Politique de confidentialité
Dernière mise à jour : 3 juin 2026
Cette politique décrit comment Scenly collecte, utilise et protège tes données. Elle s'applique au site scenly.ch et à tous les services associés. Conforme à la nLPD suisse et au RGPD européen.
1. Responsable du traitement
Le responsable du traitement est Scenly (voir mentions légales). Contact : contact@scenly.ch.
2. Données que nous collectons
2.1. Visiteurs anonymes
Aucune donnée personnelle n'est collectée par défaut lors de la simple consultation du site. Nous n'utilisons aucun tracker publicitaire, aucun cookie tiers, aucun outil de profilage. Les statistiques d'utilisation, si activées plus tard, seront anonymisées et opérées en interne.
2.2. Utilisateurs inscrits
- Email (obligatoire) : utilisé comme identifiant de connexion, pour la vérification d'email à l'inscription, la récupération de mot de passe et les notifications transactionnelles.
- Nom / prénom / nom de scène, ville, canton, biographie, photos, liens réseaux sociaux : si tu remplis ces champs sur ton portfolio.
- Numéro de téléphone : optionnel, utilisé uniquement pour les contacts pro.
- Connexion avec Google (optionnelle) : si tu utilises « Continuer avec Google », Google nous transmet ton email, ton nom et ta photo de profil pour créer ou relier ton compte — rien d'autre.
- Mot de passe : jamais stocké en clair, seulement son empreinte (scrypt). Si tu actives la double authentification (2FA), le secret TOTP est chiffré en base.
- Appartenance et rôle au sein d'un club ou d'un collectif (équipe), le cas échéant.
- Préférences de notification, abonnements push (navigateur) si activés, et un compteur agrégé de vues de ton profil public (non nominatif).
2.3. Artistes en cours de vérification
- Pièce d'identité (CNI, passeport ou permis de séjour) — purgée automatiquement dès qu'une décision est prise par l'équipe (cf. §5).
- Preuve d'activité (flyer, screenshot de réseaux, contrat antérieur) — idem, purgée à la décision.
- Documents optionnels (press kit, autre) — mêmes règles.
2.4. Données financières (artistes)
- IBAN (chiffré applicatif AES-256-GCM en base) — uniquement pour générer les factures QR-bill suisses.
- Numéro de TVA (chiffré) — si renseigné, pour les factures B2B.
- Adresse de facturation (rue, NPA, ville, pays) : nécessaire au QR-bill.
- Si tu administres un collectif, les mêmes données de facturation (IBAN / numéro de TVA chiffrés, adresse) peuvent concerner ce collectif.
2.5. Échanges, support et notifications
- Messages de booking (demande initiale, négociation, notes internes) — chiffrés applicatif AES-256-GCM en base.
- Termes des contrats générés (cachet, date, lieu, rider technique, etc.).
- Statuts de paiement des factures.
- Demandes de support et leur fil de messages (sujet, contenu, statut) — pour traiter ta demande.
- Notifications in-app (bookings, contrats, factures, avis, système…) et tes préférences de réception par canal.
2.6. Abonnements et paiements (Stripe)
- Les paiements (abonnements Pro, frais de mise en relation) sont traités par Stripe. Scenly ne stocke jamais tes données de carte — elles sont saisies directement chez Stripe.
- Nous conservons un identifiant client Stripe, le statut et l'échéance de ton abonnement, et le montant des frais facturés (cf. politique de Stripe).
3. Finalités et bases légales
- Authentification : email + mot de passe (hashé via scrypt) + authentification 2FA TOTP optionnelle — base légale : exécution du contrat d'utilisation du service.
- Affichage du portfolio public : visible si tu es vérifié — base légale : consentement (publication volontaire par l'artiste).
- Vérification d'identité : nécessaire à la sécurité de la plateforme — base légale : intérêt légitime + consentement.
- Génération de contrats et factures : exécution du contrat entre artiste et club.
- Notifications de modération (approuvé, refusé, révoqué) : intérêt légitime (informer l'artiste du résultat).
- Abonnements et facturation (Stripe) : exécution du contrat Pro et obligations comptables.
- Support et notifications (in-app, email, push selon tes préférences) : exécution du contrat et intérêt légitime à t'informer. Le push requiert ton consentement explicite (autorisation du navigateur).
4. Durée de conservation
- Compte utilisateur : tant que le compte est actif. Suppression sur demande à contact@scenly.ch.
- Documents de vérification : purgés automatiquement dès qu'une décision est prise (approuvée ou refusée). Seule la metadata d'audit (type, date, statut, modérateur) est conservée pour la traçabilité interne.
- Factures émises : conservées 10 ans, conformément aux obligations comptables suisses (CO art. 958f).
- Contrats signés : conservés 10 ans pour traçabilité juridique.
- Messages booking : conservés tant que le compte est actif. Supprimés avec le compte.
- Demandes de support : les demandes résolues sont purgées automatiquement après 30 jours d'inactivité.
5. Mesures de sécurité
- Chiffrement en transit : HTTPS strict (HSTS 2 ans, preload).
- Chiffrement applicatif (au repos) : AES-256-GCM avec IV aléatoire pour les champs sensibles — messages bookings, notes, IBAN, numéro de TVA. Même un accès direct à la base ne révèle pas ces données sans la clé.
- Chiffrement au repos : tous les fichiers stockés (médias, documents) sont chiffrés par défaut côté Vercel Blob.
- Data minimization : les documents de vérification sont supprimés immédiatement après modération. On garde le strict minimum (statut + horodatage).
- Contrôle d'accès : rôles utilisateur / modérateur / admin. Seuls les modérateurs voient les documents en cours de revue.
- Audit : chaque action de modération (vérif, refus, révocation) est tracée avec l'identité du modérateur et l'horodatage.
- Headers de sécurité : X-Frame-Options, CSP-equivalent, Referrer-Policy strict, Permissions-Policy restrictif.
6. Tes droits
Conformément au RGPD / à la nLPD, tu disposes des droits suivants sur tes données :
- Accès : obtenir une copie des données qu'on détient sur toi.
- Rectification : corriger les données inexactes (modifiable directement depuis ton profil pour la plupart).
- Effacement ("droit à l'oubli") : supprimer ton compte et toutes les données associées, sous réserve des obligations légales (factures 10 ans).
- Portabilité : récupérer tes données dans un format structuré (JSON sur demande).
- Opposition : t'opposer à un traitement spécifique.
- Retrait du consentement : à tout moment, pour les traitements basés sur le consentement.
Pour exercer un droit, écris à contact@scenly.ch — nous répondons sous 30 jours.
7. Sous-traitants
Nous utilisons les sous-traitants suivants pour faire fonctionner Scenly :
- Vercel (USA, serveurs EU pour les requêtes européennes) — hébergement de l'application et stockage des fichiers (Vercel Blob).
- Neon (région EU) — base de données Postgres managée.
- Infomaniak SMTP (Suisse) — fournisseur principal pour l'envoi des emails transactionnels (vérification d'email, reset de mot de passe, notifications bookings/contrats). Resend en backup ponctuel.
- Stripe (Irlande / USA) — traitement des paiements et abonnements (cartes, frais de mise en relation). Aucune donnée de carte ne transite par nos serveurs.
- Google — uniquement si tu utilises « Continuer avec Google » (authentification).
- Services de push des navigateurs (Apple, Google, Mozilla) — pour délivrer les notifications push, si tu les actives.
Tous nos sous-traitants sont conformes au RGPD et nous assurons par contrat la confidentialité et la sécurité des données.
9. Réclamation
Si tu estimes que tes droits ne sont pas respectés, tu peux saisir l'autorité de contrôle compétente :
- Suisse : Préposé fédéral à la protection des données (PFPDT) — edoeb.admin.ch
- UE : ton autorité nationale de protection des données (CNIL pour la France, etc.)