Politique de confidentialité

Le responsable du traitement des données personnelles est :

• EI Meidy BAFFOU
• 75 chemin des monts du Jura, 74500 Champanges, France
• SIRET : 804 732 683 00045
• Contact : contact@makeitglobal-agency.com

Aucun délégué à la protection des données (DPO) n'est désigné, le traitement n'atteignant pas les seuils réglementaires de l'article 37 du RGPD.

a) Données de compte (toi, organisateur)

• Adresse e-mail (utilisée pour le magic link / mot de passe)
• Nom du couple, date du mariage, lieu (adresse + coordonnées géographiques)
• Préférences saisies pendant l'onboarding (budget, nombre d'invités, types de sous-événements)
• Identifiants techniques (ID Supabase, ID de session Stripe en cas de paiement)

b) Données saisies sur tes invités

Lorsque tu ajoutes des invités à ton événement, tu nous transmets potentiellement leurs prénom, nom, e-mail, téléphone, allergies, choix de sous-événements et plus-one. Tu es responsable du traitement de ces données vis-à-vis de tes invités, et nous agissons en qualité de sous-traitant pour ce compte. Tu dois t'assurer d'avoir une base légale (par exemple le consentement, ou l'exécution de l'invitation) pour les collecter et nous les transmettre.

c) Données saisies par tes invités via le mini-site

• Réponses RSVP (présence, restrictions alimentaires, message)
• Photos et nom optionnel d'auteur lorsque la galerie collaborative est ouverte

d) Données techniques (automatiques)

• Adresse IP (anonymisée, pour les logs serveur)
• Type de navigateur et système d'exploitation
• Compteur de vues anonyme du mini-site (sans identification individuelle)

e) Données de paiement

Les paiements (49 € par événement, 19 €/mois pour les pros) sont entièrement gérés par Stripe. Nous ne stockons aucun numéro de carte bancaire. Nous conservons uniquement l'identifiant de session et l'identifiant de paiement Stripe pour la réconciliation comptable.

• Te fournir le service (création et gestion de ton événement, mini-site, RSVP, plan de table, etc.)
• Communiquer avec toi (e-mail de confirmation après paiement, rappel mensuel optionnel, support)
• Diffuser ton mini-site auprès des destinataires que tu invites
• Assurer la facturation, la sécurité technique et la prévention des fraudes
• Améliorer le service (à partir de logs techniques agrégés et anonymisés)

• Exécution contractuelle (art. 6.1.b RGPD) : création et gestion du compte, fourniture du service, traitement du paiement.
• Consentement(art. 6.1.a) : envoi d'e-mails non strictement nécessaires (rappel mensuel optionnel), publication sur le mini-site, ouverture de la galerie photos collaborative.
• Intérêt légitime (art. 6.1.f) : sécurité technique, prévention de la fraude, amélioration agrégée du service.
• Obligation légale (art. 6.1.c) : conservation des données comptables et de facturation conformément au Code de commerce.

Le site n'utilise aucun cookie publicitaire ni cookie de mesure d'audience tiersà ce jour (pas de Google Analytics, pas d'AdSense, pas de PostHog).

Sont utilisés uniquement :

• Des cookies strictement nécessairesà l'authentification (session Supabase) et au bon fonctionnement de l'application (préférences d'interface, ID de session de check-out Stripe).
• Du stockage local (sessionStorage) pour éviter de comptabiliser plusieurs fois la même vue du mini-site dans un même onglet.

Ces traitements sont dispensés de bandeau de consentement au titre de l'article 82 de la loi Informatique et Libertés. Si nous ajoutons un jour un outil d'analyse, un bandeau de consentement sera affiché.

• Compte et événement actifs :tant que ton compte existe, jusqu'à 12 mois après la date de l'événement, puis suppression ou archivage anonymisé.
• Données invités : idem (suivent la durée de ton événement).
• Photos de la galerie collaborative :jusqu'à ce que tu supprimes la galerie ou ton compte.
• Logs techniques : 12 mois maximum.
• Données de facturation : 10 ans (obligation comptable, art. L.123-22 du Code de commerce).
• Demandes de support : 3 ans à compter du dernier échange.

Tes données ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles sont transmises aux sous-traitants techniques suivants, dans le cadre strict du fonctionnement du service :

• Vercel Inc.(États-Unis, hébergement applicatif). Transfert encadré par les clauses contractuelles types adoptées par la Commission européenne. Région d'exécution : Europe (cdg1, Paris).
• Supabase Inc. (Singapour, base de données et stockage). Données stockées physiquement en Europe (Paris). Transfert encadré par les clauses contractuelles types.
• Stripe Payments Europe Ltd (Irlande, traitement des paiements) et Stripe Inc. (États-Unis pour certains traitements techniques). Encadré par les clauses contractuelles types.
• Resend, Inc.(États-Unis, envoi d'e-mails transactionnels). Encadré par les clauses contractuelles types.

Pour la géocodification d'adresses, nous interrogeons la Base Adresse Nationale (api-adresse.data.gouv.fr, opérée par l'administration française) et OpenStreetMap (Royaume-Uni). Pour le calcul de la golden hour, nous interrogeons sunrise-sunset.io. Aucune donnée personnelle n'est transmise à ces services au-delà des coordonnées géographiques saisies.

Conformément au RGPD et à la loi Informatique et Libertés, tu disposes des droits suivants sur tes données personnelles :

• Droit d'accès
• Droit de rectification
• Droit à l'effacement (« droit à l'oubli »)
• Droit à la limitation du traitement
• Droit à la portabilité
• Droit d'opposition
• Droit de retirer ton consentement à tout moment, lorsque le traitement repose sur celui-ci
• Droit de définir des directives relatives au sort de tes données après ton décès

Pour exercer ces droits, écris-nous à contact@makeitglobal-agency.com. Nous te répondrons sous un mois.

Si tu estimes, après nous avoir contactés, que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès de la CNIL (3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07).

Toutes les communications avec le site et l'application sont chiffrées en HTTPS (TLS). Les bases de données sont protégées par les mécanismes de Row Level Security (RLS) de Supabase : chaque utilisateur n'accède qu'à ses propres événements. Les mots de passe sont stockés sous forme de hash par Supabase Auth ; le service supporte également l'authentification par lien magique (sans mot de passe).

Cette politique peut être mise à jour pour refléter des évolutions techniques, légales ou réglementaires. La date de dernière mise à jour est indiquée ci-dessous. Pour toute modification substantielle, nous t'informerons par e-mail.