Politique de Confidentialité
Préambule
La présente Politique de Confidentialité (ci-après « la Politique ») a pour objet d'informer les utilisateurs de l'application mobile BookCrew et du site bookcrew.app (ci-après « la Plateforme ») de la manière dont leurs données à caractère personnel sont collectées, traitées et protégées.
La Politique est conforme au Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et à la Loi Informatique et Libertés modifiée.
L'utilisation de la Plateforme implique l'acceptation pleine et entière de la présente Politique.
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
Meyado Studio, SASU au capital de 100 €
- Siège social : 47 rue Vivienne, 75002 Paris, France
- RCS : Paris 105 050 355
- Représentée par son Président
2. Délégué à la Protection des Données (DPO)
Pour toute question relative à vos données personnelles ou pour exercer vos droits :
Email DPO : dpo@bookcrew.app
Vous pouvez également écrire par courrier postal à l'adresse du siège social mentionnée ci-dessus, à l'attention du Délégué à la Protection des Données.
3. Données personnelles collectées
3.1 Données fournies directement par l'utilisateur
Lors de l'inscription et de l'utilisation de la Plateforme, les utilisateurs nous communiquent les données suivantes :
Données d'identification
- Nom, prénom
- Adresse email
- Numéro de téléphone (au format E.164)
- Mot de passe (stocké sous forme de hash, jamais en clair)
- Photo de profil (facultative)
- Nom d'utilisateur public (« handle ») choisi par l'utilisateur
Données professionnelles
- Pour les prestataires : métiers / rôles, styles musicaux ou compétences, niveau d'expérience, bio, liens vers sites externes (réseaux sociaux, portfolios)
- Pour les structures : raison sociale, type de structure, description, ville, site web
- Données légales des structures : SIRET / SIREN (saisi à l'inscription), raison sociale, forme juridique et adresse fiscale (pré-remplies, le cas échéant, depuis le répertoire public Sirene de l'INSEE à partir du SIRET saisi)
Données de rémunération des prestataires (facultatives)
Ces données ne sont renseignées que si le prestataire choisit de configurer un mode de rémunération, afin de permettre aux structures avec lesquelles il s'engage d'accomplir leurs obligations déclaratives et de paiement :
- Mode « Facture » : SIRET / SIREN, IBAN ;
- Mode « GUSO » : identité civile (nom, prénom), date et lieu de naissance, adresse postale, numéro de sécurité sociale (NIR), numéro Congés Spectacles (CCS), IBAN.
Le NIR est un identifiant strictement encadré : il n'est collecté que sur saisie volontaire du prestataire ayant choisi le mode GUSO, exclusivement afin de permettre aux structures avec lesquelles un engagement est confirmé d'établir leurs déclarations GUSO, et n'est jamais utilisé à une autre fin. Ces données sont supprimables à tout moment par le prestataire depuis son profil, et ne sont visibles que des structures engagées sur un même événement confirmé.
Données de localisation
- Ville déclarée
- Adresse personnelle (UNIQUEMENT pour les prestataires ayant configuré une zone de déplacement, jamais affichée publiquement, utilisée serveur uniquement pour le calcul de distance ; la saisie d'adresse est assistée par le service d'autocomplétion Google Places, cf. section 6)
- Rayon de déplacement maximal (en km)
Données de paiement des abonnements
Les offres d'abonnement ne sont pas encore actives en phase bêta : aucune donnée de paiement d'abonnement n'est collectée à ce jour. Lorsqu'elles seront activées, les paiements seront traités par des prestataires dédiés (Apple, Google, Stripe) sans stockage de numéro de carte par Meyado Studio, et la présente Politique sera mise à jour au préalable.
Contenus utilisateurs
- Messages échangés dans les chats (privés et de groupe)
- Pièces jointes (photos, vidéos, audios, documents) partagées dans les chats
- Commentaires et notes internes sur les événements
- Avis et signalements
3.2 Données collectées automatiquement
Données techniques
- Adresse IP (traitée dans les journaux techniques de nos sous-traitants d'hébergement et d'authentification)
- Type d'appareil, modèle, système d'exploitation, version
- Langue du système
- Fuseau horaire
- Jeton d'attestation d'intégrité de l'application (Firebase App Check / Apple App Attest) — donnée technique anti-fraude, non identifiante
Données d'usage
- Date et heure de connexion (journaux d'authentification)
- Journaux techniques des appels serveur (horodatage, fonction appelée)
L'application n'embarque actuellement aucun outil de mesure d'audience ni de suivi publicitaire (pas d'identifiant publicitaire, pas d'analytics tiers). Si un outil de mesure d'audience ou de rapport de plantage venait à être ajouté, la présente Politique serait mise à jour au préalable.
Données de communication
- Coches d'envoi, de réception et de lecture des messages
- Statut « en ligne » / « dernière connexion »
3.3 Données collectées avec consentement explicite
Les données suivantes ne sont collectées qu'après consentement explicite de l'utilisateur, recueilli au moment de l'activation de la fonctionnalité concernée (jamais en bloc au lancement) :
- Carnet de contacts — pour retrouver les prestataires déjà inscrits, inviter les non-inscrits et gérer la visibilité « Mes contacts ». Les contacts sont lus localement sur l'appareil ; le carnet n'est pas copié sur nos serveurs.
- Caméra et galerie photo — pour la photo de profil, le logo de structure, les bannières d'événement et l'envoi de photos dans les chats
- Notifications push — pour les rappels d'événements et nouveaux messages (lorsque cette fonctionnalité sera disponible)
- Calendrier — pour l'export des événements vers le calendrier de l'appareil (lorsque cette fonctionnalité sera disponible)
4. Finalités du traitement et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (CGU) |
| Mise en relation entre prestataires et structures | Exécution du contrat (CGU) |
| Gestion des bookings, événements et négociations | Exécution du contrat (CGU) |
| Messagerie privée et de groupe | Exécution du contrat (CGU) |
| Calcul de l'indice de fiabilité et des badges | Intérêt légitime (qualité de la plateforme) |
| Notifications fonctionnelles (rappels, nouveaux messages) | Exécution du contrat (CGU) |
| Notifications marketing (le cas échéant, optionnelles) | Consentement explicite |
| Modération et signalement | Obligation légale (Loi pour la Confiance dans l'Économie Numérique) |
| Vérification des structures (SIRET, pré-remplissage Sirene, validation manuelle) | Intérêt légitime (fiabilité de la plateforme) + Exécution du contrat |
| Transmission des données de rémunération du prestataire (Facture/GUSO) aux structures engagées sur un événement confirmé | Exécution du contrat (CGU) |
| Lutte contre la fraude et les abus (App Check, anti-scraping, limitation de débit) | Intérêt légitime |
| Gestion des paiements et facturation | Exécution du contrat (CGV) + Obligation légale |
| Conservation des factures et données comptables | Obligation légale (Code de commerce, 10 ans) |
| Statistiques et amélioration du service | Intérêt légitime + données anonymisées |
| Réponse aux demandes d'exercice des droits RGPD | Obligation légale (RGPD art. 12-22) |
| Cookies (site web uniquement) | Consentement explicite (cf. Politique cookies) |
5. Durée de conservation des données
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte (profil actif) | Tant que le compte est actif |
| Données de compte (après suppression demandée par l'utilisateur) | 30 jours (fenêtre de réactivation), puis anonymisation |
| Données de rémunération du prestataire (Facture / GUSO, dont NIR et IBAN) | Jusqu'à suppression par le prestataire depuis son profil, ou suppression du compte |
| Logs de connexion | 12 mois |
| Messages et chats | Tant que la conversation existe ; archivage 24 mois après le dernier message |
| Pièces jointes chat | Identique aux messages |
| Données de bookings et événements | 5 ans après la fin de l'événement (obligations comptables) |
| Données de paiement et factures | 10 ans (obligation légale Code de commerce, art. L.123-22) |
| Journal d'audit des modifications sensibles (mot de passe, email, téléphone, acceptation CGU/PolConf) | 5 ans (preuve consentement RGPD) |
| Signalements et historique de modération | 5 ans après résolution |
| Données utilisateurs supprimés (anonymisées) | Indéfiniment sous forme anonymisée pour statistiques |
| Cookies analytiques | 13 mois maximum |
6. Destinataires et sous-traitants
Vos données peuvent être transmises aux destinataires suivants, dans le strict cadre des finalités énumérées à l'article 4 :
6.1 Au sein de Meyado Studio
- Le Président, seul accès administrateur
6.2 Sous-traitants techniques actuellement actifs
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Google Ireland Limited (Firebase + Google Cloud) | Authentification (email, téléphone, Google, Apple), base de données (Cloud Firestore, région eur3), stockage des photos (Cloud Storage), fonctions serverless (Cloud Functions, région europe-west1), attestation d'intégrité (App Check) | Irlande + régions UE (Belgique, Pays-Bas, Finlande) | RGPD compliant, certifications ISO 27001, ISO 27017, ISO 27018, SOC 2 Type II |
| Google Ireland Limited (Google Maps Platform) | Autocomplétion et géocodage d'adresses (Places API) — seul le texte d'adresse saisi est transmis, via nos serveurs, sans identifiant de compte | Irlande | RGPD compliant |
| Apple Distribution International Ltd | Distribution de la bêta (TestFlight) et connexion « Sign in with Apple » | Irlande | RGPD compliant |
Lors de la saisie d'un SIRET, celui-ci est transmis à l'API Sirene de l'INSEE (Institut national de la statistique, France) pour pré-remplir les informations publiques de l'entreprise (répertoire public, pas de donnée personnelle transmise hors SIRET).
6.2 bis Sous-traitants prévus (non encore actifs)
À l'activation des offres payantes et des fonctionnalités correspondantes, les sous-traitants suivants seront ajoutés, avec mise à jour préalable de la présente Politique : Stripe (paiements web), Apple / Google Play (achats intégrés), et le cas échéant un prestataire d'envoi de SMS et d'emails transactionnels.
6.3 Autorités
Vos données peuvent être transmises aux autorités judiciaires ou administratives compétentes, sur réquisition légale uniquement.
7. Transferts hors Union Européenne
Vos données sont hébergées dans l'Union Européenne (régions Google Cloud eur3 et europe-west1). Certains sous-traitants appartiennent toutefois à des groupes dont la maison mère est située aux États-Unis (Google LLC, Apple Inc.), ce qui peut impliquer des transferts résiduels (journaux techniques, support).
Ces transferts sont encadrés par :
- Le Data Privacy Framework (DPF) UE-USA pour les sous-traitants certifiés
- Des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne
- Des mesures de sécurité techniques additionnelles : chiffrement en transit (TLS 1.3) et au repos (AES-256)
8. Sécurité des données
Meyado Studio met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données :
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
- Authentification forte des accès administrateurs
- Politique de mots de passe robustes (stockage hash + sel)
- Sauvegardes régulières (Point-in-Time Recovery 7 jours + backups managés 14 jours + exports cron multi-region 30 jours)
- Journaux d'accès et d'audit immuables (modifications sensibles tracées : mot de passe, email, téléphone, acceptations légales)
- Tests de sécurité réguliers (audit de configuration, tests de pénétration légers)
- Formation continue du responsable au RGPD et à la cybersécurité
En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, vous serez notifié sans délai et la CNIL sera informée dans les 72 heures conformément à l'article 33 du RGPD.
9. Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :
9.1 Droit d'accès (art. 15)
Obtenir confirmation que vos données sont traitées et en obtenir une copie.
9.2 Droit de rectification (art. 16)
Faire corriger des données inexactes ou compléter des données incomplètes.
9.3 Droit à l'effacement / « droit à l'oubli » (art. 17)
Demander la suppression de vos données. La suppression du compte est accessible directement depuis l'application (Paramètres → Supprimer mon compte). Une fenêtre de réactivation de 30 jours s'applique avant anonymisation définitive.
⚠️ Certaines données peuvent être conservées plus longtemps si une obligation légale l'exige (factures, historique comptable : 10 ans).
9.4 Droit d'opposition (art. 21)
Vous opposer au traitement de vos données pour motifs légitimes, notamment au traitement à des fins de prospection commerciale.
9.5 Droit à la limitation (art. 18)
Demander la suspension temporaire du traitement de vos données.
9.6 Droit à la portabilité (art. 20)
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV), et les transmettre à un autre responsable de traitement.
9.7 Droit de retirer son consentement
Pour les traitements basés sur le consentement (notifications marketing, géolocalisation, etc.), vous pouvez retirer votre consentement à tout moment depuis les Paramètres de l'application.
9.8 Droit de définir des directives post-mortem
Conformément à la Loi Informatique et Libertés, vous pouvez définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès.
9.9 Modalités d'exercice de vos droits
Pour exercer vos droits, contactez notre DPO :
- Email : dpo@bookcrew.app
- Courrier : Meyado Studio – DPO, 47 rue Vivienne, 75002 Paris
Une vérification d'identité pourra vous être demandée pour traiter votre demande (copie de pièce d'identité partielle, code OTP envoyé sur votre numéro vérifié).
Nous nous engageons à répondre dans un délai maximum de 1 mois à compter de la réception de votre demande, prolongeable de 2 mois pour les demandes complexes.
9.10 Droit d'introduire une réclamation
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle française :
Commission Nationale de l'Informatique et des Libertés (CNIL)
- Adresse : 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
- Téléphone : 01 53 73 22 22
- Site web : https://www.cnil.fr
10. Cookies
L'application mobile BookCrew n'utilise pas de cookies au sens technique. Elle utilise des identifiants techniques nécessaires à son fonctionnement (token d'authentification, paramètres utilisateur stockés localement).
Le site web bookcrew.app est un site statique d'information qui ne dépose aucun cookie ni traceur (pas de mesure d'audience, pas de publicité).
11. Données des mineurs
BookCrew est strictement réservé aux professionnels du secteur événementiel majeurs (18 ans minimum). Aucun traitement de données de mineurs n'est effectué intentionnellement. Si vous avez connaissance d'un compte ouvert par un mineur, merci de le signaler à dpo@bookcrew.app pour suppression immédiate.
12. Modification de la Politique de Confidentialité
Meyado Studio se réserve le droit de modifier la présente Politique à tout moment. En cas de modification substantielle (changement des finalités, ajout d'un nouveau sous-traitant majeur, etc.), nous vous notifierons via l'application et vous demanderons votre acceptation explicite des nouvelles conditions avant toute poursuite d'utilisation.
L'historique des versions est conservé et consultable sur demande à dpo@bookcrew.app.
Dernière mise à jour : 8 juin 2026
Version : 1.1