Politique de confidentialité — Orchesia EI

Version en vigueur au 6 octobre 2025

Éditeur : Entreprise individuelle Pierre ABOUCAYA (nom commercial : Orchesia)

SIREN : 942 838 244 — SIRET (siège) : 942 838 244 00013

Siège : 8 rue du Pont de l’Abbaye, 59520 Marquette-lez-Lille (France)

Services couverts : https://www.orchesia.com (site) et https://app.orchesia.com/app (application)

SECTION 1 — DISPOSITIONS GÉNÉRALES

Article 1.1 — Préambule

Nous pouvons mettre à jour cette politique à tout moment. Les modifications sont publiées ici et, si nécessaire, signalées par e-mail ou via l’application selon leur importance.

Article 1.2 — Objet et portée

Cette politique de confidentialité vise à affirmer notre engagement envers la protection de votre vie privée lors de l’utilisation des sites internet https://www.orchesia.com (site) et https://app.orchesia.com/app (application), exploités par EI Pierre ABOUCAYA (Orchesia).

Dans le cadre de l’exploitation des sites internet https://www.orchesia.com (site) et https://app.orchesia.com/app (application), nous collectons et traitons vos données personnelles en conformité avec le RGPD 2016/679 du 27 avril 2016.

La présente politique explique quelles données nous traitons, pourquoi, sur quelles bases légales, pendant combien de temps, avec qui nous les partageons, ainsi que vos droits. Elle s’applique au site, à l’application, au support et à la facturation. Elle complète les CGU/CGV.

Nous traitons vos données conformément au RGPD ; les bases légales applicables sont détaillées en Section 3

Article 1.3 — Responsable du traitement

Responsable : EI Pierre ABOUCAYA (Orchesia) – entrepreneur individuel inscrit au RNE SIREN : 942 838 244 — SIRET (siège) : 942 838 244 00013 Siège : 8 rue du Pont de l’Abbaye, 59520 Marquette-lez-Lille (France) Contact confidentialité : contact@orchesia.com

Article 1.4 — Délégué à la protection des données (DPO)

Orchesia n’a pas désigné de DPO à ce jour. Pour toute question relative à la protection des données ou pour exercer vos droits, écrivez-nous à contact@orchesia.com. Orchesia n’est pas tenue de désigner un DPO au sens de l’article 37 du RGPD.

SECTION 2 — DONNÉES TRAITÉES ET MODALITÉS DE COLLECTE

Article 2.1 — Catégories de données

Compte & identité : nom, prénom, e-mail, mot de passe (haché/salé, jamais en clair).
Abonnement & facturation : adresse de facturation, pays, société, n° TVA, historique des commandes, montants HT/TVA/TTC, statut de paiement (via Stripe).
Contenus Client dans l’app : projets, tâches, pièces jointes, commentaires (chiffrés au repos ; cf. Section 7).
Données techniques : logs, identifiants d’appareil, adresses IP, événements d’usage (sécurité, performance, statistiques internes non profilantes).
Support & relation client : e-mails, tickets, réponses à des enquêtes facultatives.
Cookies/traceurs : voir Section 5.

Nous ne collectons pas de catégories particulières de données (« sensibles ») au sens du RGPD.

Article 2.2 — Moments et sources de collecte

Directement auprès de vous : formulaires du site (contact/prise de RDV), inscription, et utilisation de l’application (création de projets, tâches, pièces jointes, commentaires).
Automatiquement : lors de l’usage du site/de l’app (cookies/traceurs et données techniques).
Auprès de prestataires : p. ex. statuts de paiement via Stripe.

Les champs obligatoires sont signalés ; leur absence peut empêcher la création du compte, la fourniture du service ou la facturation.

SECTION 3 — FINALITÉS, BASES LÉGALES & DÉCISIONS AUTOMATISÉES

Article 3.1 — Finalités et bases légales

Exécution du contrat (art. 6-1-b du RGPD): création/gestion du compte, fourniture de l’app, gestion des sièges, facturation, support.
Intérêt légitime (art. 6-1-f du RGPD) : sécurité, prévention/détection de la fraude et des manquements aux CGU/CGV, amélioration du service, statistiques internes non profilantes, preuve du contrat, défense en justice.
Obligation légale (art. 6-1-c du RGPD) : conservation des pièces comptables/factures, réponse aux demandes d’autorités compétentes.
Consentement (art. 6-1-a du RGPD) : communications marketing facultatives et cookies non essentiels (retirable à tout moment).

Article 3.2 — Décisions automatisées

Aucune décision automatisée ne produit d’effets juridiques à votre égard.

Article 3.3 — Consentement

Nous sollicitons votre consentement uniquement pour les traitements qui le nécessitent (ex. marketing, cookies non essentiels). Ce consentement est libre, spécifique, éclairé et univoque, et peut être retiré à tout moment.

Opt-in marketing (case à cocher) lors de l’inscription ou depuis vos préférences.
Acceptation des cookies non essentiels via le bandeau (« Tout accepter » ou choix personnalisé).
Accord ponctuel explicite pour un accès technique ciblé à vos Contenus Client aux fins de support (cf. Article 7.6).

Les traitements nécessaires à la création/gestion du compte, à la fourniture du service, au support de premier niveau et à la facturation reposent sur l’exécution du contrat (art. 6-1-b) ou l’intérêt légitime (art. 6-1-f), sans exiger de consentement global.

SECTION 4 — DURÉES DE CONSERVATION

Article 4.1 — Principales durées

Compte : pendant l’usage, puis 30 jours après fin de contrat (réversibilité), ensuite suppression.
Facturation : 10 ans (obligation légale FR).
Logs techniques de sécurité : jusqu’à 12 mois.
Support : 3 ans après la clôture du ticket.
Marketing (consentement) : jusqu’au retrait du consentement ou 3 ans après le dernier contact.
Journaux d’accès administrateur (cf. Article 7.7) : 12 mois.
Pièces jointes / sauvegardes : selon les règles de l’app (voir CGV, art. 4.5). Pour les cookies/traceurs, voir Section 5.

SECTION 5 — COOKIES & TRACEURS

Article 5.1 — Principes

Cookies nécessaires : authentification, sécurité, anti-fraude, préférences. Base : intérêt légitime/nécessité au service.
Cookies d’analyse d’audience : uniquement avec consentement.
Aucun cookie publicitaire sans consentement préalable.

Un bandeau permet « Tout accepter », « Tout refuser », « Personnaliser ». Vos choix sont modifiables à tout moment via « Paramètres des cookies ». La liste et la durée de vie des cookies sont détaillées dans la Charte Cookies (Annexe).

Preuve du consentement cookies : nous conservons la trace de vos choix (consentement/refus) pendant la durée nécessaire à leur preuve et à leur gestion.

SECTION 6 — DESTINATAIRES, TRANSFERTS & RÔLES RGPD

Article 6.1 — Destinataires et prestataires

Accès strictement limité aux personnes habilitées d’Orchesia et à nos partenaires (catégories listées ci-dessous). La liste détaillée des principaux prestataires, leurs rôles et liens figure à l’Article 6.4.

Article 6.2 — Transferts hors UE/EEE

Aucun transfert hors UE/EEE n’est effectué sans garanties appropriées conformes à l’article 46 du RGPD. Certains prestataires peuvent traiter des données en dehors de l’UE/EEE (ex. États-Unis). Nous appliquons des garanties appropriées (CCT/SCC, évaluations de transfert, chiffrement, minimisation) et ne transférons que ce qui est nécessaire.

Article 6.3 — Répartition des rôles (Responsable/Sous-traitant)

Responsable du traitement : Orchesia, pour les données de compte, facturation, relation client, sécurité et site.
Responsables indépendants : Stripe pour certaines données de paiement ; Google Analytics si vous avez consenti.
Sous-traitant pour vos contenus : pour les Contenus Client hébergés (projets, tâches, fichiers), Orchesia agit comme sous-traitant vis-à-vis du Client (responsable). Un DPA (Accord de Traitement) est disponible sur demande et fait partie intégrante du contrat.

Article 6.4 — Partenaires (détails, rôles & liens)

Stripe — Responsable indépendant pour les données de paiement.
Finalité : paiement, 3-D Secure, lutte anti-fraude.
Données : identité/facturation, e-mail, pays, montant, métadonnées de paiement, IP.
Politique : https://stripe.com/fr/privacy
Vercel — Sous-traitant (hébergement frontend et logs).
Finalité : diffusion de l’app web, performance, sécurité.
Données : adresses IP, user-agent, logs d’accès, erreurs.
Politique : https://vercel.com/legal/privacy-policy
Render — Sous-traitant (hébergement backend/API).
Finalité : exécution des APIs, sécurité, supervision.
Données : IP, requêtes, journaux techniques. Politique : https://render.com/privacy
MongoDB Atlas — Sous-traitant (base de données).
Finalité : hébergement des données applicatives.
Données : données de compte, données applicatives (selon vos modèles).
Politique : https://www.mongodb.com/legal/privacy/privacy-policy
AWS S3 — Sous-traitant (stockage fichiers et sauvegardes).
Finalité : pièces jointes, backups chiffrés au repos.
Données : fichiers/attachments, sauvegardes, métadonnées.
Politique : https://aws.amazon.com/fr/legal/
Google Analytics (GA4) — Responsable indépendant pour mesure d’audience (soumis au consentement).
Finalité : statistiques de fréquentation (si consentement).
Données : identifiants en ligne, IP (raccourcie si configurée), événements de navigation.
Politique : https://policies.google.com/privacy

Article 6.5 — Partage des données avec des tiers

Nous ne vendons ni ne louons vos données personnelles. Nous ne les partageons qu’aux fins strictement nécessaires :

Sous-traitants agissant sur nos instructions pour opérer le service (hébergement, base de données, stockage, paiement, mesure d’audience sous consentement, support).
Responsables indépendants pour certaines opérations (ex. Stripe ; Google Analytics si vous avez consenti).
Partenaires marketing uniquement si vous y avez consenti (opt-in), avec retrait possible à tout moment.
Autorités compétentes lorsque la loi l’exige ou pour la défense de nos droits. Nous pouvons aussi partager des données agrégées ou anonymisées non identifiantes.

Article 6.6 — Transmission aux autorités

Nous pouvons conserver ou communiquer des données pour répondre à une obligation légale ou à une demande valide, nécessaire et proportionnée d’une autorité administrative ou judiciaire (police/justice). Base légale : obligation légale (art. 6-1-c RGPD) ou intérêt légitime (défense en justice, art. 6-1-f).

SECTION 7 — SÉCURITÉ, CHIFFREMENT & ACCÈS ADMINISTRATIF

Article 7.1 — Mots de passe

Nous ne recevons jamais vos mots de passe en clair. Ils sont hachés et salés. En cas d’oubli, une réinitialisation par jeton temporaire est proposée ; un mot de passe existant n’est pas récupérable.

Article 7.2 — Chiffrement

Les données sont chiffrées en transit (HTTPS/TLS) et chiffrées au repos (base de données, pièces jointes, sauvegardes). Le service n’est pas en chiffrement de bout-en-bout (E2EE) : les clés sont gérées par nos serveurs afin d’assurer le fonctionnement de l’app (traitements, recherches, sauvegardes).

Un accès exceptionnel aux données peut être réalisé dans les cas prévus aux Articles 7.3 à 7.6 (support sur accord, réquisitions légales, lutte anti-fraude), sous habilitations, avec minimisation et journalisation des accès (Article 7.7).

Article 7.3 — Accès administratif exceptionnel & minimisation

Nous pouvons, à titre exceptionnel et dûment justifié, accéder via un panneau d’administration à certaines données (y compris des Contenus Client) afin de :

résoudre un incident ou assurer le support (cf. Article 7.6) ;
répondre à une demande légale (cf. Article 7.5) ;
prévenir, détecter ou investiguer une fraude ou un manquement aux CGU/CGV (cf. Article 7.4).

Tout accès est soumis à des habilitations, respecte la minimisation et est journalisé (qui, quand, pourquoi, périmètre consulté).

Article 7.4 — Lutte contre la fraude & respect des CGU/CGV

Nous pouvons analyser des indicateurs d’usage (p. ex. nombre de projets, nombre de tâches, volumes de stockage, signaux techniques) et, en cas de suspicion sérieuse, effectuer des vérifications ciblées, incluant le strict minimum de Contenus Client nécessaire. Base légale : intérêt légitime. Droit d’opposition possible pour motifs légitimes, sauf motifs impérieux.

Article 7.5 — Demandes des autorités

Nous pouvons être amenés à conserver ou communiquer certaines données pour répondre à une obligation légale ou à une demande d’une autorité compétente (police/justice). Nous ne répondons qu’aux demandes valides, nécessaires et proportionnées, après vérifications appropriées.

Article 7.6 — Support & assistance technique (accord préalable)

En cas de besoin technique, nous pouvons vous demander votre accord explicite pour accéder temporairement à vos données aux fins de diagnostic/résolution. Sans cet accord, nous nous limitons aux journaux techniques et métadonnées. L’accès accordé est temporaire, tracé et limité au périmètre nécessaire.

Article 7.7 — Journalisation des accès sensibles

Tout accès sensible (notamment administratif aux Contenus Client) est journalisé (qui, quand, pourquoi, périmètre consulté) et conservé pendant 12 mois.

Article 7.8 — Mesures techniques & organisationnelles

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées et proportionnées au risque afin de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des données personnelles, conformément au RGPD. Ces mesures sont revues périodiquement et adaptées en fonction de l’évolution des risques, de l’état des connaissances et des coûts de mise en œuvre.

Ces mesures peuvent inclure, selon les cas, le chiffrement approprié des données en transit et au repos, des contrôles d’accès et une authentification renforcée, la traçabilité des accès sensibles, des sauvegardes et tests de restauration, une surveillance de la sécurité et une gestion des vulnérabilités, ainsi que l’encadrement contractuel de nos prestataires (notamment pour les transferts hors UE).

Article 7.9 — Notification des violations de données

En cas de violation de données personnelles, nous appliquons notre procédure interne de gestion d’incident et notifierons l’autorité de contrôle compétente (CNIL) sans délai et, si possible, au plus tard dans les soixante-douze (72) heures après en avoir eu connaissance, conformément à l’article 33 du RGPD.

Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, nous les informerons sans délai, en termes clairs et simples, des mesures recommandées pour se protéger et des coordonnées pour obtenir plus d’informations, conformément à l’article 34 du RGPD. Lorsque les conditions légales le permettent (par exemple, données rendues incompréhensibles par chiffrement robuste), cette information individuelle peut ne pas être requise.

SECTION 8 — PROSPECTION & COMMUNICATIONS

Article 8.1 — E-mails de service et marketing

E-mails de service (sécurité, facturation, notifications techniques) : nécessaires à l’exécution du contrat.
E-mails d’information/marketing : sur consentement (désinscription à tout moment). En B2B, l’envoi peut reposer sur l’intérêt légitime pour des produits/services analogues (opt-out systématique).

SECTION 9 — DROITS DES PERSONNES

Article 9.1 — Exercice des droits

En tant qu’utilisateur, vous bénéficiez de plusieurs droits garantis par le RGPD et la loi Informatique et Libertés, notamment :

Droit d’information : informations claires, accessibles et compréhensibles.
Droit d’accès : consulter les données détenues à votre sujet.
Droit de rectification : corriger des données inexactes ou incomplètes.
Droit à l’effacement : suppression des données, sauf raisons légales/légitimes de conservation.
Droit d’opposition : refus du traitement fondé sur l’intérêt légitime ou à des fins de prospection.
Droit à la limitation : restriction temporaire du traitement dans certaines situations.
Droit à la portabilité : recevoir vos données dans un format structuré et lisible.
Droit de retrait du consentement : retrait à tout moment pour les traitements basés sur le consentement.
Droit post-mortem : instructions sur le devenir des données après décès.
Droit de réclamation (CNIL) : 3 Place de Fontenoy TSA 80715 75334 PARIS CEDEX 07, ou en ligne : https://www.cnil.fr/fr/plaintes.

Article 9.2 — Modalités d’exercice

Nous répondrons sans retard injustifié et au plus tard dans un (1) mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux (2) mois compte tenu de la complexité et du nombre de demandes ; dans ce cas, vous serez informé dans le mois des raisons du report.

Where a request is manifestly unfounded or excessive (in particular due to its repetitive nature), we may refuse to act on it or charge a reasonable fee based on administrative costs; we bear the burden of proving this. We may request additional information to verify your identity when necessary and only where there is doubt about the requester’s identity. Where the request is made electronically, the information shall be provided electronically whenever possible, unless otherwise requested.

SECTION 10 — MODIFICATIONS & CONTACTS

Article 10.1 — Modifications

La date de version en tête est mise à jour ; en cas de changements significatifs, une information dédiée est envoyée (e-mail/in-app).

Article 10.2 — Contacts

Toute question relative à la confidentialité ou à l’exercice de vos droits : contact@orchesia.com.

ANNEXE — Charte Cookies — Orchesia

1) Ce que nous utilisons

Nécessaires (exemptés de consentement) : un cookie interne pour mémoriser vos choix.
Soumis à consentement : GA4 (mesure d’audience), YouTube (lecteur vidéo).

2) Gérer vos choix

À la première visite, un panneau vous propose Tout accepter / Tout refuser / Gérer mes préférences. Vous pouvez modifier vos choix à tout moment via « Paramètres des cookies ».

3) Liste des cookies & traceurs

A. Nécessaires (sans consentement)

Nom	Fournisseur	Finalité	Durée	Domaine	Secure	HttpOnly	SameSite	Base légale
orchesia_cookie_consent	Orchesia (1P)	Mémoriser vos choix (analytics, YouTube) + horodatage	6–12 mois (actuellement 180 jours)	.orchesia.com	Oui	Non	Lax	Nécessaire (gestion du consentement)

Valeur (exemple) : v=1|nec=1|ana=1|ytb=0|ts=2025-10-09T09:12:00Z.

B. Mesure d’audience (avec consentement)

Outil	Fournisseur	Finalité	Données traitées	Base légale
Google Analytics 4 (GA4)	Google	Statistiques agrégées (pages, événements)	Identifiants, infos navigateur/IP (IP anonymisée), événements	Consentement (opt-in)

Chargement conditionnel : GA4 n’est chargé que si « Analytics » est accepté.

Paramétrage : IP anonymisée, pas de reciblage publicitaire via GA4.

C. Lecteur vidéo (avec consentement)

Outil	Fournisseur	Finalité	Données traitées	Base légale	Moment de dépôt
YouTube (iframe)	Google/YouTube	Lecture de vidéos intégrées	Identifiants en ligne, infos navigateur	Consentement (catégorie « YouTube »)	Au chargement ou à l’interaction ; youtube-nocookie.com quand possible

D. Stockages locaux (hors cookies)

Type	Exemple	Finalité	Base légale
localStorage / sessionStorage	Préférences d’UI non sensibles	Confort d’usage / facilitation de navigation	Intérêt légitime / nécessaire au service

4) Vos choix, à tout moment

Tout refuser : seuls les cookies nécessaires restent actifs.
Retirer votre consentement : via « Paramètres des cookies » pour Analytics et/ou YouTube ; application immédiate.
Preuve : trace de vos choix conservée le temps nécessaire.

5) Cadre légal (résumé)

Cookies nécessaires : intérêt légitime / nécessité au service.
Cookies d’audience & YouTube : uniquement avec consentement (opt-in), retirable à tout moment.

6) Mises à jour

Cette charte peut être mise à jour. Les changements significatifs feront l’objet d’une information dédiée.

7) Contact

Questions / droits : contact@orchesia.com