Ce document a vocation à être revu par un avocat français spécialisé en droit des données personnelles (RGPD) avant entrée en vigueur définitive. Les champs relatifs à l’identité civile et à l’adresse professionnelle du responsable de traitement seront complétés avant publication officielle.
En vigueur depuis le 19 avril 2026. Version 1.0.
La présente politique décrit comment Balance & Conseils collecte et traite les données personnelles des utilisatrices du site balanceetconseils.fr et des Clientes, dans le respect du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après « RGPD ») et de la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée.
1. Responsable de traitement
- Responsable de traitement : Déborah [nom à compléter], exerçant sous le nom commercial « Balance & Conseils », entreprise individuelle établie à Wallis-et-Futuna.
- Adresse : [adresse à Wallis-et-Futuna — à compléter par Déborah]
- Email de contact RGPD : rgpd@balanceetconseils.fr
- Email général : hello@balanceetconseils.fr
Compte tenu de la taille de la structure et de la nature des traitements mis en œuvre, Balance & Conseils n’est pas tenue de désigner un Délégué à la Protection des Données (DPO). Les demandes relatives au RGPD sont traitées directement par la responsable de traitement.
2. Données collectées
2.1 Lors de la navigation
- Données techniques de connexion (adresse IP pseudonymisée par hachage avec clé secrète, type de navigateur, système d’exploitation, pages visitées, horodatage)
- Données de mesure d’audience via un outil respectueux de la vie privée (voir la section cookies ci-dessous)
2.2 Lors de la soumission d’un formulaire
Lorsqu’une utilisatrice remplit un formulaire de contact, demande une ressource gratuite (lead magnet) ou s’inscrit à la newsletter, les données suivantes peuvent être collectées :
- Prénom
- Adresse email
- Message libre (pour le formulaire de contact)
- Centres d’intérêt déclarés (pour la segmentation de la newsletter, le cas échéant)
2.3 Lors de la création d’un compte espace client
- Prénom et nom (optionnel)
- Adresse email
- Photo de profil (optionnelle)
- Mot de passe, chiffré de manière irréversible (bcrypt via Supabase Auth) — jamais stocké en clair
- Préférences, objectifs personnels et contenus que la Cliente choisit de saisir dans son espace
2.4 Lors de la souscription à une prestation payante
- Identité complète (prénom et nom)
- Adresse de facturation
- Informations de paiement : aucune donnée de carte bancaire n’est collectée ni stockée par Balance & Conseils. Le traitement sécurisé des données de paiement est entièrement délégué à Stripe (voir section 4)
- Historique des commandes, factures, prestations réservées
2.5 Lors des échanges de coaching
- Notes de séance prises par le Coach (usage interne, strictement confidentiel)
- Messages échangés via la messagerie de l’espace client
- Journaux personnels, trackers d’humeur, objectifs et contenus saisis par la Cliente dans son espace (privés par défaut, partageables au seul choix de la Cliente)
Ces contenus peuvent exceptionnellement contenir des informations relatives à la santé ou à la vie privée de la Cliente. Leur traitement repose sur le consentement explicite de la Cliente et sur l’exécution du contrat de coaching. Des mesures de sécurité renforcées leur sont appliquées (voir section 7).
3. Finalités et bases légales
Conformément à l’article 6 du RGPD, chaque traitement repose sur une base légale identifiée :
| Finalité | Base légale | Durée de conservation |
|---|---|---|
| Fourniture des prestations de coaching | Exécution du contrat (art. 6.1.b) | Durée de la relation + 3 ans |
| Facturation et comptabilité | Obligation légale (art. 6.1.c) | 10 ans (obligation comptable) |
| Envoi de la newsletter et communications commerciales | Consentement (art. 6.1.a) | Jusqu’à désinscription + 3 ans |
| Lead magnets (téléchargement de ressources, quiz) | Consentement (art. 6.1.a) | 3 ans après dernier contact |
| Mesure d’audience anonymisée | Intérêt légitime (art. 6.1.f) | 13 mois maximum |
| Sécurité du site (logs, détection d’intrusion) | Intérêt légitime (art. 6.1.f) | 12 mois |
4. Destinataires et sous-traitants
Les données sont traitées par la responsable de traitement et, le cas échéant, par les sous-traitants techniques suivants, chacun encadré par un Data Processing Agreement (DPA) conforme à l’article 28 du RGPD :
| Sous-traitant | Service | Localisation | Encadrement des transferts |
|---|---|---|---|
| Vercel Inc. | Hébergement et diffusion du site | États-Unis | CCT + DPF |
| Supabase Inc. | Base de données, authentification, stockage de fichiers, communications temps réel | Union européenne — région eu-west-3 (Paris) | Hébergement UE, aucun transfert hors UE pour les données applicatives |
| Stripe Payments Europe Ltd | Traitement des paiements en ligne (CB, Apple Pay, Google Pay, paiement en plusieurs fois) | Irlande (UE) — avec architecture globale Stripe Inc. aux États-Unis | CCT + certification PCI-DSS |
| Resend Inc. | Envoi d’emails transactionnels (confirmation de commande, notifications, réinitialisation de mot de passe) | États-Unis | CCT |
| Cal.com Inc. (optionnel) | Prise de rendez-vous en ligne | Union européenne (hébergement UE privilégié) | DPA Cal.com standard |
Balance & Conseils ne commercialise ni ne cède les données personnelles des utilisatrices à des tiers à des fins publicitaires.
5. Transferts hors Union européenne
Les données applicatives (espace client, contenus saisis par les Clientes, historique coaching) sont hébergées en Union européenne, dans la région Supabase eu-west-3 (Paris). Aucun transfert de ces données hors UE n’est réalisé dans le cadre normal du fonctionnement de l’espace client.
Certains sous-traitants techniques (Vercel, Resend et, dans une certaine mesure, Stripe) sont établis aux États-Unis. Pour ces transferts, les garanties suivantes sont mobilisées :
- Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d’exécution (UE) 2021/914)
- Data Privacy Framework (DPF) pour les sous-traitants certifiés
- Mesures techniques supplémentaires : chiffrement au repos et en transit (TLS 1.3 minimum), pseudonymisation lorsque possible, minimisation des données transmises
6. Droits de la Cliente
Conformément aux articles 15 à 22 du RGPD, la Cliente dispose des droits suivants sur ses données personnelles :
- Droit d’accès (art. 15) : obtenir la confirmation que ses données sont traitées et, le cas échéant, en recevoir une copie
- Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes
- Droit à l’effacement ou « droit à l’oubli » (art. 17) : demander la suppression de ses données, sous réserve des obligations légales de conservation (notamment 10 ans pour les factures)
- Droit à la limitation du traitement (art. 18)
- Droit à la portabilité (art. 20) : recevoir ses données dans un format structuré, couramment utilisé et lisible par machine (export JSON ou CSV depuis l’espace client)
- Droit d’opposition (art. 21)
- Droit de retirer son consentement à tout moment, pour les traitements fondés sur la base légale du consentement (newsletter, lead magnets, cookies non essentiels)
- Droit de définir des directives post-mortem relatives à la conservation, l’effacement ou la communication de ses données après son décès (article 85 de la loi Informatique et Libertés)
Ces droits peuvent être exercés par simple écrit à rgpd@balanceetconseils.fr, accompagné le cas échéant d’un justificatif d’identité en cas de doute raisonnable sur l’identité du demandeur.
Délai de réponse : 1 mois maximum à compter de la réception de la demande, prolongeable de 2 mois pour les demandes complexes ou nombreuses, conformément à l’article 12 du RGPD.
Réclamation auprès de la CNIL : la Cliente peut également introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr) si elle estime que ses droits ne sont pas respectés.
7. Sécurité
Balance & Conseils met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD :
- Chiffrement au repos (AES-256, assuré par Supabase) et en transit (TLS 1.3 imposé par Vercel)
- Authentification par mot de passe haché via bcrypt (Supabase Auth) ; aucun mot de passe en clair
- Option d’authentification à deux facteurs (2FA) pour l’espace client
- Row-Level Security (RLS) activée sur toutes les tables Supabase : chaque Cliente n’a accès qu’à ses propres données
- Journalisation des accès conservée 12 mois à des fins de sécurité
- Sauvegardes automatiques quotidiennes chiffrées
- Sessions protégées par jetons JWT avec rotation et expiration
- Limitation du débit sur les endpoints sensibles (login, reset)
8. Violation de données (art. 33-34 RGPD)
En cas de violation de données à caractère personnel présentant un risque pour les droits et libertés des personnes concernées, Balance & Conseils s’engage à :
- Notifier la CNIL sous 72 heures à compter de la connaissance de la violation (article 33 RGPD)
- Informer sans délai les Clientes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés (article 34 RGPD)
- Documenter l’incident dans un registre interne des violations de données, quel qu’en soit le niveau de gravité
10. Modifications de la politique
La présente politique peut être amenée à évoluer pour tenir compte de modifications légales, réglementaires, jurisprudentielles ou techniques. Toute modification substantielle est portée à la connaissance des Clientes par email et fait l’objet d’une mise à jour de la date figurant en tête du présent document.
Pour toute question relative à la présente politique, il est possible d’écrire à rgpd@balanceetconseils.fr. Les mentions légales et les conditions générales de vente viennent compléter le présent document.