Politique de confidentialité

Cette politique s'applique au site web Sostenutoo, à l'application mobile iOS Sostenutoo (App Store) et à l'application mobile Android Sostenutoo (Google Play Store).

1. Introduction

La présente Politique de confidentialité décrit comment Sostenutoo collecte, utilise, stocke et protège vos données personnelles dans le cadre de l'utilisation de notre plateforme de gestion d'orchestres et ensembles musicaux.

Nous nous engageons à protéger votre vie privée et à traiter vos données conformément au Règlement Général sur la Protection des Données (RGPD), aux exigences de l'App Store d'Apple et aux politiques du Google Play Store.

2. Responsable du traitement

Sostenutoo - Micro-entreprise
Représentant : Rémi Lecomte
Email de contact : commerce.remilecomte@gmail.com
Support : support@sostenutoo.com

3. Données collectées

3.1 Données que vous nous fournissez

Données d'identification : nom complet, adresse email
Données musicales : instrument(s) pratiqué(s), section orchestrale
Données d'orchestre : nom de l'orchestre, ville, rôle (musicien, coordinateur, administrateur, fondateur)
Déclarations d'absences : dates et motifs des absences déclarées aux événements

3.2 Données collectées automatiquement

Données de connexion : horodatage des connexions, token de session (JWT)
Données techniques : type d'appareil, système d'exploitation (pour l'app iOS)
Préférences : orchestre sélectionné, paramètres d'affichage

3.3 Données via Google OAuth (optionnel)

Si vous choisissez de vous connecter via Google :

Nom et prénom
Adresse email
Photo de profil (stockée mais non affichée sur la plateforme)

Nous n'accédons à aucune autre donnée Google (contacts, agenda, Drive, etc.).

3.4 Données via Apple Sign In (optionnel)

Si vous choisissez de vous connecter via Apple :

Nom et prénom (uniquement lors de la première connexion, si vous acceptez de les partager)
Adresse email (vous pouvez choisir de masquer votre vraie adresse email via le relais privé d'Apple)

Apple Sign In respecte votre vie privée : vous contrôlez les informations partagées avec notre service. Nous n'accédons à aucune autre donnée Apple.

3.5 Données des partitions (PDF)

Lorsque des partitions sont uploadées par les administrateurs d'un orchestre :

Fichier PDF stocké de manière sécurisée
Métadonnées techniques : taille du fichier, date d'upload, nom du fichier
Association à un instrument et à une pièce musicale

3.6 Données de communication (chat et annonces)

Lorsque vous utilisez les fonctionnalités de chat et d'annonces dans les applications mobiles :

Messages du chat : contenu textuel des messages échangés au sein de votre orchestre, horodatage, identité de l'auteur
Images partagées dans le chat : photos sélectionnées depuis votre appareil et envoyées dans les conversations, métadonnées (taille, dimensions, date d'upload), identité de l'expéditeur
Annonces : contenu textuel des annonces publiées par les administrateurs, horodatage, identité de l'auteur, rôles ciblés
Notifications push : préférences de notification pour les messages et annonces (activées/désactivées)

Visibilité : Les messages, images et annonces sont visibles uniquement par les membres actifs de votre orchestre.

Conservation : Les messages et images sont conservés indéfiniment jusqu'à suppression manuelle par leur auteur ou un administrateur.

Stockage des images : Les photos partagées dans le chat sont hébergées de manière sécurisée sur Supabase Storage (EU - Paris), dans un bucket dédié isolé par orchestre. Les images sont compressées lors de l'upload pour optimiser les performances.

3.7 Données NON collectées automatiquement

❌ Géolocalisation (GPS ou IP)
❌ Contacts de votre téléphone
❌ Accès automatique à vos photos - vous choisissez manuellement les images à partager dans le chat
❌ Données de paiement (carte bancaire) - gérées exclusivement par Stripe
❌ Données de tracking publicitaire
❌ Données EXIF des photos (localisation GPS, appareil photo, etc.) - supprimées lors de l'upload

4. Applications mobiles - Permissions spécifiques

4.1 Application iOS (App Store)

L'application iOS Sostenutoo peut demander l'accès à :

Calendrier : pour ajouter des événements (répétitions, concerts) à votre calendrier personnel. Cette action est manuelle et optionnelle - vous choisissez quels événements ajouter.
Bibliothèque de photos : pour vous permettre de sélectionner des photos à partager dans le chat. L'application utilise le sélecteur de photos moderne d'iOS (PHPickerViewController) qui limite l'accès uniquement aux photos que vous sélectionnez - aucun accès à l'ensemble de votre photothèque.

L'application ne collecte pas et ne synchronise pas automatiquement vos données de calendrier ou photos. Toutes les actions sont manuelles et initiées par vous.

4.2 Application Android (Google Play Store)

L'application Android Sostenutoo utilise les permissions suivantes :

INTERNET : pour accéder aux données de votre orchestre et synchroniser les informations
ACCESS_NETWORK_STATE : pour vérifier la connexion internet avant les opérations réseau
READ_MEDIA_IMAGES (Android 13+) / READ_EXTERNAL_STORAGE (Android 12-) : pour vous permettre de sélectionner des photos à partager dans le chat. Utilisation uniquement lorsque vous choisissez d'envoyer une image - aucune lecture automatique de vos photos.
POST_NOTIFICATIONS (Android 13+) : pour recevoir les notifications de messages et annonces (optionnel)

Important : L'accès aux photos est strictement limité à votre sélection manuelle. L'application ne peut pas parcourir ou accéder à vos photos sans votre action explicite.

5. Finalités du traitement

Finalité	Base légale
Création et gestion de votre compte	Exécution du contrat
Accès aux programmes et partitions de votre orchestre	Exécution du contrat
Gestion des événements et déclarations d'absences	Exécution du contrat
Communication par email (invitations, notifications)	Intérêt légitime
Communication entre membres (chat et annonces)	Exécution du contrat
Amélioration de la plateforme	Intérêt légitime
Sécurité et prévention des fraudes	Intérêt légitime

6. Partage et sous-traitants

6.1 Au sein de votre orchestre

Les administrateurs, coordinateurs et fondateurs de votre orchestre peuvent voir :

Votre nom et adresse email
Votre/vos instrument(s)
Vos déclarations d'absences aux événements
Vos messages dans le chat de l'orchestre

Chat et annonces : Les messages du chat sont visibles par tous les membres actifs de votre orchestre. Les annonces sont visibles selon les rôles ciblés par l'auteur (tous les musiciens, uniquement les chefs, etc.).

Les autres musiciens ne peuvent pas accéder à vos données personnelles (email, instrument) sauf si partagées via le chat.

6.2 Sous-traitants techniques

Service	Usage	Localisation
Supabase	Base de données, authentification, stockage des partitions	🇪🇺 Union Européenne (Paris, France)
Netlify	Hébergement du site web	🇺🇸 États-Unis (conforme RGPD via clauses contractuelles)
Resend	Envoi des emails transactionnels	🇺🇸 États-Unis (conforme RGPD)
Stripe	Paiements (abonnements orchestres)	🇪🇺 / 🇺🇸 (conforme RGPD et PCI-DSS)

Nous ne vendons jamais vos données à des tiers.

7. Transferts internationaux

Certains de nos sous-traitants (Netlify, Resend, Stripe) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :

Les Clauses Contractuelles Types de la Commission Européenne
Le Data Privacy Framework UE-USA (pour les entreprises certifiées)

Votre base de données principale reste hébergée en France (Paris) via Supabase.

8. Conservation des données

Type de données	Durée de conservation
Données de compte actif	Tant que le compte est actif
Données après suppression de compte	90 jours puis suppression définitive
Logs de connexion	1 an
Emails de support	5 ans
Données de facturation (Stripe)	10 ans (obligation légale comptable)
Messages du chat et annonces	Tant que le compte est actif, ou jusqu'à suppression manuelle
Images partagées dans le chat	Tant que le compte est actif, ou jusqu'à suppression manuelle du message contenant l'image

8.1 Suppression d'un orchestre

Lorsqu'un orchestre est supprimé, toutes les partitions, événements, programmes, messages et annonces associés sont supprimés définitivement.

8.2 Départ d'un orchestre

Lorsque vous quittez un orchestre, vos déclarations d'absences pour cet orchestre sont supprimées. Vos données personnelles (compte, profil) restent intactes. Vos messages dans le chat restent visibles (avec votre nom) pour permettre la continuité des conversations, sauf suppression manuelle avant votre départ.

8.3 Suppression de messages et images

Vous pouvez supprimer vos propres messages (texte et images) à tout moment depuis l'application mobile. La suppression d'un message contenant une image efface définitivement l'image du stockage sous 24 heures. Les administrateurs peuvent également supprimer n'importe quel message en cas de contenu inapproprié.

9. Vos droits RGPD

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès : obtenir une copie de vos données (réponse sous 7 jours ouvrés)
Droit de rectification : corriger vos données directement dans l'application ou sur demande
Droit à l'effacement : supprimer votre compte depuis les paramètres ou sur demande
Droit à la portabilité : recevoir vos données dans un format structuré (JSON/CSV)
Droit d'opposition : vous opposer au traitement pour motif légitime
Droit de retirer votre consentement à tout moment

Pour exercer vos droits : Envoyez un email à support@sostenutoo.com avec l'objet "RGPD - [Votre demande]".
Nous répondons sous 7 jours ouvrés maximum.

10. Sécurité des données

Nous mettons en œuvre les mesures suivantes :

Chiffrement en transit : toutes les communications sont sécurisées via HTTPS/TLS
Authentification sécurisée : mots de passe hashés, tokens JWT signés
Isolation des données : chaque orchestre est isolé via Row Level Security (RLS)
Sauvegardes : backups réguliers de la base de données
Accès restreint : principe du moindre privilège pour les accès administrateur

11. Cookies et stockage local

Nous utilisons uniquement des cookies et stockage local strictement nécessaires :

Token de session : maintenir votre connexion
Préférences : orchestre sélectionné, thème d'affichage

Aucun cookie de tracking, publicitaire ou analytique n'est utilisé.

Note : Google Analytics pourra être ajouté ultérieurement avec une option de consentement.

12. Protection des mineurs

Sostenutoo est un service destiné à la gestion d'orchestres et ensembles musicaux. Il n'y a pas de restriction d'âge pour utiliser le service, car il ne collecte pas de données sensibles et est utilisé dans un contexte éducatif et culturel encadré (écoles de musique, conservatoires, orchestres amateurs).

Si vous êtes parent ou tuteur légal et souhaitez obtenir des informations sur les données de votre enfant, contactez-nous à support@sostenutoo.com.

13. Violation de données

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :

Notifier la CNIL dans les 72 heures
Vous informer dans les meilleurs délais par email
Prendre les mesures correctives nécessaires

14. Modifications de cette politique

Cette politique peut être mise à jour. En cas de modification substantielle :

La date de mise à jour sera modifiée en haut de cette page
Un email d'information sera envoyé aux utilisateurs
Une notification pourra apparaître dans l'application

15. Contact et réclamations

Pour toute question sur cette politique :

Email : support@sostenutoo.com

Pour déposer une réclamation auprès de l'autorité de contrôle :

CNIL - Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07
www.cnil.fr

← Retour à l'accueil