Politique de Confidentialité

1. Responsable du traitement

Identité : LECLÈRE Benjamin — Auto-entrepreneur — Nom commercial : GetInSpot
Adresse : 32, avenue Isola Bella — 06400 Cannes
SIREN : 791 296 114 — RM 05
Contact DPO / Données personnelles : support@getinspot.app

GetInSpot traite vos données personnelles dans le strict respect du Règlement (UE) 2016/679 relatif à la protection des données personnelles (RGPD) et de la loi Informatique et Libertés modifiée.

2. Données collectées

2.1 Utilisateurs B2C (application GetInSpot)

Lors de l'utilisation de l'application mobile GetInSpot, les données suivantes peuvent être collectées :

• Identité : nom, prénom, adresse email, photo de profil (optionnel).
• Données de connexion : identifiants Firebase, tokens d'authentification.
• Données de réservation : activités réservées, dates et horaires, nombre de participants, montants payés, statut des réservations, QR codes générés.
• Données de paiement : traitement délégué à Stripe — GetInSpot ne stocke aucune donnée bancaire (numéro de carte, IBAN...). Seul l'identifiant de transaction Stripe est conservé.
• Données de préférences : catégories d'activités préférées, ville, mode de transport, budget.
• Données de géolocalisation : uniquement à la demande de l'utilisateur pour afficher les activités à proximité. Non collectée en arrière-plan.
• Données techniques : tokens FCM pour les notifications push (avec consentement), données Firebase Analytics anonymisées.

2.2 Partenaires B2B (application GetInSpot Partner)

Lors de l'inscription et de l'utilisation de GetInSpot Partner, les données suivantes sont collectées :

• Identité du représentant légal : nom, prénom, adresse email.
• Données de l'entreprise : SIRET, dénomination sociale, adresse du siège.
• Données bancaires : IBAN transmis à Stripe Connect pour les virements (non stocké par GetInSpot).
• Données d'activité : catalogue d'activités, photos, descriptions, tarifs, Flash Deals, réservations reçues.
• Données de revenus : chiffre d'affaires, commissions, virements reçus.

3. Finalités du traitement

Les données collectées sont utilisées pour les finalités suivantes :

• Gestion des comptes utilisateurs et authentification.
• Traitement, confirmation et suivi des réservations.
• Traitement des paiements en ligne et reversement aux Partenaires.
• Envoi d'emails transactionnels (confirmation, annulation, rappel d'activité) via Resend.
• Vérification de l'identité des Partenaires lors de l'onboarding (lutte contre la fraude).
• Amélioration de l'expérience utilisateur via Firebase Analytics (données anonymisées).
• Envoi de notifications push (avec le consentement préalable de l'utilisateur).
• Contact commercial à destination des partenaires potentiels (email de prospection B2B uniquement).

Les données personnelles ne sont utilisées à aucune autre fin et ne sont jamais vendues ni cédées à des tiers à des fins commerciales.

4. Base légale du traitement

• Exécution du contrat : traitement des réservations, paiements, reversements.
• Consentement : notifications push, géolocalisation.
• Intérêt légitime : Firebase Analytics (performances app), prospection B2B (emails partenaires potentiels).
• Obligation légale : conservation des données comptables et fiscales.

5. Destinataires des données

Les données personnelles peuvent être transmises aux sous-traitants suivants, dans le cadre strict des finalités décrites :

• Google Firebase (Firebase Auth, Firestore, Storage, Analytics) — Hébergement region europe-west1 (Belgique, UE). Conformité RGPD certifiée.
• Stripe Payments Europe, Ltd — Traitement des paiements et virements Stripe Connect. Siège : Dublin, Irlande (UE). Conformité PCI DSS et RGPD.
• Resend Inc. — Service d'envoi d'emails transactionnels. Données traitées conformément au RGPD.

Aucune donnée n'est transférée hors de l'Union Européenne sans garanties appropriées. Les sous-traitants sont sélectionnés pour leur conformité RGPD.

6. Durée de conservation des données

• Données de compte utilisateur B2C : conservées pendant la durée d'activité du compte, puis supprimées dans un délai de 3 ans à compter de la dernière connexion.
• Données de réservation : 5 ans à compter de la réservation (obligation comptable et fiscale).
• Données de compte partenaire B2B : conservées pendant la durée du partenariat, puis 5 ans (obligations légales et comptables).
• Données Firebase Analytics : données anonymisées, conservation selon les paramètres Firebase (14 mois par défaut).
• Emails de prospection B2B (partenaires potentiels) : 3 ans à compter du dernier contact.

7. Droits des personnes concernées

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie des données vous concernant.
• Droit de rectification : corriger des données inexactes ou incomplètes.
• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation.
• Droit à la portabilité : recevoir vos données dans un format structuré.
• Droit d'opposition : vous opposer au traitement pour des motifs légitimes.
• Droit de limitation du traitement : demander la suspension du traitement de vos données.
• Droit de retirer votre consentement à tout moment (pour les traitements fondés sur le consentement).

Pour exercer ces droits, contactez : support@getinspot.app. Une réponse vous sera apportée dans un délai d'un mois.

Si vous estimez que le traitement de vos données porte atteinte à vos droits, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr — 3 Place de Fontenoy — 75007 Paris.

8. Sécurité des données

GetInSpot met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre toute perte, accès non autorisé, divulgation ou altération :

• Chiffrement des communications (HTTPS/TLS).
• Authentification sécurisée via Firebase Auth (tokens JWT).
• Règles de sécurité Firestore : chaque utilisateur n'accède qu'à ses propres données.
• Délégation du traitement des paiements à Stripe (certifié PCI DSS).
• Accès aux données d'administration strictement limité.

9. Cookies et traceurs

9.1 Application mobile GetInSpot (B2C)

L'application mobile n'utilise pas de cookies au sens strict. Des identifiants techniques (tokens Firebase) sont stockés localement sur l'appareil de l'utilisateur pour maintenir la session de connexion.

Firebase Analytics collecte des données anonymisées d'utilisation (écrans consultés, performances) pour améliorer l'expérience. Ces données ne permettent pas l'identification personnelle.

9.2 Site vitrine getinspot.com

Le site vitrine getinspot.com n'utilise pas de cookies publicitaires ou de tracking tiers. Des cookies strictement nécessaires au fonctionnement du site peuvent être utilisés (session, préférences de langue).

10. Prospection commerciale B2B

GetInSpot peut contacter par email des prestataires d'activités (restaurants, centres nautiques, etc.) pour leur présenter la plateforme et les inviter à s'y inscrire comme Partenaires. Cette prospection est effectuée sur la base de l'intérêt légitime de GetInSpot à développer son réseau de partenaires.

Chaque email de prospection inclut un lien de désinscription permettant d'exercer immédiatement son droit d'opposition. GetInSpot respecte strictement ce droit.

11. Modifications de la politique

GetInSpot se réserve le droit de modifier la présente politique à tout moment pour l'adapter aux évolutions légales ou techniques. Les utilisateurs seront informés de toute modification substantielle via l'application ou par email.