Politique de confidentialité

Dernière mise à jour : 21 mai 2026

Cette politique décrit comment Scenly collecte, utilise et protège tes données. Elle s'applique au site scenly.ch et à tous les services associés. Conforme à la nLPD suisse et au RGPD européen.

1. Responsable du traitement

Le responsable du traitement est Apprento (voir mentions légales). Contact : contact@scenly.ch.

2. Données que nous collectons

2.1. Visiteurs anonymes

Aucune donnée personnelle n'est collectée par défaut lors de la simple consultation du site. Nous n'utilisons aucun tracker publicitaire, aucun cookie tiers, aucun outil de profilage. Les statistiques d'utilisation, si activées plus tard, seront anonymisées et opérées en interne.

2.2. Utilisateurs inscrits

Email (obligatoire) : utilisé pour la connexion par magic link et les notifications.
Nom / prénom / nom de scène, ville, canton, biographie, photos, liens réseaux sociaux : si tu remplis ces champs sur ton portfolio.
Numéro de téléphone : optionnel, utilisé uniquement pour les contacts pro.

2.3. Artistes en cours de vérification

Pièce d'identité (CNI, passeport ou permis de séjour) — purgée automatiquement dès qu'une décision est prise par l'équipe (cf. §5).
Preuve d'activité (flyer, screenshot de réseaux, contrat antérieur) — idem, purgée à la décision.
Documents optionnels (press kit, autre) — mêmes règles.

2.4. Données financières (artistes)

IBAN (chiffré applicatif AES-256-GCM en base) — uniquement pour générer les factures QR-bill suisses.
Numéro de TVA (chiffré) — si renseigné, pour les factures B2B.
Adresse de facturation (rue, NPA, ville, pays) : nécessaire au QR-bill.

2.5. Échanges entre artistes et clubs

Messages de booking (demande initiale, négociation, notes internes) — chiffrés applicatif AES-256-GCM en base.
Termes des contrats générés (cachet, date, lieu, rider technique, etc.).
Statuts de paiement des factures.

3. Finalités et bases légales

Authentification : magic link via email — base légale : exécution du contrat d'utilisation du service.
Affichage du portfolio public : visible si tu es vérifié — base légale : consentement (publication volontaire par l'artiste).
Vérification d'identité : nécessaire à la sécurité de la plateforme — base légale : intérêt légitime + consentement.
Génération de contrats et factures : exécution du contrat entre artiste et club.
Notifications de modération (approuvé, refusé, révoqué) : intérêt légitime (informer l'artiste du résultat).

4. Durée de conservation

Compte utilisateur : tant que le compte est actif. Suppression sur demande à contact@scenly.ch.
Documents de vérification : purgés automatiquement dès qu'une décision est prise (approuvée ou refusée). Seule la metadata d'audit (type, date, statut, modérateur) est conservée pour la traçabilité interne.
Factures émises : conservées 10 ans, conformément aux obligations comptables suisses (CO art. 958f).
Contrats signés : conservés 10 ans pour traçabilité juridique.
Messages booking : conservés tant que le compte est actif. Supprimés avec le compte.

5. Mesures de sécurité

Chiffrement en transit : HTTPS strict (HSTS 2 ans, preload).
Chiffrement applicatif (au repos) : AES-256-GCM avec IV aléatoire pour les champs sensibles — messages bookings, notes, IBAN, numéro de TVA. Même un accès direct à la base ne révèle pas ces données sans la clé.
Chiffrement au repos : tous les fichiers stockés (médias, documents) sont chiffrés par défaut côté Vercel Blob.
Data minimization : les documents de vérification sont supprimés immédiatement après modération. On garde le strict minimum (statut + horodatage).
Contrôle d'accès : rôles utilisateur / modérateur / admin. Seuls les modérateurs voient les documents en cours de revue.
Audit : chaque action de modération (vérif, refus, révocation) est tracée avec l'identité du modérateur et l'horodatage.
Headers de sécurité : X-Frame-Options, CSP-equivalent, Referrer-Policy strict, Permissions-Policy restrictif.

6. Tes droits

Conformément au RGPD / à la nLPD, tu disposes des droits suivants sur tes données :

Accès : obtenir une copie des données qu'on détient sur toi.
Rectification : corriger les données inexactes (modifiable directement depuis ton profil pour la plupart).
Effacement ("droit à l'oubli") : supprimer ton compte et toutes les données associées, sous réserve des obligations légales (factures 10 ans).
Portabilité : récupérer tes données dans un format structuré (JSON sur demande).
Opposition : t'opposer à un traitement spécifique.
Retrait du consentement : à tout moment, pour les traitements basés sur le consentement.

Pour exercer un droit, écris à contact@scenly.ch — nous répondons sous 30 jours.

7. Sous-traitants

Nous utilisons les sous-traitants suivants pour faire fonctionner Scenly :

Vercel (USA, serveurs EU pour les requêtes européennes) — hébergement de l'application et stockage des fichiers (Vercel Blob).
Neon (région EU) — base de données Postgres managée.
Resend — envoi des emails transactionnels (magic link, notifications modération).

Tous nos sous-traitants sont conformes au RGPD et nous assurons par contrat la confidentialité et la sécurité des données.

8. Cookies

Scenly utilise un seul cookie technique :

Cookie de session (Auth.js JWT) — strictement nécessaire pour te maintenir connecté. Pas d'accord requis (exception "fonctionnel"). Durée : 30 jours, renouvelé à chaque visite.

Aucun cookie publicitaire, aucun tracker tiers, aucun outil de profilage. Si nous ajoutons un outil d'analytics dans le futur, il sera anonymisé et nous mettrons à jour cette page.

9. Réclamation

Si tu estimes que tes droits ne sont pas respectés, tu peux saisir l'autorité de contrôle compétente :

Suisse : Préposé fédéral à la protection des données (PFPDT) — edoeb.admin.ch
UE : ton autorité nationale de protection des données (CNIL pour la France, etc.)