Politique de confidentialité

1. Responsable de traitement

Le responsable du traitement des données personnelles collectées via l'application Orvya et le site orvya-app.fr est Matthieu Gallice, personne physique (activité en cours de structuration juridique), dont les coordonnées figurent dans les mentions légales.

Contact dédié aux données personnelles : contact@orvya-app.fr.

2. Quelles données on traite

2.1 — Données que tu nous fournis directement

• Compte : adresse email, mot de passe (haché — jamais stocké en clair).
• Profil professionnel : nom, prénom, métier (esthéticienne, nail artist…), mode d'exercice (domicile, cabinet, mixte), adresse professionnelle, téléphone (facultatif).
• Fiches clientes : nom, prénom, téléphone, email, adresse, notes libres, statut « cliente à domicile ». Tu es responsable du traitement de ces données vis-à-vis de tes propres clientes (cf. § 9).
• Planning : rendez-vous, services, prix, durée, statut, notes.
• Encaissements : ventes, mode de paiement, totaux journaliers, signatures de chaînage NF525 (non modifiables par conception).
• Préférences : horaires de travail, indisponibilités, paramètres d'affichage.

2.2 — Données collectées automatiquement

• Données techniques : adresse IP, type d'appareil, version OS, version d'app, logs d'erreur (anonymisés).
• Trajets : distance et durée calculées entre ton adresse pro et celles de tes clientes à domicile, via l'API Google Maps Distance Matrix (les requêtes sont envoyées depuis nos serveurs, pas depuis ton téléphone).

2.3 — Données reçues de tiers

• RevenueCat / Apple / Google : statut d'abonnement, identifiant d'achat anonyme, dates de début et fin. Aucun numéro de carte bancaire ne transite par nos serveurs.
• Google Calendar (si tu actives la synchronisation) : tokens OAuth pour lire et écrire dans ton calendrier — strictement les événements créés par Orvya.

3. Pour quoi faire (finalités)

• Te fournir le Service : planning, caisse, fiches clientes, statistiques, exports.
• Gérer ton abonnement et facturation via Apple/Google IAP.
• Calculer et afficher les temps de trajet entre tes RDV.
• Envoyer des rappels automatiques à tes clientes (email et SMS, si plan applicable).
• Respecter nos obligations légales : conformité loi anti-fraude TVA, conservation des écritures comptables.
• Détecter et prévenir les abus (anti-fraude, anti-spam).
• Améliorer l'application via des logs d'erreur anonymisés.

Nous ne procédons à aucun profilage publicitaire. Nous ne revendons aucune donnée à des tiers à des fins commerciales.

4. Bases légales

• Exécution du contrat (art. 6.1.b RGPD) : création de compte, gestion de l'abonnement, fonctionnalités du Service.
• Obligation légale (art. 6.1.c RGPD) : conservation des données d'encaissement (loi anti-fraude TVA) et obligations comptables.
• Intérêt légitime (art. 6.1.f RGPD) : sécurité du Service, prévention de la fraude, amélioration produit via logs anonymisés.
• Consentement (art. 6.1.a RGPD) : synchronisation Google Calendar, communications marketing (newsletter), envoi de SMS à tes clientes.

5. Combien de temps on garde tes données

• Compte actif : tant que tu utilises le Service.
• Compte inactif (aucune connexion depuis 24 mois) : suppression automatique après email d'avertissement.
• Données d'encaissement (ventes, clôtures, signatures NF525) : 10 ans à compter de la clôture de l'exercice comptable concerné, conformément à l'article L.102 B du Livre des procédures fiscales.
• Fiches clientes et planning : durée d'utilisation du compte + 3 ans en archivage intermédiaire après clôture (prescription civile).
• Logs techniques : 12 mois maximum.
• Données d'abonnement (factures Apple/Google) : 10 ans (obligation comptable).

6. Qui a accès à tes données

Tes données sont accessibles uniquement :

• À toi, via l'application.
• À l'éditeur du Service, sur une base strictement nécessaire (support, sécurité, conformité).
• À nos sous-traitants techniques, listés ci-dessous, dans le cadre strict des prestations qu'ils nous fournissent.

Liste des sous-traitants (RGPD art. 28)

• Supabase Inc. (États-Unis) — hébergement base de données et authentification. Données stockées en UE (Francfort) sur infrastructure AWS EMEA.
• RevenueCat, Inc. (États-Unis) — gestion technique des abonnements In-App.
• Brevo (Sendinblue SAS) (France) — envoi des emails et SMS transactionnels (rappels de RDV).
• Google LLC (États-Unis) — API Maps (calcul des trajets), API Calendar (synchronisation optionnelle). Aucune donnée client n'est associée aux requêtes Maps : seules les adresses sont envoyées.
• Apple Inc. / Google Ireland Ltd. — facturation et distribution de l'application.
• Cloudflare, Inc. — diffusion du site et protection anti-DDoS.

Chaque sous-traitant est lié par un accord de traitement (DPA) conforme à l'article 28 du RGPD.

7. Transferts hors UE

Tes données sont prioritairement stockées et traitées en Union Européenne (Francfort, Allemagne). Certains sous-traitants (Supabase, Google, Apple, RevenueCat, Cloudflare) sont des sociétés américaines : leurs accès à des données personnelles s'effectuent dans le cadre des Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et, lorsque applicable, du EU–US Data Privacy Framework.

8. Sécurité

• Chiffrement en transit : TLS 1.3 obligatoire sur toutes les communications.
• Chiffrement au repos : AES-256 (Supabase / AWS).
• Isolation des comptes : Row-Level Security PostgreSQL — chaque utilisatrice ne peut lire ou écrire que ses propres données.
• Authentification : mots de passe hachés (bcrypt), tokens JWT signés, rotation automatique.
• Sauvegardes : automatiques quotidiennes, conservation 30 jours.
• Notification de violation : en cas d'incident de sécurité affectant tes données, tu seras prévenue dans les 72 heures conformément à l'article 33 du RGPD.

9. Tes droits

Conformément au RGPD (art. 15 à 22) et à la loi Informatique et Libertés, tu disposes des droits suivants :

• Accès — obtenir une copie de toutes les données qu'on a sur toi.
• Rectification — corriger une donnée inexacte.
• Effacement ("droit à l'oubli") — supprimer ton compte et toutes tes données, sous réserve des obligations légales de conservation (encaissements : 10 ans).
• Portabilité — récupérer tes données dans un format structuré (CSV / JSON) pour les transférer ailleurs.
• Limitation — geler temporairement un traitement contesté.
• Opposition — refuser un traitement fondé sur l'intérêt légitime.
• Retrait du consentement — à tout moment, sans rétroactivité, pour les traitements fondés sur ton consentement.

La plupart de ces droits s'exercent directement depuis l'application (Paramètres → Compte). Pour les autres, écris à contact@orvya-app.fr. Nous répondons dans un délai d'un mois maximum.

En cas de désaccord persistant, tu peux déposer une réclamation auprès de la CNIL : cnil.fr — 3 place de Fontenoy, 75007 Paris.

10. Cookies & traceurs

10.1 — Application mobile

L'application mobile ne dépose aucun cookie. Elle utilise un stockage technique local (token de session, préférences) strictement nécessaire à son fonctionnement.

10.2 — Site web orvya-app.fr

Le site utilise uniquement des cookies strictement nécessaires à son fonctionnement (préférences d'affichage, panneau de personnalisation). Aucun cookie publicitaire, aucun pixel de tracking tiers (Meta, TikTok, Google Ads…). Aucun consentement n'est donc requis au sens de l'article 82 de la loi Informatique et Libertés.

Si tu choisis de laisser ton email pour être prévenue du lancement, il n'est utilisé que dans ce cadre précis et tu peux te désinscrire à tout moment.

11. Mineurs

Le Service est strictement réservé aux personnes majeures exerçant une activité professionnelle indépendante. Aucune collecte de données concernant des mineurs n'est prévue. Si tu constates qu'une donnée concernant un mineur a été collectée, signale-le à contact@orvya-app.fr — nous procéderons à sa suppression sans délai.

12. Évolutions de la présente politique

Cette politique peut évoluer pour refléter des changements légaux, techniques ou fonctionnels. Toute modification substantielle te sera notifiée par email ou via un message dans l'application au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour figure en tête de document.