Politique de Confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles est Dverse Studio (ci-après le « Responsable du traitement »), qui gère et fournit le Service HalloKate.

Pour toute demande relative au traitement des données personnelles et à l'exercice des droits reconnus par la réglementation, il est possible de contacter le Responsable du traitement à l'adresse e-mail [email protected].

Les coordonnées d'identification complètes du Responsable du traitement (dénomination légale, siège et données fiscales) ainsi que la désignation éventuelle d'un Délégué à la Protection des Données (DPO) seront indiquées dans la version définitive du présent document, une fois la validation juridique achevée.

2. Types de données traitées et sources

Le Responsable du traitement traite les catégories de données personnelles suivantes, collectées directement auprès de la personne concernée ou générées au cours de l'utilisation du Service.

Données fournies via le formulaire de contact et d'inscription présent sur le site vitrine et dans la console : nom et prénom, adresse e-mail, nom de l'activité, secteur d'activité, numéro de téléphone et éventuel message ou texte libre saisi par l'utilisateur.

Données de compte créées dans la console clients : identifiants de connexion, données d'identité et de contact du titulaire de l'activité et des opérateurs autorisés, données relatives à l'activité et à ses configurations du Service.

Données relatives aux réservations gérées au sein de la console : informations sur les rendez-vous, sur les clients finaux de l'activité et sur les services réservés, saisies par l'utilisateur professionnel ou collectées via les formulaires de réservation mis à disposition par le Service.

Données techniques et de navigation collectées automatiquement lors de l'utilisation du site et de la console, telles que l'adresse IP, les identifiants de l'appareil et du navigateur, les journaux d'accès, la date et l'heure des requêtes et les informations nécessaires à la sécurité et au bon fonctionnement du Service.

La source des données est, en règle générale, la personne concernée elle-même. Pour les données des clients finaux saisies dans la console par l'utilisateur professionnel, la source est l'utilisateur professionnel qui les communique dans le cadre de son activité.

3. Finalités du traitement et bases juridiques

Les données personnelles sont traitées pour les finalités indiquées ci-après, chacune fondée sur une base juridique spécifique au sens de l'article 6 du RGPD.

Réponse aux demandes envoyées via le formulaire de contact et gestion des communications correspondantes. Base juridique : exécution de mesures précontractuelles prises à la demande de la personne concernée et intérêt légitime du Responsable du traitement à répondre aux demandes reçues (art. 6, par. 1, points b et f).

Création et gestion du compte, fourniture du Service et gestion de la relation contractuelle, y compris l'assistance technique. Base juridique : exécution du contrat auquel la personne concernée est partie (art. 6, par. 1, point b).

Gestion des réservations et des fonctionnalités connexes mises à disposition via la console. Base juridique : exécution du contrat avec l'utilisateur professionnel (art. 6, par. 1, point b) ; pour les données des clients finaux, le Responsable du traitement agit en qualité de sous-traitant pour le compte de l'utilisateur professionnel, comme précisé dans la section dédiée.

Envoi d'e-mails transactionnels et de service (par exemple confirmations, notifications, communications techniques et de sécurité). Base juridique : exécution du contrat et intérêt légitime du Responsable du traitement à la bonne fourniture du Service (art. 6, par. 1, points b et f).

Sécurité du Service, prévention des abus, des fraudes et des activités frauduleuses, protection des formulaires contre les envois automatisés et le spam. Base juridique : intérêt légitime du Responsable du traitement à garantir la sécurité et l'intégrité du Service (art. 6, par. 1, point f).

Respect des obligations légales, fiscales, comptables et administratives, ainsi que gestion d'éventuels litiges. Base juridique : respect d'une obligation légale et intérêt légitime à la protection de ses propres droits (art. 6, par. 1, points c et f).

L'envoi éventuel de communications promotionnelles ou de newsletters n'aura lieu qu'après le consentement libre, spécifique et révocable de la personne concernée (art. 6, par. 1, point a), ou dans les limites autorisées par la réglementation applicable.

4. Nature de la fourniture des données

La fourniture des données signalées comme obligatoires dans les formulaires de contact et d'inscription est nécessaire pour donner suite à la demande de la personne concernée, pour créer le compte et pour fournir le Service. L'absence de fourniture de ces données rend impossible la prestation demandée.

La fourniture des données non obligatoires est facultative et son absence éventuelle n'entraîne aucune conséquence, hormis l'impossibilité de bénéficier de certaines fonctionnalités accessoires.

5. Destinataires et sous-traitants

Les données personnelles peuvent être traitées par le personnel autorisé du Responsable du traitement, dûment formé et tenu à la confidentialité, ainsi que communiquées à des tiers qui fournissent des services nécessaires à la fourniture de HalloKate, désignés sous-traitants au sens de l'article 28 du RGPD.

Fournisseur d'hébergement et de CDN : Cloudflare, Inc., qui fournit les services d'hébergement (Cloudflare Pages), de distribution des contenus via un réseau edge et de protection de l'infrastructure. Les données sont hébergées sur une infrastructure privilégiant des centres de données situés dans l'Union européenne, sans préjudice du fonctionnement global du réseau de distribution.

Fournisseur du service anti-spam des formulaires : Cloudflare Turnstile, utilisé pour protéger les formulaires contre les envois automatisés et les abus, comme décrit plus en détail dans la section dédiée aux cookies et technologies similaires.

Fournisseur de messagerie électronique transactionnelle : un prestataire SMTP externe chargé de l'envoi des e-mails transactionnels et de service (confirmations, notifications et communications techniques).

Les données pourront en outre être communiquées à des autorités publiques, organes de surveillance et autorités judiciaires dans les cas prévus par la loi, ainsi qu'à des conseillers professionnels (par exemple juridiques et fiscaux) dans les limites nécessaires au respect des obligations ou à la protection des droits du Responsable du traitement.

Les données personnelles ne font l'objet d'aucune diffusion ni cession à des tiers à des fins de marketing autonome.

6. Rôle du Responsable du traitement à l'égard des données des clients finaux

En ce qui concerne les données personnelles des clients finaux que l'utilisateur professionnel saisit ou gère au sein de la console aux fins de son activité (par exemple le fichier des clients et les données des réservations), l'utilisateur professionnel agit en qualité de responsable du traitement, tandis que Dverse Studio agit en qualité de sous-traitant, traitant ces données exclusivement sur la base des instructions documentées de l'utilisateur professionnel.

Les conditions de ce traitement, y compris les mesures de sécurité, le recours éventuel à des sous-traitants ultérieurs et la gestion des demandes des personnes concernées, sont régies par un accord spécifique sur le traitement des données (Data Processing Agreement) mis à la disposition de l'utilisateur professionnel dans le cadre de la relation contractuelle.

Il incombe à l'utilisateur professionnel de s'assurer qu'il dispose d'une base juridique valable et qu'il a fourni aux personnes concernées l'information appropriée pour le traitement des données de ses clients finaux via le Service.

7. Transferts de données vers des pays tiers

Certains prestataires auxquels le Responsable du traitement a recours, en particulier Cloudflare, sont des entités dont l'infrastructure peut entraîner le traitement de données en dehors de l'Espace économique européen. Lorsque cela se produit, le transfert s'effectue dans le respect des articles 44 et suivants du RGPD.

En particulier, les transferts vers des pays tiers sont effectués sur la base d'une décision d'adéquation de la Commission européenne, lorsqu'elle est applicable, ou par l'adoption de garanties appropriées, telles que les Clauses Contractuelles Types approuvées par la Commission européenne, complétées par d'éventuelles mesures supplémentaires visant à garantir un niveau de protection des données substantiellement équivalent à celui assuré au sein de l'Union européenne.

La personne concernée peut demander des informations supplémentaires sur les garanties adoptées et en obtenir une copie en contactant le Responsable du traitement à l'adresse [email protected].

8. Durée de conservation

Les données personnelles sont conservées pendant la durée strictement nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées et, par la suite, pendant la durée requise par les obligations légales ou pour la protection des droits du Responsable du traitement.

Données de contact collectées via le formulaire : conservées pendant la durée nécessaire au traitement de la demande et, en l'absence d'une relation contractuelle ultérieure, pendant une durée n'excédant pas 24 mois à compter du dernier contact, sauf besoin documenté différent.

Données de compte et d'utilisation du Service : conservées pendant toute la durée de la relation contractuelle et, après sa cessation, pendant la durée nécessaire au respect des obligations légales.

Données relatives aux réservations et aux clients finaux : conservées conformément aux instructions de l'utilisateur professionnel responsable du traitement et pendant la durée de la relation contractuelle, sous réserve des délais techniques de sauvegarde et des obligations légales.

Données traitées à des fins fiscales, comptables et de respect des obligations légales : conservées pendant les délais prévus par la réglementation applicable, en règle générale 10 ans.

À l'issue des durées de conservation, les données sont supprimées ou rendues anonymes de manière irréversible.

9. Droits de la personne concernée

En ce qui concerne les données personnelles traitées, la personne concernée peut exercer à tout moment les droits reconnus par les articles 15 à 22 du RGPD.

Droit d'accès : obtenir la confirmation de l'existence d'un traitement et accéder à ses données personnelles ainsi qu'aux informations relatives au traitement.

Droit de rectification : obtenir la correction des données inexactes et le complètement des données incomplètes.

Droit à l'effacement : obtenir l'effacement des données dans les cas prévus par la réglementation (dit droit à l'oubli).

Droit à la limitation : obtenir la limitation du traitement dans les cas prévus par l'article 18 du RGPD.

Droit d'opposition : s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement fondé sur l'intérêt légitime du Responsable du traitement.

Droit à la portabilité : recevoir, dans un format structuré, couramment utilisé et lisible par machine, les données traitées sur la base du consentement ou du contrat, et les transmettre à un autre responsable du traitement.

Droit de retrait du consentement : retirer à tout moment le consentement éventuellement donné, sans porter atteinte à la licéité du traitement effectué avant le retrait.

Pour exercer ses droits, la personne concernée peut écrire à l'adresse [email protected]. Le Responsable du traitement répondra sans retard injustifié et en tout état de cause dans les délais légaux.

Droit de réclamation : sans préjudice de tout autre recours administratif ou juridictionnel, la personne concernée a le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente, qui pour l'Italie est le Garante per la protezione dei dati personali (www.garanteprivacy.it), ou auprès de l'autorité de son État de résidence ou de travail.

10. Cookies et technologies similaires

Le site vitrine et la console utilisent des cookies et des technologies analogues nécessaires au bon fonctionnement du Service et à sa sécurité (cookies techniques et de session), pour lesquels le consentement de la personne concernée n'est pas requis.

Pour protéger les formulaires de contact et d'inscription contre les envois automatisés, le spam et les abus, le Service utilise Cloudflare Turnstile, une solution qui vérifie la nature humaine des interactions sans recourir à des activités invasives de suivi publicitaire. Pour son fonctionnement, Turnstile peut collecter des informations techniques relatives à l'appareil et à la session du visiteur et peut faire usage de cookies ou de technologies de stockage local nécessaires à cette finalité de sécurité.

Si des cookies non strictement nécessaires sont utilisés (par exemple de nature statistique ou de tiers), leur utilisation a lieu après le consentement approprié de l'utilisateur, recueilli au moyen d'un bandeau dédié, conformément à la réglementation applicable et aux lignes directrices du Garante.

L'utilisateur peut gérer ses préférences en matière de cookies via les paramètres de son navigateur et, lorsqu'il est disponible, via le panneau de gestion du consentement mis à disposition sur le site.

11. Sécurité des données

Le Responsable du traitement adopte des mesures techniques et organisationnelles appropriées, au sens de l'article 32 du RGPD, pour garantir un niveau de sécurité adapté au risque et protéger les données personnelles contre les accès non autorisés, la perte, la destruction, l'altération ou la divulgation.

Ces mesures comprennent, à titre d'exemple, le chiffrement des données en transit, le contrôle des accès et l'authentification des utilisateurs, la séparation logique des données, la protection de l'infrastructure via les services du fournisseur d'hébergement et de CDN, l'adoption de procédures de sauvegarde et la formation du personnel autorisé.

Malgré l'engagement constant dans l'adoption de mesures de sécurité appropriées, aucun système ne peut garantir une sécurité absolue. En cas de violation de données personnelles comportant un risque pour les droits et libertés des personnes concernées, le Responsable du traitement procédera aux notifications prévues par les articles 33 et 34 du RGPD.

12. Mineurs

Le Service s'adresse à des professionnels et à des activités économiques et n'est pas destiné aux mineurs. Le Responsable du traitement ne collecte pas sciemment de données personnelles de mineurs à ses propres fins. Si le traitement de données d'un mineur communiquées en l'absence de fondement valable venait à être connu, il sera procédé à leur suppression dans les meilleurs délais.

13. Modifications de la présente politique

Le Responsable du traitement se réserve le droit de modifier ou de mettre à jour la présente Politique à tout moment, y compris à la suite d'évolutions réglementaires ou de modifications du Service.

Les modifications seront mises à disposition sur cette page avec l'indication de la date de dernière mise à jour. En cas de modifications substantielles, le Responsable du traitement pourra en fournir une communication spécifique par les canaux jugés les plus appropriés. La personne concernée est donc invitée à consulter régulièrement la présente Politique.

14. Contacts

Pour toute question relative à la présente Politique ou au traitement des données personnelles, et pour l'exercice de ses droits, il est possible de contacter le Responsable du traitement à l'adresse e-mail suivante : [email protected].

Responsable du traitement : Dverse Studio.