POLITIQUE DE CONFIDENTIALITÉ — Plateforme Loomya
Dernière mise à jour : 1er juillet 2026
La présente Politique de Confidentialité vous informe sur la manière dont la plateforme Loomya collecte, utilise, protège et conserve vos données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi Informatique et Libertés du 6 janvier 1978 modifiée.
1. Responsables
Responsable de Traitement (données des Utilisateurs — comptes professionnels) : Loomya, enseigne de Cyril DIDIER, entrepreneur individuel exerçant en nom personnel, immatriculé au Répertoire du Commerce et de l'Industrie de Monaco sous le numéro RCI 26P10997 — 17, boulevard de Suisse, 98000 Monaco — contact@loomya.fr
Sous-Traitant au sens de l'Art. 28 RGPD (données des Participants collectées par les Utilisateurs) : L'Éditeur agit en sous-traitant. L'Utilisateur (Organisateur d'événement) est le Responsable de Traitement de ces données et demeure seul responsable de la licéité de la collecte, de l'information des Participants et du recueil du consentement lorsqu'il est requis.
DPO : l'Éditeur, structure de petite taille, n'est pas soumis à l'obligation de désigner un DPO (Art. 37 RGPD). Contact RGPD : contact@loomya.fr.
2. Données collectées
2.1 Données des Utilisateurs
| Catégorie | Données | Base légale | |---|---|---| | Identification | Nom, prénom | Exécution du contrat (Art. 6.1.b) | | Coordonnées | Email, téléphone | Exécution du contrat | | Connexion | Mot de passe haché (bcrypt), IP, logs | Intérêt légitime (sécurité) | | Usage | Données des événements créés | Exécution du contrat |
2.2 Données des Participants (saisies par les Utilisateurs)
Identité (nom, prénom, date de naissance, genre), coordonnées (email, téléphone, adresse), documents d'identité, données liées à l'événement (rôle, famille, zones d'accès, dates de présence, employeur, position, statut d'accréditation), besoins opérationnels (hébergement, transport, planning, sites/zones).
La Plateforme ne collecte aucune donnée relevant de l'article 9 du RGPD (santé, handicap, allergies alimentaires ou non, opinions, convictions). Les champs correspondants n'existent pas dans l'interface de saisie.
2.3 Données techniques
Adresse IP, navigateur, OS, pages consultées, logs de connexion, cookies strictement nécessaires (authentification, sécurité).
3. Finalités et bases légales
| Finalité | Base légale | |---|---| | Création et gestion du compte Utilisateur | Exécution du contrat (Art. 6.1.b) | | Authentification et sécurité | Intérêt légitime (Art. 6.1.f) | | Fourniture des services (gestion d'événements, participants, hébergement) | Exécution du contrat | | Communication avec les Utilisateurs (notifications systèmes) | Exécution du contrat | | Amélioration du service (statistiques internes agrégées) | Intérêt légitime | | Mesure d'audience du site web (Google Analytics 4) | Consentement (Art. 6.1.a) | | Authentification via compte Google (Sign-in/OAuth), au choix de l'Utilisateur | Exécution du contrat (Art. 6.1.b) | | Prise de rendez-vous de démonstration commerciale (prospects, Cal.eu) | Intérêt légitime (Art. 6.1.f) |
Nous ne traitons jamais vos données à des fins de prospection non sollicitée, de cession à des tiers marketing, de profilage publicitaire ou de décision automatisée produisant des effets juridiques.
4. Destinataires et sous-traitants
Les données sont hébergées et traitées par les sous-traitants suivants, liés par des contrats conformes à l'Art. 28 du RGPD :
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données PostgreSQL | AWS Paris, France (eu-west-3) | Clauses Contractuelles Types, SOC 2 Type 2, chiffrement AES-256 at rest |
| Scalingo SAS | Hébergement application + cache Redis | France (osc-fr1) | Hébergeur français, ISO 27001, HDS |
| Scaleway SAS | Emails transactionnels (Scaleway TEM) | France (fr-par, Paris) | Sous-traitant français, hébergement UE souverain |
| Mistral AI | Assistant IA (Octav) et mapping d'import assisté par IA | France (UE) | Sous-traitant français, hébergement UE |
| Google Maps API | Géolocalisation de sites événementiels | USA | Clauses Contractuelles Types, EU-US Data Privacy Framework |
| Google LLC (Google Analytics 4) | Mesure d'audience du site web (sous réserve de consentement) | USA | Clauses Contractuelles Types, EU-US Data Privacy Framework |
| Google LLC (Sign-in / OAuth) | Authentification des Utilisateurs via compte Google (au choix) | USA | Clauses Contractuelles Types, EU-US Data Privacy Framework |
| OpenRouteService (HeiGIT gGmbH) | Calcul des zones d'isochrones (temps de trajet) | Éditeur en Allemagne (UE) ; hébergement non public, transferts hors UE possibles | CCT (sur demande) |
| Cal.eu (Cal.com, Inc.) | Prise de rendez-vous de démonstration commerciale (prospects) | Résidence UE annoncée (early access) ; opérateur Cal.com, Inc. (USA) | EU data residency annoncée ; DPA Art. 28 à confirmer |
| Sentry | Monitoring erreurs techniques | USA (résidence UE Allemagne) | DPA, résidence UE configurée |
Transferts hors UE : Les transferts vers Google (Maps, Analytics et Sign-in/OAuth) et Sentry (siège US) sont encadrés par les Clauses Contractuelles Types de la Commission Européenne (Art. 46 RGPD) et l'EU-US Data Privacy Framework. L'application, la base de données, les emails transactionnels et l'assistant IA sont hébergés dans l'Union européenne (Scalingo, Supabase et Scaleway TEM en France ; Mistral AI en UE). Deux sous-traitants annoncent une localisation UE mais appellent une vérification : Cal.eu (prise de RDV démo) revendique une résidence des données dans l'UE mais est opéré par Cal.com, Inc. (USA) ; OpenRouteService (isochrones) est édité par HeiGIT gGmbH en Allemagne mais sa politique de confidentialité prévoit des transferts possibles vers des pays tiers hors UE. Ces deux cas sont encadrés par des Clauses Contractuelles Types et restent à confirmer.
5. Durées de conservation
| Type de données | Durée | |---|---| | Compte Utilisateur actif | Durée de vie du compte | | Compte Utilisateur supprimé | 30 jours puis suppression définitive | | Compte Utilisateur inactif | 24 mois puis suppression automatique (notification préalable) | | Logs de connexion | 12 mois (obligation légale sécurité) | | Données de Participants | Déterminées par l'Utilisateur (Responsable de Traitement). Recommandation : fin de l'événement + 3 ans | | Événement supprimé | 90 jours en corbeille, puis purge définitive automatique | | Événement archivé | 24 mois de rétention, puis anonymisation automatique des PII |
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès aux données vous concernant
- Rectification des données inexactes
- Effacement (droit à l'oubli) sous réserve des obligations légales
- Portabilité : export intégral de vos données (CSV, Excel, PDF)
- Opposition au traitement
- Limitation du traitement
- Définition de directives post-mortem (Art. 85 Loi Informatique et Libertés)
Exercice de vos droits : contact@loomya.fr — objet [RGPD] — délai de réponse 1 mois (extensible à 3 mois en cas de complexité).
Pour les Participants : les demandes doivent être adressées directement à l'Utilisateur (Responsable de Traitement) — c'est-à-dire l'organisateur de votre événement. En cas de difficulté, contact@loomya.fr transmettra votre demande.
Réclamation : vous pouvez introduire une plainte auprès de la CNIL — cnil.fr/fr/plaintes.
7. Sécurité
Techniques :
- Chiffrement en transit (HTTPS/TLS) et au repos (AES-256 par Supabase)
- Row Level Security (RLS) PostgreSQL sur toutes les tables métier (isolation stricte par événement)
- Authentification serveur systématique, MFA TOTP, hachage bcrypt des mots de passe
- Politique de mots de passe : 12 caractères minimum dont au moins une majuscule et un chiffre, refus automatique des mots de passe compromis (HaveIBeenPwned)
- Sauvegardes quotidiennes automatiques (rétention 7 jours)
- Rate limiting via Redis Scalingo hébergé en France
- Scan SAST automatisé à chaque modification du code (OWASP Top 10)
- En-têtes de sécurité : HSTS, CSP avec nonces, anti-clickjacking
Organisationnelles :
- Accès restreint (principe du moindre privilège)
- Cloisonnement strict des données par Utilisateur
- Journal d'audit applicatif et journal d'activité métier
- Procédure de gestion des violations conforme aux articles 33-34 RGPD (notification CNIL sous 72h)
8. Cookies et traceurs
8.1 Traceurs strictement nécessaires
Exemptés de consentement (Art. 82 de la Loi Informatique et Libertés), ils sont indispensables au fonctionnement de la Plateforme :
| Cookie / stockage | Finalité | Durée |
|---|---|---|
| Session Supabase | Authentification | Durée de session |
| cgu_version | Suivi de l'acceptation des CGU | 1 an |
| loomya_consent | Mémorisation de l'état du consentement (répondu / en attente) | 180 jours |
| loomya_consent_v1 (stockage local) | Détail des choix de consentement par catégorie | Jusqu'à révocation |
8.2 Traceurs de mesure d'audience (soumis à consentement)
Déposés uniquement après votre consentement explicite :
| Cookie | Finalité | Émetteur | Durée |
|---|---|---|---|
| _ga, _ga_* | Mesure d'audience du site (Google Analytics 4) | Google LLC | ≈ 2 ans (durée Google) |
Un bandeau de consentement s'affiche dès votre première visite. La mesure d'audience est désactivée par défaut et n'est activée qu'après acceptation. Vous pouvez modifier ou retirer votre choix à tout moment via le lien « Gérer mes cookies » en pied de page. Aucun cookie publicitaire ou de réseau social n'est utilisé.
9. Modifications
L'Éditeur se réserve le droit de modifier la présente Politique de Confidentialité. La version en vigueur est celle accessible en ligne à la date de votre visite. Toute modification substantielle sera notifiée aux Utilisateurs.
10. Contact
Loomya — 17, boulevard de Suisse, 98000 Monaco — contact@loomya.fr