Aller au contenu principal
Bêta
Début du contenu principal

Politique de confidentialité

Dernière mise à jour : 4 mai 2026

1. Qui est responsable du traitement ?

Le responsable de traitement est Améline Gérard, entrepreneur individuel, éditrice du site OùSortir.me.

  • SIRET : 907 893 937 00017
  • Adresse postale : Chambre de Métiers et de l'Artisanat de Loire-Atlantique, 5 Allée des Liards, 44981 Saint-Herblain Cedex 1
  • Email : contact@ousortir.me

Pour toute question relative à vos données ou l'exercice de vos droits : contact@ousortir.me.

2. Quelles données collectons-nous ?

La plateforme distingue trois rôles, chacun avec des données spécifiques :

Visiteur

  • Email, nom d'affichage, ville (optionnel)
  • Centres d'intérêt déclarés à l'inscription, photo de profil (optionnelle)
  • Préférences de notification, événements favoris, alertes géolocalisées
  • Inscription à la newsletter hebdomadaire (consentement séparé, non pré-coché à l'inscription, désabonnement 1-clic dans chaque email)
  • Subscriptions de notifications push (endpoint navigateur + clés de chiffrement) si l'utilisateur active les notifications dans ses paramètres
  • Photos uploadées sur les fiches événements (si participant)
  • Données techniques de connexion (IP, user-agent)

Exposant

  • Identifiants (email, mot de passe haché par Supabase Auth)
  • Profil métier : nom commercial, description, photos
  • Coordonnées professionnelles : adresse, téléphone, ville, département, région
  • Documents professionnels (Pro uniquement) : SIRET, Kbis, attestation RC Pro, contrats : stockés dans un coffre privé
  • Candidatures et messages avec les organisateurs

Organisateur

  • Identifiants, nom de l'organisation, contact
  • Pour la facturation Stripe Connect : informations légales de l'organisation (SIRET, RIB), gérées par Stripe
  • Événements créés, candidatures gérées, messages

Pièce d'identité

Nous ne collectons ni ne stockons aucune pièce d'identité (CNI, passeport, permis de conduire) sur la plateforme. Si une vérification d'identité est nécessaire (par exemple à la demande d'un organisateur), elle est déléguée à un service externe certifié (Stripe Identity, Yousign) qui assume la responsabilité du document. Nous recevons uniquement un statut « identité vérifiée » ou « non vérifiée ».

3. Sur quelle base légale ?

  • Exécution du contrat (art. 6.1.b RGPD) : pour fournir le service auquel vous vous êtes inscrit (gestion de candidatures, messagerie, dashboards).
  • Consentement (art. 6.1.a RGPD) : pour les cookies non essentiels et l'envoi d'emails marketing.
  • Intérêt légitime (art. 6.1.f RGPD) : pour la sécurité de la plateforme (logs d'accès, détection d'abus).
  • Obligation légale (art. 6.1.c RGPD) : pour la comptabilité (facturation Stripe) et la lutte contre la fraude.

4. Combien de temps conservons-nous vos données ?

  • Compte actif : tant que votre compte est ouvert.
  • Compte supprimé : suppression complète sous 30 jours, sauf obligations légales (factures Stripe : 10 ans).
  • Logs de sécurité (accès aux documents, IP) : 12 mois.
  • Cookies : durée maximale 13 mois.

5. Avec qui partageons-nous vos données ?

Nous utilisons les sous-traitants suivants, tous sous contrat de traitement (DPA) conforme RGPD :

  • Supabase (Singapour, instance hébergée en région UE eu-west-1) : base de données, authentification, stockage de fichiers.
  • Vercel (États-Unis, edges UE) : hébergement de l'application web. Transferts hors UE encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne.
  • Stripe (Irlande pour l'UE) : paiements et facturation Stripe Connect.
  • Resend (États-Unis) : envoi d'emails transactionnels et de la newsletter hebdomadaire. Transferts encadrés par CCT.
  • Cloudflare (États-Unis) : service Turnstile (CAPTCHA anti-bot à l'inscription). Aucun cookie de tracking. Transferts encadrés par CCT.
  • Sentry (États-Unis) : monitoring d'erreurs (données techniques uniquement, masquage des champs sensibles). Transferts encadrés par CCT.
  • API Sirene (INSEE) (France) : vérification automatique du SIRET des organisateurs.
  • Anthropic(États-Unis) : assistance IA (modèles Claude). Utilisée pour les fonctionnalités optionnelles suivantes : aide à la rédaction de profils exposants, critique de candidatures, suggestions d'exposants pour les organisateurs Pro, génération de plan de salle. Les données transmises sont uniquement les textes saisis par l'utilisateur dans la fonctionnalité concernée. Anthropic s'engage à ne pas entraîner ses modèles sur les données reçues via l'API (politique « API data is never used to train models »). Transferts hors UE encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne.
  • Plausible Analytics (Allemagne, hébergé UE) : mesure d'audience anonymisée, sans cookie ni identifiant personnel. Aucune donnée transférée hors UE.
  • Vercel Analytics (États-Unis) : métriques techniques de performance (Web Vitals, durée de chargement) et comptage de visites. Activé uniquement après votre consentement cookies via le bandeau. Transferts hors UE encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne.

Aucune donnée n'est jamais vendue à des tiers à des fins commerciales.

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Accès à vos données
  • Rectification de données inexactes
  • Effacement (« droit à l'oubli »)
  • Limitation du traitement
  • Portabilité (export de vos données)
  • Opposition au traitement
  • Retrait du consentement à tout moment

Pour exercer ces droits : contact@ousortir.me. Nous répondons sous 30 jours maximum.

En cas de litige, vous pouvez saisir la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

7. Âge minimum d'inscription

OuSortir.me est destiné à un public majeur ou mineur d'au moins 15 ans, conformément à la position de la CNIL sur le consentement numérique des mineurs (article 8 du RGPD transposé en France). En créant un compte, vous certifiez avoir au moins 15 ans. Si vous avez moins de 15 ans, l'inscription requiert le consentement explicite d'un titulaire de l'autorité parentale, à transmettre à contact@ousortir.me avant toute création de compte. À défaut, OuSortir.me se réserve le droit de supprimer le compte concerné sur signalement.

8. Sécurité

Les mots de passe sont hachés (jamais stockés en clair). Les documents sensibles sont stockés dans des buckets privés avec URLs signées à expiration courte (5 minutes). Tous les accès aux documents sont tracés. Les communications passent en HTTPS.

9. Modifications

Cette politique peut évoluer. Toute modification substantielle sera notifiée par email aux utilisateurs inscrits.

← Retour à l'accueil