Politique de confidentialité (RGPD)
Dernière mise à jour : 30 avril 2026
Brouillon à faire valider par un professionnel du droit / DPO avant mise en ligne définitive. Une déclaration préalable à la CNIL n'est pas requise mais l'Éditeur doit tenir un registre des activités de traitement.
La présente politique décrit comment CR Audio (ci-après « le Service ») collecte, utilise et protège les données à caractère personnel des utilisateurs, conformément au Règlement Général sur la Protection des Données (UE 2016/679, ci-après « RGPD ») et à la Loi Informatique et Libertés modifiée.
1. Responsable du traitement
Le responsable du traitement est :
- Paul Arthur CHAIGNEAU, entrepreneur individuel (auto-entrepreneur)
- Dénomination commerciale : Loue Ta Lunette / CR Audio
- RCS Romans : 103 705 463
- Adresse : 982 Chemin des Roufiats, 26120 Montélier
- Email : louetalunette@gmail.com
La nomination d'un Délégué à la Protection des Données (DPO) n'étant pas obligatoire compte tenu de la taille et de la nature de l'activité, l'Éditeur agit en tant que correspondant unique pour toute demande relative à la protection des données.
2. Données collectées
Le Service collecte les catégories de données suivantes :
2.1 Données d'identification (compte utilisateur)
- Adresse email (identifiant de connexion)
- Mot de passe (chiffré, jamais lisible en clair)
- Prénom, nom, civilité de l'audioprothésiste
- Numéro RPPS (Répertoire Partagé des Professionnels de Santé)
2.2 Données du centre audioprothétique
- Nom commercial du centre, adresse postale, téléphone, email
- Numéros FINESS et RCS
- Logo et signature numérique (uploadés par l'utilisateur)
2.3 Données d'usage
- Compteur anonyme de comptes-rendus générés (date + identifiant utilisateur, sans information patient) — utilisé uniquement pour appliquer le quota du plan Gratuit (3 CR / 30 jours)
- Date d'inscription, date de dernière connexion
- État de l'abonnement (essai / Pro / Gratuit), date d'expiration
- État du parrainage (code parrain, parrain ou filleul)
2.4 Données de paiement
Les coordonnées bancaires (numéro de carte, CVC, etc.) sont collectées et stockées uniquement par notre prestataire de paiement Stripe. L'Éditeur ne stocke et ne voit jamais ces informations. Seul un identifiant Stripe (« customer_id ») est conservé pour relier l'utilisateur à son abonnement.
2.5 Données NON collectées
Pour préserver le secret professionnel médical :
- Les fichiers PDF téléversés (factures, audiogrammes) sont traités en mémoire et jamais transmis aux serveurs ;
- Les comptes-rendus générés ne sont jamais persistés sur les serveurs (générés et imprimés/exportés directement depuis le navigateur de l'utilisateur) ;
- Aucune donnée patient (nom, prénom, date de naissance, etc.) n'est transmise ni stockée côté serveur. L'Éditeur n'a techniquement pas accès aux données des patients de ses utilisateurs.
3. Finalités et bases légales
| Finalité | Base légale (art. 6 RGPD) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat |
| Génération des comptes-rendus | Exécution du contrat |
| Facturation et paiement | Exécution du contrat + obligation légale (10 ans) |
| Programme de parrainage | Consentement de l'utilisateur |
| Emails transactionnels (welcome, factures, etc.) | Exécution du contrat / Intérêt légitime |
| Lutte contre la fraude (RPPS unique, anti-doublon) | Intérêt légitime |
| Compteur anonyme de génération de CR (sans donnée patient) | Intérêt légitime — application du quota du plan Gratuit |
4. Destinataires et sous-traitants
Vos données peuvent être transmises aux sous-traitants techniques suivants, qui agissent au nom et pour le compte de l'Éditeur, dans le strict respect du RGPD :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement web | USA (DPF) |
| Supabase Inc. | Base de données + auth | UE (région Frankfurt) |
| Stripe Payments Europe Ltd. | Traitement paiements | Irlande (UE) |
| Brevo SAS (Sendinblue) | Envoi emails transactionnels | France (UE) |
| Google LLC | Polices Google Fonts (chargées par CDN) | USA (DPF) |
DPF = EU-US Data Privacy Framework, mécanisme officiel de transfert de données vers les États-Unis approuvé par la Commission européenne (depuis le 10 juillet 2023).
5. Durée de conservation
- Compte utilisateur actif : pendant toute la durée de l'abonnement et 12 mois après la dernière connexion ;
- Données de facturation (Stripe) : 10 ans (obligation légale comptable) ;
- Audit des comptes-rendus : durée de l'abonnement (illimitée en plan Pro, 30 jours en plan Gratuit) ;
- Logs techniques d'accès : 13 mois maximum ;
- Données de parrainage : pendant toute la durée de l'abonnement.
En cas de demande de suppression du compte par l'utilisateur, les données sont supprimées sous 30 jours, à l'exception des données nécessaires au respect d'obligations légales (factures).
6. Sécurité
L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées :
- Chiffrement HTTPS systématique (TLS 1.3) ;
- Mots de passe stockés sous forme de hash sécurisé (bcrypt) ;
- Cloisonnement strict des données par utilisateur via Row Level Security (RLS) Supabase ;
- Sauvegardes automatiques quotidiennes de la base de données ;
- Journalisation des accès et des actions sensibles ;
- Mises à jour régulières des dépendances et systèmes.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :
- Droit d'accès — obtenir la copie des données vous concernant ;
- Droit de rectification — corriger les données inexactes (modifiable depuis votre dashboard) ;
- Droit à l'effacement — demander la suppression de vos données (dans la limite des obligations légales) ;
- Droit d'opposition — vous opposer à un traitement ;
- Droit à la limitation — geler temporairement le traitement ;
- Droit à la portabilité — récupérer vos données dans un format structuré ;
- Droit de retirer votre consentement à tout moment (notamment pour le parrainage).
Pour exercer ces droits, contactez l'Éditeur à louetalunette@gmail.com en justifiant de votre identité. Une réponse vous sera apportée dans un délai maximum d'un mois.
8. Cookies
Le Service utilise uniquement des cookies strictement nécessaires à son fonctionnement, exemptés de consentement préalable conformément à la délibération n° 2020-091 de la CNIL :
| Cookie | Finalité | Durée |
|---|---|---|
| sb-*-auth-token | Authentification Supabase (session) | 1 semaine |
| __stripe_* | Sécurisation paiement (anti-fraude) | 30 minutes |
| tuto:* | Mémorisation de l'avancement du tutoriel (sessionStorage) | Session |
Le Service n'utilise actuellement aucun cookie de mesure d'audience, de tracking publicitaire ou de réseau social. Aucune bannière de consentement n'est donc affichée. Si nous activions de tels cookies à l'avenir, votre consentement explicite serait préalablement recueilli.
9. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés malgré nos efforts, vous pouvez déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site : www.cnil.fr
- Adresse : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
10. Modifications de la politique
La présente politique peut être modifiée à tout moment pour s'adapter aux évolutions législatives ou aux changements du Service. Les modifications substantielles sont notifiées par email aux utilisateurs au moins 30 jours avant leur entrée en vigueur.