Confidentialité – Eventofy – Votre Passport pour les professionnels de l'événementiel

Chez Eventofy, nous accordons une importance primordiale à la protection de votre vie privée et au respect de vos données personnelles. Cette Politique de Confidentialité (ci-après “Politique”) détaille de manière exhaustive la manière dont nous collectons, utilisons, partageons, stockons et protégeons vos données personnelles lorsque vous utilisez notre plateforme web, notre application mobile ou tout autre service proposé par Eventofy.

Nous nous engageons à traiter vos données dans le strict respect du Règlement Général sur la Protection des Données (RGPD – Règlement UE 2016/679), de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (dite “Loi Informatique et Libertés”), ainsi que de toutes les réglementations applicables en matière de protection des données personnelles.

Nous vous invitons à lire attentivement cette Politique afin de comprendre nos pratiques concernant vos données personnelles et la manière dont nous les traitons.

1. RESPONSABLE DU TRAITEMENT

1.1 Identification du responsable du traitement

Le responsable du traitement des données personnelles collectées sur la plateforme Eventofy est :

Raison sociale : EVENTOFY
Email de contact : [email protected]

1011 Chem. du Fort Rouge, 83200 Toulon, France

En tant que responsable du traitement, Eventofy détermine les finalités et les moyens des traitements de données personnelles effectués dans le cadre de l’utilisation de la plateforme.

1.2 Délégué à la Protection des Données (DPO)

Conformément à l’article 37 du RGPD, Eventofy a désigné un Délégué à la Protection des Données (Data Protection Officer – DPO) qui est votre point de contact privilégié pour toute question relative à la protection de vos données personnelles.

Contact du DPO :
Email : [email protected]
Courrier postal : DPO Eventofy, 1011 Chem. du Fort Rouge, 83200 Toulon, France

Le DPO est chargé de :

Informer et conseiller Eventofy sur ses obligations en matière de protection des données
Contrôler le respect du RGPD et des politiques internes
Coopérer avec l’autorité de contrôle (CNIL)
Servir de point de contact pour les personnes concernées concernant leurs droits

1.3 Représentant au sein de l’Union Européenne

Si Eventofy n’est pas établie dans l’Union Européenne mais propose ses services à des résidents européens, un représentant au sein de l’UE sera désigné conformément à l’article 27 du RGPD. Ses coordonnées seront alors communiquées dans cette section.

2. DONNÉES QUE NOUS COLLECTONS

Nous collectons uniquement les informations strictement nécessaires pour vous fournir le meilleur service possible et conformément au principe de minimisation des données prévu par le RGPD.

2.1 Données d’identification et de contact

Lors de la création d’un compte utilisateur ou d’une demande de contact, nous collectons :

Nom et prénom (ou raison sociale pour les professionnels)
Adresse email (utilisée comme identifiant de connexion)
Numéro de téléphone (facultatif mais recommandé pour faciliter les mises en relation)
Mot de passe (chiffré et jamais stocké en clair)
Civilité (Monsieur, Madame, Autre)

Professionnels :

Nom de l’entreprise ou de l’organisation
Fonction ou poste occupé
Secteur d’activité
Adresse professionnelle (facultatif)
Site web de l’entreprise (facultatif)

2.2 Données de profil et préférences

Pour personnaliser votre expérience et améliorer la pertinence de nos recommandations, nous collectons :

Préférences de recherche : types d’événements organisés (professionnels, mariages, séminaires, soirées privées, etc.), zones géographiques privilégiées, gamme de budget, capacité d’accueil souhaitée
Historique de recherches : établissements consultés, critères de recherche utilisés, filtres appliqués
Favoris et listes : établissements sauvegardés, listes de projets créées
Notifications préférées : types d’alertes et de communications souhaitées
Langue et préférences d’affichage

2.3 Données de paiement et de facturation (Abonnés Premium)

Pour les utilisateurs souscrivant à l’offre Premium, nous collectons :

Informations de paiement :

Numéro de carte bancaire (crypté et tokenisé par notre prestataire de paiement tiers certifié PCI-DSS)
Date d’expiration de la carte
Code de sécurité CVV (non conservé après la transaction)
Nom du titulaire de la carte
Type de carte (Visa, Mastercard, American Express, etc.)

Informations de facturation :

Adresse de facturation complète
Numéro de TVA intracommunautaire (pour les professionnels)
Historique des paiements et des factures
Informations sur les remboursements ou litiges de paiement

Important : Les données bancaires sensibles sont collectées et traitées directement par notre prestataire de paiement sécurisé (Stripe, PayPal ou autre solution certifiée PCI-DSS) conformément aux normes de sécurité les plus strictes de l’industrie. Eventofy ne stocke jamais les numéros de carte bancaire complets sur ses propres serveurs.

2.4 Données techniques et de navigation

Lors de votre utilisation de la plateforme, nous collectons automatiquement certaines informations techniques :

Données de connexion :

Adresse IP (complète ou anonymisée selon les traitements)
Date et heure de connexion
Durée de session
Identifiants de session (cookies de session)

Données sur l’équipement :

Type d’appareil (ordinateur, smartphone, tablette)
Système d’exploitation (Windows, macOS, iOS, Android, Linux, etc.) et version
Type et version du navigateur web (Chrome, Firefox, Safari, Edge, etc.)
Résolution d’écran
Fournisseur d’accès Internet (FAI)
Langue du navigateur

Données de navigation et d’usage :

Pages consultées et parcours de navigation (URL des pages visitées)
Temps passé sur chaque page
Liens cliqués
Actions effectuées (recherches, téléchargements, formulaires remplis)
Provenance (site web référent, source de trafic)
Interactions avec les fonctionnalités (nombre de recherches, de mises en relation, etc.)
Erreurs rencontrées (pages 404, messages d’erreur)

Données de géolocalisation :

Localisation approximative (ville, région) déduite de votre adresse IP
Localisation précise (coordonnées GPS) uniquement si vous activez la géolocalisation sur votre appareil et nous accordez l’autorisation explicite (pour les recherches à proximité)

2.5 Données de communication et d’interaction

Lorsque vous interagez avec Eventofy ou d’autres utilisateurs via la plateforme, nous collectons :

Messages et demandes de contact envoyés aux établissements via notre plateforme
Échanges avec notre service client (emails, tickets de support, chat en ligne)
Appels téléphoniques avec le service client (pouvant être enregistrés avec votre consentement préalable, à des fins de formation et d’amélioration de la qualité)
Réponses aux enquêtes de satisfaction et questionnaires
Feedbacks et suggestions transmis via les formulaires dédiés

2.6 Contenus générés par l’utilisateur

Si la plateforme permet la publication de contenus par les utilisateurs :

Avis et commentaires sur les établissements
Notes et évaluations attribuées aux prestataires
Photos et vidéos uploadées par les utilisateurs
Messages publics ou contributions aux forums (si disponibles)

Note : Vous êtes responsable des contenus que vous publiez. Assurez-vous qu’ils ne violent pas les droits de tiers et respectent nos Conditions Générales d’Utilisation.

2.7 Données issues des réseaux sociaux

Si vous choisissez de créer un compte ou de vous connecter via un réseau social (Facebook, Google, LinkedIn, etc.), nous pouvons collecter :

Nom et prénom associés à votre profil social
Adresse email liée à votre compte social
Photo de profil
Identifiant unique du réseau social
Informations publiques de profil que vous avez autorisées à partager

Vous pouvez à tout moment révoquer ces autorisations via les paramètres de confidentialité du réseau social concerné.

2.8 Données relatives aux événements organisés

Pour faciliter l’organisation de vos événements, nous pouvons collecter :

Type et nature de l’événement (mariage, séminaire, conférence, anniversaire, etc.)
Date(s) prévue(s) de l’événement
Nombre de participants attendu
Budget estimé
Besoins spécifiques (restauration, hébergement, équipements techniques, accessibilité PMR, etc.)
Détails du projet (description, objectifs, contraintes particulières)

2.9 Données collectées automatiquement via les cookies

Nous utilisons différents types de cookies et technologies similaires (voir section 6 pour plus de détails) qui collectent automatiquement certaines informations lors de votre navigation.

3. FINALITÉS DU TRAITEMENT

Vos données personnelles sont traitées pour des finalités spécifiques, explicites et légitimes, conformément aux exigences du RGPD. Nous ne traitons vos données que dans le cadre des finalités pour lesquelles elles ont été collectées.

3.1 Mise en relation avec les prestataires

Finalité : Faciliter la mise en relation entre organisateurs d’événements et établissements référencés.

Données concernées : Nom, prénom, email, téléphone, détails de la demande, informations sur l’événement

Base légale : Exécution du contrat (fourniture du service de mise en relation)

Traitements effectués :

Transmission de vos coordonnées et de votre message aux gérants des lieux et prestataires que vous avez sélectionnés
Notification aux établissements des demandes de contact ou de devis
Suivi des mises en relation effectuées
Statistiques anonymisées sur les taux de réponse et de conversion

3.2 Gestion de votre compte utilisateur

Finalité : Créer, gérer et sécuriser votre compte personnel sur la plateforme.

Données concernées : Nom, prénom, email, mot de passe (chiffré), préférences de compte

Base légale : Exécution du contrat

Traitements effectués :

Création et authentification de votre compte
Gestion de vos identifiants de connexion
Réinitialisation de mot de passe
Gestion de vos préférences et paramètres de compte
Sécurisation de l’accès à votre espace personnel

3.3 Gestion de l’abonnement Premium

Finalité : Gérer votre souscription à l’offre Premium et traiter la facturation mensuelle.

Données concernées : Données de paiement, adresse de facturation, historique d’abonnement

Base légale : Exécution du contrat

Traitements effectués :

Traitement des paiements mensuels de 14€ TTC
Gestion des renouvellements automatiques
Émission et envoi des factures
Gestion des résiliations et remboursements
Prévention de la fraude au paiement
Gestion des litiges de paiement et des impayés
Activation et désactivation de l’accès aux fonctionnalités Premium

3.4 Personnalisation de votre expérience

Finalité : Adapter le contenu, les recommandations et les fonctionnalités à vos besoins et préférences.

Données concernées : Historique de navigation, préférences de recherche, favoris, informations de profil

Base légale : Intérêt légitime d’Eventofy à améliorer l’expérience utilisateur

Traitements effectués :

Recommandations personnalisées d’établissements
Suggestions basées sur vos recherches précédentes
Affichage de contenus pertinents selon votre profil
Mémorisation de vos préférences (filtres, tri, affichage)
Adaptation de l’interface selon vos habitudes d’utilisation

Vous pouvez vous opposer à cette personnalisation en modifiant vos paramètres de confidentialité dans votre espace client.

3.5 Amélioration et optimisation du service

Finalité : Analyser l’utilisation de la plateforme pour en améliorer les performances, les fonctionnalités et la pertinence.

Données concernées : Données de navigation, données techniques, statistiques d’usage

Base légale : Intérêt légitime d’Eventofy à améliorer continuellement son service

Traitements effectués :

Analyse des parcours utilisateurs et des comportements de navigation
Identification des pages et fonctionnalités les plus/moins utilisées
Détection et résolution de bugs ou dysfonctionnements
Tests A/B pour optimiser l’interface et l’expérience utilisateur
Amélioration de l’algorithme de recherche et de recommandation
Mesure de la performance technique (temps de chargement, taux d’erreur)
Statistiques agrégées et anonymisées sur l’utilisation du service

3.6 Communication et marketing

Finalité : Vous tenir informé de l’actualité d’Eventofy et vous proposer des offres pertinentes.

Données concernées : Email, préférences de communication, historique d’interaction

Base légale :

Consentement (pour les newsletters et communications commerciales)
Intérêt légitime (pour les communications liées au service)

Traitements effectués :

Communications transactionnelles (obligatoires) : confirmations de compte, notifications de paiement, alertes de sécurité, mises à jour importantes du service
Newsletters et actualités (optionnelles) : nouveautés de la plateforme, nouveaux établissements référencés, conseils pour l’organisation d’événements
Offres promotionnelles (optionnelles) : tarifs négociés exclusifs, réductions temporaires, offres partenaires
Enquêtes de satisfaction (optionnelles) : questionnaires pour recueillir votre avis et améliorer nos services

Vous pouvez à tout moment :

Vous désabonner des newsletters via le lien présent dans chaque email
Gérer vos préférences de communication dans votre espace client
Retirer votre consentement sans affecter les communications transactionnelles essentielles

3.7 Service client et support technique

Finalité : Répondre à vos questions, résoudre vos problèmes techniques et traiter vos réclamations.

Données concernées : Données de contact, historique des échanges, détails de la demande

Base légale : Exécution du contrat et intérêt légitime à fournir un support de qualité

Traitements effectués :

Réception et traitement de vos demandes de support
Résolution de problèmes techniques ou fonctionnels
Gestion des réclamations et litiges
Suivi de la qualité du service client
Formation des équipes support (avec anonymisation si nécessaire)

3.8 Sécurité et prévention de la fraude

Finalité : Protéger la plateforme, les utilisateurs et Eventofy contre les activités frauduleuses, malveillantes ou illicites.

Données concernées : Adresse IP, données de connexion, comportements suspects, données de paiement

Base légale : Intérêt légitime à assurer la sécurité du service et obligation légale

Traitements effectués :

Détection et blocage des tentatives de fraude au paiement
Identification et prévention des abus (spam, scraping, comptes multiples frauduleux)
Protection contre les cyberattaques (DDoS, injections SQL, XSS, etc.)
Surveillance des connexions suspectes ou inhabituelles
Vérification de la conformité d’utilisation avec les CGU
Collecte de preuves en cas de litige ou d’infraction

3.9 Respect des obligations légales et réglementaires

Finalité : Se conformer aux obligations légales applicables à Eventofy.

Données concernées : Toutes données nécessaires selon l’obligation concernée

Base légale : Obligation légale

Traitements effectués :

Obligations comptables et fiscales : conservation des factures et données de paiement pendant 10 ans
Lutte contre le blanchiment d’argent : vérification d’identité si nécessaire
Réponse aux réquisitions judiciaires : communication de données aux autorités compétentes sur demande légale
Respect du RGPD : registre des traitements, analyses d’impact, notifications de violations de données

3.10 Analyse statistique et étude de marché

Finalité : Comprendre les tendances du marché de l’événementiel et le comportement des utilisateurs à des fins d’études et de reporting.

Données concernées : Données agrégées et anonymisées

Base légale : Intérêt légitime

Traitements effectués :

Statistiques globales sur l’utilisation de la plateforme (nombre d’utilisateurs, de recherches, de mises en relation)
Analyses de tendances (types d’événements populaires, zones géographiques privilégiées, périodes de haute saison)
Études de satisfaction et de performance
Rapports pour les partenaires (sans données personnelles identifiables)

Note : Ces analyses sont réalisées sur des données anonymisées qui ne permettent pas de vous identifier personnellement.

4. PARTAGE DES DONNÉES AVEC DES TIERS

En tant que plateforme de mise en relation, nous sommes amenés à partager certaines de vos données avec des tiers dans les conditions strictement définies ci-dessous. Eventofy ne vend ni ne loue jamais vos données personnelles à des fins commerciales.

4.1 Partage avec les prestataires et gérants de lieux

Destinataires : Les établissements (hôtels, salles de réception, restaurants, prestataires événementiels) que vous contactez via la plateforme.

Données partagées : Uniquement les données strictement nécessaires à la mise en relation :

Nom et prénom
Adresse email
Numéro de téléphone (si fourni)
Message ou demande spécifique
Informations sur votre événement (type, date, nombre de participants, besoins)

Finalité du partage : Permettre aux établissements de répondre à vos demandes de renseignements, devis ou réservation.

Base légale : Exécution du contrat (mise en relation demandée par l’utilisateur)

Important :

Le partage ne s’effectue qu’à votre initiative lorsque vous choisissez de contacter un établissement
Les établissements deviennent responsables du traitement de vos données personnelles dès réception et doivent respecter leurs propres obligations au titre du RGPD
Nous vous recommandons de consulter les politiques de confidentialité des établissements que vous contactez
Eventofy n’est pas responsable de l’utilisation que font les établissements de vos données personnelles

4.2 Prestataires techniques et sous-traitants

Nous faisons appel à des prestataires de services tiers de confiance pour nous aider à fournir et améliorer notre plateforme. Ces prestataires agissent en qualité de sous-traitants au sens du RGPD et ne traitent vos données que sur nos instructions et pour notre compte.

4.2.1 Hébergement web et infrastructure

Prestataire : OVH Cloud
Localisation : France
Données traitées : Ensemble des données stockées sur la plateforme
Finalité : Hébergement sécurisé du site web, de l’application et des bases de données
Garanties : Certification ISO 27001, conformité RGPD, clauses contractuelles types

4.2.2 Solutions de paiement sécurisé

Prestataire : Stripe / PayPal
Localisation : U.S.A; U.K
Données traitées : Informations de paiement (numéro de carte, date d’expiration, CVV, adresse de facturation)
Finalité : Traitement sécurisé des paiements en ligne
Garanties : Certification PCI-DSS niveau 1 (norme de sécurité la plus stricte pour les paiements par carte), conformité RGPD, chiffrement des données bancaires

4.2.3 Outils d’analyse d’audience et de statistiques

Prestataires possibles : Google Analytics, Matomo, Mixpanel, Hotjar
Localisation : Variable selon le prestataire
Données traitées : Données de navigation anonymisées ou pseudonymisées (adresse IP tronquée, identifiants cookiés)
Finalité : Analyse du trafic, du comportement des utilisateurs et optimisation de l’expérience
Garanties : Anonymisation des IP, désactivation du partage de données avec des tiers, conformité RGPD

Vous pouvez vous opposer à ces analyses en :

Désactivant les cookies analytiques via notre bandeau de gestion des cookies
Installant le plugin de navigateur de désactivation de Google Analytics : https://tools.google.com/dlpage/gaoptout

4.2.4 Services d’emailing et de communication

Prestataires possibles : Mailchimp, SendinBlue (Brevo), Mailjet
Données traitées : Adresse email, nom, prénom, préférences de communication
Finalité : Envoi des newsletters, emails transactionnels, notifications
Garanties : Conformité RGPD, hébergement UE, clauses contractuelles types

4.2.5 Services de support client

Prestataires possibles : Zendesk, Intercom, Freshdesk
Données traitées : Données de contact, historique des échanges, informations de compte
Finalité : Gestion centralisée des demandes de support et du service client
Garanties : Conformité RGPD, chiffrement des données, accès restreint

4.2.6 Outils de CRM et de gestion commerciale

Prestataires possibles : Salesforce, HubSpot, Pipedrive
Données traitées : Informations de contact, historique d’interaction, statut de l’abonnement
Finalité : Gestion de la relation client, suivi des parcours utilisateurs
Garanties : Conformité RGPD, clauses contractuelles types

4.2.7 Services de cartographie et de géolocalisation

Prestataires possibles : Google Maps API, Mapbox, OpenStreetMap
Données traitées : Coordonnées de géolocalisation (si autorisées), adresses recherchées
Finalité : Affichage de cartes interactives, calculs d’itinéraires, recherches géolocalisées
Garanties : Conformité avec les politiques de confidentialité des fournisseurs de cartes

4.3 Partenaires commerciaux (avec votre consentement)

Cas spécifique : Avec votre consentement explicite, nous pouvons partager certaines données avec des partenaires commerciaux sélectionnés (agences événementielles, prestataires complémentaires) pour vous proposer des offres pertinentes.

Données partagées : Données de contact (email, nom, prénom) et préférences générales

Modalités :

Ce partage nécessite votre consentement opt-in explicite (case à cocher non pré-cochée)
Vous pouvez retirer votre consentement à tout moment
Les partenaires deviennent responsables de traitement et doivent respecter le RGPD

Nous ne partageons JAMAIS vos données avec des partenaires commerciaux sans votre accord préalable.

4.4 Autorités légales et réglementaires

Dans certaines circonstances, nous pouvons être légalement tenus de divulguer vos données personnelles :

Destinataires :

Autorités judiciaires (tribunaux, procureurs)
Forces de l’ordre (police, gendarmerie)
Autorités administratives (CNIL, DGCCRF, administration fiscale)

Données partagées : Uniquement les données spécifiquement demandées par l’autorité compétente

Circonstances :

Réquisition judiciaire ou ordre de perquisition
Obligation légale de communication (lutte contre la fraude, le blanchiment, le terrorisme)
Protection des droits et de la sécurité d’Eventofy ou de tiers
Application des Conditions Générales d’Utilisation

Garanties : Nous vérifions systématiquement la validité et la légalité de toute demande avant communication de données.

4.5 Transferts en cas de restructuration

En cas de fusion, acquisition, cession d’actifs ou restructuration d’Eventofy, vos données personnelles pourront être transférées au nouvel entité sous réserve que :

Le cessionnaire s’engage à respecter la présente Politique de Confidentialité
Vous soyez informé préalablement du transfert
Vous conserviez vos droits sur vos données personnelles

4.6 Données publiques et contenus publiés

Si vous publiez des avis, commentaires ou contenus sur la plateforme :

Ces contenus deviennent publics et visibles par tous les utilisateurs
Ils peuvent être indexés par les moteurs de recherche
Eventofy ne peut garantir leur suppression complète une fois partagés ou copiés par des tiers

Soyez prudent quant aux informations personnelles que vous choisissez de rendre publiques.

4.7 Garanties pour tous les transferts

Pour tous les partages de données mentionnés ci-dessus, Eventofy s’assure que :

Les destinataires offrent des garanties suffisantes en matière de protection des données
Des accords de sous-traitance conformes au RGPD (article 28) sont conclus avec les sous-traitants
Des mesures de sécurité appropriées sont mises en place
Le principe de minimisation des données est respecté (seules les données nécessaires sont partagées)

5. DURÉE DE CONSERVATION DES DONNÉES

Conformément au principe de limitation de la conservation (article 5.1.e du RGPD), vos données personnelles ne sont conservées que pendant la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées.

5.1 Données de compte actif

Durée : Tant que votre compte est actif et que vous utilisez la plateforme

Données concernées : Données d’identification, préférences, historique d’utilisation

À l’expiration :

Après 3 ans d’inactivité totale (aucune connexion, aucune interaction), votre compte sera considéré comme dormant
Vous recevrez un email d’avertissement 30 jours avant la suppression
Sans action de votre part, vos données seront supprimées ou anonymisées

5.2 Données de paiement et de facturation

Durée de conservation des données bancaires :

13 mois maximum après la dernière transaction (uniquement sous forme de “token” sécurisé chez notre prestataire de paiement)
Le CVV n’est jamais conservé après la transaction

Durée de conservation des factures et données comptables :

10 ans à compter de la clôture de l’exercice comptable (obligation légale – Code de commerce art. L.123-22)

Données concernées : Factures, historique des paiements, coordonnées de facturation

Note : Seules les données strictement nécessaires aux obligations comptables et fiscales sont conservées pendant cette période.

5.3 Données des utilisateurs sans compte (prospects)

Durée : 3 ans à compter de la dernière interaction (demande de contact, téléchargement de documentation, utilisation d’un formulaire)

Données concernées : Email, nom, prénom, contenu de la demande

Finalité de la conservation : Permettre le suivi de la relation commerciale potentielle

À l’expiration : Suppression automatique ou anonymisation des données

5.4 Données de navigation et cookies

Cookies de session : Supprimés à la fermeture du navigateur

Cookies persistants :

Cookies essentiels : Maximum 13 mois
Cookies analytiques et marketing : Maximum 13 mois (conformément aux recommandations CNIL)
Vous pouvez supprimer les cookies à tout moment via votre navigateur

Logs de connexion :

12 mois (pour la sécurité et la détection de fraude)
Adresse IP anonymisée après ce délai ou suppression complète

5.5 Données de service client et support

Durée : 3 ans à compter de la clôture du ticket ou de la dernière interaction

Données concernées : Historique des échanges, tickets de support, enregistrements d’appels (si consentement donné)

Finalité : Permettre le suivi du dossier et l’amélioration de la qualité du service

À l’expiration : Suppression ou anonymisation (conservation de statistiques agrégées non identifiantes)

5.6 Données liées à un litige ou une obligation légale

Durée : Pendant toute la durée du litige ou de l’obligation légale, plus les délais de prescription applicables

Prescription civile : Généralement 5 ans (Code civil art. 2224)

Prescription pénale : Variable selon l’infraction (3 ans pour les délits, 1 an pour les contraventions)

Données concernées : Toutes données pertinentes pour la défense des droits d’Eventofy ou le respect d’une obligation légale

5.7 Suppression de compte sur demande

Lorsque vous supprimez votre compte ou exercez votre droit à l’effacement :

Suppression immédiate :

Accès à votre compte et à l’espace client désactivé immédiatement
Données d’identification et de profil supprimées dans un délai de 30 jours

Conservation temporaire pour obligations légales :

Données de facturation : conservées 10 ans
Données nécessaires en cas de litige en cours : conservées jusqu’à résolution

Anonymisation :

Les données statistiques et analytiques sont anonymisées (ne permettent plus de vous identifier)
Les contenus publiés (avis, commentaires) peuvent être conservés de manière anonyme

5.8 Tableau récapitulatif des durées de conservation

Type de données	Durée de conservation	Base légale
Compte actif	Durée d’utilisation + 3 ans d’inactivité	Intérêt légitime
Données de paiement (token)	13 mois après dernière transaction	Obligation légale
Factures et données comptables	10 ans	Obligation légale
Prospects (sans compte)	3 ans après dernière interaction	Intérêt légitime
Cookies	Maximum 13 mois	Consentement / Intérêt légitime
Logs de connexion	12 mois	Intérêt légitime (sécurité)
Support client	3 ans après clôture	Intérêt légitime
Litige ou obligation légale	Durée du litige + prescription	Obligation légale

À l’issue de ces durées, vos données sont soit supprimées définitivement, soit anonymisées de manière irréversible.

6. COOKIES ET TECHNOLOGIES SIMILAIRES

6.1 Qu’est-ce qu’un cookie ?

Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lors de votre visite sur un site web. Il permet de reconnaître votre navigateur lors de vos visites ultérieures et de mémoriser certaines informations.

Les cookies peuvent être déposés par :

Eventofy (cookies “first-party” ou “internes”)
Des partenaires tiers (cookies “third-party” ou “tiers”) tels que Google Analytics

6.2 Technologies similaires utilisées

Outre les cookies, nous utilisons également :

Pixels invisibles (web beacons) : petites images intégrées dans les emails ou pages web pour mesurer leur consultation
Local Storage et Session Storage : stockage local de données dans votre navigateur
Fingerprinting passif : analyse des caractéristiques techniques de votre navigateur (non utilisé à des fins de tracking publicitaire)

6.3 Types de cookies utilisés par Eventofy

6.3.1 Cookies strictement nécessaires (essentiels)

Finalité : Permettre le fonctionnement de base de la plateforme et des fonctionnalités demandées par l’utilisateur.

Exemples :

Cookies de session : maintien de votre connexion pendant votre navigation
Cookies d’authentification : mémorisation de votre statut de connexion
Cookies de sécurité : protection contre les attaques CSRF (Cross-Site Request Forgery)
Cookies de panier : mémorisation de vos sélections et favoris
Cookies de répartition de charge : optimisation de la performance technique

Durée : Session (supprimés à la fermeture du navigateur) ou maximum 13 mois

Base légale : Ces cookies sont exemptés de consentement car strictement nécessaires à la fourniture du service (article 82 de la loi Informatique et Libertés).

Vous ne pouvez pas refuser ces cookies sans compromettre le fonctionnement de la plateforme.

6.3.2 Cookies de préférences et fonctionnels

Finalité : Mémoriser vos choix et préférences pour améliorer votre confort d’utilisation.

Exemples :

Langue préférée : mémorisation de votre choix de langue
Préférences d’affichage : mode sombre/clair, taille de police, disposition
Géolocalisation : mémorisation de votre consentement à la géolocalisation
Filtres de recherche : sauvegarde de vos critères de recherche habituels
Consentement cookies : mémorisation de vos choix concernant les cookies

Durée : Maximum 13 mois

Base légale : Intérêt légitime (amélioration de l’expérience utilisateur) ou consentement selon le type de préférence

6.3.3 Cookies analytiques et de mesure d’audience

Finalité : Comprendre comment les utilisateurs interagissent avec la plateforme pour en améliorer la performance et la pertinence.

Outils utilisés :

Google Analytics (configuration anonymisée avec IP tronquée)
Matomo (solution auto-hébergée respectueuse de la vie privée)
Hotjar (cartes de chaleur et enregistrements de sessions anonymisés)

Informations collectées :

Pages visitées et parcours de navigation
Durée de visite et taux de rebond
Source de trafic (moteur de recherche, lien direct, référent)
Appareil utilisé et résolution d’écran
Interactions avec les éléments de la page (clics, scrolling)

Mesures de protection de la vie privée :

Anonymisation des adresses IP (suppression des derniers octets)
Pas de croisement avec d’autres données personnelles
Pas de partage de données avec des tiers à des fins publicitaires
Agrégation et anonymisation des statistiques

Durée : Maximum 13 mois

Base légale : Consentement (requis depuis l’arrêt “Planet49” de la CJUE)

Vous pouvez refuser ces cookies via notre bandeau de gestion des cookies sans impact sur les fonctionnalités essentielles du site.

6.3.4 Cookies publicitaires et de ciblage (si applicable)

Finalité : Afficher des publicités personnalisées en fonction de vos centres d’intérêt et mesurer l’efficacité des campagnes publicitaires.

Réseaux publicitaires possibles :

Google Ads / Google Display Network
Facebook Pixel
LinkedIn Insight Tag

Informations collectées :

Pages et contenus consultés
Profil d’intérêt déduit de votre navigation
Interaction avec les publicités (impressions, clics, conversions)

Durée : Maximum 13 mois

Base légale : Consentement explicite obligatoire (opt-in)

Vous pouvez refuser ces cookies via notre bandeau de gestion des cookies. Le refus n’empêchera pas l’affichage de publicités, mais celles-ci ne seront pas personnalisées.

Important : Actuellement, Eventofy n’utilise pas de cookies publicitaires tiers pour les utilisateurs Premium.

6.3.5 Cookies de réseaux sociaux

Finalité : Permettre le partage de contenus sur les réseaux sociaux et afficher des boutons de partage.

Réseaux concernés : Facebook, Twitter (X), LinkedIn, Instagram

Informations collectées :

Fait que vous ayez visité notre site (même sans cliquer sur le bouton de partage)
Pages consultées et contenu partagé

Durée : Variable selon le réseau social (généralement 13 mois)

Base légale : Consentement

Note : Les réseaux sociaux peuvent utiliser ces informations à leurs propres fins (publicité ciblée, analyse). Nous vous recommandons de consulter leurs politiques de confidentialité.

6.4 Gestion et refus des cookies

Vous disposez de plusieurs moyens pour contrôler et gérer les cookies :

6.4.1 Bandeau de gestion des cookies Eventofy

Lors de votre première visite, un bandeau s’affiche vous permettant de :

Tout accepter : tous les cookies sont activés
Tout refuser : seuls les cookies strictement nécessaires sont activés
Personnaliser : choisir catégorie par catégorie les cookies que vous acceptez

Vous pouvez modifier vos choix à tout moment via :

Le lien “Gestion des cookies” présent en bas de chaque page
Les paramètres de confidentialité dans votre espace client

6.4.2 Paramètres de votre navigateur

Tous les navigateurs modernes permettent de gérer les cookies :

Google Chrome :

Menu → Paramètres → Confidentialité et sécurité → Cookies et autres données de sites
Vous pouvez bloquer tous les cookies, bloquer les cookies tiers, ou supprimer les cookies existants

Mozilla Firefox :

Menu → Paramètres → Vie privée et sécurité → Cookies et données de sites
Options de protection renforcée contre le pistage

Safari :

Préférences → Confidentialité → Gérer les données de site web
Option “Empêcher le suivi intersite” activée par défaut

Microsoft Edge :

Paramètres → Cookies et autorisations de site → Gérer et supprimer les cookies

Liens d’aide :

6.4.3 Outils de désactivation spécifiques

Google Analytics :
Plugin de désactivation : https://tools.google.com/dlpage/gaoptout

Publicité ciblée (si applicable) :

YourOnlineChoices (Europe) : https://www.youronlinechoices.com/fr/
Network Advertising Initiative (NAI) : https://optout.networkadvertising.org/
Digital Advertising Alliance (DAA) : https://optout.aboutads.info/

6.4.4 Mode navigation privée

Vous pouvez utiliser le mode de navigation privée de votre navigateur :

Les cookies sont automatiquement supprimés à la fermeture de la fenêtre
Votre historique de navigation n’est pas enregistré
Attention : Ce mode ne vous rend pas anonyme sur Internet (votre IP reste visible)

6.5 Conséquences du refus des cookies

Cookies essentiels refusés :

Impossible de se connecter à votre compte
Perte de fonctionnalités essentielles
Expérience utilisateur dégradée

Cookies de préférences refusés :

Vos choix de langue, affichage et filtres ne seront pas mémorisés
Vous devrez les reconfigurer à chaque visite

Cookies analytiques refusés :

Aucun impact sur votre utilisation
Eventofy aura moins de données pour améliorer le service

Cookies publicitaires refusés :

Les publicités affichées (si existantes) ne seront pas personnalisées
Vous verrez toujours des publicités, mais potentiellement moins pertinentes

6.6 Cookies déposés par des tiers

Eventofy peut intégrer des contenus ou services fournis par des tiers (vidéos YouTube, cartes Google Maps, widgets de réseaux sociaux). Ces tiers peuvent déposer leurs propres cookies sur votre terminal.

Eventofy n’a aucun contrôle sur les cookies déposés par ces tiers. Nous vous invitons à consulter leurs politiques de cookies respectives :

Google (YouTube, Maps, Analytics, Ads) : https://policies.google.com/technologies/cookies
Facebook : https://www.facebook.com/policies/cookies/
LinkedIn : https://www.linkedin.com/legal/cookie-policy
Twitter/X : https://help.twitter.com/fr/rules-and-policies/twitter-cookies

7. VOS DROITS (RGPD)

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez de droits étendus sur vos données personnelles que vous pouvez exercer à tout moment.

7.1 Droit d’accès (Article 15 RGPD)

Qu’est-ce que c’est ? Le droit d’obtenir la confirmation que des données vous concernant sont traitées et d’en obtenir une copie.

Ce que vous pouvez demander :

Quelles données personnelles nous détenons sur vous
Les finalités du traitement
Les catégories de données traitées
Les destinataires ou catégories de destinataires
La durée de conservation prévue
L’existence de vos autres droits
La source des données (si elles n’ont pas été collectées directement auprès de vous)

Comment l’exercer :

Via votre espace client (section “Mes données personnelles”)
Par email au DPO : [email protected]
Par courrier postal à l’adresse du siège social

Délai de réponse : 1 mois (pouvant être prolongé de 2 mois en cas de complexité, avec notification)

Format de la réponse : Copie des données dans un format lisible (PDF, Excel, JSON selon la nature des données)

7.2 Droit de rectification (Article 16 RGPD)

Qu’est-ce que c’est ? Le droit de faire corriger des données inexactes ou incomplètes vous concernant.

Exemples :

Corriger une faute dans votre nom ou prénom
Mettre à jour votre adresse email ou numéro de téléphone
Compléter des informations manquantes

Comment l’exercer :

Directement depuis votre espace client (modification de profil)
Par email au DPO pour les données non modifiables en ligne

Délai de traitement : Immédiat pour les modifications en ligne, 1 mois pour les demandes par email

Notification aux tiers : Si nous avons communiqué vos données à des tiers (établissements contactés), nous les informerons de la rectification lorsque cela est possible.

7.3 Droit à l’effacement / “Droit à l’oubli” (Article 17 RGPD)

Qu’est-ce que c’est ? Le droit d’obtenir la suppression de vos données personnelles dans certaines circonstances.

Quand pouvez-vous l’exercer ?

Les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées
Vous retirez votre consentement (et il n’existe pas d’autre base légale)
Vous vous opposez au traitement et il n’existe pas de motif légitime impérieux
Les données ont été traitées illicitement
Les données doivent être effacées pour respecter une obligation légale

Limitations du droit à l’effacement : Ce droit ne s’applique pas lorsque le traitement est nécessaire :

Au respect d’une obligation légale (ex: conservation des factures pendant 10 ans)
À la constatation, l’exercice ou la défense de droits en justice (ex: litige en cours)
Pour des motifs d’intérêt public

Comment l’exercer :

Suppression de compte via votre espace client (option “Supprimer mon compte”)
Demande au DPO par email ou courrier pour une suppression partielle

Délai de traitement : 30 jours maximum pour la suppression effective

Ce qui sera supprimé :

Données d’identification et de profil
Historique de navigation et préférences
Contenus générés (avis, commentaires) : anonymisés

Ce qui sera conservé (si applicable) :

Données de facturation (10 ans – obligation légale)
Données nécessaires à un litige en cours
Statistiques anonymisées

7.4 Droit à la limitation du traitement (Article 18 RGPD)

Qu’est-ce que c’est ? Le droit d’obtenir le “gel” temporaire du traitement de vos données dans certaines situations.

Quand pouvez-vous l’exercer ?

Vous contestez l’exactitude des données (limitation pendant la vérification)
Le traitement est illicite mais vous préférez une limitation à un effacement
Nous n’avons plus besoin des données mais vous en avez besoin pour un recours juridique
Vous vous êtes opposé au traitement (limitation en attendant la vérification de nos motifs légitimes)

Effet de la limitation : Les données sont conservées mais ne peuvent plus être traitées (sauf conservation, avec votre consentement, ou pour des réclamations juridiques).

Comment l’exercer : Demande par email au DPO ou courrier postal

Délai de réponse : 1 mois

7.5 Droit à la portabilité (Article 20 RGPD)

Qu’est-ce que c’est ? Le droit de récupérer vos données dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.

Données concernées :

Uniquement les données que vous avez fournies (pas les données dérivées ou calculées)
Uniquement les traitements basés sur le consentement ou un contrat
Uniquement les traitements automatisés (pas les archives papier)

Exemples de données portables :

Vos informations de profil
Vos préférences et paramètres
Votre historique de recherches et de favoris
Vos avis et commentaires

Format de récupération : JSON, CSV, XML (selon la nature des données)

Comment l’exercer :

Téléchargement depuis votre espace client (fonction “Exporter mes données”)
Demande au DPO pour obtenir les données dans un format spécifique

Délai de fourniture : 1 mois

Transmission directe : Si techniquement possible, nous pouvons transmettre vos données directement à un autre service de votre choix.

7.6 Droit d’opposition (Article 21 RGPD)

Qu’est-ce que c’est ? Le droit de vous opposer à certains traitements de vos données personnelles.

7.6.1 Opposition pour motifs légitimes

Vous pouvez vous opposer à un traitement fondé sur l’intérêt légitime d’Eventofy en invoquant des motifs légitimes tenant à votre situation particulière.

Exemples :

Opposition au profilage et à la personnalisation
Opposition à certaines analyses de comportement

Nous devrons cesser le traitement, sauf si nous démontrons des motifs légitimes impérieux qui prévalent sur vos intérêts, droits et libertés, ou pour la constatation, l’exercice ou la défense de droits en justice.

7.6.2 Opposition à la prospection commerciale

Vous pouvez vous opposer à tout moment et sans justification au traitement de vos données à des fins de prospection commerciale (marketing direct).

Comment l’exercer :

Lien de désinscription présent dans chaque email commercial
Paramètres de communication dans votre espace client
Email au DPO

Effet : Arrêt immédiat des communications commerciales (newsletters, offres promotionnelles)

Note : Les communications transactionnelles essentielles (confirmations de compte, alertes de sécurité, notifications de paiement) ne sont pas concernées par ce droit d’opposition.

7.7 Droit de retirer votre consentement (Article 7 RGPD)

Qu’est-ce que c’est ? Lorsqu’un traitement est basé sur votre consentement, vous pouvez le retirer à tout moment.

Traitements concernés :

Newsletters et communications marketing
Cookies non essentiels (analytiques, publicitaires)
Partage de données avec des partenaires commerciaux
Géolocalisation précise
Enregistrement des appels avec le service client

Comment l’exercer :

Paramètres de confidentialité dans votre espace client
Lien de désinscription dans les emails
Gestion des cookies via le bandeau dédié
Paramètres de géolocalisation de votre appareil

Effet : Le retrait du consentement ne remet pas en cause la licéité du traitement effectué avant le retrait.

7.8 Droit de définir des directives post-mortem (Article 85 Loi Informatique et Libertés)

Qu’est-ce que c’est ? Le droit de définir des directives relatives au sort de vos données personnelles après votre décès.

Deux types de directives possibles :

1. Directives générales :

Enregistrées auprès d’un tiers de confiance numérique certifié par la CNIL
S’appliquent à l’ensemble de vos données personnelles

2. Directives particulières :

Enregistrées directement auprès d’Eventofy
S’appliquent uniquement aux données traitées par Eventofy
Peuvent désigner une personne chargée de leur exécution

Contenu des directives :

Conservation, effacement ou communication de vos données à un tiers
Instructions spécifiques pour votre compte et vos contenus

Comment les définir :

Formulaire dédié dans votre espace client (section “Directives post-mortem”)
Email au DPO avec pièce justificative d’identité

Révocation : Vous pouvez modifier ou révoquer vos directives à tout moment.

En l’absence de directives : Vos héritiers pourront exercer certains droits (accès, clôture du compte, opposition à la poursuite du traitement).

7.9 Exercice de vos droits

7.9.1 Modalités d’exercice

En ligne (recommandé) :

Connectez-vous à votre espace client
Section “Confidentialité et données personnelles”
Sélectionnez le droit que vous souhaitez exercer

Par email :

Adresse : [email protected]
Objet : “Exercice de mes droits RGPD – [Précisez le droit]”
Joignez une copie de votre pièce d’identité

Par courrier postal :

Eventofy – Délégué à la Protection des Données
1011 Chem. du Fort Rouge, 83200 Toulon, France
Joignez une copie de votre pièce d’identité

7.9.2 Informations à fournir

Pour traiter votre demande, nous pouvons avoir besoin de :

Vérifier votre identité (copie de pièce d’identité si demande par email/courrier)
Préciser les données concernées (pour les demandes partielles)
Indiquer le format souhaité (pour le droit à la portabilité)

7.9.3 Délais de réponse

Accusé de réception : Sous 48 heures (jours ouvrés)
Réponse complète : Dans un délai d’1 mois à compter de la réception de la demande
Prolongation possible : Jusqu’à 2 mois supplémentaires en cas de complexité (avec notification explicative)

7.9.4 Gratuité

L’exercice de vos droits est totalement gratuit.

Exception : Si vos demandes sont manifestement infondées ou excessives (notamment en raison de leur caractère répétitif), nous pouvons :

Exiger le paiement de frais raisonnables (tenant compte des coûts administratifs)
Refuser de donner suite à la demande

7.9.5 Refus justifié

Dans certains cas, nous pouvons refuser de donner suite à votre demande :

Impossibilité de vérifier votre identité
Demande manifestement infondée ou excessive
Obligation légale de conservation des données (ex: factures)
Nécessité pour la constatation, l’exercice ou la défense de droits en justice

En cas de refus : Nous vous fournirons une explication détaillée et vous informerons de votre droit de recours.

7.10 Réclamation auprès de l’autorité de contrôle

Si vous estimez que vos droits ne sont pas respectés ou que le traitement de vos données personnelles n’est pas conforme au RGPD, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés) :

En ligne (recommandé) :
https://www.cnil.fr/fr/plaintes

Par courrier :
CNIL – Service des Plaintes
3 Place de Fontenoy
TSA 80715
75334 Paris Cedex 07
France

Par téléphone :
+33 (0)1 53 73 22 22 (du lundi au vendredi, 9h-18h30)

Ce que la CNIL peut faire :

Enquêter sur vos allégations
Demander des explications à Eventofy
Prononcer des sanctions si des manquements sont constatés

Note : Introduire une réclamation auprès de la CNIL n’empêche pas d’exercer d’autres voies de recours (médiation, action en justice).

8. SÉCURITÉ DES DONNÉES

La sécurité de vos données personnelles est une priorité absolue pour Eventofy. Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé.

8.1 Mesures techniques de sécurité

8.1.1 Chiffrement des données

Chiffrement en transit (HTTPS/TLS) :

Protocole SSL/TLS : Toutes les communications entre votre navigateur et nos serveurs sont chiffrées via des certificats SSL/TLS de dernière génération (TLS 1.3)
Protocoles obsolètes désactivés : SSL 2.0, SSL 3.0 et TLS 1.0/1.1 sont désactivés
HSTS activé : HTTP Strict Transport Security force les connexions sécurisées

Chiffrement au repos :

Bases de données chiffrées : Les données sensibles sont chiffrées dans nos bases de données (AES-256)
Mots de passe hashés : Vos mots de passe sont hashés avec des algorithmes robustes (bcrypt, Argon2) et ne sont jamais stockés en clair
Sauvegardes chiffrées : Toutes les sauvegardes sont chiffrées avant stockage

8.1.2 Contrôle d’accès et authentification

Authentification renforcée :

Authentification à deux facteurs (2FA) : Disponible en option pour sécuriser votre compte
Politiques de mots de passe robustes : Longueur minimale, complexité, interdiction des mots de passe communs
Limitation des tentatives de connexion : Blocage temporaire après plusieurs échecs
Déconnexion automatique : Après une période d’inactivité prolongée

Gestion des accès internes :

Principe du moindre privilège : Les employés n’ont accès qu’aux données strictement nécessaires à leur fonction
Authentification multi-facteurs obligatoire pour les accès administrateurs
Logs d’audit : Traçabilité de tous les accès aux données sensibles
Révocation immédiate des accès lors du départ d’un employé

8.1.3 Protection contre les cyberattaques

Pare-feu et protection réseau :

WAF (Web Application Firewall) : Filtrage des requêtes malveillantes
Protection DDoS : Détection et atténuation des attaques par déni de service
IDS/IPS : Systèmes de détection et de prévention d’intrusions

Sécurisation du code :

Tests de sécurité réguliers (SAST, DAST, penetration testing)
Revues de code : Analyse systématique du code pour détecter les vulnérabilités
Protection contre les injections SQL : Requêtes paramétrées, ORM sécurisés
Protection CSRF/XSS : Tokens anti-CSRF, échappement des données, CSP headers
Mises à jour régulières : Correctifs de sécurité appliqués rapidement

8.1.4 Surveillance et détection

Monitoring 24/7 :

Surveillance continue de l’infrastructure et des applications
Alertes automatiques en cas d’activité suspecte
Logs centralisés : Conservation sécurisée des journaux d’événements
Analyse comportementale : Détection des anomalies de connexion ou d’utilisation

Tests d’intrusion :

Audits de sécurité annuels par des experts indépendants
Bug bounty program (selon taille et maturité) : Récompenses pour la découverte de vulnérabilités
Scans de vulnérabilités automatisés et réguliers

8.2 Mesures organisationnelles de sécurité

8.2.1 Politiques et procédures

Documentation formalisée :

Politique de sécurité des systèmes d’information (PSSI)
Procédures de gestion des incidents de sécurité
Politique de gestion des accès
Charte informatique pour les employés

Conformité et certifications :

ISO 27001 (si applicable) : Système de management de la sécurité de l’information
Conformité RGPD : Registre des traitements, analyses d’impact (DPIA), mesures de sécurité
PCI-DSS (via prestataire de paiement) : Norme de sécurité pour les paiements par carte

8.2.2 Sensibilisation et formation

Formation du personnel :

Sensibilisation RGPD et sécurité obligatoire pour tous les employés
Formation continue sur les menaces émergentes (phishing, ransomware, etc.)
Tests de phishing simulés pour évaluer la vigilance
Rappels réguliers des bonnes pratiques de sécurité

Engagement de confidentialité :

Clauses de confidentialité dans les contrats de travail
Sanctions disciplinaires en cas de violation des politiques de sécurité

8.2.3 Gestion des sous-traitants

Sélection rigoureuse :

Vérification des garanties de sécurité des sous-traitants (certifications, audits)
Clauses contractuelles obligatoires (article 28 RGPD)
Audits périodiques des sous-traitants critiques

Accords de traitement de données (DPA) :

Tous les sous-traitants signent des Data Processing Agreements conformes au RGPD
Engagement sur les mesures de sécurité et la confidentialité

8.3 Sauvegardes et continuité d’activité

Sauvegardes régulières :

Sauvegardes quotidiennes des données critiques
Sauvegardes hebdomadaires complètes
Stockage géographiquement distribué (plusieurs datacenters)
Chiffrement des sauvegardes avant stockage
Tests de restauration réguliers pour garantir l’intégrité

Plan de continuité d’activité (PCA) :

Procédures documentées pour la gestion des incidents majeurs
Infrastructure redondante pour minimiser les interruptions de service
RTO (Recovery Time Objective) et RPO (Recovery Point Objective) définis

8.4 Gestion des violations de données

Procédure en cas de violation :

Détection et investigation (< 24h) :
- Identification de la nature et de l’étendue de la violation
- Évaluation des données compromises et des personnes affectées
Containment et remediation (< 72h) :
- Mesures pour stopper la violation et limiter les dommages
- Correction des vulnérabilités exploitées
Notification CNIL (< 72h) :
- Si la violation présente un risque pour les droits et libertés des personnes
- Description de la nature, des conséquences et des mesures prises/envisagées
Notification aux personnes concernées (sans délai indu) :
- Si la violation présente un risque élevé
- Information claire sur la nature de la violation et les recommandations

Communication transparente : En cas de violation significative affectant vos données, nous vous informerons dans les meilleurs délais par email et/ou notification sur la plateforme, en vous indiquant :

La nature de la violation
Les données potentiellement compromises
Les mesures prises pour remédier à la situation
Les recommandations pour vous protéger (ex: changement de mot de passe)

8.5 Limitations de la sécurité

Malgré toutes nos mesures, aucun système n’est invulnérable à 100%. Nous ne pouvons garantir une sécurité absolue contre :

Les attaques sophistiquées d’États-nations ou de groupes de cybercriminalité avancés
Les vulnérabilités zero-day inconnues au moment de leur exploitation
Les compromissions dues à des failles chez nos sous-traitants

Votre responsabilité :

Choisissez un mot de passe fort et unique (12+ caractères, mélangeant majuscules, minuscules, chiffres et symboles)
Ne partagez jamais vos identifiants de connexion
Activez l’authentification à deux facteurs si disponible
Soyez vigilant aux tentatives de phishing : nous ne vous demanderons jamais votre mot de passe par email
Déconnectez-vous après utilisation sur un ordinateur partagé
Maintenez vos appareils à jour (système d’exploitation, navigateur, antivirus)

Signalez toute activité suspecte sur votre compte à : [email protected]

— Contact & support