Politique de confidentialité

1. Responsable du traitement

Laura Osorio, exerçant sous le nom commercial Vague des Sens.

SIRET : 881 803 837 00031 — 19 Cours Sablon, 63000 Clermont-Ferrand.

Contact : contact@vaguedessens.fr

2. Données collectées

Lors d'une réservation en ligne : prénom, nom, adresse email, numéro de téléphone, commentaire éventuel (contre-indications, attentes).

Lors d'un achat de carte cadeau : adresse email de l'acheteur, prénom et adresse email du destinataire (optionnels), message personnalisé (optionnel).

Lors du paiement : Stripe Inc. collecte les données bancaires directement — aucune donnée de carte bancaire ne transite par les serveurs de Vague des Sens.

Les données relatives aux empreintes bancaires (garantie annulation tardive / non-présentation) sont traitées exclusivement par Stripe et supprimées après libération de l'empreinte.

Date de naissance (optionnel) : la date de naissance peut être enregistrée sur votre fiche client avec votre accord oral exprès, recueilli par Laura Osorio lors d'un rendez-vous. Cette donnée n'est jamais collectée via le tunnel de réservation en ligne.

3. Finalités et bases légales

Gestion des rendez-vous, confirmation et rappels de séances — base légale : exécution du contrat (article 6.1.b du RGPD).

Envoi des emails transactionnels (confirmation, carte cadeau, annulation) — base légale : exécution du contrat (article 6.1.b du RGPD).

Gestion des cartes cadeaux et facturation — base légale : exécution du contrat et obligation légale (article 6.1.b et 6.1.c du RGPD).

Gestion de l'empreinte bancaire (prévention des non-présentations et annulations tardives) — base légale : exécution du contrat de prestation de services (article 6.1.b du RGPD), l'empreinte constituant une condition de la réservation en ligne.

Envoi d'un email d'anniversaire avec offre promotionnelle personnalisée (code de réduction de 15 % valable 1 mois sur le prochain soin) — base légale : consentement (article 6.1.a du RGPD), recueilli oralement par Laura Osorio au salon. Vous pouvez retirer ce consentement à tout moment via le lien de désabonnement présent dans chaque email d'anniversaire, ou en écrivant à contact@vaguedessens.fr. Le retrait du consentement entraîne la suppression immédiate de votre date de naissance.

4. Destinataires des données

Vos données sont traitées par les sous-traitants techniques suivants, dans le strict cadre de leurs fonctions :

• Stripe Inc. (Palo Alto, CA, USA) — traitement sécurisé des paiements. Certifié PCI-DSS niveau 1.

• Resend Inc. (San Francisco, CA, USA) — envoi d'emails transactionnels.

• Neon Inc. — hébergement de la base de données (région Frankfurt, Union Européenne).

• Vercel Inc. (Covina, CA, USA) — hébergement du site web, fonctions serverless et mesure d'audience anonymisée (Vercel Web Analytics et Speed Insights, sans cookie).

• Sentry (San Francisco, CA, USA) — surveillance des erreurs techniques. Seules les données techniques (type de navigateur, système d'exploitation, traces d'erreur) sont transmises ; aucune donnée personnelle identifiante n'est collectée à des fins de monitoring.

Aucune donnée n'est vendue, louée ou transmise à des tiers à des fins commerciales ou publicitaires.

5. Transferts hors Union Européenne

Stripe, Resend, Vercel et Sentry sont des sociétés américaines. Les transferts de données vers les États-Unis sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (article 46.2.c du RGPD) et, le cas échéant, par le EU-U.S. Data Privacy Framework, qui garantissent un niveau de protection adéquat.

Les données hébergées sur Neon restent dans l'Union Européenne (région Frankfurt, Allemagne).

6. Durée de conservation

Données clients et historique des réservations : conservées pendant 3 ans à compter du dernier rendez-vous ou achat, puis supprimées ou anonymisées.

Données de facturation et pièces comptables : conservées pendant 10 ans conformément à l'article L.123-22 du Code de commerce.

Empreintes bancaires : libérées et supprimées après la prestation, sauf en cas de prélèvement pour non-présentation (conservées alors le temps nécessaire à la gestion du litige éventuel).

7. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.

• Droit de rectification : faire corriger des données inexactes ou incomplètes.

• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données dans les limites légales.

• Droit à la limitation du traitement : demander la suspension temporaire du traitement.

• Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.

• Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.

Pour exercer ces droits, adressez votre demande par email à contact@vaguedessens.fr en joignant une copie d'un justificatif d'identité. Vous recevrez une réponse dans un délai maximum de 30 jours (article 12 du RGPD).

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL — Commission Nationale de l'Informatique et des Libertés, 3 Place de Fontenoy, 75007 Paris — www.cnil.fr

8. Cookies et traceurs

Le site vaguedessens.fr utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

• Cookie d'authentification de l'espace administrateur (JWT — session sécurisée).

• Cookie de session utilisateur pour le bon fonctionnement du tunnel de réservation.

Ces cookies sont exemptés de consentement préalable conformément aux recommandations de la CNIL (délibération n° 2020-091 du 17 septembre 2020).

Aucun cookie publicitaire, de profilage, de réseau social ou de tracking comportemental n'est déposé sur votre terminal.

Mesure d'audience : le site utilise Vercel Web Analytics et Vercel Speed Insights pour mesurer la fréquentation et les performances. Ces outils ne déposent aucun cookie, ne collectent aucune donnée personnelle identifiable et ne permettent pas le suivi inter-sites. Les données collectées (pages vues, pays d'origine, type de navigateur, métriques de performance) sont agrégées et anonymes.

9. Sécurité des données

Vague des Sens met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, perte, destruction ou divulgation :

• Chiffrement de toutes les communications via HTTPS/TLS (fourni par Vercel CDN).

• Base de données hébergée dans l'Union Européenne avec accès restreint.

• Aucune donnée bancaire stockée sur les serveurs de Vague des Sens — traitement intégral par Stripe (PCI-DSS niveau 1).

• Accès à l'espace d'administration protégé par authentification sécurisée.

10. Modifications de la présente politique

La présente politique de confidentialité peut être mise à jour pour refléter des évolutions légales, réglementaires ou techniques. La date de dernière mise à jour est indiquée en bas de page.

En cas de modification substantielle, les clients actifs seront informés par email.