Politique de confidentialité

Le responsable du traitement des données personnelles collectées via le site Lumiio est :

Dénomination

Cervasi Ewen

Numéro SIRET

{{SIRET}}

Siège social

{{ADRESSE}}, {{CODE_POSTAL}} {{VILLE}}, France

Email

{{EMAIL_RGPD}}

Vous pouvez contacter le responsable de traitement pour toute question relative au traitement de vos données à l'adresse {{EMAIL_RGPD}}.

Nous distinguons deux catégories de personnes concernées :

Photographes utilisateurs de la plateforme

Les données collectées lors de l'inscription et de l'usage du service sont :

• Identifiants : adresse email, mot de passe (stocké sous forme hachée), nom, prénom
• Profil professionnel : dénomination, SIRET, adresse, numéro de téléphone, logo
• Données de facturation : historique des paiements (les données bancaires sont traitées exclusivement par Stripe et ne transitent jamais par nos serveurs)
• Données d'usage : logs de connexion, adresse IP, métadonnées techniques

Clients finaux des photographes

Dans le cadre du service, les photographes peuvent enregistrer les données de leurs propres clients. Pour ces données, Lumiio agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Le photographe est responsable de traitement. Les données concernées peuvent inclure :

• Identité : nom, prénom, date de naissance
• Coordonnées : email, téléphone, adresse postale
• Documents contractuels : devis, factures, contrats signés
• Tout document ou information que le photographe choisit d'enregistrer via la plateforme

Vos données sont traitées pour les finalités suivantes :

• Fourniture du service Lumiio (gestion de clients, devis, factures, projets)
• Gestion de l'abonnement et de la facturation du service
• Envoi d'emails transactionnels (confirmation, rappels, notifications)
• Support client et assistance technique
• Amélioration du service et détection de fraudes ou abus
• Respect de nos obligations légales (notamment comptables et fiscales)

Chaque traitement repose sur l'une des bases légales suivantes :

• Exécution du contrat qui nous lie à vous (art. 6.1.b RGPD) pour la fourniture du service
• Respect d'une obligation légale (art. 6.1.c RGPD) pour la conservation des factures
• Intérêt légitime (art. 6.1.f RGPD) pour l'amélioration du service et la sécurité
• Consentement (art. 6.1.a RGPD) pour les communications marketing facultatives

Nous conservons vos données pour les durées suivantes :

• Compte actif : pendant toute la durée d'utilisation du service
• Compte supprimé : suppression effective sous 30 jours (sauvegardes incluses)
• Factures et pièces comptables : 10 ans à compter de leur émission (article L.123-22 du Code de commerce) — anonymisation des données personnelles à la suppression du compte
• Logs techniques et de sécurité : 12 mois maximum
• Données prospection commerciale : 3 ans à compter du dernier contact

Pour fournir le service, nous faisons appel à des sous-traitants rigoureusement sélectionnés. Tous sont engagés par un contrat de sous-traitance conforme à l'article 28 du RGPD :

Appwrite Inc.

Hébergement base de données (serveurs situés en Allemagne, UE)

Stripe Payments Europe Ltd.

Traitement des paiements (Irlande, UE)

Resend Inc.

Envoi d'emails transactionnels (États-Unis, Data Privacy Framework)

Vercel Inc.

Hébergement de l'application (États-Unis, Data Privacy Framework)

Amazon Web Services

Stockage des documents signés (Francfort, UE)

Anthropic PBC et OpenAI LLC

Services d'intelligence artificielle utilisés pour les fonctionnalités d'assistance (États-Unis, Data Privacy Framework — aucune donnée client n'est utilisée pour l'entraînement des modèles)

Certains de nos sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par le Data Privacy Framework (adéquation adoptée par la Commission européenne le 10 juillet 2023) ou, à défaut, par des clauses contractuelles types approuvées par la Commission européenne.

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès : obtenir la communication des données vous concernant
• Droit de rectification : corriger toute donnée inexacte ou incomplète
• Droit à l'effacement : demander la suppression de vos données, sous réserve de nos obligations légales de conservation
• Droit à la limitation du traitement
• Droit à la portabilité : recevoir vos données dans un format structuré (JSON) ou les transférer à un autre responsable de traitement
• Droit d'opposition au traitement fondé sur notre intérêt légitime
• Droit de retirer votre consentement à tout moment pour les traitements qui en dépendent
• Droit de définir des directives relatives au sort de vos données après votre décès

Pour exercer ces droits, adressez votre demande à {{EMAIL_RGPD}} en précisant l'objet. Nous répondrons dans un délai maximal d'un mois. En cas de réponse insatisfaisante, vous avez le droit d'introduire une réclamation auprès de la CNIL (https://www.cnil.fr — téléphone : 01 53 73 22 22).

Le site Lumiio utilise uniquement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire ou de suivi tiers n'est déposé sans votre consentement.

Liste des cookies techniques utilisés :

• Cookie de session Appwrite : authentification sécurisée
• Cookie de préférence d'interface (thème clair/sombre, langue)

Ces cookies sont exemptés du recueil de consentement en application de l'article 82 de la loi Informatique et Libertés et des lignes directrices de la CNIL.

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

• Chiffrement des échanges par protocole HTTPS/TLS
• Chiffrement au repos des bases de données par notre hébergeur
• Hachage irréversible des mots de passe
• Contrôle strict des accès et journalisation des opérations sensibles
• Authentification à deux facteurs disponible pour renforcer la sécurité des comptes

En cas de violation de données susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans les meilleurs délais et notifierons la CNIL dans les 72 heures, conformément aux articles 33 et 34 du RGPD.

La présente politique peut être mise à jour pour refléter les évolutions du service ou de la réglementation. Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur.