Retour

Politique de Confidentialité

POLITIQUE DE CONFIDENTIALITÉ ET PROTECTION DES DONNÉES PERSONNELLES

Plateforme Loomya - Conformité RGPD

Date de dernière mise à jour : 11 mars 2026

PRÉAMBULE

La protection de vos données personnelles est une priorité pour CDTNO - Cyril DIDIER (ci-après « nous », « l'Éditeur »).

La présente Politique de Confidentialité vous informe sur la manière dont nous collectons, utilisons, protégeons et conservons vos données personnelles dans le cadre de l'utilisation de la plateforme Loomya (ci-après « la Plateforme »), conformément au Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et à la Loi Informatique et Libertés du 6 janvier 1978 modifiée.

En utilisant la Plateforme, vous acceptez les termes de la présente Politique de Confidentialité.

1. RESPONSABLE DE TRAITEMENT ET DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DPO)

1.1 Responsable de Traitement

Pour les données des Utilisateurs de la Plateforme (comptes professionnels), le Responsable de Traitement est :

CDTNO - Cyril DIDIER Auto-entrepreneur SIRET : 881 826 804 00034 Adresse : 22 rue des Justes, 17700 Surgères, France Email : contact@loomya.fr

1.2 Sous-Traitant au sens du RGPD

Pour les données des Participants collectées par les Utilisateurs (bénévoles, professionnels, prestataires), l'Éditeur agit en qualité de Sous-Traitant conformément à l'article 28 du RGPD.

L'Utilisateur (Organisateur d'événement) est le Responsable de Traitement de ces données. Il est seul responsable de :

  • La licéité de la collecte
  • L'information des Participants
  • Le recueil du consentement (notamment pour les données sensibles)
  • La gestion des demandes d'exercice des droits des Participants

L'Éditeur s'engage à traiter ces données uniquement sur instruction documentée de l'Utilisateur (Responsable de Traitement) et conformément au RGPD.

1.3 Délégué à la Protection des Données (DPO)

En tant qu'auto-entrepreneur de petite taille, l'Éditeur n'est pas soumis à l'obligation de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD.

Toutefois, vous pouvez contacter directement le Responsable de Traitement pour toute question relative à la protection de vos données personnelles :

Contact RGPD : contact@loomya.fr Objet de l'email : [RGPD] suivi de votre demande

2. DONNÉES PERSONNELLES COLLECTÉES

2.1 Données des Utilisateurs (Comptes Professionnels)

Lorsque vous créez un Compte sur la Plateforme, nous collectons les catégories de données suivantes :

| Catégorie | Données collectées | Caractère obligatoire | |-----------|-------------------|---------------------| | Identification | Nom, prénom | Obligatoire | | Coordonnées | Adresse email professionnelle, numéro de téléphone | Obligatoire | | Organisation | Nom de l'organisation (facultatif) | Facultatif | | Connexion | Mot de passe (haché), adresse IP, logs de connexion | Obligatoire (technique) | | Événements | Données relatives aux événements créés (titres, dates, sites, phases) | Facultatif (usage) |

Nota : Le mot de passe est stocké sous forme hachée et salée (algorithme bcrypt). Nous ne pouvons jamais accéder à votre mot de passe en clair.

2.2 Données des Participants (Collectées par les Utilisateurs)

Les Utilisateurs (Organisateurs) peuvent collecter et saisir dans la Plateforme les catégories de données suivantes concernant les Participants (bénévoles, professionnels, prestataires) :

2.2.1 Données d'identification et de contact

  • Nom, prénoms
  • Date de naissance
  • Adresse postale complète
  • Adresse email
  • Numéro(s) de téléphone (fixe, mobile)
  • Genre

2.2.2 Documents d'identité et justificatifs

  • Copie de pièce d'identité (CNI, passeport)
  • Documents d'accréditation
  • Attestations diverses

⚠️ Conservation limitée : Les documents d'identité ne doivent être conservés que pour la durée strictement nécessaire à la vérification d'identité et à la délivrance des accréditations.

2.2.3 Données relatives à l'événement

  • Rôle/fonction au sein de l'événement
  • Famille de participant (bénévole, professionnel, prestataire, etc.)
  • Zones d'accès autorisées
  • Dates de présence (arrivée, départ)
  • Employeur (nom de l'entreprise/organisation)
  • Position/poste occupé
  • Statut d'accréditation (en attente, approuvé, refusé)

2.2.4 Besoins opérationnels

  • Besoins d'hébergement (type, dates, préférences)
  • Besoins de transport (type, dates, itinéraires)
  • Besoins de restauration (régime alimentaire, allergies alimentaires)
  • Affectation hébergement (propriété, chambre)
  • Planning de travail (shifts, créneaux horaires, missions)
  • Affectation sites et zones géographiques

2.2.5 ⚠️ DONNÉES SENSIBLES (Article 9 RGPD)

Avec consentement explicite préalable du Participant, les catégories suivantes peuvent être collectées :

  • Données de santé : Informations médicales pertinentes pour l'organisation de l'événement (allergies non alimentaires, traitements médicaux, antécédents médicaux nécessitant une prise en charge particulière)
  • Handicap : Informations relatives à un handicap nécessitant des aménagements spécifiques (accessibilité, assistance, équipements adaptés)

BASE LÉGALE SPÉCIFIQUE : Consentement explicite et éclairé du Participant, conformément à l'article 9.2.a du RGPD.

OBLIGATIONS DE L'UTILISATEUR (Responsable de Traitement) :

  1. Recueillir le consentement libre, spécifique, éclairé et univoque du Participant avant la collecte
  2. Informer clairement le Participant de la finalité de la collecte
  3. Permettre au Participant de retirer son consentement à tout moment
  4. Ne collecter que les données strictement nécessaires à l'organisation de l'événement
  5. Garantir la confidentialité renforcée de ces données (accès restreint aux seules personnes habilitées)

NOTA IMPORTANT : L'Éditeur (Sous-Traitant) ne saurait être tenu responsable de la collecte illicite de données sensibles sans consentement par l'Utilisateur (Responsable de Traitement). L'Utilisateur est seul responsable du respect de cette obligation légale.

2.3 Données techniques (tous utilisateurs)

Nous collectons automatiquement certaines données techniques lors de votre navigation sur la Plateforme :

  • Adresse IP
  • Type et version du navigateur
  • Système d'exploitation
  • Pages consultées et durée de visite
  • Logs de connexion (date, heure, succès/échec)
  • Données de session (cookies strictement nécessaires)

Ces données sont collectées à des fins de sécurité, de maintenance et d'amélioration de la Plateforme.

3. FINALITÉS ET BASES LÉGALES DES TRAITEMENTS

3.1 Traitements des données des Utilisateurs

| Finalité | Base légale (RGPD) | Données concernées | |----------|-------------------|-------------------| | Création et gestion du Compte | Exécution du contrat (Art. 6.1.b) | Identification, coordonnées, mot de passe | | Authentification et sécurité | Intérêt légitime (Art. 6.1.f) | Identifiants de connexion, IP, logs | | Assistance et support technique | Exécution du contrat (Art. 6.1.b) | Coordonnées, description du problème | | Amélioration de la Plateforme | Intérêt légitime (Art. 6.1.f) | Données d'usage (anonymisées) | | Respect des obligations légales | Obligation légale (Art. 6.1.c) | Toutes données (archivage légal, réponse CNIL) | | Notifications par email | Exécution du contrat (Art. 6.1.b) | Email (mises à jour, alertes système) |

3.2 Traitements des données des Participants (par l'Utilisateur)

L'Utilisateur (Responsable de Traitement) détermine les finalités et moyens du traitement des données des Participants. Les finalités typiques sont :

| Finalité | Base légale (RGPD) | Données concernées | |----------|-------------------|-------------------| | Gestion des inscriptions | Exécution du contrat (Art. 6.1.b) ou Intérêt légitime (Art. 6.1.f) | Identification, coordonnées | | Délivrance des accréditations | Exécution du contrat (Art. 6.1.b) | Identification, documents d'identité, zones d'accès | | Gestion de l'hébergement | Exécution du contrat (Art. 6.1.b) | Besoins d'hébergement, dates de présence | | Gestion du planning | Exécution du contrat (Art. 6.1.b) | Disponibilités, missions, shifts | | Prise en charge besoins spécifiques | Consentement explicite (Art. 9.2.a) | DONNÉES SENSIBLES (santé, handicap) | | Communication événementielle | Intérêt légitime (Art. 6.1.f) | Email, téléphone |

RAPPEL : Pour les données sensibles (santé, handicap), la base légale OBLIGATOIRE est le consentement explicite (Art. 9.2.a du RGPD). L'Utilisateur doit recueillir ce consentement avant toute collecte.

3.3 Finalités exclues

Nous ne traitons JAMAIS vos données à des fins de :

  • Prospection commerciale non sollicitée (spam)
  • Cession ou vente à des tiers à des fins marketing
  • Profilage automatisé à des fins publicitaires
  • Prise de décision automatisée produisant des effets juridiques

4. DESTINATAIRES DES DONNÉES

4.1 Destinataires internes

Les données personnelles sont accessibles :

  • À l'Éditeur (Cyril DIDIER), dans le cadre de l'administration de la Plateforme et du support technique
  • Aux Utilisateurs (Organisateurs), uniquement pour les données des Participants qu'ils ont eux-mêmes collectées

Principe de minimisation : Seules les personnes strictement habilitées ont accès aux données, dans la limite de leurs attributions.

4.2 Sous-Traitants (Article 28 RGPD)

Les données sont hébergées et traitées par les sous-traitants suivants, liés à l'Éditeur par des contrats de sous-traitance conformes au RGPD :

| Sous-traitant | Service fourni | Localisation | Garanties RGPD | |---------------|----------------|--------------|----------------| | Supabase Inc. | Hébergement base de données PostgreSQL | Europe (Francfort, Allemagne) | Clauses contractuelles types, certifications ISO 27001, SOC 2 Type II | | Scalingo SAS | Hébergement application web | France (Strasbourg) | Hébergeur français, données UE, certifications ISO 27001, HDS, SecNumCloud | | Resend | Envoi d'emails transactionnels | USA | Clauses Contractuelles Types, DPA (Data Processing Agreement) | | Google Maps API | Géolocalisation des sites événementiels | USA (Google LLC) | Clauses contractuelles types UE-USA, certification Privacy Shield (historique) |

TRANSFERTS HORS UE : Les données peuvent être transférées vers les États-Unis dans le cadre de l'utilisation de Google Maps API et Resend. Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission Européenne, conformément à l'article 46 du RGPD. L'application web et la base de données sont hébergées exclusivement dans l'Union Européenne (France et Allemagne).

4.3 Autres destinataires potentiels

Les données peuvent être communiquées, dans le strict respect de la réglementation :

  • Aux autorités judiciaires, administratives ou policières, en cas de réquisition légale
  • À la CNIL (Commission Nationale de l'Informatique et des Libertés), en cas de contrôle ou de plainte
  • À des tiers acquéreurs, en cas de cession ou fusion de l'activité (après information préalable)

Aucune cession commerciale : Nous ne vendons, ne louons ni ne cédons vos données personnelles à des tiers à des fins marketing.

5. DURÉE DE CONSERVATION DES DONNÉES

La durée de conservation des données personnelles est déterminée en fonction des finalités du traitement et des obligations légales.

5.1 Données des Utilisateurs (Comptes Professionnels)

| Catégorie | Durée de conservation | Base légale/Justification | |-----------|----------------------|--------------------------| | Données du Compte actif | Durée de vie du Compte | Exécution du contrat | | Données du Compte supprimé | 30 jours (puis suppression définitive) | Délai technique de suppression | | Logs de connexion | 12 mois | Obligation légale (sécurité informatique) | | Données comptables | 10 ans (si facturation future) | Obligation légale (Code de commerce) | | Archives intermédiaires | Conformément aux obligations légales (ex : contentieux) | Obligation légale |

Suppression automatique : Les données des Comptes inactifs depuis 24 mois consécutifs sont supprimées après notification par email (30 jours de préavis).

5.2 Données des Participants (Collectées par les Utilisateurs)

RECOMMANDATION de durée de conservation (à adapter selon la réglementation spécifique de l'Utilisateur) :

| Catégorie | Durée recommandée | Justification | |-----------|------------------|---------------| | Données d'identification et de contact | Fin de l'événement + 3 ans | Durée comptable standard (factures, contrats) | | Documents d'identité | Fin de l'événement + 30 jours (puis suppression obligatoire) | Durée strictement nécessaire à la vérification | | Données d'hébergement/planning | Fin de l'événement + 3 ans | Durée comptable, gestion litiges | | DONNÉES SENSIBLES (santé, handicap) | Fin de l'événement + 1 an MAXIMUM | Principe de minimisation renforcé (Art. 9 RGPD) | | Données en cas de contentieux | Durée du contentieux + 5 ans | Prescription légale (Code civil) |

OBLIGATIONS DE L'UTILISATEUR (Responsable de Traitement) :

  1. Définir une politique de conservation claire et conforme au RGPD
  2. Informer les Participants de cette durée
  3. Supprimer automatiquement les données à l'expiration
  4. Permettre la suppression anticipée sur demande du Participant (droit à l'effacement)

MESURES AUTOMATISÉES IMPLÉMENTÉES : La Plateforme met en œuvre les mesures automatiques suivantes pour les données liées aux événements :

| Action | Délai | Description | |--------|-------|-------------| | Corbeille (soft delete) | 90 jours | L'événement supprimé est placé en corbeille. Le créateur peut le restaurer pendant 90 jours. | | Purge définitive | Après 90 jours | L'événement et toutes ses données associées sont supprimés définitivement (participants, hébergements, planning, historique). | | Archivage | À la discrétion de l'Utilisateur | L'événement archivé reste accessible en lecture seule. Un délai de rétention de 24 mois est automatiquement calculé. | | Anonymisation automatique | 24 mois après archivage | Les données personnelles (noms, contacts, notes, historique de communication) sont anonymisées de manière irréversible. Les données structurelles et statistiques agrégées sont conservées. |

Participants multi-événements : Un participant lié à plusieurs événements n'est anonymisé que lorsque TOUS ses événements ont été anonymisés ou purgés. Cela garantit la continuité des données pour les événements encore actifs.

5.3 Archivage légal

Certaines données peuvent être archivées au-delà des durées ci-dessus, dans des conditions sécurisées et avec accès restreint, pour répondre aux obligations légales (comptabilité, contentieux, réquisitions judiciaires).

Les données archivées ne sont plus accessibles en base active et ne peuvent être consultées que sur demande motivée (ex : contrôle fiscal, procédure judiciaire).

Anonymisation : Les données archivées au-delà de 24 mois sont automatiquement anonymisées (remplacement des données personnelles par des valeurs génériques). Les données anonymisées ne sont plus considérées comme des données personnelles au sens du Considérant 26 du RGPD.

6. DROITS DES PERSONNES CONCERNÉES

Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :

6.1 Droits applicables

| Droit | Description | Base légale RGPD | |-------|-------------|------------------| | Droit d'accès | Obtenir la confirmation que vos données sont traitées et accéder à ces données | Article 15 | | Droit de rectification | Obtenir la rectification de données inexactes ou incomplètes | Article 16 | | Droit à l'effacement ("droit à l'oubli") | Obtenir l'effacement de vos données dans certains cas | Article 17 | | Droit à la limitation du traitement | Obtenir la limitation du traitement dans certains cas | Article 18 | | Droit à la portabilité | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine | Article 20 | | Droit d'opposition | S'opposer au traitement de vos données pour des raisons tenant à votre situation particulière | Article 21 | | Droit de retirer le consentement | Retirer votre consentement à tout moment (pour les traitements fondés sur le consentement) | Article 7.3 | | Droit de définir des directives post-mortem | Définir des directives relatives au sort de vos données après votre décès | Article 85 Loi Informatique et Libertés |

6.2 Exercice des droits

6.2.1 Pour les Utilisateurs (Comptes Professionnels)

Pour exercer vos droits concernant les données de votre Compte, contactez l'Éditeur :

Par email : contact@loomya.fr Objet : [RGPD - Exercice de droits] suivi de votre demande (accès, rectification, suppression, etc.)

Informations à fournir :

  • Nom, prénom
  • Adresse email du Compte
  • Nature de la demande (accès, rectification, suppression, etc.)
  • Copie d'une pièce d'identité (en cas de doute sur l'identité)

6.2.2 Pour les Participants (Données collectées par les Utilisateurs)

Les Participants doivent s'adresser directement à l'Utilisateur (Organisateur de l'événement) qui est le Responsable de Traitement de leurs données.

L'Utilisateur (Responsable de Traitement) doit mettre en place une procédure permettant aux Participants d'exercer facilement leurs droits (email dédié, formulaire en ligne, etc.).

En cas de difficulté, le Participant peut contacter l'Éditeur (Sous-Traitant) à l'adresse : contact@loomya.fr. L'Éditeur transmettra la demande à l'Utilisateur concerné et l'assistera dans le traitement de la demande.

6.3 Délai de réponse

Conformément à l'article 12.3 du RGPD, nous nous engageons à répondre à votre demande dans un délai maximum de 1 mois à compter de la réception de la demande.

Ce délai peut être prolongé de 2 mois supplémentaires en cas de demandes complexes ou multiples. Vous serez informé de cette prolongation et des motifs du report.

6.4 Gratuité

L'exercice de vos droits est gratuit.

Toutefois, en cas de demandes manifestement infondées ou excessives (notamment en raison de leur caractère répétitif), nous pouvons exiger le paiement de frais raisonnables tenant compte des coûts administratifs ou refuser de donner suite à la demande (conformément à l'article 12.5 du RGPD).

6.5 Droit de réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés ou que le traitement de vos données personnelles n'est pas conforme au RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy TSA 80715 75334 Paris Cedex 07 France Téléphone : 01 53 73 22 22 Site web : https://www.cnil.fr/ Formulaire de plainte en ligne : https://www.cnil.fr/fr/plaintes

Ce recours peut être exercé sans préjudice de tout autre recours administratif ou juridictionnel.

7. SÉCURITÉ DES DONNÉES

La sécurité de vos données personnelles est une priorité absolue. Nous mettons en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, l'altération, la divulgation ou l'accès non autorisé.

7.1 Mesures techniques de sécurité

| Mesure | Description | |--------|-------------| | Chiffrement en transit (HTTPS/TLS) | Toutes les communications entre votre navigateur et la Plateforme sont chiffrées via protocole HTTPS (certificat SSL/TLS) | | Chiffrement au repos | Les données sensibles stockées dans la base de données sont chiffrées au repos (AES-256) | | Hachage des mots de passe | Les mots de passe sont hachés avec l'algorithme bcrypt (salage + fonction de hachage à coût paramétrable) | | Row Level Security (RLS) | Politique de sécurité au niveau des lignes de la base de données (isolation stricte des données par utilisateur) | | Authentification sécurisée | Authentification par email + mot de passe avec possibilité de 2FA (authentification à deux facteurs) en option | | Logs de sécurité | Journalisation des connexions et actions critiques (conservation 12 mois) | | Sauvegardes automatiques | Sauvegardes quotidiennes automatiques de la base de données (conservation 30 jours) | | Protection contre les attaques | Pare-feu applicatif (WAF), protection DDoS, rate limiting (limitation du nombre de requêtes) | | Mises à jour régulières | Mise à jour régulière des dépendances et correctifs de sécurité |

7.2 Mesures organisationnelles

| Mesure | Description | |--------|-------------| | Accès restreint | Seules les personnes strictement habilitées ont accès aux données (principe du moindre privilège) | | Pseudonymisation | Pseudonymisation des données dans les logs et statistiques internes | | Confidentialité | Engagement de confidentialité de l'Éditeur et des sous-traitants | | Procédures de gestion des incidents | Procédure de détection et de notification des violations de données (délai 72h CNIL) | | Audits réguliers | Audits de sécurité réguliers (tests d'intrusion, revues de code) |

7.3 Notification des violations de données

En cas de violation de données personnelles (fuite, perte, accès non autorisé), nous nous engageons à :

  1. Notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance (Art. 33 RGPD)
  2. Notifier les personnes concernées sans délai si la violation présente un risque élevé pour leurs droits et libertés (Art. 34 RGPD)
  3. Documenter la violation (nature, catégories de données, nombre de personnes concernées, mesures correctives)

7.4 Obligations de l'Utilisateur (Responsable de Traitement)

L'Utilisateur s'engage à :

  • Ne pas partager ses identifiants de connexion
  • Utiliser un mot de passe robuste (12 caractères minimum, combinaison majuscules/minuscules/chiffres/symboles)
  • Signaler immédiatement toute utilisation non autorisée de son Compte
  • Ne pas collecter de données sensibles sans consentement explicite
  • Restreindre l'accès aux données des Participants aux seules personnes habilitées

8. COOKIES ET TRACEURS

8.1 Définition

Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, smartphone, tablette) lors de la visite d'un site web. Il permet de collecter des informations relatives à votre navigation.

8.2 Cookies utilisés sur la Plateforme

La Plateforme utilise uniquement des cookies strictement nécessaires à son fonctionnement :

| Nom du cookie | Finalité | Durée de conservation | Base légale | |---------------|----------|----------------------|-------------| | auth_token | Authentification et maintien de session | 7 jours (session persistante) ou fin de session | Exemption de consentement (strictement nécessaire) | | csrf_token | Protection contre les attaques CSRF (Cross-Site Request Forgery) | Durée de la session | Exemption de consentement (sécurité) | | preferences | Préférences utilisateur (langue, thème d'affichage) | 12 mois | Exemption de consentement (fonctionnalité demandée) |

AUCUN cookie de tracking, analytics ou publicitaire n'est utilisé sur la Plateforme.

8.3 Exemption de consentement

Conformément à l'article 82 de la Loi Informatique et Libertés et aux lignes directrices de la CNIL, les cookies strictement nécessaires au fonctionnement du site sont exemptés de consentement.

Vous n'avez donc pas de bandeau de consentement à accepter lors de votre première visite, car aucun cookie non essentiel n'est déposé.

8.4 Gestion des cookies

Vous pouvez à tout moment configurer votre navigateur pour :

  • Bloquer tous les cookies
  • Être averti avant l'acceptation d'un cookie
  • Supprimer les cookies existants

Attention : Le blocage des cookies strictement nécessaires entraînera un dysfonctionnement de la Plateforme (impossibilité de se connecter, perte de session, etc.).

Instructions par navigateur :

  • Chrome : Paramètres > Confidentialité et sécurité > Cookies
  • Firefox : Paramètres > Vie privée et sécurité > Cookies et données de sites
  • Safari : Préférences > Confidentialité > Cookies et données de sites web
  • Edge : Paramètres > Cookies et autorisations de site

9. TRANSFERTS DE DONNÉES HORS UNION EUROPÉENNE

9.1 Principe de localisation des données

Les données personnelles sont principalement hébergées dans l'Union Européenne :

  • Base de données : Supabase Europe (Francfort, Allemagne)
  • Application web : Scalingo (Strasbourg, France)

9.2 Transferts vers les États-Unis

Certains sous-traitants sont situés aux États-Unis et peuvent accéder à vos données dans le cadre de la fourniture de leurs services :

| Sous-traitant | Localisation | Garanties RGPD | |---------------|--------------|----------------| | Google Maps API (Google LLC) | USA | Clauses Contractuelles Types UE-USA + Certification ISO 27001 | | Resend | USA | Clauses Contractuelles Types UE-USA + DPA (Data Processing Agreement) |

9.3 Encadrement des transferts

Conformément à l'article 46 du RGPD, les transferts de données hors UE sont encadrés par les Clauses Contractuelles Types adoptées par la Commission Européenne (décision d'exécution (UE) 2021/914).

Ces clauses garantissent un niveau de protection équivalent à celui offert par le RGPD.

9.4 Invalidation du Privacy Shield

Suite à l'arrêt Schrems II de la CJUE (16 juillet 2020), le Privacy Shield UE-USA a été invalidé. Nous nous appuyons désormais exclusivement sur les Clauses Contractuelles Types pour encadrer les transferts vers les États-Unis.

9.5 Droit d'opposition

Vous pouvez vous opposer à tout transfert de vos données hors UE en contactant : contact@loomya.fr

Attention : L'opposition au transfert vers certains sous-traitants (ex : Google Maps) peut entraîner l'indisponibilité de certaines fonctionnalités de la Plateforme (géolocalisation des sites).

10. DONNÉES DES MINEURS

La Plateforme est destinée exclusivement aux professionnels majeurs (18 ans révolus).

Nous ne collectons pas sciemment de données personnelles de mineurs.

Si un Utilisateur (Responsable de Traitement) collecte des données de Participants mineurs dans le cadre d'un événement, il doit respecter les obligations spécifiques du RGPD :

10.1 Consentement parental (Art. 8 RGPD)

Pour les mineurs de moins de 15 ans (seuil français), le consentement doit être donné ou autorisé par le titulaire de la responsabilité parentale.

Pour les mineurs de 15 à 17 ans, le mineur peut consentir seul, mais il est recommandé d'informer les parents.

10.2 Information renforcée

Les Participants mineurs et leurs représentants légaux doivent être informés de manière claire et adaptée à leur âge des traitements de données personnelles.

10.3 Responsabilité de l'Utilisateur

L'Utilisateur (Responsable de Traitement) est seul responsable du respect de ces obligations. L'Éditeur (Sous-Traitant) ne saurait être tenu responsable de la collecte illicite de données de mineurs sans consentement parental.

11. LIENS VERS DES SITES TIERS

La Plateforme peut contenir des liens hypertextes vers des sites web tiers (ex : documentation, API externes).

Nous ne sommes pas responsables des pratiques de confidentialité de ces sites tiers. Nous vous recommandons de consulter leurs politiques de confidentialité respectives avant de fournir toute donnée personnelle.

Sites tiers intégrés :

12. MODIFICATIONS DE LA POLITIQUE DE CONFIDENTIALITÉ

Nous nous réservons le droit de modifier la présente Politique de Confidentialité à tout moment, notamment pour :

  • Se conformer à l'évolution de la réglementation (RGPD, Loi Informatique et Libertés)
  • Adapter la politique aux évolutions de la Plateforme (nouvelles fonctionnalités, nouveaux sous-traitants)
  • Améliorer la transparence et la clarté des informations

12.1 Notification des modifications

En cas de modification substantielle de la Politique de Confidentialité, vous serez informé par :

  • Email (au moins 30 jours avant l'entrée en vigueur des modifications)
  • Notification lors de votre prochaine connexion à la Plateforme
  • Mention sur la Plateforme avec date de mise à jour

12.2 Acceptation des modifications

La poursuite de l'utilisation de la Plateforme après l'entrée en vigueur des modifications vaut acceptation de la nouvelle Politique de Confidentialité.

Si vous refusez les modifications, vous pouvez supprimer votre Compte (voir article 12.2 des CGU).

12.3 Archivage des versions précédentes

Les versions antérieures de la Politique de Confidentialité sont archivées et peuvent être consultées sur demande auprès de l'Éditeur.

13. CONTACT ET RÉCLAMATIONS

13.1 Questions générales

Pour toute question relative à la présente Politique de Confidentialité ou à la protection de vos données personnelles, vous pouvez contacter :

Email : contact@loomya.fr Objet : [RGPD - Question] suivi de votre question Courrier postal : CDTNO - Cyril DIDIER 22 rue des Justes 17700 Surgères France

Délai de réponse : Nous nous engageons à répondre dans un délai maximum de 15 jours ouvrés.

13.2 Exercice de vos droits RGPD

Pour exercer vos droits (accès, rectification, suppression, portabilité, opposition, limitation), voir Article 6 de la présente Politique.

13.3 Réclamation auprès de la CNIL

En cas de litige persistant ou de non-respect de vos droits, vous pouvez introduire une réclamation auprès de la CNIL :

Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy - TSA 80715 75334 Paris Cedex 07 France Téléphone : 01 53 73 22 22 Site web : https://www.cnil.fr/ Formulaire de plainte : https://www.cnil.fr/fr/plaintes

14. DOCUMENTS COMPLÉMENTAIRES

Pour une information complète sur vos droits et obligations, nous vous invitons à consulter :

Textes de référence :

15. ACCEPTATION DE LA POLITIQUE DE CONFIDENTIALITÉ

En utilisant la Plateforme Loomya, vous reconnaissez avoir lu, compris et accepté sans réserve les termes de la présente Politique de Confidentialité.

Date de dernière mise à jour : 14 février 2026

Fin du document

© 2026 Loomya - CDTNO. Tous droits réservés.