1. Responsable de traitement
StashMe SAS est le sous-traitant des donnees personnelles collectees via la plateforme, au sens du Reglement General sur la Protection des Donnees (RGPD). La Venue (l'etablissement utilisateur du service) est le responsable de traitement pour les donnees de ses propres clients.
2. Donnees collectees
2.1 Donnees des utilisateurs de la Venue (personnel)
- Adresse email
- Nom et prenom
- Mot de passe (stocke sous forme de hash bcrypt)
- Role (Administrateur ou Staff)
- Date de derniere connexion
2.2 Donnees des clients de la Venue (utilisateurs finaux)
- Numero de telephone (si requis par la Venue)
- Prenom et nom (si requis par la Venue)
- Consentement marketing SMS
- Donnees de session de vestiaire (numeros de cintre, articles deposes, horodatage)
- Donnees de paiement (traitees par SumUp/Stripe, non stockees par StashMe)
2.3 Donnees techniques
- Adresse IP
- User Agent du navigateur
- Donnees d'analyse anonymisees (via Umami Analytics)
3. Finalites du traitement
Les donnees sont collectees pour :
- Fournir le service de gestion de vestiaire
- Generer des tickets numeriques et QR codes
- Traiter les paiements via les prestataires tiers
- Envoyer des notifications relatives au service (restitution, rappels)
- Envoyer des communications marketing (uniquement avec consentement explicite)
- Ameliorer le service via des statistiques anonymisees
- Assurer la securite et prevenir la fraude
4. Base legale du traitement
- Execution du contrat : traitement necessaire a la fourniture du service
- Consentement : communications marketing par SMS
- Interet legitime : securite, prevention de la fraude, amelioration du service
- Obligation legale : conservation des donnees de facturation
5. Partage des donnees
Les donnees peuvent etre partagees avec :
- SumUp / Stripe : traitement des paiements
- Brevo : envoi d'emails transactionnels et d'invitations
- La Venue : donnees de ses propres clients dans le cadre du service
- Autorites competentes : en cas d'obligation legale
StashMe ne vend jamais les donnees personnelles a des tiers. Les donnees ne sont pas transferees en dehors de l'Espace Economique Europeen (EEE), sauf dans le cadre des services fournis par les prestataires mentionnes ci-dessus, qui disposent de garanties adequates (clauses contractuelles types).
6. Securite des donnees
- Chiffrement des mots de passe (bcrypt, 10 rounds)
- Communications chiffrees (HTTPS/TLS)
- Tokens d'authentification JWT
- Acces restreint base sur les roles (RBAC)
- Base de donnees PostgreSQL avec connexions chiffrees
7. Duree de conservation
- Comptes utilisateurs : conserves tant que le compte est actif
- Sessions de vestiaire : conservees pendant la duree de l'abonnement de la Venue
- Donnees de paiement : conservees conformement aux obligations legales (10 ans pour les pieces comptables)
- Tokens de reinitialisation de mot de passe : 1 heure
- Invitations : 7 jours
8. Vos droits (RGPD)
Conformement au RGPD, vous disposez des droits suivants :
- Droit d'acces : obtenir une copie de vos donnees personnelles
- Droit de rectification : corriger des donnees inexactes
- Droit a l'effacement : demander la suppression de vos donnees
- Droit a la limitation : restreindre le traitement de vos donnees
- Droit d'opposition : vous opposer au traitement de vos donnees
- Droit a la portabilite : recevoir vos donnees dans un format structure
- Droit de retrait du consentement : retirer votre consentement a tout moment
Pour exercer ces droits, contactez-nous a privacy@stashme.io. Nous repondrons dans un delai de 30 jours.
Vous pouvez egalement introduire une reclamation aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes) : www.cnil.fr.
9. Sous-traitance (DPA)
StashMe agit en tant que sous-traitant au sens de l'article 28 du RGPD. Un accord de traitement des donnees (DPA) est disponible sur demande pour les Venues qui le souhaitent.
10. Contact
Pour toute question relative a la protection de vos donnees : privacy@stashme.io