Politique de confidentialité — Orchesia EI
Version 1.0.1 en vigueur au 6 octobre 2025
Mentions légales
Éditeur : Entreprise individuelle Pierre ABOUCAYA (nom commercial : Orchesia)
SIREN : 942 838 244 — SIRET (siège) : 942 838 244 00013
Siège : 8 rue du Pont de l'Abbaye, 59520 Marquette-lez-Lille (France)
Contact : contact@orchesia.com
Services couverts : https://www.orchesia.com (site) et https://app.orchesia.com/app (application)
SECTION 1 — DISPOSITIONS GÉNÉRALES
Article 1.1 — Préambule
Nous pouvons mettre à jour cette politique à tout moment. Les modifications sont publiées ici et, si nécessaire, signalées par e-mail ou via l'application selon leur importance.
Article 1.2 — Objet et portée
Cette politique de confidentialité vise à affirmer notre engagement envers la protection de votre vie privée lors de l'utilisation des sites internet https://www.orchesia.com (site) et https://app.orchesia.com/app (application), exploités par EI Pierre ABOUCAYA (Orchesia).
Dans le cadre de l'exploitation des sites internet https://www.orchesia.com (site) et https://app.orchesia.com/app (application), nous collectons et traitons vos données personnelles en conformité avec le RGPD 2016/679 du 27 avril 2016.
La présente politique explique quelles données nous traitons, pourquoi, sur quelles bases légales, pendant combien de temps, avec qui nous les partageons, ainsi que vos droits. Elle s'applique au site, à l'application, au support et à la facturation. Elle complète les CGU/CGV.
Nous traitons vos données conformément au RGPD ; les bases légales applicables sont détaillées en Section 3
Article 1.3 — Responsable du traitement
Responsable : EI Pierre ABOUCAYA (Orchesia) – entrepreneur individuel inscrit au RNE SIREN : 942 838 244 — SIRET (siège) : 942 838 244 00013 Siège : 8 rue du Pont de l'Abbaye, 59520 Marquette-lez-Lille (France) Contact confidentialité : contact@orchesia.com
Article 1.4 — Délégué à la protection des données (DPO)
Orchesia n'a pas désigné de DPO à ce jour. Pour toute question relative à la protection des données ou pour exercer vos droits, écrivez-nous à contact@orchesia.com. Orchesia n'est pas tenue de désigner un DPO au sens de l'article 37 du RGPD.
SECTION 2 — DONNÉES TRAITÉES ET MODALITÉS DE COLLECTE
Article 2.1 — Catégories de données
- Compte & identité : nom, prénom, numéro de téléphone, e-mail, mot de passe (haché/salé, jamais en clair).
- Abonnement & facturation : adresse de facturation, pays, société, n° TVA, historique des commandes, montants HT/TVA/TTC, statut de paiement (via Stripe).
- Contenus Client dans l'app : projets, tâches, pièces jointes, commentaires (chiffrés au repos ; cf. Section 7).
- Données techniques : logs, identifiants d'appareil, adresses IP, événements d'usage (sécurité, performance, statistiques internes non profilantes).
- Support & relation client : e-mails, tickets, réponses à des enquêtes facultatives.
- Cookies/traceurs : voir Section 5.
Nous ne collectons pas de catégories particulières de données (« sensibles ») au sens du RGPD.
Article 2.2 — Moments et sources de collecte
- Directement auprès de vous : formulaires du site (contact/prise de RDV), inscription, et utilisation de l'application (création de projets, tâches, pièces jointes, commentaires).
- Automatiquement : lors de l'usage du site/de l'app (cookies/traceurs et données techniques).
- Auprès de prestataires : p. ex. statuts de paiement via Stripe.
Les champs obligatoires sont signalés ; leur absence peut empêcher la création du compte, la fourniture du service ou la facturation.
SECTION 3 — FINALITÉS, BASES LÉGALES & DÉCISIONS AUTOMATISÉES
Article 3.1 — Finalités et bases légales
- Exécution du contrat (art. 6-1-b du RGPD): création/gestion du compte, fourniture de l'app, gestion des sièges, facturation, support.
- Intérêt légitime (art. 6-1-f du RGPD) : sécurité, prévention/détection de la fraude et des manquements aux CGU/CGV, amélioration du service, statistiques internes non profilantes, preuve du contrat, défense en justice.
- Obligation légale (art. 6-1-c du RGPD) : conservation des pièces comptables/factures, réponse aux demandes d'autorités compétentes.
- Consentement (art. 6-1-a du RGPD) : communications marketing facultatives et cookies non essentiels (retirable à tout moment).
Article 3.2 — Décisions automatisées
Aucune décision automatisée ne produit d'effets juridiques à votre égard.
Article 3.3 — Consentement
Nous sollicitons votre consentement uniquement pour les traitements qui le nécessitent (ex. marketing, cookies non essentiels). Ce consentement est libre, spécifique, éclairé et univoque, et peut être retiré à tout moment.
- Opt-in marketing (case à cocher) lors de l'inscription ou depuis vos préférences.
- Acceptation des cookies non essentiels via le bandeau (« Tout accepter » ou choix personnalisé).
- Accord ponctuel explicite pour un accès technique ciblé à vos Contenus Client aux fins de support (cf. Article 7.6).
Les traitements nécessaires à la création/gestion du compte, à la fourniture du service, au support de premier niveau et à la facturation reposent sur l'exécution du contrat (art. 6-1-b) ou l'intérêt légitime (art. 6-1-f), sans exiger de consentement global.
SECTION 4 — DURÉES DE CONSERVATION
Article 4.1 — Principales durées
- Compte : pendant l'usage, puis 30 jours après fin de contrat (réversibilité), ensuite suppression.
- Facturation : 10 ans (obligation légale FR).
- Logs techniques de sécurité : jusqu'à 12 mois.
- Support : 3 ans après la clôture du ticket.
- Marketing (consentement) : jusqu'au retrait du consentement ou 3 ans après le dernier contact.
- Journaux d'accès administrateur (cf. Article 7.7) : 12 mois.
- Pièces jointes / sauvegardes : selon les règles de l'app (voir CGV, art. 4.5). Pour les cookies/traceurs, voir Section 5.
SECTION 5 — COOKIES & TRACEURS
Article 5.1 — Principes
- Cookies nécessaires : authentification, sécurité, anti-fraude, préférences. Base : intérêt légitime/nécessité au service.
- Cookies d'analyse d'audience : uniquement avec consentement.
- Aucun cookie publicitaire sans consentement préalable.
Un bandeau permet « Tout accepter », « Tout refuser », « Personnaliser ». Vos choix sont modifiables à tout moment via « Paramètres des cookies ». La liste et la durée de vie des cookies sont détaillées dans la Charte Cookies (Annexe).
Preuve du consentement cookies : nous conservons la trace de vos choix (consentement/refus) pendant la durée nécessaire à leur preuve et à leur gestion.
SECTION 6 — DESTINATAIRES, TRANSFERTS & RÔLES RGPD
Article 6.1 — Destinataires et prestataires
Accès strictement limité aux personnes habilitées d'Orchesia et à nos partenaires (catégories listées ci-dessous). La liste détaillée des principaux prestataires, leurs rôles et liens figure à l'Article 6.4.
Article 6.2 — Transferts hors UE/EEE
Aucun transfert hors UE/EEE n'est effectué sans garanties appropriées conformes à l'article 46 du RGPD. Certains prestataires peuvent traiter des données en dehors de l'UE/EEE (ex. États-Unis). Nous appliquons des garanties appropriées (CCT/SCC, évaluations de transfert, chiffrement, minimisation) et ne transférons que ce qui est nécessaire.
Article 6.3 — Répartition des rôles (Responsable/Sous-traitant)
- Responsable du traitement : Orchesia, pour les données de compte, facturation, relation client, sécurité et site.
- Responsables indépendants : Stripe pour certaines données de paiement ; Google Analytics si vous avez consenti.
- Sous-traitant pour vos contenus : pour les Contenus Client hébergés (projets, tâches, fichiers), Orchesia agit comme sous-traitant vis-à-vis du Client (responsable). Un DPA (Accord de Traitement) est disponible sur demande et fait partie intégrante du contrat.
Article 6.4 — Partenaires (détails, rôles & liens)
- Stripe — Responsable indépendant pour les données de paiement.
Finalité : paiement, 3-D Secure, lutte anti-fraude.
Données : identité/facturation, e-mail, pays, montant, métadonnées de paiement, IP.
Politique : https://stripe.com/fr/privacy - Vercel — Sous-traitant (hébergement frontend et logs).
Finalité : diffusion de l'app web, performance, sécurité.
Données : adresses IP, user-agent, logs d'accès, erreurs.
Politique : https://vercel.com/legal/privacy-policy - Render — Sous-traitant (hébergement backend/API).
Finalité : exécution des APIs, sécurité, supervision.
Données : IP, requêtes, journaux techniques. Politique : https://render.com/privacy - MongoDB Atlas — Sous-traitant (base de données).
Finalité : hébergement des données applicatives.
Données : données de compte, données applicatives (selon vos modèles).
Politique : https://www.mongodb.com/legal/privacy/privacy-policy - AWS S3 — Sous-traitant (stockage fichiers et sauvegardes).
Finalité : pièces jointes, backups chiffrés au repos.
Données : fichiers/attachments, sauvegardes, métadonnées.
Politique : https://aws.amazon.com/fr/legal/ - Google Analytics (GA4) — Responsable indépendant pour mesure d'audience (soumis au consentement).
Finalité : statistiques de fréquentation (si consentement).
Données : identifiants en ligne, IP (raccourcie si configurée), événements de navigation.
Politique : https://policies.google.com/privacy
Article 6.5 — Partage des données avec des tiers
Nous ne vendons ni ne louons vos données personnelles. Nous ne les partageons qu'aux fins strictement nécessaires :
- Sous-traitants agissant sur nos instructions pour opérer le service (hébergement, base de données, stockage, paiement, mesure d'audience sous consentement, support).
- Responsables indépendants pour certaines opérations (ex. Stripe ; Google Analytics si vous avez consenti).
- Partenaires marketing uniquement si vous y avez consenti (opt-in), avec retrait possible à tout moment.
- Autorités compétentes lorsque la loi l'exige ou pour la défense de nos droits. Nous pouvons aussi partager des données agrégées ou anonymisées non identifiantes.
Article 6.6 — Transmission aux autorités
Nous pouvons conserver ou communiquer des données pour répondre à une obligation légale ou à une demande valide, nécessaire et proportionnée d'une autorité administrative ou judiciaire (police/justice). Base légale : obligation légale (art. 6-1-c RGPD) ou intérêt légitime (défense en justice, art. 6-1-f).
SECTION 7 — SÉCURITÉ, CHIFFREMENT & ACCÈS ADMINISTRATIF
Article 7.1 — Mots de passe
Nous ne recevons jamais vos mots de passe en clair. Ils sont hachés et salés. En cas d'oubli, une réinitialisation par jeton temporaire est proposée ; un mot de passe existant n'est pas récupérable.
Article 7.2 — Chiffrement
Les données sont chiffrées en transit (HTTPS/TLS) et chiffrées au repos (base de données, pièces jointes, sauvegardes). Le service n'est pas en chiffrement de bout-en-bout (E2EE) : les clés sont gérées par nos serveurs afin d'assurer le fonctionnement de l'app (traitements, recherches, sauvegardes).
Un accès exceptionnel aux données peut être réalisé dans les cas prévus aux Articles 7.3 à 7.6 (support sur accord, réquisitions légales, lutte anti-fraude), sous habilitations, avec minimisation et journalisation des accès (Article 7.7).
Article 7.3 — Accès administratif exceptionnel & minimisation
Nous pouvons, à titre exceptionnel et dûment justifié, accéder via un panneau d'administration à certaines données (y compris des Contenus Client) afin de :
- résoudre un incident ou assurer le support (cf. Article 7.6) ;
- répondre à une demande légale (cf. Article 7.5) ;
- prévenir, détecter ou investiguer une fraude ou un manquement aux CGU/CGV (cf. Article 7.4).
Tout accès est soumis à des habilitations, respecte la minimisation et est journalisé (qui, quand, pourquoi, périmètre consulté).
Article 7.4 — Lutte contre la fraude & respect des CGU/CGV
Nous pouvons analyser des indicateurs d'usage (p. ex. nombre de projets, nombre de tâches, volumes de stockage, signaux techniques) et, en cas de suspicion sérieuse, effectuer des vérifications ciblées, incluant le strict minimum de Contenus Client nécessaire. Base légale : intérêt légitime. Droit d'opposition possible pour motifs légitimes, sauf motifs impérieux.
Article 7.5 — Demandes des autorités
Nous pouvons être amenés à conserver ou communiquer certaines données pour répondre à une obligation légale ou à une demande d'une autorité compétente (police/justice). Nous ne répondons qu'aux demandes valides, nécessaires et proportionnées, après vérifications appropriées.
Article 7.6 — Support & assistance technique (accord préalable)
En cas de besoin technique, nous pouvons vous demander votre accord explicite pour accéder temporairement à vos données aux fins de diagnostic/résolution. Sans cet accord, nous nous limitons aux journaux techniques et métadonnées. L'accès accordé est temporaire, tracé et limité au périmètre nécessaire.
Article 7.7 — Journalisation des accès sensibles
Tout accès sensible (notamment administratif aux Contenus Client) est journalisé (qui, quand, pourquoi, périmètre consulté) et conservé pendant 12 mois.
Article 7.8 — Mesures techniques & organisationnelles
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées et proportionnées au risque afin de garantir la confidentialité, l'intégrité, la disponibilité et la résilience des données personnelles, conformément au RGPD. Ces mesures sont revues périodiquement et adaptées en fonction de l'évolution des risques, de l'état des connaissances et des coûts de mise en œuvre.
Ces mesures peuvent inclure, selon les cas, le chiffrement approprié des données en transit et au repos, des contrôles d'accès et une authentification renforcée, la traçabilité des accès sensibles, des sauvegardes et tests de restauration, une surveillance de la sécurité et une gestion des vulnérabilités, ainsi que l'encadrement contractuel de nos prestataires (notamment pour les transferts hors UE).
Article 7.9 — Notification des violations de données
En cas de violation de données personnelles, nous appliquons notre procédure interne de gestion d'incident et notifierons l'autorité de contrôle compétente (CNIL) sans délai et, si possible, au plus tard dans les soixante-douze (72) heures après en avoir eu connaissance, conformément à l'article 33 du RGPD.
Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, nous les informerons sans délai, en termes clairs et simples, des mesures recommandées pour se protéger et des coordonnées pour obtenir plus d'informations, conformément à l'article 34 du RGPD. Lorsque les conditions légales le permettent (par exemple, données rendues incompréhensibles par chiffrement robuste), cette information individuelle peut ne pas être requise.
SECTION 8 — PROSPECTION & COMMUNICATIONS
Article 8.1 — E-mails de service et marketing
- E-mails de service (sécurité, facturation, notifications techniques) : nécessaires à l'exécution du contrat.
- E-mails d'information/marketing : sur consentement (désinscription à tout moment). En B2B, l'envoi peut reposer sur l'intérêt légitime pour des produits/services analogues (opt-out systématique).
SECTION 9 — DROITS DES PERSONNES
Article 9.1 — Exercice des droits
En tant qu'utilisateur, vous bénéficiez de plusieurs droits garantis par le RGPD et la loi Informatique et Libertés, notamment :
- Droit d'information : informations claires, accessibles et compréhensibles.
- Droit d'accès : consulter les données détenues à votre sujet.
- Droit de rectification : corriger des données inexactes ou incomplètes.
- Droit à l'effacement : suppression des données, sauf raisons légales/légitimes de conservation.
- Droit d'opposition : refus du traitement fondé sur l'intérêt légitime ou à des fins de prospection.
- Droit à la limitation : restriction temporaire du traitement dans certaines situations.
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible.
- Droit de retrait du consentement : retrait à tout moment pour les traitements basés sur le consentement.
- Droit post-mortem : instructions sur le devenir des données après décès.
- Droit de réclamation (CNIL) : 3 Place de Fontenoy TSA 80715 75334 PARIS CEDEX 07, ou en ligne : https://www.cnil.fr/fr/plaintes.
Article 9.2 — Modalités d'exercice
Nous répondrons sans retard injustifié et au plus tard dans un (1) mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux (2) mois compte tenu de la complexité et du nombre de demandes ; dans ce cas, vous serez informé dans le mois des raisons du report.
Lorsqu'une demande est manifestement infondée ou excessive (notamment en raison de son caractère répétitif), nous pouvons refuser d'y donner suite ou facturer des frais raisonnables basés sur les coûts administratifs ; nous avons la charge de la preuve. Nous pouvons demander des informations supplémentaires pour vérifier votre identité lorsque nécessaire et uniquement en cas de doute sur l'identité du demandeur. Lorsque la demande est faite par voie électronique, les informations sont fournies par voie électronique chaque fois que possible, sauf demande contraire.
SECTION 10 — MODIFICATIONS & CONTACTS
Article 10.1 — Modifications
La date de version en tête est mise à jour ; en cas de changements significatifs, une information dédiée est envoyée (e-mail/in-app).
Article 10.2 — Contacts
Toute question relative à la confidentialité ou à l'exercice de vos droits : contact@orchesia.com.
ANNEXE — Charte Cookies — Orchesia
1) Ce que nous utilisons
- Nécessaires (exemptés de consentement) : un cookie interne pour mémoriser vos choix.
- Soumis à consentement : GA4 (mesure d'audience), YouTube (lecteur vidéo).
2) Gérer vos choix
À la première visite, un panneau vous propose Tout accepter / Tout refuser / Gérer mes préférences. Vous pouvez modifier vos choix à tout moment via « Paramètres des cookies ».
3) Liste des cookies & traceurs
A. Nécessaires (sans consentement)
| Nom | Fournisseur | Finalité | Durée | Domaine | Secure | HttpOnly | SameSite | Base légale |
|---|---|---|---|---|---|---|---|---|
| orchesia_cookie_consent | Orchesia (1P) | Mémoriser vos choix (analytics, YouTube) + horodatage | 6–12 mois (actuellement 180 jours) | .orchesia.com | Oui | Non | Lax | Nécessaire (gestion du consentement) |
Valeur (exemple) : v=1|nec=1|ana=1|ytb=0|ts=2025-10-09T09:12:00Z.
B. Mesure d'audience (avec consentement)
| Outil | Fournisseur | Finalité | Données traitées | Base légale |
|---|---|---|---|---|
| Google Analytics 4 (GA4) | Statistiques agrégées (pages, événements) | Identifiants, infos navigateur/IP (IP anonymisée), événements | Consentement (opt-in) |
Chargement conditionnel : GA4 n'est chargé que si « Analytics » est accepté.
Paramétrage : IP anonymisée, pas de reciblage publicitaire via GA4.
C. Lecteur vidéo (avec consentement)
| Outil | Fournisseur | Finalité | Données traitées | Base légale | Moment de dépôt |
|---|---|---|---|---|---|
| YouTube (iframe) | Google/YouTube | Lecture de vidéos intégrées | Identifiants en ligne, infos navigateur | Consentement (catégorie « YouTube ») | Au chargement ou à l'interaction ; youtube-nocookie.com quand possible |
D. Stockages locaux (hors cookies)
| Type | Exemple | Finalité | Base légale |
|---|---|---|---|
| localStorage / sessionStorage | Préférences d'UI non sensibles | Confort d'usage / facilitation de navigation | Intérêt légitime / nécessaire au service |
4) Vos choix, à tout moment
- Tout refuser : seuls les cookies nécessaires restent actifs.
- Retirer votre consentement : via « Paramètres des cookies » pour Analytics et/ou YouTube ; application immédiate.
- Preuve : trace de vos choix conservée le temps nécessaire.
5) Cadre légal (résumé)
- Cookies nécessaires : intérêt légitime / nécessité au service.
- Cookies d'audience & YouTube : uniquement avec consentement (opt-in), retirable à tout moment.
6) Mises à jour
Cette charte peut être mise à jour. Les changements significatifs feront l'objet d'une information dédiée.
7) Contact
Questions / droits : contact@orchesia.com