01.1. Introduction
La présente Politique de Confidentialité décrit comment la société WezBook (ci-après « WezBook », « nous », « notre ») collecte, utilise, stocke et protège les données personnelles des utilisateurs de la plateforme WezBook, conformément au Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
02.2. Responsable de traitement
Le responsable du traitement des données est :
- Raison sociale : WezBook
- Siège social : [À COMPLÉTER]
- SIRET : [À COMPLÉTER]
- Email du DPO / Contact données personnelles : dpo@wezbook.com
03.3. Données collectées
3.1 Données fournies directement par l'Utilisateur
| Donnée | Finalité | Base légale |
|---|---|---|
| Prénom, Nom | Identification, personnalisation | Exécution du contrat |
| Adresse email | Authentification, communications | Exécution du contrat |
| Mot de passe (haché BCrypt) | Authentification | Exécution du contrat |
| Numéro de téléphone | Vérification, rappels de rendez-vous | Exécution du contrat |
| Avis et commentaires | Système d'évaluation | Intérêt légitime |
3.2 Données des Professionnels
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom du salon, adresse | Référencement, géolocalisation | Exécution du contrat |
| Coordonnées du salon (email, téléphone) | Communication, gestion | Exécution du contrat |
| Informations des employés (noms, plannings) | Gestion des rendez-vous | Exécution du contrat |
| Catalogue de services et tarifs | Fonctionnement de la plateforme | Exécution du contrat |
3.3 Données collectées automatiquement
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse IP | Sécurité, prévention des fraudes | Intérêt légitime |
| User-Agent (navigateur, appareil) | Compatibilité technique | Intérêt légitime |
| Date et heure de connexion | Sécurité, audit | Intérêt légitime |
| Identifiant Firebase (UID) | Authentification | Exécution du contrat |
3.4 Données relatives aux Clients Finaux (traitées pour le compte du Professionnel)
Lorsqu'un Professionnel enregistre des Clients Finaux (y compris les clients temporaires), les données suivantes sont traitées :
| Donnée | Finalité |
|---|---|
| Prénom, Nom | Identification du client |
| Numéro de téléphone | Rappels SMS |
| Communications, confirmations | |
| Historique de rendez-vous | Suivi, statistiques |
| Notes | Préférences client (ajoutées par le Professionnel) |
Important : Pour ces données, le Professionnel est responsable de traitement et WezBook agit en qualité de sous-traitant (article 28 du RGPD).
3.5 Données de paiement et de caisse (WezPay)
WezBook ne stocke pas les données bancaires sensibles (numéros de carte, CVV, IBAN). Les paiements par carte sont traités par nos prestataires certifiés PCI-DSS.
En revanche, le module WezPay (supplément optionnel — logiciel de caisse conforme art. 286-I-3°bis du CGI) enregistre et conserve les données de transaction conformément aux obligations fiscales :
| Donnée | Stockage | Finalité | Durée de conservation |
|---|---|---|---|
| Montant des transactions | WezBook | Enregistrement de caisse (art. 286-I-3°bis du CGI) | 6 ans (obligation fiscale) |
| Détail des prestations/produits vendus | WezBook | Traçabilité fiscale | 6 ans (obligation fiscale) |
| Moyen de paiement utilisé (type uniquement) | WezBook | Traçabilité de caisse | 6 ans (obligation fiscale) |
| Tickets de caisse | WezBook | Conformité art. 286-I-3°bis du CGI | 6 ans (obligation fiscale) |
| Clôtures de caisse (tickets Z) | WezBook | Conformité fiscale | 6 ans (obligation fiscale) |
| Remboursements et avoirs | WezBook | Traçabilité fiscale | 6 ans (obligation fiscale) |
| Identifiant client Stripe | WezBook | Lien avec le compte de paiement | Durée de l'abonnement |
| Identifiant d'abonnement Stripe | WezBook | Gestion de l'abonnement | Durée de l'abonnement |
| Référence de transaction (prestataire) | WezBook | Rapprochement avec le prestataire | 6 ans |
| Données bancaires (carte, IBAN) | Stripe/SumUp uniquement | Traitement du paiement | Selon le prestataire |
Important : Les données de caisse enregistrées via WezPay sont inaltérables conformément aux exigences de l'article 286-I-3°bis du CGI. Elles ne peuvent être ni modifiées, ni supprimées, y compris dans le cadre de l'exercice du droit à l'effacement (voir section 9).
04.4. Finalités du traitement
Nous traitons vos données pour les finalités suivantes :
1. Exécution du contrat :
- Gestion de votre Compte et authentification
- Fourniture des services de réservation et de gestion de salon
- Fonctionnement du module WezPay (enregistrement des transactions, émission de tickets, clôtures de caisse)
- Gestion de l'abonnement et de la facturation
2. Intérêt légitime :
- Sécurité de la Plateforme (prévention des fraudes, détection d'intrusion)
- Amélioration des services et analyse d'usage
- Support client
- Gestion des avis et évaluations
3. Consentement :
- Communications marketing par email et SMS
- Cookies non essentiels (le cas échéant)
4. Obligation légale :
- Conservation des données de facturation
- Conservation des données de caisse pendant 6 ans (article L.102 B du Livre des Procédures Fiscales)
- Inaltérabilité des données de caisse (article 286, I, 3° bis du Code Général des Impôts)
- Réponse aux réquisitions judiciaires
05.5. Partage des données avec des tiers
Nous partageons vos données avec les prestataires suivants, tous situés dans des pays assurant un niveau de protection adéquat ou encadrés par des garanties appropriées :
| Prestataire | Rôle | Données partagées | Localisation |
|---|---|---|---|
| Firebase (Google) | Authentification | Email, nom, UID | USA (Clauses Contractuelles Types) |
| Stripe | Paiements et abonnements | Identifiants client, données de paiement | USA (Clauses Contractuelles Types) |
| Twilio | Envoi de SMS | Numéros de téléphone, contenu SMS | USA (Clauses Contractuelles Types) |
| Resend | Envoi d'emails | Adresses email, contenu emails | USA (Clauses Contractuelles Types) |
| SumUp | Paiements par TPE | Références de transaction | Europe (Irlande) |
| Amazon Web Services (AWS) | Hébergement, stockage | Toutes les données (chiffrées) | Europe (Irlande / Francfort) |
| Google Places | Géolocalisation des salons | Adresses, coordonnées GPS | USA (Clauses Contractuelles Types) |
Nous ne vendons jamais vos données personnelles à des tiers. Nous ne partageons pas vos données à des fins publicitaires.
06.6. Transferts internationaux
Certains de nos prestataires sont situés aux États-Unis. Les transferts de données hors UE sont encadrés par :
- Les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne
- Le Data Privacy Framework (DPF) UE-USA, le cas échéant
07.7. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données de Compte (utilisateur actif) | Durée de vie du Compte |
| Données de Compte (après suppression) | 30 jours puis suppression définitive |
| Données de facturation | 10 ans (obligation légale comptable) |
| Données de caisse WezPay (transactions, tickets, clôtures, remboursements) | 6 ans minimum (obligation fiscale — article L.102 B du LPF) |
| Archives fiscales WezPay | 6 ans minimum (inaltérables, art. 286-I-3°bis du CGI) |
| Logs de connexion | 12 mois |
| Événements Stripe (webhooks) | 180 jours |
| Historique de rendez-vous | Durée de la relation contractuelle avec le Professionnel, puis 1 an après la fin de la relation |
| Avis et évaluations | Durée de publication sur la Plateforme, supprimés 1 an après la suppression du Compte |
| Données de clients temporaires | Durée de la relation avec le Professionnel, puis 1 an après le dernier rendez-vous |
| Données après résiliation (hors données de caisse) | 30 jours (délai de réversibilité) puis suppression |
08.8. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement : Communications chiffrées en transit (TLS/HTTPS). Données sensibles chiffrées au repos (AWS)
- Hachage des mots de passe : Algorithme BCrypt
- Authentification : Firebase Authentication avec tokens JWT
- Contrôle d'accès : Système de rôles (utilisateur, employé, admin)
- Validation des entrées : Sanitisation et validation de toutes les données entrantes
- Rate limiting : Protection contre les attaques par force brute
- Vérification des webhooks : Vérification de la signature des webhooks (Stripe, Twilio, Resend)
- Journalisation : Audit trail des actions sensibles
- Séparation des données : Architecture multi-tenant avec isolation des données par salon
09.9. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
| Droit | Description | Comment l'exercer |
|---|---|---|
| Droit d'accès | Obtenir une copie de vos données personnelles | Email au DPO |
| Droit de rectification | Corriger des données inexactes ou incomplètes | Via votre Compte ou email au DPO |
| Droit à l'effacement | Demander la suppression de vos données (sauf données de caisse soumises à obligation légale de conservation — voir ci-dessous) | Email au DPO |
| Droit à la portabilité | Recevoir vos données dans un format structuré (JSON, CSV) | Email au DPO |
| Droit d'opposition | Vous opposer au traitement de vos données | Email au DPO |
| Droit à la limitation | Demander la limitation du traitement | Email au DPO |
| Droit de retirer votre consentement | Retirer votre consentement à tout moment | Via votre Compte, lien de désinscription, ou email au DPO |
Comment exercer vos droits
- Par email : dpo@wezbook.com
- Par courrier : [À COMPLÉTER - Adresse postale]
Nous répondrons à votre demande dans un délai de 1 mois à compter de sa réception (article 12.3 du RGPD). Ce délai peut être prolongé de 2 mois en cas de demande complexe, sous réserve de vous en informer dans le mois suivant la réception de la demande.
Nous pouvons vous demander de justifier votre identité pour traiter votre demande.
Limitation du droit à l'effacement — Données de caisse (WezPay)
Conformément à l'article 17.3(b) du RGPD, le droit à l'effacement ne s'applique pas aux données de caisse enregistrées via le module WezPay. Ces données sont soumises à une obligation légale de conservation de 6 ans (article L.102 B du Livre des Procédures Fiscales) et à une obligation d'inaltérabilité (article 286, I, 3° bis du CGI). Elles ne peuvent être ni modifiées, ni supprimées avant l'expiration du délai légal.
Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site web : https://www.cnil.fr
- Adresse : CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
11.11. Communications marketing
11.1 Consentement
Nous n'envoyons de communications marketing par email qu'avec votre consentement préalable.
11.2 Désinscription
Vous pouvez vous désinscrire à tout moment :
- Via le lien de désinscription présent dans chaque email marketing
- Via les paramètres de votre Compte
- En contactant notre DPO
La désinscription des communications marketing n'affecte pas les emails transactionnels (confirmations de rendez-vous, factures, notifications de sécurité).
12.12. Données des mineurs
La Plateforme n'est pas destinée aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si nous découvrons que des données d'un mineur de moins de 16 ans ont été collectées sans le consentement du représentant légal, nous les supprimerons dans les meilleurs délais.
13.13. Sous-traitance (Professionnels)
Dans le cadre de l'utilisation de la Plateforme par les Professionnels, WezBook agit en qualité de sous-traitant au sens de l'article 28 du RGPD pour les données des clients finaux du Professionnel.
Le Professionnel, en tant que responsable de traitement, s'engage à :
- Informer ses clients finaux du traitement de leurs données
- Recueillir le consentement nécessaire le cas échéant
- Respecter les droits des personnes concernées
- Se conformer à la réglementation applicable
Un Accord de Traitement des Données (DPA) est disponible sur demande.
14.14. Notification en cas de violation de données
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :
- Notifier la CNIL dans un délai de 72 heures
- Vous informer dans les meilleurs délais si la violation présente un risque élevé
15.15. Modifications de la Politique
Nous nous réservons le droit de modifier la présente Politique de Confidentialité. En cas de modification substantielle, nous vous en informerons par email ou via une notification sur la Plateforme, au moins 15 jours avant l'entrée en vigueur des modifications.
16.16. Contact
Pour toute question relative à la protection de vos données personnelles :
- Email : contact@wezbook.com
- Courrier : [À COMPLÉTER - Adresse postale]
- DPO : dpo@wezbook.com
WezBook s'engage à protéger vos données personnelles et à respecter votre vie privée.
Autres pages légales
Des questions sur nos conditions ?
Notre équipe est là pour vous aider à comprendre vos droits et nos engagements.