1. Introduction
La société GLOWHUB SASU, au capital de 1 000 euros, dont le siège social est situé 80 Avenue du Bac, 94100 Saint-Maur-des-Fossés (ci-après "GlowHub", "nous", "notre"), s'engage à protéger la vie privée des utilisateurs de ses services.
La présente politique de confidentialité décrit de manière transparente comment nous collectons, utilisons, partageons et protégeons vos données personnelles lorsque vous utilisez :
- GlowHub Pro (glowhubpro.fr) - Application de gestion pour les salons de coiffure et instituts de beauté
- GlowHub (glowhub.fr) - Plateforme de réservation pour les clients particuliers
- API GlowHub (api.glowhub.fr) - Services backend
Cette politique s'applique conformément au :
- Règlement Général sur la Protection des Données (RGPD) (UE) 2016/679
- Loi Informatique et Libertés n°78-17 du 6 janvier 1978, modifiée
- Directive ePrivacy 2002/58/CE concernant les cookies
2. Responsable du traitement
GLOWHUB SASU
Capital social : 1 000 euros
80 Avenue du Bac
94100 Saint-Maur-des-Fossés
France
RCS : Créteil 103 657 516
N° TVA : FR66103657516
Contact RGPD : contact@glowhub.fr
Président : Monsieur Axel PERBAL
3. Données collectées
3.1 Utilisateurs B2B (Professionnels - Salons)
| Catégorie | Données | Finalité | Obligatoire |
|---|---|---|---|
| Identification | Nom, prénom, email, téléphone | Création et gestion du compte, support | Oui |
| Entreprise | Raison sociale, SIRET, adresse, TVA | Facturation, conformité légale | Oui |
| Bancaires | IBAN (via Stripe) | Encaissement des paiements | Oui |
| Connexion | Identifiants, logs de connexion, IP | Sécurité, support technique | Oui |
| Usage | Actions dans l'application | Amélioration du service | Non |
| Préférences | Paramètres, notifications | Personnalisation | Non |
3.2 Utilisateurs B2C (Clients particuliers)
| Catégorie | Données | Finalité | Obligatoire |
|---|---|---|---|
| Identification | Nom, prénom, email, téléphone | Création compte, réservations | Oui |
| Rendez-vous | Historique, préférences, notes | Gestion des réservations | Oui |
| Beauté | Fiche technique (type cheveux, préférences) | Personnalisation des soins | Non |
| Santé | Allergies déclarées | Sécurité des soins | Non (consentement) |
| Conversations | Messages WhatsApp | Support client, devis | Non |
| Paiement | Données carte (tokenisées via Stripe) | Acomptes, paiements | Selon salon |
| Avis | Notes, commentaires | Amélioration services | Non |
| Favoris | Salons favoris | Expérience utilisateur | Non |
3.3 Données collectées automatiquement
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse IP | Sécurité, géolocalisation approximative | Intérêt légitime |
| Type de navigateur et appareil | Compatibilité, support | Intérêt légitime |
| Pages visitées et durée | Amélioration du service | Consentement (analytics) |
| Cookies | Voir section 9 | Selon type de cookie |
4. Bases légales des traitements
| Traitement | Base légale (Art. 6 RGPD) | Justification |
|---|---|---|
| Gestion des comptes | Exécution du contrat (b) | Nécessaire à la fourniture du service |
| Réservations et agenda | Exécution du contrat (b) | Nécessaire à la fourniture du service |
| Facturation et comptabilité | Obligation légale (c) | Art. L123-22 Code de commerce |
| Caisse conforme NF525 | Obligation légale (c) | Art. 286 CGI |
| Envoi de factures et rappels | Exécution du contrat (b) | Nécessaire au service |
| Marketing par email/SMS | Consentement (a) | Opt-in explicite requis |
| Fiche technique beauté | Consentement (a) | Données sensibles (allergies) |
| Analyse d'usage (anonymisée) | Intérêt légitime (f) | Amélioration du service |
| Sécurité et prévention fraude | Intérêt légitime (f) | Protection de la plateforme |
| Assistant IA | Exécution du contrat (b) | Fonctionnalité du service |
Concernant les données de santé (allergies) : Ces données sont traitées sur la base de l'article 9.2.a du RGPD (consentement explicite), recueilli lors de la création de la fiche technique.
5. Durées de conservation
| Type de données | Durée de conservation | Justification légale |
|---|---|---|
| Données de compte actif | Durée de la relation + 3 ans | Prescription commerciale |
| Données de compte supprimé | 3 ans après suppression | Gestion des litiges |
| Historique des rendez-vous | 3 ans après le dernier RDV | Suivi client |
| Factures et données comptables | 10 ans | Art. L123-22 Code de commerce |
| Données de caisse NF525 | 6 ans minimum | Art. 286 CGI + L102 B LPF |
| Logs de connexion | 1 an | Recommandation CNIL |
| Conversations WhatsApp | 2 ans | Gestion relation client |
| Données de paiement (Stripe) | Selon politique Stripe | PCI-DSS |
| Cookies | 13 mois maximum | Recommandation CNIL |
| Consentements | Durée du consentement + 3 ans | Preuve |
À l'expiration de ces délais, les données sont :
- Supprimées de manière sécurisée (méthodes certifiées)
- Ou anonymisées de manière irréversible pour les besoins statistiques
6. Destinataires des données
6.1 Au sein de GlowHub
Seuls les employés et prestataires habilités ont accès aux données, dans la limite stricte de leurs attributions et dans le respect du principe du moindre privilège.
6.2 Sous-traitants
Nous faisons appel aux sous-traitants suivants, tous conformes au RGPD et disposant d'un DPA (Data Processing Agreement) :
| Sous-traitant | Service | Localisation données | Garanties |
|---|---|---|---|
| Railway Inc. | Hébergement backend, BDD PostgreSQL | UE (Amsterdam) | DPA, SOC 2 Type II |
| Vercel Inc. | Hébergement frontend | UE (Paris) | DPA v2024, SOC 2, ISO 27001 |
| Stripe Inc. | Paiements | UE (Irlande) + US | DPA signé, PCI-DSS Level 1, EU-US DPF |
| Anthropic PBC | IA conversationnelle (Claude) | US | CCT, 0-day retention, SOC 2 |
| Meta Platforms | WhatsApp Business API | UE (Irlande) + US | DPA WhatsApp, CCT, ISO 27001 |
| OVH SAS | Nom de domaine | France | DPA, HDS, SecNumCloud |
6.3 Transferts hors UE
Certains sous-traitants (Anthropic, Meta, Stripe) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :
- Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914)
- Certification EU-US Data Privacy Framework le cas échéant
- Mesures techniques complémentaires : chiffrement, pseudonymisation, minimisation des données
6.4 Partage avec les salons (B2C)
Lorsque vous réservez dans un salon via GlowHub, les données suivantes sont partagées avec ce salon pour la bonne exécution du service :
- Nom et prénom
- Numéro de téléphone
- Historique de rendez-vous dans ce salon
- Fiche technique beauté (si consentie)
Le salon devient alors co-responsable du traitement pour ses propres finalités.
6.5 Autorités
Nous pouvons être amenés à communiquer des données aux autorités compétentes (CNIL, administration fiscale, justice) en cas d'obligation légale.
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
| Droit | Description | Délai |
|---|---|---|
| Accès (Art. 15) | Obtenir une copie de toutes vos données | 1 mois |
| Rectification (Art. 16) | Corriger des données inexactes ou incomplètes | 1 mois |
| Effacement (Art. 17) | Supprimer vos données ("droit à l'oubli") | 1 mois |
| Limitation (Art. 18) | Geler temporairement le traitement de vos données | 1 mois |
| Portabilité (Art. 20) | Recevoir vos données dans un format standard (JSON/CSV) | 1 mois |
| Opposition (Art. 21) | Vous opposer au traitement (marketing notamment) | Immédiat |
| Retrait du consentement | Retirer votre consentement à tout moment | Immédiat |
| Directives post-mortem | Définir le sort de vos données après votre décès | N/A |
Limitations :
- Le droit à l'effacement ne s'applique pas aux données que nous devons conserver pour des obligations légales (comptabilité, fiscalité)
- Le délai peut être prolongé de 2 mois pour les demandes complexes (nous vous en informerons)
Comment exercer vos droits
Par email : contact@glowhub.fr
Par courrier :
GLOWHUB SASU
Service Protection des Données
80 Avenue du Bac
94100 Saint-Maur-des-Fossés
Dans l'application : Paramètres > Mes données > Exporter / Supprimer
Vérification d'identité : Une pièce d'identité peut être demandée pour vérifier votre identité et éviter les demandes frauduleuses.
Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés après nous avoir contactés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site : www.cnil.fr
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
8. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD.
Mesures techniques
| Mesure | Spécification |
|---|---|
| Chiffrement en transit | TLS 1.3, certificats RSA 2048-bit |
| Chiffrement au repos | AES-256, clés maîtres tournantes |
| Hachage des mots de passe | bcrypt, cost factor 12 |
| Authentification | 2FA disponible, session tokens sécurisés (JWT) |
| Protection réseau | Pare-feu, protection DDoS, IDS/IPS |
| Sauvegardes | Quotidiennes, chiffrées, zone géographique distincte (UE) |
| Tests de sécurité | Audits réguliers, tests de pénétration |
| Journalisation | Logs des accès et actions, conservés 1 an |
Mesures organisationnelles
| Mesure | Description |
|---|---|
| Accès restreint | Principe du moindre privilège, revue trimestrielle |
| Formation | Sensibilisation RGPD de tout le personnel |
| Confidentialité | Engagement de confidentialité des employés |
| Procédures | Gestion des incidents, plan de continuité |
| Privacy by Design | Protection intégrée dès la conception |
En cas de violation de données
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés :
- Nous notifions la CNIL dans les 72 heures
- Nous vous informons dans les meilleurs délais si le risque est élevé
- Nous mettons en œuvre les mesures correctives nécessaires
9. Cookies
Types de cookies utilisés
| Type | Finalité | Durée | Consentement |
|---|---|---|---|
| Essentiels | Fonctionnement du site, authentification, sécurité | Session | Non requis |
| Fonctionnels | Préférences (thème, langue) | 1 an | Non requis |
| Analytiques | Mesure d'audience anonymisée | 13 mois | Oui |
| Marketing | Non utilisés | - | - |
Note importante : GlowHub n'utilise pas de cookies publicitaires ou de traçage marketing tiers.
Gestion des cookies
Vous pouvez gérer vos préférences :
- Via le bandeau cookies lors de votre première visite
- En cliquant sur "Gérer les cookies" en bas de page
- Dans les paramètres de votre navigateur
- Via les liens de désinscription dans nos emails
Pour plus de détails, consultez notre Politique de Cookies.
10. Intelligence Artificielle
10.1 Assistant IA (Claude)
GlowHub intègre un assistant IA basé sur Claude (Anthropic) pour :
- Répondre automatiquement aux messages WhatsApp des clients
- Fournir des conseils aux gérants et employés (module GlowHub IA)
10.2 Données traitées par l'IA
| Donnée | Traitement | Garanties |
|---|---|---|
| Texte des messages | Analyse pour générer une réponse | Pas de stockage par Anthropic (0-day retention) |
| Contexte salon | Personnalisation des réponses | Pseudonymisation |
| Historique conversation | Cohérence des échanges | Limité aux 20 derniers messages |
10.3 Garanties
- Pas d'entraînement : Anthropic ne peut pas utiliser vos données pour entraîner ses modèles (API Terms)
- Rétention zéro : Les données ne sont pas conservées après traitement
- Supervision humaine : Les réponses peuvent être revues par le salon
11. Mineurs
Nos services ne s'adressent pas aux personnes de moins de 16 ans.
Nous ne collectons pas sciemment de données concernant des mineurs de moins de 16 ans. Si vous êtes parent ou tuteur et constatez que votre enfant nous a fourni des données personnelles, contactez-nous immédiatement à contact@glowhub.fr pour que nous procédions à leur suppression.
12. Modifications de la politique
Nous pouvons modifier cette politique de confidentialité à tout moment pour refléter les évolutions de nos pratiques ou de la réglementation.
En cas de modification substantielle :
- Nous vous informerons par email ou notification dans l'application
- Au moins 30 jours avant l'entrée en vigueur des modifications
- Vous pourrez exercer vos droits avant l'application des nouvelles conditions
La date de "dernière mise à jour" en haut du document indique la version en vigueur.
13. Contact
Pour toute question relative à cette politique ou à vos données personnelles :
GLOWHUB SASU
Service Protection des Données
80 Avenue du Bac
94100 Saint-Maur-des-Fossés
France
Email : contact@glowhub.fr
Cette politique de confidentialité est conforme au RGPD (UE) 2016/679 et à la Loi Informatique et Libertés.