionnel de courte durée à des fins de vérification anti-bot ; il ne sert pas à des fins publicitaires.
9. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement des communications : toutes les communications entre votre navigateur et nos serveurs sont chiffrées via le protocole TLS 1.2+, rendu possible par un certificat SSL Let's Encrypt renouvelé automatiquement tous les 90 jours.
- Hachage des mots de passe : les mots de passe sont stockés sous forme hachée avec l'algorithme bcrypt. En cas de compromission de la base de données, les mots de passe en clair ne sont pas récupérables.
- Isolation des données de paiement : aucune donnée bancaire (numéro de carte, CVV) ne transite par nos serveurs. Les paiements sont entièrement gérés par Stripe, certifié PCI DSS niveau 1.
- Protection CSRF : chaque formulaire est protégé par un token CSRF à usage unique généré par Symfony.
- Protection anti-bot : le formulaire de contact est protégé par Cloudflare Turnstile pour prévenir les soumissions automatisées.
- Accès restreint : l'accès aux données personnelles est limité aux seules personnes habilitées, selon le principe du moindre privilège.
- Sauvegardes régulières : les données sont sauvegardées régulièrement sur l'infrastructure OVH.
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures, conformément à l'article 33 du RGPD, et à vous en informer dans les meilleurs délais si le risque est élevé.
10. Contact et délégué à la protection des données
Pour toute question relative à la présente politique ou pour exercer vos droits, vous pouvez contacter le responsable du traitement :
Par courrier : SLS WEB, 98 RUE DE LA CLOCHE 59200 TOURCOING — Objet : « Protection des données »
Nous nous engageons à répondre à toute demande dans un délai maximum d'un mois. Ce délai peut être prolongé de deux mois supplémentaires en cas de demandes complexes ou nombreuses, après information préalable.
La présente politique de confidentialité est susceptible d'être mise à jour. Toute modification substantielle vous sera notifiée par e-mail ou par une bannière visible sur le site. La version en vigueur est toujours celle publiée sur cette page.