Politique de confidentialité

1. Responsable du traitement

Laura Osorio, exerçant sous le nom commercial Vague des Sens.

SIRET : 881 803 837 00031 — 19 Cours Sablon, 63000 Clermont-Ferrand.

Contact : vaguedessens@gmail.com

2. Données collectées

Lors d'une réservation en ligne : prénom, nom, adresse email, numéro de téléphone, commentaire éventuel (contre-indications, attentes).

Lors d'un achat de carte cadeau : adresse email de l'acheteur, prénom et adresse email du destinataire (optionnels), message personnalisé (optionnel).

Lors du paiement : Stripe Inc. collecte les données bancaires directement — aucune donnée de carte bancaire ne transite par les serveurs de Vague des Sens.

Les données relatives aux empreintes bancaires (garantie annulation tardive / no-show) sont traitées exclusivement par Stripe et supprimées après libération de l'empreinte.

3. Finalités et bases légales

Gestion des rendez-vous, confirmation et rappels de séances — base légale : exécution du contrat (article 6.1.b du RGPD).

Envoi des emails transactionnels (confirmation, carte cadeau, annulation) — base légale : exécution du contrat (article 6.1.b du RGPD).

Gestion des cartes cadeaux et facturation — base légale : exécution du contrat et obligation légale (article 6.1.b et 6.1.c du RGPD).

Gestion de l'empreinte bancaire (prévention des no-shows) — base légale : intérêt légitime de Vague des Sens (article 6.1.f du RGPD), proportionné et clairement informé avant réservation.

4. Destinataires des données

Vos données sont traitées par les sous-traitants techniques suivants, dans le strict cadre de leurs fonctions :

• Stripe Inc. (Palo Alto, CA, USA) — traitement sécurisé des paiements. Certifié PCI-DSS niveau 1.

• Resend Inc. (San Francisco, CA, USA) — envoi d'emails transactionnels.

• Neon Inc. — hébergement de la base de données (région Frankfurt, Union Européenne).

• Vercel Inc. (Covina, CA, USA) — hébergement du site web et fonctions serverless.

Aucune donnée n'est vendue, louée ou transmise à des tiers à des fins commerciales ou publicitaires.

5. Transferts hors Union Européenne

Stripe, Resend et Vercel sont des sociétés américaines. Les transferts de données vers les États-Unis sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (article 46.2.c du RGPD), qui garantissent un niveau de protection adéquat.

Les données hébergées sur Neon restent dans l'Union Européenne (région Frankfurt, Allemagne).

6. Durée de conservation

Données clients et historique des réservations : conservées pendant 3 ans à compter du dernier rendez-vous ou achat, puis supprimées ou anonymisées.

Données de facturation et pièces comptables : conservées pendant 10 ans conformément à l'article L.123-22 du Code de commerce.

Empreintes bancaires : libérées et supprimées après la prestation, sauf en cas de prélèvement pour no-show (conservées alors le temps nécessaire à la gestion du litige éventuel).

7. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.

• Droit de rectification : faire corriger des données inexactes ou incomplètes.

• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données dans les limites légales.

• Droit à la limitation du traitement : demander la suspension temporaire du traitement.

• Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.

• Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.

Pour exercer ces droits, adressez votre demande par email à vaguedessens@gmail.com en joignant une copie d'un justificatif d'identité. Vous recevrez une réponse dans un délai maximum de 30 jours (article 12 du RGPD).

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL — Commission Nationale de l'Informatique et des Libertés, 3 Place de Fontenoy, 75007 Paris — www.cnil.fr

8. Cookies et traceurs

Le site vaguedessens.fr utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

• Cookie d'authentification de l'espace administrateur (JWT — session sécurisée).

• Cookie de session utilisateur pour le bon fonctionnement du tunnel de réservation.

Ces cookies sont exemptés de consentement préalable conformément aux recommandations de la CNIL (délibération n° 2020-091 du 17 septembre 2020).

Aucun cookie publicitaire, de profilage, de mesure d'audience tiers, de réseau social ou de tracking comportemental n'est déposé sur votre terminal.

9. Sécurité des données

Vague des Sens met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, perte, destruction ou divulgation :

• Chiffrement de toutes les communications via HTTPS/TLS (fourni par Vercel CDN).

• Base de données hébergée dans l'Union Européenne avec accès restreint.

• Aucune donnée bancaire stockée sur les serveurs de Vague des Sens — traitement intégral par Stripe (PCI-DSS niveau 1).

• Accès à l'espace d'administration protégé par authentification sécurisée.

10. Modifications de la présente politique

La présente politique de confidentialité peut être mise à jour pour refléter des évolutions légales, réglementaires ou techniques. La date de dernière mise à jour est indiquée en bas de page.

En cas de modification substantielle, les clients actifs seront informés par email.