1. Introduction
VIDASSO accorde une importance fondamentale à la protection de vos données personnelles. La présente Politique de confidentialité a pour objet de vous informer, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (dite « Informatique et Libertés »), des modalités selon lesquelles nous collectons, utilisons, conservons et protégeons vos données personnelles.
2. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
VIDASSO, <FORME_JURIDIQUE>
Siège social : <ADRESSE_SIEGE_COMPLETE>
SIRET : <NUMERO_SIRET>
Email : contact@vidasso.fr
Pour toute question relative à la protection de vos données, vous pouvez nous écrire à dpo@vidasso.fr.
3. Données collectées et finalités
Nous collectons et traitons les catégories de données suivantes, pour les finalités et bases légales détaillées ci-dessous :
| Finalité | Données | Base légale | Durée |
|---|---|---|---|
| Gestion du compte utilisateur | Email, nom, prénom, mot de passe (haché), rôle | Exécution du contrat (art. 6.1.b RGPD) | Durée de la relation + 3 ans |
| Vérification d'identité (KYC exposant) | CNI / passeport / permis (image), date et lieu de naissance, adresse, nationalité | Obligation légale (Code commerce R321-9) et exécution du contrat | 30 jours pour l'image, puis statut de vérification conservé 1 an |
| Réservation et paiement | Réservation, montant, date, statut. Aucune donnée bancaire stockée chez VIDASSO. | Exécution du contrat (art. 6.1.b) | 10 ans (obligation comptable, Code de commerce L123-22) |
| Attestation sur l'honneur (signée) | Identité, signature manuscrite digitalisée, date | Obligation légale | 1 an après l'événement |
| Stripe Connect (KYB associations) | SIRET, RNA, KBIS, IBAN, identité du dirigeant. Données collectées et conservées par Stripe. | Obligation légale (LCB-FT) + exécution du contrat | 10 ans (obligation Stripe / DSP2) |
| Registre mairie | Identité, n° pièce, attestation | Obligation légale (Code commerce R321-9) | 1 an après l'événement |
| Chatbot IA (assistance client) | Contenu des messages utilisateur | Intérêt légitime (amélioration du service) | 90 jours |
| Notifications push | Token FCM (Firebase) | Consentement (art. 6.1.a) | Jusqu'au retrait du consentement |
| Emails transactionnels | Email, contenu lié à la réservation | Exécution du contrat | 3 ans |
| Sécurité et anti-fraude (logs) | IP, User-Agent, dates de connexion | Obligation légale (LCEN) et intérêt légitime | 1 an |
| Parrainage | Code parrain, filleuls, récompenses | Exécution du contrat | 3 ans après dernier usage |
| Déclaration fiscale DAC7 | Sommes perçues via la plateforme, identité | Obligation légale (CGI art. 242 bis) | 5 ans |
4. Destinataires des données
Vos données sont accessibles aux services internes de VIDASSO habilités. Elles peuvent être transmises à :
- L'Organisateur de l'événement auquel vous participez (identité, numéro d'emplacement) ;
- Les autorités publiques sur réquisition légale (mairie, administration fiscale via DAC7, autorités judiciaires) ;
- Nos sous-traitants techniques (cf. section 5).
Vos données ne sont jamais vendues à des tiers à des fins commerciales.
5. Sous-traitants
VIDASSO fait appel aux sous-traitants suivants, qui s'engagent contractuellement (art. 28 RGPD) à respecter la confidentialité et la sécurité de vos données :
| Sous-traitant | Finalité | Localisation | Garanties hors UE |
|---|---|---|---|
| OVH SAS | Hébergement applicatif | France 🇫🇷 | N/A |
| Scaleway SAS | Stockage fichiers (S3) | France 🇫🇷 | N/A |
| Stripe Payments Europe | Paiement en ligne, KYC asso | Irlande 🇮🇪 + USA 🇺🇸 | Clauses Contractuelles Types + EU-US DPF |
| Google LLC (OAuth, reCAPTCHA, Firebase) | Authentification, anti-bot, push | USA 🇺🇸 | CCT + EU-US DPF |
| Apple Inc. | Sign In with Apple | USA 🇺🇸 | CCT + EU-US DPF |
| Hugging Face Inc. | Chatbot IA | USA 🇺🇸 | CCT (migration prévue vers Mistral 🇫🇷) |
| <FOURNISSEUR_EMAIL> | Envoi des emails transactionnels | <LOCALISATION> | <GARANTIES> |
Pour les sous-traitants hors UE, les transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne et, le cas échéant, par la certification au cadre EU-US Data Privacy Framework.
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir confirmation que vos données sont traitées et en obtenir une copie
- Droit de rectification (art. 16) : corriger des données inexactes
- Droit à l'effacement (art. 17) : demander la suppression de vos données (sauf obligations légales de conservation)
- Droit à la limitation (art. 18)
- Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré et lisible
- Droit d'opposition (art. 21) : à tout traitement fondé sur l'intérêt légitime
- Droit de retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur
- Droit de définir des directives post-mortem sur le sort de vos données (loi Informatique et Libertés)
Comment exercer vos droits ?
- Pour l'accès, la rectification et la portabilité, utilisez directement votre espace « Mes paramètres → Confidentialité » (boutons « Télécharger mes données » et « Supprimer mon compte ») ;
- Pour toute autre demande, écrivez à dpo@vidasso.fr en joignant une preuve d'identité (CNI floutée par exemple) ;
- Délai de réponse : 1 mois maximum (prolongeable de 2 mois en cas de demande complexe).
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris — www.cnil.fr).
7. Sécurité des données
VIDASSO met en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité de vos données, notamment :
- Mots de passe hachés via bcrypt ;
- Communications chiffrées en HTTPS/TLS 1.3 ;
- Stockage des pièces d'identité chiffré côté serveur (SSE) avec accès restreint ;
- Authentification à deux facteurs (2FA) disponible ;
- Refresh tokens avec rotation et détection de réutilisation ;
- Anti double-réservation atomique sur les emplacements ;
- Sauvegardes quotidiennes chiffrées.
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, vous serez notifié sans délai, conformément à l'art. 34 RGPD.
8. Mineurs
VIDASSO est réservé aux personnes majeures (18 ans révolus). Aucun compte ne peut être créé par un mineur. Si nous apprenons qu'un mineur a créé un compte, celui-ci sera immédiatement supprimé.
9. Cookies
Les cookies et traceurs utilisés sur le site sont détaillés dans notre Politique de cookies.
10. Modification de la politique
VIDASSO peut être amenée à modifier la présente Politique de confidentialité. Toute modification substantielle sera notifiée aux utilisateurs par email ou notification dans le compte. La date de dernière mise à jour est indiquée en haut de cette page.
11. Contact
Pour toute question sur la présente Politique ou pour exercer vos droits :
- Email général : contact@vidasso.fr
- Délégué à la protection des données : dpo@vidasso.fr
- Courrier : VIDASSO — <ADRESSE_SIEGE_COMPLETE>