Politique de confidentialité
Dernière mise à jour : 15 avril 2026
JustOneEvent s'engage à protéger votre vie privée et à traiter vos données personnelles dans le respect du Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et de la loi Informatique et Libertés modifiée.
1 Responsable du traitement
2 Données collectées
2.1 Inscriptions aux événements (visiteurs publics)
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Nom complet | Oui | Identification de l'inscrit, QR code |
| Adresse email | Oui | Envoi du QR code de confirmation, communications liées à l'événement |
| Numéro de téléphone | Non | Contact optionnel par l'organisateur |
2.2 Comptes organisateurs
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Nom complet | Oui | Identification du compte, affichage dans le dashboard |
| Adresse email | Oui | Authentification, notifications système |
| Mot de passe (haché) | Oui | Sécurisation de l'accès au compte (algorithme Argon2) |
| Nom d'organisation | Non | Affichage sur les pages d'événements |
2.3 Données techniques
Des données de connexion (logs serveur incluant adresse IP, horodatage, user-agent) peuvent être collectées automatiquement à des fins de sécurité et de diagnostic technique. Ces données ne sont pas partagées et sont conservées 12 mois maximum. Le code pays ISO (2 lettres) déduit de l'adresse IP par notre fournisseur d'edge (Cloudflare ou équivalent) ou de l'adresse de facturation Stripe peut être stocké dans le profil utilisateur (champ `country_code`) à des fins de pilotage produit interne (tableau de répartition géographique côté administration). Aucune coordonnée précise ni adresse n'est dérivée de l'IP.
Réponses aux champs personnalisés (collectées par l'organisateur)
L'organisateur d'un événement peut ajouter des questions complémentaires sur le formulaire d'inscription (libellé + type : texte libre, nombre, choix unique, choix multiples, case à cocher). Vos réponses sont visibles dans son tableau de bord et son export CSV. La nature de ces données dépend des questions posées par l'organisateur, qui en est seul responsable de traitement (cf. nos CGU). JustOneEvent applique les mêmes principes de minimisation et de conservation à ces réponses qu'aux champs standards. Les réponses textuelles libres sont effacées automatiquement 36 mois après l'événement (anonymisation RGPD) ; les réponses structurées (nombres, cases cochées, options choisies) sont conservées comme statistiques non identifiantes. Pour les inscriptions de groupe (plusieurs personnes inscrites en une seule démarche), l'organisateur configure chaque champ soit comme « pour le groupe » (réponse unique donnée par le leader, stockée sur sa seule inscription), soit comme « pour chaque personne » (chacun des participants répond séparément, sa réponse est stockée sur sa propre inscription et soumise à l'anonymisation 36 mois indépendamment).
2.5 Note libre dans l'email de confirmation (rédigée par l'organisateur)
L'organisateur peut ajouter à son événement une note libre (500 caractères max) incluse dans l'email de confirmation envoyé aux inscrits, entre le QR code et le lien d'annulation. Cette note est rédigée et contrôlée par l'organisateur, qui en est seul responsable. Pour limiter le risque de phishing, JustOneEvent rejette automatiquement toute note contenant des liens (URL, adresses email, noms de domaine) — les liens utiles à l'événement (carte, programme, paiement) doivent figurer dans la description publique de l'événement, vérifiable par les inscrits avant l'inscription. Cette note suit la durée de conservation de l'événement (cf. § 4).
2.6 Texte saisi dans l'assistant IA (organisateurs)
Lorsque vous utilisez l'assistant IA (boutons « Générer le brouillon » et « Améliorer » sur la page de création d'événement), le texte que vous saisissez est transmis à Microsoft Azure OpenAI Service (voir § 5) dans la zone Union européenne. Ce texte n'est **ni stocké côté JustOneEvent ni réutilisé par Microsoft pour entraîner ses modèles** (clause contractuelle Azure OpenAI). Seules les métriques d'utilisation (nombre de tokens, modèle, coût) sont conservées 36 mois pour suivre votre quota mensuel et pour audit interne — aucun contenu de prompt ou de réponse n'est journalisé. Vous restez seul responsable du contenu publié à partir des suggestions de l'assistant (cf. nos CGU § 4).
3 Bases légales des traitements
Exécution du contrat (art. 6.1.b RGPD) — traitement des inscriptions, gestion des comptes organisateurs, et fourniture des fonctionnalités incluses dans le plan souscrit (dont l'assistant IA pour la création d'événement, voir § 2.6).
Consentement (art. 6.1.a RGPD) — cookies analytiques et communications marketing optionnelles.
Intérêt légitime (art. 6.1.f RGPD) — logs de sécurité, prévention de la fraude.
4 Durées de conservation
| Catégorie | Durée |
|---|---|
| Données d'inscription à un événement | 3 ans après la date de l'événement |
| Réponses aux champs personnalisés | 36 mois après l'événement (texte libre effacé, données structurées conservées en agrégat). |
| Compte organisateur actif | Durée de la relation contractuelle |
| Compte organisateur inactif (sans connexion) | 3 ans après la dernière connexion (préavis email 30 jours avant suppression) |
| Compte supprimé (archives) | 3 ans (obligations légales comptables) |
| Logs techniques | 12 mois |
| Cookies analytiques | 13 mois maximum |
| Métriques d'utilisation de l'assistant IA | 36 mois (tokens, modèle, coût — sans contenu de prompt ni de réponse) |
5 Destinataires et sous-traitants
Vos données sont traitées par :
- JustOneEvent — équipe interne, accès restreint aux données strictement nécessaires.
- Microsoft Azure — hébergement de l'application et de la base de données (région France Central, centres de données à Paris, France). Sous-traitant au sens du RGPD. Les transferts hors UE sont encadrés par les Clauses Contractuelles Types de la Commission européenne.
- Prestataire SMTP — envoi transactionnel des emails de confirmation, rappels et reçus QR. Les en-têtes (To, From) et le corps de l'email transitent par le SMTP. Aucun email marketing ne lui est confié.
- Stripe Payments Europe Ltd. (Irlande) — traitement des paiements pour les plans payants (Premium, Pro, Business). Champs transmis lors de la souscription : email, nom, identifiant utilisateur interne, plan choisi. Le numéro de carte ne transite jamais par nos serveurs (saisie via Stripe Checkout). Stripe est responsable de traitement pour les opérations bancaires (lutte anti-fraude, obligations PSP) et sous-traitant pour la finalité « gestion d'abonnement ». DPA Stripe : stripe.com/legal/dpa. Conservation côté Stripe : 7 ans (obligations comptables).
- Microsoft Application Insights (Azure) — mesure d'audience anonyme, déclenchée uniquement après consentement via la bannière cookies. Données collectées : URL visitée, durée, performance, erreurs JS. Identifiant anonyme par session, sans cookie tiers. Hébergement UE, conservation 90 jours.
- db-ip.com (Belgique) — géolocalisation approximative (ville, région, pays) de l'adresse IP lors des connexions des administrateurs internes BZH Consulting, pour l'alerte de sécurité « nouvelle connexion admin ». Sous-traitant établi dans l'Union européenne ; appel HTTPS. **Aucune adresse IP de participant ou de Client n'est transmise** — seules les IPs des administrateurs au moment d'une connexion.
- Microsoft Azure OpenAI Service (assistant IA — zone Union européenne) — traitement des descriptifs d'événement que vous saisissez dans le champ « Décrivez votre événement » de l'assistant IA. Le texte est envoyé à un modèle de génération hébergé par Microsoft Azure. L'endpoint utilisé est en France Central et le traitement reste dans la zone Union européenne de Microsoft Azure (centres de données situés en UE/EEE — France, Suède, Pays-Bas, Irlande, etc.). Les contenus ne sont **ni stockés côté JustOneEvent ni réutilisés par Microsoft pour entraîner ses modèles** (clause contractuelle Azure OpenAI). Seules les métriques d'utilisation (nombre de tokens, coût, modèle) sont conservées 36 mois pour audit interne. Vous restez responsable du contenu publié.
- Banques d'images : — lorsqu'une photo de couverture est recherchée automatiquement, la requête de recherche (mots-clés issus de votre événement) est transmise à des fournisseurs d'images tiers (Unsplash, Pexels, Pixabay) pour récupérer une photo sous licence libre. Aucune donnée personnelle de participant n'est transmise.
Aucune donnée personnelle n'est vendue à des tiers ni partagée à des fins publicitaires. Les sous-traitants opèrent en UE ; tout transfert résiduel hors UE par Microsoft est encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne (Décision UE 2021/914).
6 Cookies
| Cookie | Type | Durée | Finalité |
|---|---|---|---|
| token | Strictement nécessaire | Session | Authentification JWT (httpOnly, sécurisé) |
| cookie_consent | Fonctionnel | 12 mois | Mémorise votre choix de consentement |
Vous pouvez modifier vos préférences à tout moment via le lien en bas de page.
7 Vos droits
Conformément au RGPD, vous disposez des droits suivants :
Droit d'accès
Obtenir une copie de vos données
Droit de rectification
Corriger des données inexactes
Droit à l'effacement
Demander la suppression de vos données
Droit d'opposition
S'opposer à certains traitements
Droit à la limitation
Limiter temporairement le traitement
Droit à la portabilité
Exporter vos données en JSON
À noter sur l'assistant IA : aucune génération n'est déclenchée sans action explicite de votre part (clic sur les boutons « Générer le brouillon » ou « Améliorer »). Vous restez maître de chaque appel. Aucune décision automatisée au sens de l'article 22 RGPD n'est prise à votre sujet.
Exercer vos droits
Envoyez votre demande à . Nous répondrons sous 30 jours. Si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL.
Les organisateurs disposent également d'un accès direct via Paramètres → Mes données personnelles.
⚠ Protection des mineurs
JustOneEvent n'est pas destiné aux personnes de moins de 16 ans. Les comptes organisateurs sont réservés aux personnes ayant la capacité juridique de contracter.
Pour les inscriptions à un événement public, les organisateurs sont responsables de recueillir le consentement parental lorsque le participant a moins de 16 ans (article 8 RGPD). JustOneEvent ne collecte ni l'âge ni la date de naissance par défaut ; si un organisateur ajoute un champ « année de naissance » optionnel, il assume seul la conformité du recueil.
8 Sécurité des données
JustOneEvent met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement HTTPS (TLS) de toutes les communications
- Hachage des mots de passe avec Argon2 (algorithme résistant aux attaques par force brute)
- Authentification par token JWT stocké en cookie httpOnly (inaccessible depuis JavaScript)
- Hébergement en France (Microsoft Azure, région France Central — Paris), accès restreint aux bases de données
9 Contact et DPO
Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, contactez notre Délégué à la Protection des Données (DPO) :