Retour

Politique de Confidentialité

POLITIQUE DE CONFIDENTIALITÉ — Plateforme Loomya

Dernière mise à jour : 11 avril 2026

La présente Politique de Confidentialité vous informe sur la manière dont la plateforme Loomya collecte, utilise, protège et conserve vos données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi Informatique et Libertés du 6 janvier 1978 modifiée.

1. Responsables

Responsable de Traitement (données des Utilisateurs — comptes professionnels) : CDTNO — Cyril DIDIER, auto-entrepreneur, SIRET 881 826 804 00034, 06240 Beausoleil, France — contact@loomya.fr

Sous-Traitant au sens de l'Art. 28 RGPD (données des Participants collectées par les Utilisateurs) : L'Éditeur agit en sous-traitant. L'Utilisateur (Organisateur d'événement) est le Responsable de Traitement de ces données et demeure seul responsable de la licéité de la collecte, de l'information des Participants et du recueil du consentement lorsqu'il est requis.

DPO : l'Éditeur, auto-entrepreneur de petite taille, n'est pas soumis à l'obligation de désigner un DPO (Art. 37 RGPD). Contact RGPD : contact@loomya.fr.

2. Données collectées

2.1 Données des Utilisateurs

| Catégorie | Données | Base légale | |---|---|---| | Identification | Nom, prénom | Exécution du contrat (Art. 6.1.b) | | Coordonnées | Email, téléphone | Exécution du contrat | | Connexion | Mot de passe haché (bcrypt), IP, logs | Intérêt légitime (sécurité) | | Usage | Données des événements créés | Exécution du contrat |

2.2 Données des Participants (saisies par les Utilisateurs)

Identité (nom, prénom, date de naissance, genre), coordonnées (email, téléphone, adresse), documents d'identité, données liées à l'événement (rôle, famille, zones d'accès, dates de présence, employeur, position, statut d'accréditation), besoins opérationnels (hébergement, transport, planning, sites/zones).

La Plateforme ne collecte aucune donnée relevant de l'article 9 du RGPD (santé, handicap, allergies alimentaires ou non, opinions, convictions). Les champs correspondants n'existent pas dans l'interface de saisie.

2.3 Données techniques

Adresse IP, navigateur, OS, pages consultées, logs de connexion, cookies strictement nécessaires (authentification, sécurité).

3. Finalités et bases légales

| Finalité | Base légale | |---|---| | Création et gestion du compte Utilisateur | Exécution du contrat (Art. 6.1.b) | | Authentification et sécurité | Intérêt légitime (Art. 6.1.f) | | Fourniture des services (gestion d'événements, participants, hébergement) | Exécution du contrat | | Communication avec les Utilisateurs (notifications systèmes) | Exécution du contrat | | Amélioration du service (statistiques anonymisées) | Intérêt légitime |

Nous ne traitons jamais vos données à des fins de prospection non sollicitée, de cession à des tiers marketing, de profilage publicitaire ou de décision automatisée produisant des effets juridiques.

4. Destinataires et sous-traitants

Les données sont hébergées et traitées par les sous-traitants suivants, liés par des contrats conformes à l'Art. 28 du RGPD :

| Sous-traitant | Service | Localisation | Garanties | |---|---|---|---| | Supabase Inc. | Base de données PostgreSQL | AWS Paris, France (eu-west-3) | Clauses Contractuelles Types, SOC 2 Type 2, chiffrement AES-256 at rest | | Scalingo SAS | Hébergement application + cache Redis | France (osc-fr1) | Hébergeur français, ISO 27001, HDS | | Scaleway SAS | Emails transactionnels (Scaleway TEM) | France (fr-par, Paris) | Sous-traitant français, hébergement UE souverain | | Google Maps API | Géolocalisation de sites événementiels | USA | Clauses Contractuelles Types, EU-US Data Privacy Framework | | Sentry | Monitoring erreurs techniques | USA (résidence UE Allemagne) | DPA, résidence UE configurée |

Transferts hors UE : Les transferts vers Google Maps et Sentry (siège US) sont encadrés par les Clauses Contractuelles Types de la Commission Européenne (Art. 46 RGPD). L'application, la base de données et les emails transactionnels sont hébergés exclusivement en France (Scalingo, Supabase, Scaleway TEM).

5. Durées de conservation

| Type de données | Durée | |---|---| | Compte Utilisateur actif | Durée de vie du compte | | Compte Utilisateur supprimé | 30 jours puis suppression définitive | | Compte Utilisateur inactif | 24 mois puis suppression automatique (notification préalable) | | Logs de connexion | 12 mois (obligation légale sécurité) | | Données de Participants | Déterminées par l'Utilisateur (Responsable de Traitement). Recommandation : fin de l'événement + 3 ans | | Événement supprimé | 90 jours en corbeille, puis purge définitive automatique | | Événement archivé | 24 mois de rétention, puis anonymisation automatique des PII |

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Accès aux données vous concernant
  • Rectification des données inexactes
  • Effacement (droit à l'oubli) sous réserve des obligations légales
  • Portabilité : export intégral de vos données (CSV, Excel, PDF)
  • Opposition au traitement
  • Limitation du traitement
  • Définition de directives post-mortem (Art. 85 Loi Informatique et Libertés)

Exercice de vos droits : contact@loomya.fr — objet [RGPD] — délai de réponse 1 mois (extensible à 3 mois en cas de complexité).

Pour les Participants : les demandes doivent être adressées directement à l'Utilisateur (Responsable de Traitement) — c'est-à-dire l'organisateur de votre événement. En cas de difficulté, contact@loomya.fr transmettra votre demande.

Réclamation : vous pouvez introduire une plainte auprès de la CNILcnil.fr/fr/plaintes.

7. Sécurité

Techniques :

  • Chiffrement en transit (HTTPS/TLS) et au repos (AES-256 par Supabase)
  • Row Level Security (RLS) PostgreSQL sur toutes les tables métier (isolation stricte par événement)
  • Authentification serveur systématique, MFA TOTP, hachage bcrypt des mots de passe
  • Politique de mots de passe : 12 caractères minimum, lettres et chiffres, refus automatique des mots de passe compromis (HaveIBeenPwned)
  • Sauvegardes quotidiennes automatiques (rétention 7 jours)
  • Rate limiting via Redis Scalingo hébergé en France
  • Scan SAST automatisé à chaque modification du code (OWASP Top 10)
  • En-têtes de sécurité : HSTS, CSP avec nonces, anti-clickjacking

Organisationnelles :

  • Accès restreint (principe du moindre privilège)
  • Cloisonnement strict des données par Utilisateur
  • Journal d'audit applicatif et journal d'activité métier
  • Procédure de gestion des violations conforme aux articles 33-34 RGPD (notification CNIL sous 72h)

8. Cookies

La Plateforme utilise uniquement des cookies strictement nécessaires au fonctionnement :

| Cookie | Finalité | Durée | |---|---|---| | Session Supabase | Authentification | Durée de session | | cgu_version | Suivi d'acceptation des CGU | 1 an |

Aucun cookie de tracking, analytics, publicitaire ou de réseaux sociaux n'est utilisé. Conformément à l'Art. 82 de la Loi Informatique et Libertés, les cookies strictement nécessaires sont exemptés de consentement : aucun bandeau n'est requis.

9. Modifications

L'Éditeur se réserve le droit de modifier la présente Politique de Confidentialité. La version en vigueur est celle accessible en ligne à la date de votre visite. Toute modification substantielle sera notifiée aux Utilisateurs.

10. Contact

CDTNO — Cyril DIDIER — 06240 Beausoleil, France — contact@loomya.fr

© 2026 Loomya - CDTNO. Tous droits réservés.

Politique de Confidentialité - Loomya - Loomya