Politique de confidentialité

1. Responsables du traitement

Responsable du traitement des données plateforme :
Thomas Erhel — Quasareum
Hébergement, développement et maintenance technique de la plateforme Amav Sophro.
Email : contact@quasareum.com

Responsable du traitement des données liées à la pratique :
Amandine Avril — Sophrologue certifiée
Cabinet : 54 bis rue Montaubert, 77230 Saint-Mard
SIRET : 941 419 392 00019
Email : bonjour@amavsophro.com
Téléphone : +33 6 13 36 19 25

2. Données collectées

Lors de votre utilisation du site et de vos réservations, seules les données strictement nécessaires au service sont collectées :

• Identification : prénom, nom, email, numéro de téléphone (fournis par vous au moment de la réservation)
• Identifiants Google : Google ID, photo de profil, nom affiché — uniquement si vous choisissez de vous connecter via « Se connecter avec Google »
• Données de réservation : date et heure du rendez-vous, format choisi (cabinet / domicile / visio), montant payé
• Adresse postale : uniquement pour les séances à domicile (calcul des frais de déplacement)
• Données de paiement : traitées directement par Stripe — aucune coordonnée bancaire n'est stockée sur nos serveurs (nous conservons uniquement l'identifiant Stripe de la transaction pour l'historique)
• Message libre de séance : uniquement si vous choisissez d'ajouter un motif ou contexte lors de la réservation (champ facultatif)
• Données techniques : adresse IP hashée (SHA-256 irréversible) pour prévention de fraude, user-agent de votre navigateur (session uniquement), horodatages de connexion

Aucune donnée de santé au sens de l'article 9 du RGPD n'est collectée sans votre consentement explicite (case à cocher explicite au moment de la réservation). Vous restez seul·e maître du contenu que vous partagez avec Amandine lors des séances — ces échanges verbaux ne sont jamais enregistrés ni stockés.

3. Finalités du traitement

• Gestion des réservations et de votre compte utilisateur
• Envoi des confirmations, rappels J-1 et notifications d'annulation de rendez-vous
• Traitement sécurisé des paiements et gestion des éventuels remboursements
• Réponse à vos demandes adressées par email ou téléphone
• Sécurité du site et prévention de la fraude (rate limiting, hash d'IP, détection de bots)
• Analyse d'audience agrégée et sans cookie pour améliorer le site (via Cloudflare Web Analytics — aucun profil individuel n'est construit)

4. Base légale du traitement (Art. 6 et 9 RGPD)

• Exécution du contrat (Art. 6-1-b) — gestion des rendez-vous, paiements, envoi des confirmations/rappels/annulations
• Consentement explicite (Art. 9-2-a) — uniquement pour le message libre de séance (motif/contexte) lorsqu'il contient des informations touchant à la santé. Consentement recueilli via case à cocher explicite au moment de la réservation. Retrait possible à tout moment.
• Obligation légale (Art. 6-1-c) — conservation des factures et transactions comptables (10 ans, art. L.123-22 Code de commerce)
• Intérêt légitime (Art. 6-1-f) — sécurité du site (hash IP, WAF, rate limiting), prévention de fraude paiement, analyse d'audience agrégée anonyme

5. Durée de conservation

• Compte utilisateur : actif + 3 ans d'inactivité, puis anonymisation automatique
• Historique de réservations : 3 ans après la dernière séance (prescription civile générale)
• Factures et transactions comptables : 10 ans (obligation Art. L.123-22 Code de commerce)
• Emails de contact : 3 ans après le dernier échange
• Sessions de connexion (cookies essentiels) : expiration à 7 jours maximum, ou suppression immédiate lors de la déconnexion
• Logs techniques (IP hashée, user-agent, timestamps) : 12 mois maximum
• Analytics agrégées (Cloudflare Web Analytics) : stats globales anonymes conservées 6 mois glissants — aucune donnée individuelle

Vous pouvez demander la suppression anticipée de votre compte à tout moment par email (contact@quasareum.com). Opération réalisée sous 30 jours (les factures légalement requises sont conservées sans données identifiantes superflues).

6. Vos droits RGPD

Conformément au Règlement Général sur la Protection des Données, vous disposez :

• Droit d'accès — savoir quelles données sont détenues sur vous
• Droit de rectification — corriger des informations erronées
• Droit à l'effacement — supprimer vos données (droit à l'oubli)
• Droit à la portabilité — récupérer vos données dans un format lisible et transférable
• Droit d'opposition — refuser certains traitements (marketing, profilage)
• Droit de limitation — geler temporairement l'usage de vos données
• Droit de retirer votre consentement — à tout moment, sans justification

Pour exercer ces droits : contact@quasareum.com (RGPD plateforme) ou bonjour@amavsophro.com (données liées à la pratique). Réponse sous 30 jours maximum.

Si la réponse reçue ne vous satisfait pas, vous pouvez saisir la CNIL : cnil.fr/fr/plaintes.

7. Sécurité et hébergement

Le site est hébergé sur Cloudflare Workers + D1 (Static Assets) (éditeur : Cloudflare Inc.). Les données sont servies depuis les PoP edge européens (Edge PoP Europe (Paris, Francfort) + D1 Western Europe (WEUR)). Les paiements sont traités par Stripe, certifié PCI-DSS niveau 1.

Mesures techniques en place : TLS 1.3 obligatoire, hashage SHA-256 des adresses IP, JWT sessions signées HS256, rate limiting sur les endpoints sensibles, firewall applicatif WAF Cloudflare, protection DDoS, Content Security Policy stricte, HSTS préloadé, isolation runtime V8 (pas de shared state entre utilisateurs).

Transferts de données hors UE : Cloudflare Inc. et Stripe Inc. étant des sociétés de droit américain (avec filiales EU servant nos données en priorité), certains traitements peuvent impliquer des transferts transfrontaliers encadrés par les garanties suivantes :

• Clauses Contractuelles Types (SCC) de la Commission Européenne (version 2021) signées avec chaque sous-traitant
• Data Privacy Framework (DPF) EU-US — Cloudflare et Stripe sont certifiés depuis 2023
• Stockage primaire des données en UE (edge Europe + D1 WEUR pour Cloudflare, UE pour Stripe)

8. Sous-traitants

Pour faire fonctionner le service, trois partenaires interviennent en tant que sous-traitants au sens du RGPD. Tous ont signé un accord de sous-traitance (DPA) conforme et ne traitent vos données que sur nos instructions :

• Cloudflare Inc. — Hébergement du site (Workers), base de données (D1), stockage (R2), cache (KV), CDN, analytics web (sans cookie), sécurité WAF/DDoS. Région : Edge EU (Paris/Francfort) — société US avec SCC 2021 + DPF. Voir le DPA ↗
• Stripe Payments Europe, Ltd. — Traitement sécurisé des paiements (carte bancaire, SEPA) + gestion des remboursements. Région : UE (Irlande) — parent Stripe Inc. (US) couvert par SCC + DPF, certifié PCI-DSS niveau 1. Voir le DPA ↗
• Resend — Envoi des emails transactionnels (confirmation, rappel J-1, annulation). Région : UE (eu-west-1). Voir le DPA ↗

Un service tiers d'authentification (Google LLC — Sign-In with Google) est également disponible en option. Si vous choisissez de l'utiliser, Google devient responsable conjoint du traitement pour votre authentification uniquement (aucune donnée marketing ne lui est transmise). Vous pouvez toujours créer un compte par email sans passer par Google.

9. Cookies et traceurs

Le site utilise trois catégories de cookies distinctes. Vous choisissez lesquelles activer via le bandeau de consentement (affiché à votre première visite, modifiable à tout moment en cliquant sur « Gérer mes cookies » en pied de page).

Cookies essentiels (toujours actifs)

Strictement nécessaires au fonctionnement du site — ne peuvent être refusés.

• Cookie de session authentifiée (__Secure-session) — signé JWT, expire après 7 jours ou à la déconnexion. Posé uniquement si vous créez un compte.
• Cookies OAuth temporaires (oauth_state, oauth_pkce) — utilisés 10 minutes au plus pendant le flow de connexion avec Google, supprimés automatiquement à la fin.
• Cloudflare Web Analytics (sans cookie) — comptages anonymes agrégés en edge, aucun profil individuel construit, aucune donnée rattachable à un·e visiteur·se particulier·ère.

Cookies analytics (optionnels, consent requis)

Si vous acceptez, Google Analytics 4 (GA4) est chargé pour mesurer le parcours utilisateur (étapes du funnel de réservation, pages consultées, performance technique via Core Web Vitals). Anonymisation d'IP activée. Aucune donnée utilisateur individuelle n'est revendue.

• Cookies déposés : _ga, _ga_*
• Durée de conservation : 13 mois (paramétrable GA4)
• Finalité : statistiques d'utilisation du site, amélioration continue

Cookies marketing (optionnels, consent requis)

Si vous acceptez, Google Ads est chargé pour mesurer l'efficacité des campagnes publicitaires et remonter les conversions (réservations effectuées). Le Consent Mode v2 de Google est activé par défaut à « denied » — aucun cookie publicitaire n'est posé tant que vous n'avez pas explicitement accepté cette catégorie.

• Cookies déposés : _gcl_au, _gac_*, FPID
• Durée de conservation : 90 jours
• Finalité : attribution des conversions aux campagnes, optimisation du smart bidding Google Ads
• Modeled conversions : même sans votre consent, Google reçoit des signaux anonymisés (page vue, achat) pour modéliser statistiquement les conversions manquantes. Aucune donnée personnelle n'est transmise dans ce cas.

10. Modification de cette politique

Cette politique peut être mise à jour pour refléter des changements légaux ou techniques. La date de dernière mise à jour est toujours indiquée ci-dessous.