Politique de confidentialité
Politique de confidentialité
La présente Politique de confidentialité décrit la manière dont vos données personnelles sont collectées, traitées et protégées lorsque vous utilisez le site sebzimmer.com et sa plateforme membre (ci-après « le Site »).
Elle est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
- Nom : Zimmer Sébastien
- Statut : Entrepreneur individuel (EI), exerçant sous la dénomination Sensorium
- SIREN : 822 390 589
- SIRET : 822 390 589 00023
- Siège social : 2 rue de la gare, 67260, Wolfskirchen, France.
- E-mail de contact : zimmersebastien67@gmail.com
- E-mail DPO / données personnelles : zimmersebastien67@gmail.com
2. Données collectées
2.1 Données d'inscription et de compte
| Donnée | Finalité | Obligatoire |
|---|---|---|
| Adresse e-mail | Authentification (OTP), communication | Oui |
| Nom et prénom | Personnalisation du compte | Oui |
| Photo de profil | Personnalisation (communauté) | Non |
2.2 Données de commande et de paiement
| Donnée | Finalité | Obligatoire |
|---|---|---|
| Adresse e-mail | Facturation, accès au programme | Oui |
| Nom et prénom | Facturation | Oui |
| Données bancaires | Paiement via Stripe | Oui |
Important : les données bancaires (numéro de carte, CVV) ne sont jamais collectées ni stockées par le Site. Elles sont traitées exclusivement par Stripe (voir section 5).
2.3 Données d'utilisation de la plateforme membre
| Donnée | Finalité |
|---|---|
| Progression dans les programmes | Suivi pédagogique, gamification |
| Résultats de quiz (Chronotype, Focus) | Personnalisation du parcours |
| Points d'expérience (XP), badges, niveau | Gamification, motivation |
| Streak (jours consécutifs d'activité) | Engagement, gamification |
| Historique des événements (complétion, inscription) | Suivi de la progression |
2.4 Données de navigation et techniques
| Donnée | Finalité |
|---|---|
| Adresse IP | Sécurité, limitation de débit (rate limiting) |
| Type de navigateur et d'appareil | Compatibilité, résolution de bugs |
| Pages visitées, horodatages | Analyse d'audience, amélioration du Site |
| Données de performance (erreurs, temps de chargement) | Monitoring technique (Sentry) |
3. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD art. 6) |
|---|---|
| Création et gestion du compte membre | Exécution du contrat (art. 6.1.b) |
| Accès aux programmes achetés | Exécution du contrat (art. 6.1.b) |
| Traitement des paiements | Exécution du contrat (art. 6.1.b) |
| Envoi d'e-mails transactionnels (confirmation, accès, OTP) | Exécution du contrat (art. 6.1.b) |
| Suivi de la progression et gamification | Exécution du contrat (art. 6.1.b) |
| Personnalisation du parcours (résultats de quiz) | Exécution du contrat (art. 6.1.b) |
| Envoi de communications marketing (newsletter, promotions) | Consentement (art. 6.1.a) |
| Profilage à des fins de personnalisation de contenu | Consentement (art. 6.1.a) |
| Mesure d'audience et analyse du Site | Intérêt légitime (art. 6.1.f) |
| Sécurité du Site (rate limiting, détection d'abus) | Intérêt légitime (art. 6.1.f) |
4. Destinataires des données
Les données personnelles sont accessibles uniquement aux personnes habilitées au sein de l'organisation Sensorium et, dans la stricte mesure nécessaire, aux sous-traitants suivants :
4.1 Sous-traitants techniques
| Prestataire | Rôle | Localisation des données | Garanties |
|---|---|---|---|
| Concordis (UBM Studio OS) | Développement et maintenance de la plateforme | UE | Sous-traitant RGPD (art. 28) |
| Supabase Pte. Ltd. | Hébergement de la base de données | UE (AWS eu-west) | DPA signé, données en UE |
| Vercel Inc. | Hébergement applicatif | UE (région Paris cdg1) | DPA signé, déploiement en UE |
| Stripe Payments Europe, Ltd. | Traitement des paiements | UE (Ireland) | Certifié PCI-DSS niveau 1, DPA |
| Resend (ou AWS SES) | Envoi d'e-mails transactionnels | [À COMPLÉTER — UE ou US] | DPA signé |
4.2 Aucune vente de données
Les données personnelles ne sont ni vendues, ni louées, ni échangées avec des tiers à des fins commerciales ou publicitaires.
5. Transferts de données hors Union européenne
Certains de nos sous-traitants sont établis aux États-Unis :
| Prestataire | Mesures de protection |
|---|---|
| Vercel Inc. | Déploiement en UE (Paris cdg1) — les données applicatives restent dans l'UE. La société mère est américaine. |
| Supabase Pte. Ltd. | Infrastructure AWS en UE (eu-west). Siège social à Singapour, mais données hébergées en UE. |
| Sentry | Transfert vers les US — encadré par le EU-US Data Privacy Framework (DPF) et/ou clauses contractuelles types (CCT) de la Commission européenne. |
| Stripe | Entité européenne (Stripe Payments Europe, Ltd., Irlande). Transferts éventuels encadrés par le DPF et les CCT. |
6. Durée de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte (e-mail, nom, profil) | Durée de la relation contractuelle + 3 ans après la dernière activité |
| Données de progression (XP, badges, quiz) | Durée de la relation contractuelle + 3 ans |
| Données de paiement (hors CB) | 10 ans (obligation légale — art. L123-22 Code de commerce) |
| Données bancaires (CB) | Non conservées par le Site (traitées par Stripe) |
| Données de navigation / logs techniques | 13 mois maximum |
| Données de monitoring (Sentry) | 90 jours |
| Cookies | Voir section 9 |
Passé ces délais, les données sont supprimées ou anonymisées de manière irréversible.
7. Droits des utilisateurs
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
| Droit | Description |
|---|---|
| Accès (art. 15) | Obtenir une copie des données vous concernant |
| Rectification (art. 16) | Corriger des données inexactes ou incomplètes |
| Effacement (art. 17) | Demander la suppression de vos données (« droit à l'oubli ») |
| Limitation (art. 18) | Demander la suspension temporaire du traitement |
| Portabilité (art. 20) | Recevoir vos données dans un format structuré et lisible par machine |
| Opposition (art. 21) | Vous opposer au traitement fondé sur l'intérêt légitime |
| Retrait du consentement | Retirer votre consentement à tout moment (sans affecter la licéité du traitement antérieur) |
Comment exercer vos droits
- En ligne : depuis les paramètres de votre compte membre (export de données, gestion du consentement)
- Par e-mail : en écrivant à zimmersebastien67@gmail.com
Une réponse vous sera apportée dans un délai de 30 jours à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en cas de demande complexe, auquel cas vous en serez informé.
Une pièce d'identité pourra vous être demandée en cas de doute raisonnable sur votre identité.
8. Sécurité des données
Le responsable du traitement et ses sous-traitants mettent en oeuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles :
- Chiffrement : toutes les communications sont chiffrées en transit (HTTPS/TLS). Les données sont chiffrées au repos dans la base de données.
- Authentification : authentification sans mot de passe par code à usage unique (OTP), réduisant les risques liés aux mots de passe faibles.
- Contrôle d'accès : isolation des données par tenant (Row Level Security), accès limité aux personnes habilitées.
- Rate limiting : protection contre les abus et tentatives d'accès non autorisées.
- Monitoring : surveillance en temps réel des erreurs et anomalies.
- Sauvegardes : sauvegardes automatiques quotidiennes de la base de données.
9. Cookies et traceurs
9.1 Cookies essentiels (exemptés de consentement)
| Cookie | Finalité | Durée |
|---|---|---|
| Session d'authentification (Supabase Auth) | Maintien de la connexion | Durée de la session |
| Préférence de langue (locale) | Affichage dans la bonne langue | 1 an |
| Jeton CSRF | Sécurité des formulaires | Durée de la session |
Ces cookies sont strictement nécessaires au fonctionnement du Site et ne requièrent pas de consentement (art. 82 de la loi Informatique et Libertés, transposant la directive ePrivacy).
10. Profilage
La Plateforme peut réaliser un profilage à des fins de personnalisation du parcours (ex. : adaptation du contenu en fonction du chronotype détecté ou des résultats du quiz Focus).
Ce profilage :
- N'a pas d'effet juridique ni d'effet significatif similaire sur l'utilisateur
- Est fondé sur le consentement de l'utilisateur (activable/désactivable depuis les paramètres du compte)
- Peut être refusé sans affecter l'accès aux programmes
11. Mineurs
Le Site et les programmes sont destinés à un public majeur (18 ans ou plus). Le responsable du traitement ne collecte pas sciemment de données personnelles de mineurs.
12. Droit de réclamation
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL) 3, place de Fontenoy – TSA 80715 – 75334 Paris Cedex 07 Site web : www.cnil.fr
13. Mise à jour de la politique
La présente Politique de confidentialité peut être mise à jour à tout moment pour refléter les évolutions du Site, de la réglementation ou des pratiques de traitement.
En cas de modification substantielle, les Membres seront informés par e-mail ou par notification sur la Plateforme.
La date de dernière mise à jour est indiquée en bas de cette page.
Dernière mise à jour : 27.03.26