Politique de Confidentialité

Le responsable du traitement des données personnelles collectées via le Site est :

Fantasmagorie Agency (marque commerciale : CreativGen)
SAS au capital de 1 000,00 €
Siège social : 35 rue du Moulinet, 75013 Paris, France
SIREN : 990 917 049
Email : hello@creativgen.com
Téléphone : +33 1 53 62 05 91

Dans le cadre de l'utilisation du Site et de ses services, le Responsable de traitement est amené à collecter les catégories de données personnelles suivantes :

• Données d'identification : nom, prénom, adresse email, numéro de téléphone.
• Données de compte : identifiant de connexion (email), préférences de compte, niveau et points de fidélité.
• Données de réservation : studio réservé, créneau horaire, formule choisie, options et suppléments, montant payé.
• Données de paiement : les transactions sont traitées par notre prestataire de paiement Stripe. Le Responsable de traitement ne stocke aucune donnée bancaire (numéro de carte, cryptogramme). Seuls l'identifiant de transaction et le statut du paiement sont conservés.
• Données de navigation : adresse IP, type de navigateur, système d'exploitation, pages consultées, durée de visite, actions effectuées sur le Site.
• Données de sécurité : données collectées par nos outils de protection contre les abus et le spam.
• Données de communication : contenu des messages envoyés via le formulaire de contact ou les demandes de devis.

Les données personnelles sont collectées et traitées pour les finalités suivantes :

• Gestion des comptes utilisateurs : création, authentification sécurisée, gestion des profils et des droits d'accès.
• Traitement des réservations : gestion des créneaux, confirmation de réservation, suivi des prestations.
• Traitement des paiements : encaissement via Stripe, émission de factures, suivi comptable.
• Programme de fidélité : attribution et gestion des points, niveaux et remises associées.
• Communication : envoi d'emails transactionnels (confirmations, rappels) via SendGrid, réponse aux demandes de contact et de devis.
• Amélioration du Site : analyse du comportement de navigation, optimisation de l'expérience utilisateur, correction de dysfonctionnements.
• Sécurité : prévention de la fraude, détection des abus, protection contre les attaques automatisées et les accès non autorisés.
• Obligations légales : conservation des données de facturation conformément aux obligations comptables et fiscales.

Chaque traitement de données personnelles repose sur l'une des bases légales suivantes, conformément à l'article 6 du RGPD :

• Exécution du contrat (article 6.1.b) : traitement des réservations, gestion des comptes, programme de fidélité, envoi d'emails transactionnels.
• Intérêt légitime (article 6.1.f) : sécurité du Site, amélioration de l'expérience utilisateur, prévention de la fraude.
• Consentement (article 6.1.a) : dépôt de cookies non essentiels (analytiques), envoi de communications commerciales le cas échéant.
• Obligation légale (article 6.1.c) : conservation des données de facturation et comptables.

Les données personnelles peuvent être transmises aux catégories de destinataires suivantes, dans le strict cadre des finalités décrites ci-dessus :

• Stripe (Stripe Inc., États-Unis) : traitement des paiements par carte bancaire. Stripe adhère au Data Privacy Framework UE-États-Unis.
• SendGrid (Twilio Inc., États-Unis) : envoi d'emails transactionnels et de notifications. Twilio adhère au Data Privacy Framework UE-États-Unis.
• Vercel (Vercel Inc., États-Unis) : hébergement du Site et stockage de fichiers. Vercel adhère au Data Privacy Framework UE-États-Unis.
• MongoDB (MongoDB Inc., États-Unis) : hébergement de la base de données. MongoDB adhère au Data Privacy Framework UE-États-Unis.
• Google (Google LLC, États-Unis) : services de protection contre les abus. Google adhère au Data Privacy Framework UE-États-Unis.
• Hotjar (Hotjar Ltd, Malte / UE) : analyse du comportement de navigation et optimisation de l'expérience utilisateur. Hotjar traite les données au sein de l'Union européenne.
• Axeptio (Agilitation SAS, France) : gestion du consentement aux cookies. Les données sont traitées en France.

Certains de nos sous-traitants sont établis en dehors de l'Union européenne. Ces transferts sont encadrés par les garanties suivantes :

• Le Data Privacy Framework UE-États-Unis (décision d'adéquation de la Commission européenne du 10 juillet 2023), auquel adhèrent nos sous-traitants américains.
• Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, lorsque le Data Privacy Framework ne s'applique pas.

Les données personnelles sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées :

• Données de compte utilisateur : conservées pendant toute la durée d'existence du compte, puis supprimées dans un délai de trente (30) jours suivant la demande de suppression du compte.
• Données de réservation et de prestation : conservées pendant trois (3) ans à compter de la dernière prestation.
• Données de facturation et de paiement : conservées pendant dix (10) ans conformément aux obligations comptables et fiscales (article L.123-22 du Code de commerce).
• Données de navigation et analytiques : conservées pendant treize (13) mois maximum conformément aux recommandations de la CNIL.
• Données de contact et de devis : conservées pendant trois (3) ans à compter du dernier échange.
• Journaux de sécurité (logs) : conservés pendant douze (12) mois.

Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès (article 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
• Droit de rectification (article 16 RGPD) : demander la correction de données inexactes ou incomplètes.
• Droit à l'effacement (article 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales de conservation.
• Droit à la limitation du traitement (article 18 RGPD) : demander le gel temporaire du traitement de vos données.
• Droit à la portabilité (article 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
• Droit d'opposition (article 21 RGPD) : vous opposer au traitement de vos données fondé sur l'intérêt légitime.
• Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement, sans que cela ne compromette la licéité du traitement antérieur.
• Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la Loi Informatique et Libertés).

Le Responsable de traitement met en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité et la confidentialité des données personnelles, et notamment :

• Chiffrement des échanges via le protocole HTTPS sur l'ensemble du Site.
• Authentification sécurisée par code à usage unique avec expiration automatique.
• Contrôle d'accès restreint aux interfaces d'administration selon le profil de l'utilisateur.
• En-têtes de sécurité HTTP renforcés.
• Protection contre les attaques automatisées sur les points d'entrée sensibles.
• Vérification anti-abus sur les actions sensibles (connexion, envoi de fichiers).
• Hébergement sur infrastructure sécurisée et certifiée.

Le Site utilise des cookies et technologies similaires. Pour une information complète sur les cookies utilisés, leurs finalités et les modalités de gestion de vos préférences, veuillez consulter notre Politique de Cookies.

Le Site n'est pas destiné aux personnes de moins de seize (16) ans. Le Responsable de traitement ne collecte pas sciemment de données personnelles de mineurs de moins de 16 ans. Si vous êtes un parent ou un tuteur et que vous estimez que votre enfant nous a fourni des données personnelles, veuillez nous contacter à hello@creativgen.com afin que nous puissions procéder à leur suppression.

Le Responsable de traitement se réserve le droit de modifier la présente Politique de Confidentialité à tout moment. La version en vigueur est celle publiée sur le Site, identifiée par sa date de mise à jour. En cas de modification substantielle, les utilisateurs en seront informés par tout moyen approprié (notification sur le Site, email). La poursuite de l'utilisation du Site après modification vaut acceptation de la nouvelle version.