Politique de confidentialité
Dernière mise à jour : mai 2026
1. Responsable du traitement
Belle (« nous », « notre société ») exploite la plateforme hellobelle.app. Pour toute question relative à la présente politique ou à vos données personnelles, contactez-nous à l’adresse [email protected].
2. Données collectées
Équipe du salon (titulaires de compte)
- Nom, adresse e-mail, mot de passe (haché avec Argon2id)
- Préférence de langue
- Appartenance et rôle au sein de chaque salon
Clients (ayant réservé via un salon)
- Nom (obligatoire)
- Numéro de téléphone (obligatoire, stocké au format E.164)
- Adresse e-mail (facultatif)
- Date de naissance (facultatif, utilisée uniquement pour les souhaits d’anniversaire)
Nous appliquons le principe de minimisation des données : nous ne collectons que ce qui est nécessaire à la gestion des rendez-vous et à la communication.
3. Finalités et base juridique
| Finalité | Données | Base juridique |
|---|---|---|
| Prise de rendez-vous | Nom, téléphone, e-mail | Consentement (Art. 6, par. 1, point a)) pour les réservations en ligne ; Intérêt légitime (Art. 6, par. 1, point f)) pour les enregistrements créés par l’équipe |
| Rappels de rendez-vous | Téléphone, e-mail | Exécution du contrat (Art. 6, par. 1, point b)) |
| Authentification du compte | E-mail, hash du mot de passe | Exécution du contrat (Art. 6, par. 1, point b)) |
| Facturation et abonnement | E-mail, nom du salon | Exécution du contrat (Art. 6, par. 1, point b)) |
| Amélioration du service | Données d’utilisation anonymisées | Intérêt légitime (Art. 6, par. 1, point f)) |
4. Destinataires et sous-traitants
Nous ne partageons les données personnelles qu’avec les prestataires suivants, dans le cadre de contrats de sous-traitance au sens de l’Art. 28 du RGPD :
| Prestataire | Finalité | Localisation | Garanties |
|---|---|---|---|
| Railway | Hébergement, base de données, Redis | UE | Hébergement dans l’UE |
| Cloudflare | CDN, DNS, stockage objet | Mondial | Clauses contractuelles types |
| Resend | E-mail transactionnel | États-Unis | Clauses contractuelles types |
| Twilio | SMS et WhatsApp | États-Unis | Clauses contractuelles types |
5. Transferts internationaux
Vos données sont principalement hébergées dans l’UE (Railway). Lorsque des données sont traitées par des sous-traitants établis aux États-Unis (Resend, Twilio), nous nous appuyons sur les Clauses contractuelles types (CCT) approuvées par la Commission européenne afin de garantir un niveau de protection adéquat.
6. Durées de conservation
| Données | Conservation |
|---|---|
| Données clients | Jusqu’à suppression par le titulaire du salon, ou suppression du salon |
| Dossiers de rendez-vous | Jusqu’à la suppression du salon (peuvent être anonymisés sur demande d’effacement du client) |
| Journaux de notifications | 12 mois |
| Journaux d’audit | 24 mois |
| Rendez-vous supprimés provisoirement | 90 jours avant suppression définitive |
| Données du salon après demande de suppression | Délai de grâce de 30 jours, puis suppression définitive |
7. Vos droits
En vertu du RGPD, vous disposez des droits suivants :
- Accès (Art. 15) : Obtenir une copie de l’ensemble des données personnelles que nous détenons à votre sujet.
- Rectification (Art. 16) : Faire corriger les données inexactes.
- Effacement (Art. 17) : Demander la suppression de vos données. Lorsque les dossiers de rendez-vous doivent être conservés pour des raisons légales, nous procédons à leur anonymisation.
- Limitation (Art. 18) : Restreindre le traitement dans certaines circonstances.
- Portabilité (Art. 20) : Recevoir vos données dans un format structuré et lisible par machine (JSON).
- Opposition (Art. 21) : Vous opposer au traitement fondé sur l’intérêt légitime.
- Retrait du consentement (Art. 7, par. 3) : Retirer votre consentement à tout moment, sans affecter la licité du traitement effectué antérieurement.
Pour exercer l’un de ces droits, contactez [email protected]. Nous répondons dans un délai de 30 jours (Art. 12).
Les titulaires de salon peuvent exporter les données clients et les données du salon directement depuis le tableau de bord Belle.
8. Cookies
Belle n’utilise que des cookies strictement nécessaires :
| Cookie | Finalité | Type | Durée |
|---|---|---|---|
| belle_refresh | Session d’authentification (jeton d’actualisation) | Strictement nécessaire | Session |
Nous n’utilisons pas de cookies d’analyse, de publicité ni de traçage. Aucune bannière de consentement n’est requise pour les cookies strictement nécessaires au titre de la Directive e-Privacy (Art. 5, par. 3).
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles conformément à l’Art. 32 du RGPD :
- Hachage des mots de passe avec Argon2id (64 Mo de mémoire, 3 itérations)
- TLS 1.3 pour l’ensemble des connexions
- Sécurité au niveau des lignes (row-level security) pour isoler les données de chaque salon en base de données
- Authentification JWT avec jetons d’accès à durée de vie courte (15 min) et jetons d’actualisation rotatifs
- Limitation du débit (rate limiting) et en-têtes stricts de Content Security Policy
10. Décisions automatisées
Belle n’a pas recours à la prise de décision automatisée ni au profilage au sens de l’Art. 22 du RGPD.
11. Réclamation
Vous avez le droit d’introduire une réclamation auprès de l’autorité de contrôle compétente. En France : CNIL (Commission nationale de l’informatique et des libertés) sur cnil.fr.
12. Modifications
La présente politique peut être mise à jour. Toute modification substantielle sera notifiée par e-mail aux titulaires de compte.