1. Responsable du traitement
Le responsable du traitement des données personnelles est :
- FusionStack (Thomas Thierry POIRIER, entrepreneur individuel)
- SIRET : 79302688100045
- Adresse : 17 rue des Hablets, 77440 Dhuisy, France
- Email : contact@evenements-createurs.fr
En l'absence de DPO désigné (effectif < 250 personnes, pas de traitement systématique à grande échelle de données sensibles), le contact RGPD est directement le représentant légal.
2. Données collectées et finalités
| Catégorie | Données | Finalité | Base légale | Durée |
|---|---|---|---|---|
| Compte utilisateur | Email, mot de passe (haché Argon2), prénom, nom, nom d'affichage | Authentification et identification sur la plateforme | Exécution du contrat | Tant que le compte est actif + 3 ans (prescription civile) |
| Profil exposant | Bio, photos d'atelier, liens réseaux sociaux, ville, code postal | Mise en avant publique sur la plateforme, mise en relation avec les organisateurs | Consentement explicite (publication choisie) | Tant que le profil est publié |
| Source de référencement | Nom de l'organisation, email professionnel, ville couverte | Validation administrative + référencement de leurs évènements | Exécution du contrat | Tant que le compte source est actif + 3 ans |
| Géolocalisation des évènements | Adresse, ville, code postal des évènements | Recherche par proximité, affichage sur carte | Exécution du contrat | Pendant la durée de publication |
| Géolocalisation du visiteur (optionnelle) | Coordonnées GPS (latitude / longitude) du terminal au moment de la recherche | Afficher les évènements dans un rayon autour du visiteur après son consentement explicite via la fenêtre native du navigateur | Consentement explicite (API Geolocation du navigateur) | Aucune conservation : les coordonnées ne servent qu'au calcul du rayon de la requête en cours et ne sont stockées ni en base ni dans les logs applicatifs |
| Paiements | Identifiants Stripe (customer_id, subscription_id), historique d'abonnement | Gestion des abonnements Premium et de la commission Stripe Connect | Obligation légale (comptable) | 10 ans (obligation comptable) |
| Logs et audit | Adresse IP, user-agent, journal des actions sensibles (connexion, ban, paiement) | Sécurité, prévention de la fraude, audit légal | Intérêt légitime + obligation légale | 1 an (logs techniques) / 5 ans (audit financier) |
| Outreach institutionnel | Email professionnel d'organismes publics (mairies, OT, CMA) | Prospection B2B pour accès gratuit à la plateforme | Intérêt légitime (CNIL : prospection B2B autorisée si opt-out clair) | 3 ans après dernier contact |
2 bis. Précisions sur la géolocalisation du visiteur
La plateforme propose un bouton « Utiliser ma position » sur les pages de recherche d'évènements et d'exposants. Lorsque vous cliquez sur ce bouton, votre navigateur affiche sa propre fenêtre de demande d'autorisation : aucune position n'est transmise tant que vous n'avez pas donné votre accord explicite.
- Les coordonnées (latitude / longitude) sont obtenues par l'API Geolocation standard du navigateur ; elles ne sont utilisées que pour calculer les évènements dans le rayon que vous avez sélectionné.
- Aucune adresse précise n'est dérivée des coordonnées (pas de reverse-geocoding) : seul le label « Ma position » est affiché.
- Les coordonnées ne sont pas stockées côté serveur : ni en base de données, ni dans des logs applicatifs persistants.
- Vous pouvez révoquer l'autorisation à tout moment dans les paramètres de votre navigateur, ou simplement cesser d'utiliser le bouton.
3. Destinataires des données
Vos données ne sont jamais vendues. Elles peuvent être transmises uniquement à :
- Stripe (sous-traitant, traitement des paiements) - Politique Stripe
- Hébergeur du site (sous-traitant technique)
- Service SMTP (sous-traitant pour l'envoi des emails transactionnels)
- Autorités administratives ou judiciaires sur réquisition légale
Aucune donnée n'est transférée hors de l'Union Européenne sans garanties appropriées (clauses contractuelles types, décision d'adéquation).
4. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir la confirmation que vos données sont traitées et en obtenir une copie
- Droit de rectification : corriger vos données inexactes ou incomplètes (modifiable directement depuis votre profil)
- Droit à l'effacement (« droit à l'oubli ») : sous réserve de nos obligations légales (comptabilité, audit)
- Droit à la limitation du traitement
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition au traitement (notamment pour la prospection)
- Droit de retirer votre consentement à tout moment pour les traitements basés sur le consentement
Pour exercer ces droits : contact@evenements-createurs.fr. Réponse sous 1 mois (pouvant être prolongée de 2 mois en cas de complexité).
En cas de réponse insatisfaisante ou d'absence de réponse, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr/fr/plaintes.
5. Cookies
Le site utilise uniquement des cookies strictement nécessaires au fonctionnement (session de connexion, jeton CSRF, préférences de thème). Aucun cookie publicitaire ou de mesure d'audience tiers n'est déposé. Aucun consentement n'est requis pour ces cookies essentiels.
6. Sécurité
Les mots de passe sont stockés hachés (Argon2id, paramètres OWASP). Les communications sont chiffrées (HTTPS/TLS). L'accès aux données est limité aux personnels strictement nécessaires. Un journal d'audit trace les actions sensibles (connexions, modifications administratives).
7. Modifications
La présente politique peut être mise à jour. Les utilisateurs sont informés par email lors de modifications substantielles, au moins 15 jours avant l'entrée en vigueur.