Politique de confidentialité

1. Responsable de traitement

WILLIEZ Nicolas, agissant sous l'enseigne AE WILLIEZ

22 route du port, 01150 LAGNIEU, France

Email DPO / contact RGPD : contact@glow-desk.com

2. Données collectées

GlowDesk collecte les catégories de données suivantes :

Catégorie	Données	Provenance
Compte professionnel	Nom, prénom, email, nom du salon, numéro de téléphone	Saisie lors de l'inscription
Données clients des salons	Nom, prénom, email, téléphone, historique de réservations, préférences	Saisie par le gérant ou via le formulaire de réservation en ligne
Données de facturation	Informations de paiement (traitées par Stripe — jamais stockées par GlowDesk)	Souscription à un abonnement
Données de navigation	Adresse IP (anonymisée), pages visitées, type de navigateur, durée de session	Navigation sur glow-desk.com
Communications	Contenu des emails échangés avec le support	Contact via contact@glow-desk.com

3. Bases légales et finalités

Finalité	Base légale
Fourniture du service (réservations, rappels, gestion du salon)	Exécution du contrat (art. 6.1.b RGPD)
Facturation et gestion des abonnements	Exécution du contrat + obligation légale
Envoi d'emails de rappel aux clients des salons	Intérêt légitime du gérant (art. 6.1.f RGPD)
Envoi de SMS de rappel aux clients des salons	Consentement explicite du client (art. 6.1.a RGPD + art. 7) — case à cocher non pré-cochée lors de la réservation
Support client et résolution de problèmes	Intérêt légitime (art. 6.1.f RGPD)
Amélioration du service et statistiques agrégées	Intérêt légitime
Respect des obligations légales (comptabilité, litiges)	Obligation légale (art. 6.1.c RGPD)

4. Durée de conservation

Données	Durée de conservation
Données du compte professionnel	Durée du contrat + 3 ans après résiliation
Données clients des salons	Durée du contrat + 3 ans après résiliation
Données de facturation	10 ans (obligation légale comptable)
Logs de connexion et navigation	12 mois
Emails de support	3 ans

5. Sous-traitants

GlowDesk fait appel aux sous-traitants suivants, tous soumis à des garanties de protection des données adéquates :

Sous-traitant	Rôle	Localisation	Lien DPA
Render Services, Inc.	Hébergement de l'application et de la base de données	Union Européenne	Privacy Render
Stripe	Traitement des paiements par carte bancaire	UE / États-Unis (accord DPA)	stripe.com/fr/legal/dpa
Brevo (ex-Sendinblue)	Envoi d'emails transactionnels et de rappels	Union Européenne	DPA Brevo
OVH	Envoi de SMS de rappel	Union Européenne	ovhcloud.com/fr/rgpd

✓ Transferts hors UE : Stripe dispose de clauses contractuelles
                types conformes au RGPD pour tout transfert vers les États-Unis. Aucun autre transfert hors UE n'est
                effectué.

6. Cookies

GlowDesk utilise uniquement des cookies techniques strictement nécessaires au fonctionnement du service :

Cookie de session : maintient la connexion de l'utilisateur (durée : session)
Cookie d'authentification : mémorise le token de connexion (durée : 30 jours)
Identifiant de visite anonyme : statistiques internes agrégées (localStorage, non partagé)

GlowDesk n'utilise aucun cookie publicitaire, aucun tracker marketing tiers, et n'effectue aucun profilage commercial des visiteurs.

Ces cookies techniques n'étant pas soumis à consentement selon la réglementation CNIL, aucune bannière de consentement complexe n'est requise.

7. Vos droits

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :

Droit d'accès : obtenir une copie de vos données
Droit de rectification : corriger des données inexactes
Droit à l'effacement : demander la suppression de vos données
Droit à la portabilité : recevoir vos données dans un format structuré
Droit d'opposition : vous opposer à certains traitements
Droit à la limitation : restreindre le traitement de vos données

Pour exercer ces droits, contactez-nous à : contact@glow-desk.com

Nous répondrons dans un délai maximum d'un mois à compter de la réception de votre demande.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr

8. Sécurité

GlowDesk met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

Chiffrement des communications (HTTPS/TLS)
Chiffrement des tokens OAuth en base de données (AES-256-GCM)
Accès à la base de données restreint par liste blanche
Authentification par mot de passe haché (scrypt)
Sauvegardes régulières des données

9. Modification de la politique

GlowDesk se réserve le droit de modifier la présente politique de confidentialité. Toute modification significative sera notifiée par email aux utilisateurs au moins 15 jours avant son entrée en vigueur.

La version en vigueur est accessible à : glow-desk.com/politique-de-confidentialite

10. Violation de données personnelles (RGPD art. 33)

En cas de violation de données personnelles, GlowDesk suit le processus suivant :

Étape	Action	Délai
1. Détection	Surveillance continue via Sentry (monitoring d'erreurs) et alertes système. Toute anomalie suspecte est immédiatement escaladée.	Continu
2. Containment	Isolation de la source de la violation : désactivation des accès compromis, restriction des routes affectées, journalisation des accès suspects.	Immédiat
3. Évaluation	Analyse de l'étendue de la violation : catégories de données affectées, nombre de personnes concernées, risques potentiels pour les droits et libertés.	Sous 72h
4. Notification CNIL	Si la violation présente un risque élevé pour les personnes concernées, notification à la CNIL via le formulaire de téléprocédure : notifications.cnil.fr.	Sous 72h après détection
5. Notification des personnes	Si la violation est susceptible d'engendrer un risque élevé pour les droits des personnes concernées, notification directe par email aux clients affectés.	Sans délai injustifié

📧 Contact DPO pour signaler une violation : nicolas@wimz.studio
Toute personne ayant connaissance d'une violation de données peut la signaler à cette adresse. Les signalements sont traités avec la plus haute priorité.