Politique de confidentialité

La présente Politique de Confidentialité décrit la manière dont Martine Poulain, exerçant en micro-entreprise sous l'enseigne commerciale Ma Bulle Bien-Être (Martine Poulain Coaching), traite vos données personnelles lorsque vous visitez le site mabullebienetre.fr, lorsque vous nous contactez, ou lorsque vous réservez une prestation individuelle. Cette Politique est rédigée en application du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi française n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »). Elle concerne le site vitrine mabullebienetre.fr, dédié aux prestations individuelles (sophrologie, soins énergétiques, aromathérapie) réalisées en présentiel ou à distance. Les programmes d'accompagnement en ligne font l'objet d'un site distinct, programmes.mabullebienetre.fr, doté de sa propre politique de confidentialité.

Le responsable du traitement de vos données personnelles est : Martine Poulain E.I., exerçant en micro-entreprise sous l'enseigne Ma Bulle Bien-Être

• Adresse : 930 rue de la mairie, 01120 Thil, France
• SIRET : 494 874 027 00035
• Téléphone : +33 (0)9 51 24 84 33
• Email : contact@mabullebienetre.fr

 Compte tenu de la taille de la structure et de la nature de l'activité, il n'a pas été désigné de Délégué à la protection des données (DPD), conformément à l'article 37 du RGPD. Toute question relative à la présente Politique peut être adressée directement à Martine Poulain à l'adresse email indiquée ci-dessus.

Dans le traitement de vos données personnelles, nous nous engageons à respecter les principes suivants :

• Transparence : vous informer clairement de ce que nous collectons, pour quelle finalité, et pendant combien de temps ;
• Minimisation : ne collecter que les données strictement nécessaires à la finalité poursuivie ;
• Sécurité : mettre en œuvre les mesures techniques et organisationnelles adaptées au niveau de risque ;
• Respect de vos droits : vous permettre d'exercer simplement vos droits d'accès, de rectification, d'effacement, de limitation, d'opposition, à la portabilité, et de retrait du consentement.

Nous traitons vos données pour les finalités suivantes. Chaque finalité repose sur une base légale spécifique au sens de l'article 6 du RGPD.

4.1. Navigation sur notre site
Lorsque vous naviguez sur mabullebienetre.fr, certaines données techniques sont traitées : adresse IP, type de navigateur, système d'exploitation, pages consultées. Les statistiques de fréquentation sont établies par l'outil interne de notre hébergeur Infomaniak, de manière anonymisée : elles ne sont reliées à aucune donnée permettant de vous identifier et ne déposent pas de cookie de suivi.

• Finalité : assurer le bon fonctionnement et la sécurité du site, et mesurer sa fréquentation de manière anonyme.
• Base légale : intérêt légitime du responsable de traitement (article 6.1.f du RGPD).
• Durée de conservation : les statistiques anonymisées sont conservées par l'hébergeur de manière agrégée. Aucune donnée individuelle identifiante n'est conservée à ce titre.

4.2. Demande de contact
Lorsque vous utilisez notre formulaire de contact, nous collectons votre nom complet, votre email (obligatoires), l'objet de votre demande, et le message que vous souhaitez nous adresser.

• Finalité : traiter votre demande et vous répondre.
• Base légale : exécution de mesures précontractuelles prises à votre demande (article 6.1.b du RGPD).
• Durée de conservation : trois ans à compter de notre dernier échange.

4.3. Réservation d'une prestation individuelle
La réservation de nos prestations s'effectue via notre prestataire de prise de rendez-vous TidyCal, vers lequel vous êtes redirigé depuis notre site. Lors de cette réservation, vous communiquez directement à TidyCal votre nom, votre email et le créneau choisi. Le paiement éventuel est traité par Stripe au sein de l'interface TidyCal.

• Finalité : organiser la prise de rendez-vous et encaisser le paiement de la prestation réservée.
• Base légale : exécution du contrat de prestation (article 6.1.b du RGPD).
• Durée de conservation : les données de réservation sont conservées le temps nécessaire à l'organisation et au suivi du rendez-vous. Les données de paiement et de facturation relèvent de la finalité 4.4.

La collecte étant réalisée sur les plateformes TidyCal et Stripe, elle est également régie par leurs propres politiques de confidentialité. Voir les sections 6 et 7 concernant ces prestataires et les transferts hors Union européenne.

4.4. Suivi de prestation (notes de séance)
Dans le cadre de nos prestations individuelles de bien-être (sophrologie, soins énergétiques, aromathérapie), nous prenons et conservons des notes de séance afin d'assurer le suivi de votre accompagnement dans le temps. Ces notes peuvent comporter des éléments relatifs à votre état physique ou mental au sens de l'article 9 du RGPD.

• Finalité : assurer le suivi personnalisé de votre accompagnement, y compris lorsque vous revenez nous consulter après une période d'interruption.
• Base légale : consentement explicite (article 9.2.a du RGPD), recueilli oralement en début de première séance, après information, et tracé dans votre dossier.
• Modalités de conservation : ces notes sont conservées sur support papier, dans des dossiers classés par cliente et placés sous accès restreint.
• Durée de conservation : cinq ans à compter du dernier contact, puis destruction. La vérification des dossiers à détruire est réalisée une fois par an ; un dossier peut donc être conservé jusqu'à quelques mois au-delà de cette échéance avant sa destruction effective lors de la revue annuelle.

4.5. Prestations réalisées sur des personnes mineures
Lorsqu'une prestation est réalisée sur une personne mineure, elle l'est en présence et avec l'autorisation de son représentant légal. Les données concernant l'enfant (prénom, âge, et notes de séance au sens de la finalité 4.4) sont traitées sur la base du consentement du représentant légal, recueilli par un document d'autorisation signé préalablement à la séance.

• Finalité : réaliser la prestation autorisée et en assurer le suivi.
• Base légale : consentement du titulaire de l'autorité parentale (article 6.1.a et, pour les données de santé, article 9.2.a du RGPD).
• Durée de conservation : identique à la finalité 4.4 (cinq ans à compter du dernier contact, revue annuelle).

4.6. Facturation et comptabilité
Lorsque vous réglez une prestation, nous traitons les données nécessaires à l'émission de la facture et à la tenue de notre comptabilité : nom, prénom, prestation réglée, montant, date, mode de paiement, identifiant de transaction.

• Finalité : émettre les factures, justifier des opérations et tenir la comptabilité de la micro-entreprise.
• Base légale : exécution du contrat (article 6.1.b du RGPD) pour la facturation ; obligation légale (article 6.1.c du RGPD) pour la conservation des pièces comptables.
• Durée de conservation : dix ans à compter de la clôture de l'exercice comptable, conformément à l'article L123-22 du Code de commerce.

4.7. Gestion des droits RGPD
Lorsque vous exercez l'un de vos droits RGPD (voir section 9), nous collectons les données nécessaires à l'instruction de votre demande : votre identité, le contenu de votre demande, les éventuels justificatifs transmis, et la trace des échanges associés.

• Finalité : instruire et répondre à votre demande, et conserver une trace de son traitement pour démontrer notre conformité.
• Base légale : obligation légale (article 6.1.c du RGPD), conformément aux articles 12 à 22 du RGPD.
• Durée de conservation : cinq ans à compter de la clôture de votre dossier. Les pièces d'identité éventuellement transmises pour vérification sont supprimées immédiatement après la vérification.

Notre site dépose un unique cookie, PHPSESSID, strictement nécessaire à son fonctionnement technique (gestion de la session de navigation). Ce cookie de session est temporaire, expire à la fermeture de votre navigateur, et n'assure aucun suivi de votre activité.
Conformément aux recommandations de la CNIL, ce cookie strictement nécessaire est exempté de consentement. Nous n'utilisons aucun cookie publicitaire, aucun cookie de mesure d'audience tiers et aucun traceur marketing. Les statistiques de fréquentation établies par notre hébergeur Infomaniak sont anonymisées et ne déposent pas de cookie.
La réservation de prestations s'effectuant par redirection vers la plateforme TidyCal, les cookies éventuellement déposés lors de cette réservation le sont sur le site de TidyCal et relèvent de sa propre politique de cookies.

Vos données sont accessibles à Martine Poulain, seule responsable du traitement. Aucun salarié, stagiaire, assistant ou tiers n'a accès à vos données sans nécessité.

Pour des raisons techniques, nous faisons appel à plusieurs prestataires (« sous-traitants » au sens de l'article 28 du RGPD), chacun engagé par contrat à respecter le RGPD et à ne traiter vos données que sur nos instructions. 

Infomaniak (société suisse établie à Genève) assure l'hébergement de notre site internet et de notre messagerie professionnelle, ainsi que l'établissement des statistiques de fréquentation anonymisées. La Suisse bénéficie d'une décision d'adéquation de la Commission européenne, garantissant un niveau de protection équivalent à celui du RGPD.

Sumo Group Inc., exerçant sous la dénomination TidyCal et établie aux États-Unis, fournit l'outil de prise de rendez-vous vers lequel vous êtes redirigé pour réserver une prestation. Les données de réservation sont transférées vers les États-Unis dans les conditions précisées en section 7.

Stripe (société irlandaise, Stripe Payments Europe Ltd) traite l'encaissement des paiements par carte bancaire au sein de l'interface de réservation TidyCal. Stripe peut transférer certaines données vers les États-Unis dans le cadre de ses opérations techniques (voir section 7).

Indy (édité par la société française Saiga SAS), Plateforme Agréée par la Direction Générale des Finances Publiques, traite pour notre compte la facturation, la tenue de la comptabilité et l'agrégation bancaire. Les données sont hébergées en France.

Certains de nos sous-traitants sont susceptibles de traiter vos données en dehors de l'Union européenne, principalement aux États-Unis.

Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne par sa décision d'exécution (UE) 2021/914 du 4 juin 2021, qui imposent au sous-traitant des garanties contractuelles équivalentes à celles du RGPD. Sont concernés à ce titre : Sumo Group Inc. (pour TidyCal) et Stripe.

Le recours à Infomaniak (Suisse) ne constitue pas un transfert hors UE au sens du RGPD, la Suisse bénéficiant d'une décision d'adéquation de la Commission européenne (décision du 26 juillet 2000).

Vous pouvez à tout moment nous demander une copie des garanties contractuelles signées avec ces prestataires en écrivant à contact@mabullebienetre.fr.

Les durées de conservation appliquées à vos données dépendent de la finalité pour laquelle elles ont été collectées. Elles sont précisées pour chaque finalité dans la section 4 ci-dessus, et peuvent être résumées comme suit : trois ans à compter du dernier échange pour les demandes de contact, cinq ans à compter du dernier contact pour les notes de séance (revue annuelle), dix ans pour les pièces comptables (obligation légale), et cinq ans pour les demandes d'exercice de droits RGPD.

À l'expiration de la durée applicable, vos données sont effacées de l'ensemble de nos supports, à l'exception des éléments soumis à une obligation légale de conservation.

Conformément aux articles 15 à 22 du RGPD, vous disposez sur vos données personnelles des droits suivants :

• Droit d'accès (article 15) : obtenir la confirmation que des données vous concernant sont traitées, et en recevoir une copie ;
• Droit de rectification (article 16) : faire corriger toute donnée inexacte ou compléter une donnée incomplète vous concernant ;
• Droit à l'effacement (article 17), dit « droit à l'oubli » : obtenir l'effacement de vos données dans les conditions prévues par le RGPD ;
• Droit à la limitation du traitement (article 18) : obtenir que le traitement de vos données soit suspendu dans certaines situations ;
• Droit d'opposition (article 21) : vous opposer au traitement de vos données pour des motifs tenant à votre situation particulière, notamment lorsque le traitement repose sur l'intérêt légitime ;
• Droit à la portabilité (article 20) : recevoir vos données dans un format structuré et couramment utilisé, ou demander leur transmission à un autre responsable de traitement, lorsque le traitement repose sur le consentement ou l'exécution d'un contrat ;
• Droit de définir des directives relatives au sort de vos données après votre décès (loi Informatique et Libertés, article 85).

 Le droit à l'effacement et le droit à la portabilité peuvent être limités lorsque les données sont nécessaires au respect d'une obligation légale (notamment la conservation des pièces comptables pendant dix ans) ou à l'établissement, l'exercice ou la défense d'un droit en justice.

Pour exercer l'un de ces droits, il vous suffit de nous écrire à contact@mabullebienetre.fr en précisant la nature de votre demande et son périmètre.

Nous pouvons être amenés, en cas de doute raisonnable sur votre identité, à vous demander un justificatif. Tout justificatif transmis dans ce cadre est supprimé immédiatement après vérification.

Nous nous engageons à répondre à toute demande dans un délai d'un mois à compter de sa réception, prolongé si besoin de deux mois compte tenu de la complexité ou du nombre de demandes, conformément à l'article 12 du RGPD.

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL — 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 Téléphone : 01 53 73 22 22 Site internet : https://www.cnil.fr

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées au niveau de risque associé à chaque traitement, conformément à l'article 32 du RGPD : contrôle d'accès, conservation des dossiers papier comportant des données de santé sous accès restreint, recueil d'un consentement explicite préalable pour les données de santé, sauvegardes régulières des données numériques, mises à jour de sécurité, et politique interne de vérification du destinataire avant tout envoi.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les soixante-douze heures, et à vous en informer dans les meilleurs délais lorsque le risque est élevé, conformément aux articles 33 et 34 du RGPD.

La présente Politique peut être amenée à évoluer pour tenir compte de modifications légales, techniques ou organisationnelles. La version applicable est celle en vigueur à la date de votre consultation.

Toute modification substantielle vous sera signalée par tout moyen utile (mention sur le site).