Politique de confidentialité
Conforme au Règlement (UE) 2016/679 (« RGPD ») et à la loi Informatique et Libertés du 6 janvier 1978 modifiée. Dernière mise à jour : 6 mai 2026.
1. Responsable de traitement
La société Atelier Mélusine, SASU au capital de 1 000 €, SIREN 889 060 901, dont le siège social est situé 146 Rue Elsa Triolet, 38260 La Côte-Saint-André, France (ci-après « l'Éditeur » ou « nous »), est responsable du traitement des données personnelles relatives aux utilisateurs professionnels du service IziSolo (« vous », « le Client »).
Pour les données concernant les élèves du Client saisies dans la plateforme par le Client lui-même, l'Éditeur agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Les conditions de cette sous-traitance figurent à la section 8 ci-dessous.
2. Données collectées et finalités
Nous collectons et traitons les données suivantes, pour les finalités précisées :
| Catégorie | Données | Finalité | Base légale | Conservation |
|---|---|---|---|---|
| Compte | email, mot de passe (haché), nom du studio | création et gestion du compte | exécution du contrat | durée du compte + 30 j |
| Facturation | nom, adresse, identifiants Stripe, factures | facturation, comptabilité | obligation légale | 10 ans (Code de commerce) |
| Usage | logs techniques, adresse IP, user-agent | sécurité, prévention de la fraude, debugging | intérêt légitime | 12 mois max |
| Support | échanges email, tickets, conversations assistant | réponse au support, amélioration du service | exécution du contrat / intérêt légitime | 3 ans après le dernier échange |
| Communication | email, préférences | emails transactionnels, newsletter (opt-in) | exécution du contrat / consentement | jusqu'au retrait du consentement |
3. Aucun usage commercial des données
Nous ne vendons jamais vos données ni celles de vos élèves à des tiers. Nous ne procédons à aucun profilage publicitaire. Aucune donnée n'est communiquée à des annonceurs, courtiers en données ou agrégateurs.
4. Sous-traitants et destinataires
Pour fournir le service, nous recourons à des prestataires soigneusement sélectionnés, eux-mêmes liés par une obligation de confidentialité et de conformité RGPD :
| Prestataire | Rôle | Pays d'hébergement | Garantie |
|---|---|---|---|
| Vercel Inc. | Hébergement applicatif | UE / États-Unis | Clauses contractuelles types (CCT) |
| Supabase Inc. | Base de données, authentification | UE (Francfort) | Hébergement européen |
| Stripe Payments Europe Ltd. | Paiement par carte bancaire | UE (Irlande) | Conformité PCI-DSS, RGPD |
| Resend Inc. | Envoi d'emails transactionnels | États-Unis | Clauses contractuelles types |
| Anthropic, PBC | Assistant conversationnel (Claude) | États-Unis | Clauses contractuelles types, données non utilisées pour l'entraînement |
| Sentry | Monitoring d'erreurs (anonymisé) | UE / États-Unis | Données techniques uniquement, pas de PII |
5. Transferts hors Union européenne
Certains de nos sous-traitants peuvent traiter des données aux États-Unis (Vercel, Resend, Anthropic, Sentry partiellement). Ces transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne ou par toute autre garantie appropriée au sens des articles 44 à 49 du RGPD.
6. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- chiffrement TLS 1.3 sur l'ensemble des communications réseau ;
- chiffrement au repos des données stockées par Supabase ;
- mots de passe hachés (bcrypt) — jamais stockés en clair ;
- cloisonnement strict des données entre studios via Row-Level Security PostgreSQL ;
- journalisation et audit des accès, alertes en cas d'activité suspecte ;
- sauvegardes quotidiennes par l'hébergeur, conservation 7 jours ;
- processus de gestion des vulnérabilités et mises à jour de sécurité.
En cas de violation de données affectant vos données personnelles et susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons l'incident à la CNIL dans les 72 heures, et vous informerons sans délai si nécessaire.
7. Vos droits
Conformément au RGPD, vous disposez sur vos données personnelles des droits suivants : accès, rectification, effacement (« droit à l'oubli »), limitation, opposition, portabilité, retrait du consentement à tout moment, et droit de définir des directives relatives à leur sort après votre décès.
Vous pouvez exercer ces droits en écrivant à bonjour@izisolo.fr. Nous nous engageons à répondre dans un délai d'un (1) mois maximum, prorogeable de deux (2) mois en cas de demande complexe.
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, 75007 Paris — cnil.fr/plaintes.
8. Sous-traitance des données des élèves (article 28 RGPD)
Lorsque le Client saisit dans IziSolo des données concernant ses élèves (nom, email, présences, paiements, messages, etc.), il agit en qualité de responsable de traitement, et l'Éditeur en qualité de sous-traitant au sens de l'article 28 du RGPD.
Dans ce cadre, l'Éditeur s'engage notamment à :
- traiter les données uniquement sur instruction documentée du Client (en pratique : utilisation conforme du service) ;
- garantir la confidentialité des personnes autorisées à traiter les données ;
- mettre en place des mesures de sécurité appropriées (cf. section 6) ;
- n'engager aucun sous-traitant ultérieur sans information préalable du Client (la liste figurant en section 4 vaut autorisation) ;
- aider le Client à répondre aux demandes d'exercice des droits de ses élèves ;
- aider le Client à se conformer à ses obligations de sécurité, de notification de violation et d'analyse d'impact ;
- supprimer ou retourner les données au Client à l'expiration du contrat (cf. section 9 ci-dessous) ;
- mettre à disposition toute information nécessaire pour démontrer le respect de ses obligations.
Le Client garantit avoir recueilli, vis-à-vis de ses élèves, les fondements juridiques et le cas échéant les consentements nécessaires au traitement de leurs données dans IziSolo. Il garantit l'Éditeur contre toute action de tiers liée à ses obligations propres de responsable de traitement.
9. Durée de conservation et restitution
Les durées de conservation par catégorie figurent dans le tableau de la section 2.
À l'expiration du contrat, le Client dispose de trente (30) jours pour exporter l'intégralité de ses données depuis son compte (formats CSV/JSON). À l'issue de ce délai, l'ensemble des données du Client et de ses élèves est définitivement supprimé de nos systèmes, à l'exception des factures conservées dix (10) ans en application du Code de commerce, et des données nécessaires à la défense de droits éventuels (jusqu'au terme des prescriptions applicables).
10. Cookies et traceurs
Le site et l'application n'utilisent que des cookies strictement nécessaires à leur fonctionnement (authentification, préférences d'interface, jeton CSRF). Aucun cookie publicitaire, traqueur tiers, pixel de suivi ou outil d'analyse comportementale n'est déposé. Aucun consentement préalable n'est requis pour ces cookies essentiels (article 82 de la loi Informatique et Libertés).
11. Données traitées par l'assistant conversationnel
Si vous utilisez l'assistant conversationnel intégré (basé sur la technologie Claude d'Anthropic), vos messages sont transmis à Anthropic uniquement le temps de générer une réponse. Anthropic s'engage contractuellement à ne pas utiliser ces données pour entraîner ses modèles. Les échanges sont conservés dans votre compte IziSolo pour vous permettre de les consulter, et soumis à la durée de conservation des échanges support.
12. Modification de la présente politique
L'Éditeur peut modifier la présente politique à tout moment afin de l'adapter à l'évolution du service, de la réglementation ou de ses sous-traitants. Toute modification substantielle sera notifiée par email aux Clients actifs au moins quinze (15) jours avant son entrée en vigueur.
13. Contact
Pour toute question relative à la présente politique ou à l'exercice de vos droits :
- par email : bonjour@izisolo.fr
- par courrier : Atelier Mélusine — DPO, 146 Rue Elsa Triolet, 38260 La Côte-Saint-André