Politique de Confidentialité

• Informations de compte : nom, prénom, e-mail, mot de passe chiffré ;
• Données d'événements : nom, dates, lieu, description, état (brouillon, invitation, animation, capitalisation) ;
• Invitations et participations : statut de participation (organisateur, présent, absent, peut-être), niveau de permission (créateur, organisateur, invité) ;
• Carnet de contacts : nom, prénom, e-mail, entreprise des personnes invitées (inscrits ou non-inscrits sur la plateforme) ;
• Annuaire de prestataires : nom, entreprise, type, coordonnées professionnelles (e-mail, téléphone, adresse, site web), notes et évaluations ;
• Données de navigation : via mesure d'audience anonymisée (Matomo).

Dans le cadre de l'utilisation des fonctionnalités de Pistache, les données suivantes peuvent également être collectées :

• Publications et sondages : messages, titres, options de sondages, votes ;
• Activités planifiées : créneaux, titres, lieux, descriptions, statuts (brouillon, planifiée, confirmée, terminée, annulée) ;
• Tâches de gestion : titres, descriptions, statuts, priorités, échéances ;
• Codes de partage : codes d'accès sécurisés pour invitations événements ;
• Entreprises et équipes : nom d'entreprise, membres, rôles (administrateur, membre).

IMPORTANT - Données sensibles dans les conversations IA

Pistache propose un assistant IA pour faciliter l'organisation de vos événements (découverte du contexte, planification logistique). Les conversations avec l'IA sont stockées pour maintenir l'historique et le contexte.

Attention : Les messages que vous envoyez à l'assistant IA peuvent contenir des données personnelles que vous fournissez volontairement (noms de participants, emails, informations sensibles sur votre événement, contraintes personnelles, etc.).

Traitement par OpenAI : Le contenu de vos messages est transmis à OpenAI (sous-traitant RGPD Art. 28) pour générer les réponses de l'assistant. OpenAI est situé aux États-Unis et le transfert est encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne.

Recommandation : Évitez de partager des données personnelles sensibles non nécessaires dans vos conversations avec l'IA.

Lors de l'envoi d'un message via le formulaire de contact, nous collectons :

• Données d'identité : nom, e-mail ;
• Contenu du message : sujet, message ;
• Données techniques (pour sécurité anti-spam) : adresse IP, user-agent (navigateur/OS), temps de saisie.

Base légale : Consentement explicite (RGPD Art. 6.1.a) + Intérêt légitime (Art. 6.1.f) pour la sécurité anti-spam.

Conservation : Suppression automatique après 30 jours (conformité RGPD Art. 5.1.e).

• la création et gestion des comptes utilisateurs,
• la gestion logistique et organisationnelle des événements (planification, invitations, activités, tâches),
• la gestion du carnet de contacts et de l'annuaire de prestataires,
• la communication entre participants (publications, sondages),
• l'assistance IA pour la planification d'événements,
• la gestion des entreprises et des équipes,
• la sécurité et la maintenance du service,
• la mesure anonyme d'audience et de performance du site.

• L'exécution du contrat (Article 6.1.b RGPD) : pour la majorité des traitements (comptes utilisateurs, événements, invitations, entreprises, conversations IA, publications, activités, tâches) ;
• Le consentement (Article 6.1.a RGPD) : pour les opérations facultatives (cookies analytiques, formulaire de contact, extraction IA de contacts depuis fichiers fournis) ;
• L'intérêt légitime (Article 6.1.f RGPD) : pour la gestion professionnelle de carnets de contacts et annuaires de prestataires (contexte B2B), la sécurité anti-spam et anti-fraude ;
• Le respect d'obligations légales : pour la conservation des données comptables et fiscales.

Carnet de contacts - Bases légales selon le mode d'ajout :

• Contact ajouté manuellement par organisateur : Intérêt légitime (Art. 6.1.f) - gestion d'événements professionnels ;
• Contact extrait automatiquement par IA depuis fichier fourni : Consentement implicite (Art. 6.1.a) via fourniture volontaire du fichier ;
• Contact lié à un utilisateur inscrit (user_id) : Exécution du contrat (Art. 6.1.b).

• chiffrement en transit (HTTPS/TLS 1.2+),
• chiffrement au repos des bases de données et volumes,
• authentification forte (2FA) pour les administrateurs,
• contrôle d'accès basé sur les rôles (RLS Supabase),
• journalisation des actions sensibles,
• sauvegardes régulières chiffrées,
• séparation stricte des environnements développement / production,
• conteneurs Docker sécurisés hébergés sur Microsoft Azure.

• Comptes utilisateurs actifs : Jusqu'à suppression volontaire du compte par l'utilisateur (droit à l'effacement Art. 17 RGPD).
• Comptes désactivés : suppression après désactivation 30 jours.
• Sauvegardes : purge automatique sous 90 jours.
• Messages de contact public : Suppression automatique après 30 jours.
• Cookies : 13 mois maximum. Pour plus d'informations, consultez notre Politique relative aux cookies.

Conversations IA :

• Conversations actives : Conservation illimitée, nécessaire pour maintenir l'historique et le contexte des échanges avec l'assistant IA.
• Messages : Liés à la conversation parent, suppression en cascade lors de la suppression de la conversation.
• Conversations liées à événements supprimés : Suppression automatique en cascade.
• Droit à l'effacement : Vous pouvez supprimer manuellement vos conversations à tout moment.

Jobs IA (tâches de traitement asynchrone) :

• Jobs réussis ou annulés : Suppression automatique après 30 secondes.
• Jobs en erreur : Suppression automatique après 24 heures.

Justification : La conservation illimitée des conversations IA est nécessaire pour fournir un service cohérent et contextuel. Les utilisateurs peuvent exercer leur droit à l'effacement à tout moment.

Suppression de compte : La suppression d'un compte utilisateur (auth.users) déclenche automatiquement la suppression en cascade de toutes les données associées :

• Profil (profiles)
• Événements créés (events)
• Invitations (invitations)
• Contacts (contacts)
• Publications et sondages (posts, poll_votes)
• Conversations IA (conversations, messages)
• Activités et tâches (activities, tasks)
• Entreprises et appartenances (company_members)
• Tous les autres contenus liés

Cette suppression est irréversible et effective dans un délai maximum de 30 jours.

• droit d'accès, de rectification, d'effacement et de portabilité de vos données,
• droit d'opposition et de limitation,
• droit de retrait du consentement à tout moment.

Certains sous-traitants sont situés en dehors de l'Union européenne. Les transferts sont encadrés par des garanties appropriées :

• OpenAI (États-Unis) : Traitement des conversations IA. Transfert encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne.
  Attention : Le contenu complet de vos messages (y compris les données personnelles que vous pourriez mentionner) est envoyé à OpenAI pour générer les réponses de l'assistant IA. Nous vous recommandons de ne pas partager de données sensibles non nécessaires.
• hCaptcha (États-Unis) : Protection anti-spam des formulaires. Transfert encadré par les Clauses Contractuelles Types (CCT). Seules des données techniques minimales (adresse IP, user-agent) sont transmises pour la validation anti-spam.

Données conservées dans l'UE : Toutes les autres données (comptes, événements, contacts, prestataires, etc.) sont hébergées sur Supabase et Microsoft Azure en Europe de l'Ouest, garantissant une conformité RGPD complète.