Politique de confidentialité
Quel Barber respecte votre vie privée. Cette politique explique — en langage clair — quelles données nous collectons, pourquoi, combien de temps, avec qui nous les partageons, et comment exercer vos droits. Conformité RGPD (Règlement UE 2016/679) + loi Informatique et Libertés modifiée.
1. Responsable du traitement
- MBS Média Z · SIREN 907 917 322
- 50 avenue des Champs-Élysées, 75008 Paris, France
- Directeur de la publication : Anthony Cardia
- Contact RGPD / DPO : privacy@quel-barber.fr
2. Ce que nous collectons et pourquoi
Nous collectons uniquement le minimum nécessaire (principe de minimisation, RGPD art. 5 §1.c).
| Donnée | Finalité | Base légale | Durée |
|---|---|---|---|
| Email, mot de passe (bcrypt) | Compte utilisateur, authentification | Exécution contractuelle (art. 6.1.b) | Tant que le compte existe |
| Nom, téléphone | Identification du barber, contact | Exécution contractuelle (art. 6.1.b) | Tant que le compte existe |
| Kbis / extrait SIRENE / avis INSEE | Vérification de la propriété d'une fiche | Intérêt légitime (art. 6.1.f) — prévention de fraude | Supprimé automatiquement après validation ou refus de la réclamation (voir §6) |
| Photos et logos de fiche | Affichage public de la fiche | Consentement (art. 6.1.a) | Tant que la fiche est publiée |
| Adresse IP, user-agent, journaux d'activité | Sécurité, prévention d'abus, rate-limit | Intérêt légitime (art. 6.1.f) | 6 mois pour les tentatives de login, 13 mois pour `activity_log` puis purge automatique |
| Préférences email (notifications, marketing) | Envoi ou non-envoi d'emails non essentiels | Consentement (art. 6.1.a) pour marketing, intérêt légitime pour notifications | Tant que le compte existe |
| Données INSEE publiques (nom, SIREN, adresse des barbers) | Alimentation de l'annuaire public | Intérêt légitime (art. 6.1.f) — données publiques open-data | Tant que l'établissement est actif à l'INSEE |
Cookies : nous utilisons uniquement un cookie de session PHP (qbsid, HttpOnly, SameSite=Lax) strictement nécessaire à l'authentification. Pas de cookie analytics, pas de tracker, pas de bannière à cliquer.
3. Qui reçoit vos données (destinataires et sous-traitants)
- o2switch SAS (France, Clermont-Ferrand) — hébergeur / sous-traitant au sens art. 28 RGPD
- Aucun transfert hors Union européenne
- Pas de revente, pas de partage commercial à des tiers
- Données INSEE : récupérées depuis data.gouv.fr (Licence Ouverte v2.0) — elles sont publiques
- Fond de carte : tuiles OpenStreetMap (ODbL v1.0), servies en direct par le navigateur du visiteur depuis
tile.openstreetmap.org - Liens sortants : Google Maps, Waze, annuaire-entreprises.data.gouv.fr — aucune donnée transmise sans clic explicite
4. Services tiers exclus (choix de confidentialité)
- Google Analytics : NON
- Facebook Pixel / Meta : NON
- Google Fonts en CDN : NON — fontes self-hostées (suite à l'arrêt du LG München 20.01.2022, 3 O 17493/20)
- Services Google reCAPTCHA : NON
- Publicité / AdSense : NON
5. Emails
Trois catégories :
- Transactionnels (vérification email, mot de passe oublié, résultat de réclamation) : toujours envoyés — nécessaires au fonctionnement du service. Base légale : exécution contractuelle.
- Notifications liées à ton activité (fiche à modérer, changement de statut) : envoyés par défaut à l'inscription. Base légale : intérêt légitime. Désactivables en 1 clic depuis /dashboard ou via n'importe quel email reçu.
- Marketing / nouveautés : envoyés uniquement si opt-in explicite coché à l'inscription. Base légale : consentement. Désinscription 1 clic conforme RFC 8058 (Gmail, Outlook).
6. Suppression automatique des Kbis
Quand tu soumets un justificatif (Kbis, extrait SIRENE, avis INSEE) pour revendiquer une fiche, le fichier est stocké dans un répertoire privé (hors de la racine web), accessible uniquement à nos modérateurs via un lien admin authentifié. Dès que la réclamation est validée ou refusée, le fichier est supprimé définitivement du serveur (automatique dans le code, cf. Claim::purgeVerificationDoc) et le chemin est effacé en base. Aucune copie n'est conservée.
7. Tes droits (RGPD art. 15 à 22)
- Accès + portabilité (art. 15 + 20) : télécharge toutes tes données en JSON structuré depuis /dashboard/account/export (si connecté)
- Rectification (art. 16) : modifie ton nom, ton téléphone, tes préférences email depuis /dashboard
- Effacement / droit à l'oubli (art. 17) : supprime ton compte en quelques clics depuis /dashboard/account/delete — irréversible, immédiat, avec purge des fichiers uploadés
- Opposition au marketing (art. 21) : une seule case, 1 clic depuis /dashboard ou depuis n'importe quel email
- Limitation (art. 18) : contacte privacy@quel-barber.fr — réponse sous 30 jours
- Absence de décision automatisée (art. 22) : aucune décision ne t'est imposée par un algorithme — un humain examine chaque réclamation et chaque modération
- Réclamation : tu peux saisir la CNIL à tout moment
8. Sécurité
Mots de passe hachés avec bcrypt (coût 12). Jetons de session HttpOnly + SameSite=Lax, régénérés à la connexion. CSRF sur tous les formulaires. Rate-limiting DB sur login (5/15min), inscription (3/h), mot de passe oublié (3/h), réclamation (5/h). HTTPS obligatoire en production + HSTS. Contenu `Content-Security-Policy` restrictif. Upload validé par analyse MIME réelle (pas juste l'extension).
9. Évolutions
Cette politique peut être mise à jour. La date ci-dessous indique la dernière révision. Les changements substantiels te seront notifiés par email si tu as un compte.
Dernière mise à jour : 09 May 2026