Politique de Confidentialité
Dernière mise à jour : 28 février 2026
Article 1 — Responsable du traitement
Le responsable du traitement des données collectées via la Plateforme Kermesse est l'éditeur de la Plateforme, joignable à l'adresse contact@kermesse.fr.
Lorsqu'un organisateur utilise la Plateforme pour gérer une kermesse, il agit en tant que responsable de traitement autonome pour les données des participants à son événement. La Plateforme agit alors en tant que sous-traitant au sens de l'article 28 du RGPD.
Article 2 — Données collectées
2.1 Données fournies directement
| Donnée | Contexte | Obligatoire |
|---|---|---|
| Nom / Prénom | Création de compte ou accès via code | Oui |
| Adresse email | Création de compte permanent | Oui (compte) / Non (anonyme) |
| Mot de passe (haché) | Authentification compte permanent | Oui |
| Nom de l'école / association | Création de compte organisateur | Non |
| Classe de l'enfant | Compte parent enregistré | Non |
| Historique des transactions | Recharges et achats de tickets | Auto |
| Solde de tickets | Gestion de la monnaie interne | Auto |
| Codes de validation | Tickets générés lors des achats | Auto |
2.2 Données collectées automatiquement
Lors de l'utilisation de la Plateforme, des données techniques peuvent être collectées automatiquement : adresse IP, type de navigateur/appareil, pages visitées, date et heure de connexion. Ces données sont utilisées à des fins de sécurité et d'analyse d'audience (voir article 7 sur les cookies).
2.3 Ce que nous ne collectons pas
Nous ne collectons jamais les numéros de carte bancaire. Les données de paiement transitent directement vers Stripe, notre prestataire certifié PCI-DSS, et ne sont jamais stockées sur nos serveurs.
Article 3 — Finalités et bases légales du traitement
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion de compte | Exécution du contrat (art. 6.1.b) |
| Authentification et sécurité | Intérêt légitime (art. 6.1.f) |
| Traitement des paiements Stripe | Exécution du contrat (art. 6.1.b) |
| Créditement de tickets et traçabilité des transactions | Exécution du contrat (art. 6.1.b) |
| Envoi d'emails transactionnels (recharge, bienvenue, événement) | Consentement / Exécution du contrat |
| Analyse d'audience et amélioration du service (Google Analytics via GTM) | Consentement (art. 6.1.a) |
| Prévention des fraudes et abus | Intérêt légitime (art. 6.1.f) |
| Respect des obligations légales | Obligation légale (art. 6.1.c) |
Article 4 — Durée de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Compte organisateur (permanent) | 3 ans après la dernière connexion, ou jusqu'à suppression |
| Compte parent enregistré | 3 ans après la dernière connexion, ou jusqu'à suppression |
| Compte anonyme (sans email) | Archivé à la clôture de l'événement, supprimé sous 12 mois |
| Historique des transactions | 5 ans (obligations comptables légales) |
| Logs de connexion / sécurité | 12 mois |
| Données de paiement Stripe | Gérées par Stripe (politique Stripe) |
| Emails envoyés (Resend) | 30 jours dans les logs Resend |
Article 5 — Destinataires des données
Vos données personnelles sont traitées par les sous-traitants suivants, sélectionnés pour leur conformité au RGPD et leur niveau de sécurité :
Stripe
Traitement des paiements par carte bancaire
Certifié PCI-DSS niveau 1, DPA disponible
Resend
Envoi des emails transactionnels
Serveurs en UE disponibles, SOC 2 Type II
Cloudflare
Protection anti-bot (Turnstile), CDN, stockage d'images (R2)
Certifié ISO 27001, conformité RGPD
Google (GTM / Analytics)
Analyse d'audience agrégée
Clause contractuelle type UE, anonymisation IP
OpenAI
Génération IA de contenu d'événement (fonctionnalité optionnelle)
Données non utilisées pour l'entraînement via API
Vos données ne sont jamais vendues à des tiers à des fins commerciales ou publicitaires.
Article 6 — Transferts hors Union européenne
Certains sous-traitants (Stripe, OpenAI) sont établis aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types approuvées par la Commission européenne (décision d'exécution 2021/914), assurant un niveau de protection équivalent à celui garanti au sein de l'UE.
Nous privilégions autant que possible les hébergements en Union européenne pour les données les plus sensibles (base de données PostgreSQL).
Article 7 — Cookies et traceurs
7.1 Cookies strictement nécessaires
La Plateforme utilise des cookies de session pour maintenir l'authentification de l'utilisateur (NextAuth.js). Ces cookies sont indispensables au fonctionnement du service et ne nécessitent pas de consentement.
7.2 Cookies analytiques (Google Tag Manager)
La Plateforme utilise Google Tag Manager (GTM-MC85B8B4) et Google Analytics pour mesurer l'audience de manière agrégée. Ces traceurs nécessitent votre consentement. L'adresse IP est anonymisée avant tout traitement. Vous pouvez vous opposer à ces traceurs en utilisant les outils de gestion des cookies ou en installant le module complémentaire de désactivation de Google Analytics.
7.3 Cookie anti-bot (Cloudflare Turnstile)
La Plateforme utilise Cloudflare Turnstile sur les formulaires d'inscription et de connexion afin de distinguer les humains des robots. Ce mécanisme peut déposer des données de session. Il est nécessaire à la sécurité du service.
Article 8 — Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement TLS (HTTPS) pour toutes les communications entre le navigateur et nos serveurs.
- Mots de passe stockés sous forme de hachage sécurisé (bcrypt).
- Tokens de session JWT chiffrés avec un secret fort (NEXTAUTH_SECRET).
- Tokens de réinitialisation de mot de passe à usage unique, expirés après 1 heure.
- Accès à la base de données limité aux serveurs applicatifs.
- Sauvegardes régulières de la base de données.
- Accès administrateur protégé par authentification et rôles.
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures conformément à l'article 33 du RGPD, et à vous en informer si la violation présente un risque élevé.
Article 9 — Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès
Obtenir une copie de vos données personnelles.
Droit de rectification
Corriger des données inexactes ou incomplètes.
Droit à l'effacement
Demander la suppression de votre compte et de vos données.
Droit à la limitation
Demander la suspension du traitement le temps d'un litige.
Droit à la portabilité
Recevoir vos données dans un format structuré et lisible.
Droit d'opposition
Vous opposer aux traitements fondés sur l'intérêt légitime.
Pour exercer vos droits, contactez-nous à contact@kermesse.fr en précisant votre nom, votre adresse email et la nature de votre demande. Nous répondrons dans un délai d'un mois (pouvant être prolongé de deux mois pour les demandes complexes).
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr
Article 10 — Données des mineurs
La Plateforme est destinée à être utilisée par des adultes (parents, organisateurs). Si des informations concernant des enfants mineurs sont saisies (ex. : classe de l'enfant), elles sont limitées au strict nécessaire et ne sont pas utilisées à d'autres fins que la gestion de l'événement.
La Plateforme ne collecte pas sciemment de données personnelles d'enfants de moins de 15 ans sans le consentement parental. Si vous constatez qu'un mineur a créé un compte, veuillez nous contacter afin que nous procédions à la suppression du compte.
Article 11 — Modifications de la politique
La présente politique peut être mise à jour pour refléter des évolutions légales, de nos pratiques ou de nos services. La date de dernière mise à jour figure en haut de ce document.
En cas de modification substantielle, nous vous informerons par email (si renseigné) ou par une notification visible sur la Plateforme.
Article 12 — Contact et réclamations
Pour toute question relative à la présente politique ou à vos données personnelles :
Kermesse — Délégué à la protection des données
Email : contact@kermesse.fr
Site web : https://kermesse.fr
Autorité de contrôle compétente : CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr
© 2026 Kermesse — Tous droits réservés