Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement au sens du Règlement général sur la protection des données (RGPD) est :

Slotlify
Propriétaire Dmitrii Shapiro
An den Krautgärten 33
65760 Eschborn
Allemagne
Téléphone : +49 (0)162 453 61 47
E-mail : service@slotlify.de

Aucun délégué à la protection des données n’a été désigné, car, selon notre appréciation actuelle, aucune obligation légale ne l’impose.


2. Présentation générale : qu’est-ce que Slotlify ?

Slotlify est une plateforme par laquelle des organisateurs d’événements et d’autres prestataires de services réservables (« Merchants ») peuvent s’inscrire et créer leurs propres organisations ou entités (« Tenants »). Les clients finaux (« Customers ») peuvent réserver des événements ou d’autres services via la vitrine publique d’un Merchant ou d’un Tenant.

La présente Politique de confidentialité s’applique à l’utilisation de notre site web, de notre plateforme ainsi que des services associés. Elle s’adresse à la fois :

  • aux Merchants qui utilisent Slotlify pour gérer leurs offres, réservations et Tenants, et
  • aux Customers qui effectuent des réservations via une vitrine ou consultent des informations sur des événements.

Remarque importante sur la répartition des rôles

Le rôle en matière de protection des données dépend du contexte précis dans lequel les données sont traitées :

a) Exploitation de la plateforme par Slotlify

Pour l’exploitation du site web et de la plateforme, la mise à disposition technique, l’hébergement, la sécurité, la gestion des comptes, le support, l’administration contractuelle, la facturation des plans Merchant et certaines intégrations avec des prestataires de services de paiement, nous traitons des données personnelles en tant que responsable du traitement.

b) Données de réservation dans la relation Merchant ↔ Customer

Lorsque des Merchants utilisent Slotlify pour gérer des réservations, des informations sur les participants ou des données clients de leurs Customers, le Merchant concerné est en règle générale le responsable du traitement pour ce traitement. Dans la mesure où nous traitons ces données exclusivement pour la mise à disposition technique des fonctions de la plateforme au profit du Merchant, nous agissons généralement en tant que sous-traitant pour le compte du Merchant concerné.

Dans ce cas, le Merchant concerné est responsable d’informer lui-même et de manière licite ses Customers sur le traitement de leurs données personnelles.

c) Traitement des paiements via des prestataires de services de paiement

Pour les paiements en ligne, nous faisons appel à des prestataires de services de paiement, notamment Stripe. Pour les paiements en ligne effectués par des Customers au bénéfice d’un Merchant, des Connected Accounts peuvent également être utilisés dans le cadre de Stripe Connect. Dans ce contexte, le prestataire de services de paiement concerné traite régulièrement des données personnelles, au moins en partie, sous sa propre responsabilité en matière de protection des données, conformément à sa propre politique de confidentialité. Tu trouveras davantage d’informations ci-dessous dans la présente Politique de confidentialité ainsi que dans les notices de confidentialité des prestataires concernés.


3. Bases juridiques du traitement

Nous traitons des données personnelles notamment sur les bases juridiques suivantes :

  • Art. 6, al. 1, let. b RGPD (contrat / mesures précontractuelles)
  • Art. 6, al. 1, let. c RGPD (obligation légale)
  • Art. 6, al. 1, let. f RGPD (intérêt légitime, par ex. sécurité, prévention des abus, mise à disposition technique, stabilité du système)
  • Art. 6, al. 1, let. a RGPD (consentement, par ex. pour les cookies d’analyse ou de marketing, lorsqu’ils sont utilisés)

Dans la mesure où nous traitons des données personnelles pour le compte d’un Merchant, ce traitement repose en outre sur un accord de sous-traitance conformément à l’art. 28 RGPD, pour autant que les conditions légales soient remplies.

Les consentements peuvent être retirés à tout moment pour l’avenir.


4. Catégories de données

Selon l’utilisation, nous traitons notamment les catégories de données personnelles suivantes :

a) Données Merchant / Tenant (B2B)

  • Données de compte : adresse e-mail, mot de passe (chiffré / hashé), prénom, nom, adresse
  • Données organisationnelles / Tenant : raison sociale, adresse, numéro de TVA, personne de contact, informations d’entreprise
  • Données contractuelles et d’utilisation : plan réservé, statut de facturation, informations de facture, durées, statut de résiliation
  • Données de support et de communication
  • Données liées à l’activation des paiements en ligne, en particulier statut du Connected Account, statut de vérification et activation des paiements

b) Données Customer / réservation (B2C)

  • Données de réservation : événement, date/heure, nombre de places, statut, services réservés
  • Données client, dans la mesure où elles sont nécessaires à la réservation : prénom, nom, adresse e-mail, adresse, numéro de téléphone
  • Données de réservation en tant qu’invité, lorsqu’une réservation sans compte client est possible
  • Informations sur les participants, dans la mesure où le Merchant en a besoin pour l’exécution de la prestation

c) Données de paiement et de transaction

  • Statut du paiement (par ex. payé, en attente, remboursé)
  • Identifiants de transaction, numéros de référence
  • Informations sur le mode de paiement choisi
  • Pour les plans Merchant : informations relatives au paiement à Slotlify
  • Pour les réservations Customer : informations relatives aux paiements en ligne au bénéfice du Merchant
  • Informations liées à Stripe Connect, notamment identifiant du Connected Account, statut d’onboarding, capacités / activations, statut des versements et informations de compte similaires

d) Données de communication

  • Communications par e-mail, par ex. demandes de support, confirmations, notifications système, messages liés aux réservations

e) Données techniques / journaux serveur

Lors de l’accès à notre site web et à notre plateforme, des données sont généralement traitées pour des raisons techniques, telles que :

  • adresse IP
  • date et heure de l’accès
  • pages / ressources consultées
  • user agent / type de navigateur / système d’exploitation
  • URL de provenance (referrer)
  • codes de statut / données techniques d’erreur

Ces données sont nécessaires pour fournir le site web, garantir la sécurité et maintenir la stabilité du système.


5. Hébergement, infrastructure, base de données, stockage de fichiers et e-mail

a) Hébergement

Nous hébergeons des composants centraux du système chez Hetzner en Allemagne. Dans ce cadre, les données et fichiers journaux nécessaires à la mise à disposition et à la sécurisation de la plateforme sont traités.

b) Base de données

Les données de réservation, de compte, de contrat et d’organisation sont stockées dans une base de données PostgreSQL, également hébergée par Hetzner en Allemagne.

c) Stockage de fichiers

Pour le stockage de photos, de téléchargements et d’autres fichiers, nous utilisons Google Cloud Storage, selon notre configuration actuelle dans la région de Francfort, Allemagne. Les contenus téléchargés et, le cas échéant, les métadonnées techniques sont traités dans ce cadre.

d) Envoi d’e-mails

Les e-mails transactionnels et système, par ex. confirmations, vérifications et notifications techniques, sont envoyés via un service SMTP de Hetzner.

Politique de confidentialité : https://www.hetzner.com/legal/privacy-policy/


6. Inscription et utilisation des comptes Merchant

Finalité

Création et gestion des comptes Merchant et des Tenants, exécution du contrat, mise à disposition de la plateforme, facturation, support, sécurité et prévention des abus.

Données traitées

En particulier les données de compte, les données organisationnelles, les données de plan et de contrat, les données techniques d’utilisation ainsi que les données de support.

Base juridique

  • Art. 6, al. 1, let. b RGPD (contrat / exécution du contrat d’utilisation)
  • Art. 6, al. 1, let. c RGPD (obligations légales, par ex. obligations de conservation fiscales et commerciales)
  • Art. 6, al. 1, let. f RGPD (sécurité, prévention des abus, exploitation du système)


7. Réservations par les Customers

Finalité

Exécution et gestion des réservations, communication en lien avec les réservations, mise à disposition d’informations de réservation et de participation aux Merchants, exploitation technique des vitrines et des parcours de réservation.

Données traitées

En particulier le nom, l’adresse e-mail, le numéro de téléphone, l’adresse, les données de réservation, les données relatives à l’événement et les informations de statut, dans la mesure où cela est nécessaire à la réservation concernée.

Lorsqu’une réservation est effectuée en tant qu’invité, nous traitons les données client nécessaires pour exécuter la réservation et communiquer, en particulier pour les confirmations de réservation ou les demandes complémentaires.

Base juridique

  • Art. 6, al. 1, let. b RGPD, dans la mesure où le traitement est nécessaire à l’exécution de la réservation
  • Art. 6, al. 1, let. f RGPD, dans la mesure où le traitement est nécessaire à l’exploitation technique, à la sécurité et à l’intégrité de la plateforme

Destinataires

Le Merchant concerné reçoit les données de réservation et de participation nécessaires à l’exécution de l’événement ou du service, dans la mesure où ces données ont été collectées dans le cadre du processus de réservation.

Remarque importante

Dans la mesure où nous traitons les données de réservation et les données client exclusivement pour le compte du Merchant, cela est effectué dans le cadre d’une sous-traitance pour le Merchant. Dans ces cas, le Merchant concerné est en règle générale principalement responsable d’informer ses Customers au regard du droit de la protection des données et d’assurer la base juridique correspondante.


8. Traitement des paiements

Nous utilisons des prestataires de services de paiement, notamment Stripe. Nous ne stockons pas nous-mêmes les données complètes de carte bancaire.

Selon le processus de paiement concerné, nous recevons notamment des prestataires des informations de statut, par exemple :

  • « payé »
  • « en attente »
  • « échoué »
  • « remboursé »
  • identifiant de transaction / données de référence

Nous avons besoin de ces informations pour l’exécution du contrat, la facturation, l’affectation des paiements et les cas de support.

Base juridique

  • Art. 6, al. 1, let. b RGPD (contrat / traitement du paiement / réservation)
  • Art. 6, al. 1, let. c RGPD (obligations fiscales et commerciales)
  • Art. 6, al. 1, let. f RGPD (prévention des abus, traçabilité, sécurité du système)

Remarque importante sur la répartition des rôles

Les prestataires de services de paiement comme Stripe traitent régulièrement les données de paiement, selon la configuration concrète, en tout ou partie en tant que responsables de traitement indépendants au titre de leurs propres politiques de confidentialité. Cela vaut en particulier pour le traitement des paiements, la prévention de la fraude, les contrôles de risque, les exigences réglementaires ainsi que les processus d’identité et de vérification.

Politique de confidentialité Stripe : https://stripe.com/privacy

Pour plus d'informations sur le traitement des données par Stripe, notamment l'accord de traitement des données (DPA) : https://stripe.com/de/legal/dpa


9. Stripe Connect / Connected Accounts

Lorsque les Merchants activent les paiements en ligne pour leurs Customers, Stripe Connect peut être utilisé à cette fin. Dans ce contexte, nous pouvons transmettre à Stripe des données personnelles du Merchant et, le cas échéant, de représentants autorisés, ou récupérer ces données auprès de Stripe, dans la mesure où cela est nécessaire à la mise en place, à la vérification, à la gestion et à l’utilisation du Connected Account.

Les données suivantes peuvent notamment être traitées :

  • nom, adresse e-mail et coordonnées du Merchant ou des personnes de contact
  • données d’entreprise et d’adresse
  • informations fiscales ou réglementaires légalement requises
  • informations de statut relatives au Connected Account
  • statut de vérification et d’activation
  • informations relatives à l’activation des paiements, à la capacité de versement et aux restrictions

Finalité

  • mise en place et gestion des paiements en ligne pour les Merchants
  • exécution de l’onboarding auprès de Stripe
  • vérification et activation des fonctions de paiement
  • affichage technique des informations de compte et de statut dans le tableau de bord Merchant
  • prévention des abus et respect des exigences réglementaires

Base juridique

  • Art. 6, al. 1, let. b RGPD (exécution du contrat avec le Merchant)
  • Art. 6, al. 1, let. c RGPD (respect des obligations légales, le cas échéant)
  • Art. 6, al. 1, let. f RGPD (fonctionnement sûr et opérationnel de la plateforme et des fonctions de paiement)

Stripe traite certaines données personnelles en lien avec les contrôles d’identité, la vérification, la prévention de la fraude et le traitement des paiements selon sa propre politique de confidentialité. Politique de confidentialité : https://stripe.com/privacy


10. Plans Merchant et paiements à Slotlify

Lorsque les Merchants souscrivent à un plan payant, nous traitons les données contractuelles, de facturation et de paiement nécessaires à cette fin.

Finalité

  • exécution du contrat
  • facturation
  • preuve des paiements
  • gestion des durées, résiliations et renouvellements
  • respect des obligations légales de conservation

Base juridique

  • Art. 6, al. 1, let. b RGPD
  • Art. 6, al. 1, let. c RGPD


11. Frais de plateforme pour les réservations Customer

Selon le plan Merchant choisi, des frais de plateforme peuvent être dus au profit de Slotlify pour les réservations. Ces frais de plateforme peuvent être techniquement traités via le prestataire de services de paiement utilisé, par ex. sous forme d’Application Fee dans le cadre de Stripe Connect.

Dans ce contexte, nous traitons les données de transaction et d’affectation nécessaires à cette fin, notamment :

  • références de réservation
  • statut du paiement
  • montant des frais de plateforme
  • affectation au Merchant
  • informations de transaction pertinentes pour la facturation

Finalité

  • calcul et facturation des frais de plateforme
  • affectation technique des frais aux réservations et aux Merchants
  • finalités de preuve et de comptabilité

Base juridique

  • Art. 6, al. 1, let. b RGPD
  • Art. 6, al. 1, let. c RGPD
  • Art. 6, al. 1, let. f RGPD


12. Authentification

Pour la connexion et l’authentification, nous utilisons NextAuth ainsi qu’un mécanisme d’authentification Payload. Une connexion via Google (OAuth) peut également être proposée.

Si tu te connectes via Google, nous recevons de Google les informations nécessaires à la connexion, par ex. l’adresse e-mail et, le cas échéant, le nom, selon les autorisations / scopes accordés.

Finalité

Mise à disposition des fonctions de connexion et de compte, authentification sécurisée et gestion des sessions.

Base juridique

Art. 6, al. 1, let. b RGPD


13. Analyse web

Si tu as donné ton consentement, nous utilisons Google Analytics pour analyser l’utilisation de notre site web et de notre plateforme.

Dans ce cadre, des données d’utilisation peuvent notamment être traitées, telles que :

  • pages vues
  • interactions
  • informations sur l’appareil et le navigateur
  • informations de localisation approximative
  • paramètres techniques d’utilisation

L’anonymisation de l’adresse IP est activée dans la mesure où cela est prévu dans l’implémentation concernée.

Base juridique

Art. 6, al. 1, let. a RGPD (consentement)

Le traitement n’a lieu qu’après le consentement correspondant via notre gestion du consentement.

Politique de confidentialité Google : https://policies.google.com/privacy

Informations sur Google Analytics : https://support.google.com/analytics/answer/6004245


14. Analyse d’erreurs / monitoring

Nous utilisons Sentry pour l’analyse technique des erreurs et la stabilisation du système. Dans ce cadre, des données techniques et des diagnostics d’erreurs peuvent être traités, par exemple :

  • moment de l’erreur
  • navigateur / appareil
  • requêtes techniques
  • pages ou composants concernés
  • informations contextuelles minimisées pour la résolution des problèmes

Finalité

Sécurité opérationnelle, résolution des erreurs, stabilité du système et détection des abus.

Base juridique

Art. 6, al. 1, let. f RGPD (intérêt légitime à une exploitation sûre et stable)

Politique de confidentialité : https://sentry.io/privacy/


15. Google Places API

Nous utilisons l’API Google Places pour fournir des fonctions liées à la localisation, telles que la recherche d’adresses ou de lieux. Des requêtes de recherche et des métadonnées techniques peuvent être transmises à Google dans ce cadre.

Base juridique

  • Art. 6, al. 1, let. f RGPD, dans la mesure où la fonction est nécessaire à une utilisation pratique et appropriée
  • et, lorsque l’implémentation concrète requiert un consentement, art. 6, al. 1, let. a RGPD via la gestion du consentement


16. Liens externes

Notre site web et notre plateforme peuvent contenir des liens vers des services externes, par ex. LinkedIn ou Discord. Si tu cliques sur de tels liens, tu quittes notre site web. Les traitements de données effectués par ces prestataires externes relèvent exclusivement de leurs propres politiques de confidentialité.


17. Cookies, gestion du consentement et accès au terminal

Nous utilisons notre propre gestion du consentement afin d’administrer les consentements relatifs aux cookies et technologies similaires.

Les catégories de cookies peuvent notamment inclure :

  • cookies nécessaires (par ex. connexion, sécurité, session)
  • cookies fonctionnels
  • cookies d’analyse
  • cookies de performance
  • cookies publicitaires, lorsqu’ils sont utilisés

Nous ne déposons des cookies ou technologies non essentiels que si tu y as préalablement consenti. Tu peux modifier ou retirer ton consentement à tout moment via les paramètres des cookies.


18. Transfert de données vers des pays tiers

Certains prestataires que nous utilisons peuvent traiter des données en dehors de l’UE ou de l’EEE ou les y transférer, notamment selon l’utilisation et la configuration concrètes, par ex. Stripe, Google ou Sentry. Lorsqu’un transfert vers des pays tiers a lieu, nous nous appuyons, lorsque cela est légalement requis, sur des garanties appropriées, telles que des décisions d’adéquation ou des clauses contractuelles types, ainsi que, le cas échéant, des mesures de protection supplémentaires.


19. Durée de conservation

En principe, nous ne conservons les données personnelles que pendant la durée nécessaire aux finalités concernées ou tant qu’il existe des obligations légales de conservation.

Durées indicatives, sauf obligations différentes :

  • Comptes Merchant : au moins 12 mois ; au-delà jusqu’à la suppression / fin du contrat, dans la mesure nécessaire à l’exécution du contrat, à des fins de preuve ou de défense
  • Données de réservation et de facturation : selon les délais légaux de conservation applicables, généralement 6, 8 ou 10 ans selon le type de document
  • Journaux serveur : env. 30 à 90 jours, sauf si des raisons de sécurité imposent une conservation plus longue
  • Données de support et de communication : aussi longtemps que nécessaire ; éventuellement plus longtemps pour assurer la traçabilité, sauf obligation de suppression
  • Données analytiques (Google Analytics) : selon la durée de conservation configurée, actuellement par ex. 14 mois, si configuré en ce sens


20. Tes droits

Sous réserve que les conditions légales soient remplies, tu disposes des droits suivants :

  • droit d’accès (art. 15 RGPD)
  • droit de rectification (art. 16 RGPD)
  • droit à l’effacement (art. 17 RGPD)
  • droit à la limitation du traitement (art. 18 RGPD)
  • droit à la portabilité des données (art. 20 RGPD)
  • droit d’opposition aux traitements fondés sur l’intérêt légitime (art. 21 RGPD)
  • retrait du consentement pour l’avenir (art. 7, al. 3 RGPD)

Tu peux adresser tes demandes à tout moment à : service@slotlify.de

Si ta demande concerne des données de réservation qu’un Merchant traite sous sa propre responsabilité, il pourra être nécessaire que tu t’adresses d’abord au Merchant concerné.


21. Droit d’introduire une réclamation auprès d’une autorité de contrôle

Tu as le droit d’introduire une réclamation auprès d’une autorité de contrôle en matière de protection des données. Pour la Hesse, l’autorité compétente est :

Le Commissaire à la protection des données et à la liberté d’information du Land de Hesse (HBDI)

Postfach 31 63, 65021 Wiesbaden, Allemagne

E-mail : poststelle@datenschutz.hessen.de

Téléphone : +49 611 1408-0

Site web : https://datenschutz.hessen.de/


22. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données personnelles, notamment :

  • chiffrement TLS / HTTPS
  • concepts d’accès fondés sur les rôles et autorisations, lorsqu’ils sont techniquement mis en œuvre
  • journalisation pour l’analyse de sécurité et d’erreurs
  • mises à jour et maintenance régulières
  • mesures de sécurisation des comptes et de l’infrastructure


23. Modifications de la présente Politique de confidentialité

Nous pouvons adapter la présente Politique de confidentialité si la situation juridique, nos services, nos intégrations ou le type de traitement des données évoluent. La version actuellement publiée sur notre site web fait foi.

En cas de divergence ou d’incohérence, la version allemande prévaut.