Politique de Confidentialité

Cette politique a pour objectif d'informer les utilisateurs sur la manière dont Pistache SAS collecte, utilise, protège et partage leurs données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.

Pistache collecte uniquement les données strictement nécessaires à la gestion du service et à l'organisation logistique des événements :

• Informations de compte : nom, prénom, e-mail, mot de passe chiffré ;
• Données d'événements : nom, dates, lieu, description, état (brouillon, invitation, animation, capitalisation) ;
• Invitations et participations : statut de participation (organisateur, présent, absent, peut-être), niveau de permission (créateur, organisateur, invité) ;
• Carnet de contacts : nom, prénom, e-mail, entreprise des personnes invitées (inscrits ou non-inscrits sur la plateforme) ;
• Annuaire de prestataires : nom, entreprise, type, coordonnées professionnelles (e-mail, téléphone, adresse, site web), notes et évaluations ;
• Données de navigation : via mesure d'audience anonymisée (Matomo).

Aucune donnée n'est utilisée à des fins commerciales ou publicitaires.

Dans le cadre de l'utilisation des fonctionnalités de Pistache, les données suivantes peuvent également être collectées :

• Publications et sondages : messages, titres, options de sondages, votes ;
• Activités planifiées : créneaux, titres, lieux, descriptions, statuts (brouillon, planifiée, confirmée, terminée, annulée) ;
• Tâches de gestion : titres, descriptions, statuts, priorités, échéances ;
• Codes de partage : codes d'accès sécurisés pour invitations événements ;
• Entreprises et équipes : nom d'entreprise, membres, rôles (administrateur, membre).

IMPORTANT - Données sensibles dans les conversations IA

Pistache propose un assistant basé sur l'intelligence artificielle pour faciliter l'organisation de vos événements. Les conversations avec l'assistant sont stockées pour maintenir l'historique et le contexte.

Attention : Les messages que vous envoyez à l'assistant IA peuvent contenir des données personnelles que vous fournissez volontairement (noms de participants, coordonnées, informations sur votre événement, etc.).

Traitement par un prestataire tiers : Le contenu de vos messages est transmis à un prestataire spécialisé en intelligence artificielle (voir la liste des sous-traitants à la section 5) pour générer les réponses de l'assistant. Ce transfert est encadré par les garanties contractuelles appropriées conformément au RGPD.

Recommandation : Évitez de partager des données personnelles sensibles non nécessaires dans vos conversations avec l'assistant.

Lors de l'envoi d'un message via le formulaire de contact, nous collectons :

• Données d'identité : nom, e-mail ;
• Contenu du message : sujet, message ;
• Données techniques (pour sécurité anti-spam) : adresse IP, user-agent (navigateur/OS), temps de saisie.

Base légale : Consentement explicite (RGPD Art. 6.1.a) + Intérêt légitime (Art. 6.1.f) pour la sécurité anti-spam.

Conservation : Suppression automatique après 30 jours (conformité RGPD Art. 5.1.e).

Lorsqu'un invité ou un visiteur public accède à une page d'événement, des données peuvent être collectées, notamment le choix de participation, les informations d'identification nécessaires à l'inscription et, le cas échéant, les réponses aux questionnaires proposés par l'organisateur. La nature exacte des données collectées dépend des fonctionnalités activées par l'organisateur.

Preuve de consentement : Lors de l'acceptation des CGU, les données suivantes sont enregistrées conformément aux recommandations de la CNIL (WP259 rev.01) : identifiant du contact, horodatage du consentement, version des CGU acceptées, adresse IP complète et user-agent du navigateur.

Base légale : Consentement explicite (RGPD Art. 6.1.a), matérialisé par l'acceptation des CGU et de la présente Politique de confidentialité via une case à cocher, ainsi que l'intérêt légitime de l'organisateur (Art. 6.1.f) pour la gestion de son événement. La conservation de l'adresse IP à des fins de preuve de consentement repose sur l'obligation légale (Art. 6.1.c du RGPD) et l'intérêt légitime (Art. 6.1.f).

Destinataires : Les données sont transmises à l'organisateur de l'événement, qui est lui-même responsable de traitement pour les données qu'il exploite dans le cadre de l'organisation de son événement. Les preuves de consentement (IP, user-agent) ne sont pas transmises à l'organisateur et sont conservées uniquement par Pistache.

Conservation : Les données sont conservées pour la durée nécessaire à l'organisation de l'événement et supprimées en cascade lors de la suppression de l'événement ou du compte de l'organisateur. Les preuves de consentement sont conservées pendant la durée de la relation contractuelle + 5 ans, à l'issue de laquelle l'adresse IP et le user-agent sont anonymisés ou supprimés.

Sauvegarde temporaire des saisies en cours : Afin de faciliter le parcours d'inscription et d'éviter la perte de données en cas de rechargement de la page, vos saisies (réponses au questionnaire, fichiers déposés) sont sauvegardées temporairement côté serveur avant validation finale du formulaire. Ces données sont conservées au maximum 7 jours puis automatiquement purgées si l'inscription n'est pas finalisée. Cette sauvegarde repose sur la base légale de l'intérêt légitime (RGPD Art. 6.1.f) — fiabilité du parcours utilisateur — et est convertie en données d'inscription définitives au moment de la validation du formulaire.

Stockage temporaire dans le navigateur : Pendant le parcours d'inscription en plusieurs étapes (formulaire de contact puis questionnaire), vos coordonnées (nom, prénom, e-mail, entreprise) et l'acceptation des CGU sont conservées temporairement dans la mémoire de session de votre navigateur (sessionStorage) afin de préserver votre saisie en cas de rechargement de page. Ces données sont scopées par événement, ne sont jamais transmises à des tiers, sont automatiquement supprimées à la fermeture de l'onglet ou à la finalisation de l'inscription. Ce stockage est strictement nécessaire au service que vous demandez et repose sur l'intérêt légitime (RGPD Art. 6.1.f) ; il est exempté de consentement préalable conformément aux recommandations de la CNIL.

Les traitements ont pour finalité :

• la création et gestion des comptes utilisateurs ;
• la gestion logistique et organisationnelle des événements (planification, invitations, activités, tâches) ;
• la gestion du carnet de contacts et de l'annuaire de prestataires ;
• la communication entre participants (publications, sondages) ;
• l'assistance IA pour la planification d'événements ;
• la gestion des entreprises et des équipes ;
• la sécurité et la maintenance du service ;
• la mesure anonyme d'audience et de performance du site.

Les traitements sont fondés sur :

• L'exécution du contrat (Article 6.1.b RGPD) : pour la majorité des traitements (comptes utilisateurs, événements, invitations, entreprises, conversations IA, publications, activités, tâches) ;
• Le consentement (Article 6.1.a RGPD) : pour les opérations facultatives (cookies analytiques, formulaire de contact, extraction IA de contacts depuis fichiers fournis) ;
• L'intérêt légitime (Article 6.1.f RGPD) : pour la gestion professionnelle de carnets de contacts et annuaires de prestataires (contexte B2B), la sécurité anti-spam et anti-fraude ;
• Le respect d'obligations légales : pour la conservation des données comptables et fiscales.

Carnet de contacts - Bases légales selon le mode d'ajout :

• Contact ajouté manuellement par organisateur : Intérêt légitime (Art. 6.1.f) - gestion d'événements professionnels ;
• Contact extrait automatiquement par IA depuis fichier fourni : Consentement implicite (Art. 6.1.a) via fourniture volontaire du fichier ;
• Contact lié à un utilisateur inscrit (user_id) : Exécution du contrat (Art. 6.1.b).

Aucun transfert de données personnelles n'est effectué hors de l'Union européenne en dehors des cas expressément prévus (OpenAI, hCaptcha).

Les données sont protégées par des mesures techniques et organisationnelles appropriées, incluant notamment :

• chiffrement en transit (HTTPS/TLS) et au repos ;
• authentification forte pour les administrateurs ;
• contrôle d'accès basé sur les rôles ;
• journalisation des actions sensibles ;
• sauvegardes régulières chiffrées ;
• séparation stricte des environnements de développement et de production.

• Comptes utilisateurs actifs : Jusqu'à suppression volontaire du compte par l'utilisateur (droit à l'effacement Art. 17 RGPD).
• Comptes désactivés : suppression après désactivation 30 jours.
• Sauvegardes : purge automatique sous 90 jours.
• Messages de contact public : Suppression automatique après 30 jours.
• Saisies temporaires d'inscription : 7 jours maximum (sauvegarde temporaire des saisies en cours d'inscription (réponses partielles, fichiers déposés) avant validation finale), puis purge automatique.
• Cookies : 13 mois maximum. Pour plus d'informations, consultez notre Politique relative aux cookies.
• Preuves de consentement : durée de la relation contractuelle + 5 ans (conservation des preuves de consentement (horodatage, version CGU, adresse IP, user-agent) puis anonymisation).

Conversations IA :

• Conversations actives : Les conversations sont conservées tant que nécessaire pour maintenir l'historique et le contexte des échanges avec l'assistant.
• Suppression automatique : Les conversations liées à un événement ou un compte supprimé sont automatiquement supprimées en cascade.
• Droit à l'effacement : Vous pouvez supprimer manuellement vos conversations à tout moment.

Données de traitement temporaires : Les données techniques liées au traitement des requêtes IA sont supprimées automatiquement après un court délai.

Suppression de compte : La suppression d'un compte utilisateur déclenche automatiquement la suppression en cascade de toutes les données associées (profil, événements, invitations, contacts, publications, conversations, activités, et tout autre contenu lié).

Cette suppression est irréversible et effective dans un délai maximum de 30 jours.

Conformément au RGPD, vous disposez des droits suivants :

• droit d'accès, de rectification, d'effacement et de portabilité de vos données ;
• droit d'opposition et de limitation ;
• droit de retrait du consentement à tout moment.

Pour exercer ces droits : contact@pistache-app.fr.

Pistache tient un registre interne recensant la nature, la finalité et la durée de conservation de chaque traitement, conformément à l'article 30 du RGPD.

En cas de violation avérée de données personnelles, Pistache notifiera la CNIL dans un délai maximal de 72 heures, et informera les utilisateurs concernés sans délai excessif.

Certains sous-traitants sont situés en dehors de l'Union européenne (voir la liste en section 5). Ces transferts sont encadrés par les garanties contractuelles appropriées prévues par le RGPD, notamment les Clauses Contractuelles Types (CCT) de la Commission européenne.

Données conservées dans l'UE : La majorité des données sont hébergées au sein de l'Union européenne, garantissant une conformité RGPD complète.