Politique de confidentialité

Cette politique s'applique au site web Sostenutoo, à l'application mobile iOS Sostenutoo (App Store) et à l'application mobile Android Sostenutoo (Google Play Store).

1. Introduction

La présente Politique de confidentialité décrit comment Sostenutoo collecte, utilise, stocke et protège vos données personnelles dans le cadre de l'utilisation de notre plateforme de gestion d'orchestres et ensembles musicaux.

Nous nous engageons à protéger votre vie privée et à traiter vos données conformément au Règlement Général sur la Protection des Données (RGPD), aux exigences de l'App Store d'Apple et aux politiques du Google Play Store.

2. Responsable du traitement

Sostenutoo - Micro-entreprise
Représentant : Rémi Lecomte
Email de contact : commerce.remilecomte@gmail.com
Support : support@sostenutoo.com

3. Données collectées

3.1 Données que vous nous fournissez

Données d'identification : nom complet, adresse email
Données musicales : instrument(s) pratiqué(s), section orchestrale
Données d'orchestre : nom de l'orchestre, ville, rôle (musicien, coordinateur, administrateur, fondateur)
Déclarations d'absences : dates et motifs des absences déclarées aux événements

3.2 Données collectées automatiquement

Données de connexion : horodatage des connexions, token de session (JWT)
Données techniques : type d'appareil, système d'exploitation (pour l'app iOS)
Préférences : orchestre sélectionné, paramètres d'affichage

3.3 Données via Google OAuth (optionnel)

Si vous choisissez de vous connecter via Google :

Nom et prénom
Adresse email
Photo de profil (stockée mais non affichée sur la plateforme)

Nous n'accédons à aucune autre donnée Google (contacts, agenda, Drive, etc.).

3.4 Données via Apple Sign In (optionnel)

Si vous choisissez de vous connecter via Apple :

Nom et prénom (uniquement lors de la première connexion, si vous acceptez de les partager)
Adresse email (vous pouvez choisir de masquer votre vraie adresse email via le relais privé d'Apple)

Apple Sign In respecte votre vie privée : vous contrôlez les informations partagées avec notre service. Nous n'accédons à aucune autre donnée Apple.

3.5 Données des partitions (PDF)

Lorsque des partitions sont uploadées par les administrateurs d'un orchestre :

Fichier PDF stocké de manière sécurisée
Métadonnées techniques : taille du fichier, date d'upload, nom du fichier
Association à un instrument et à une pièce musicale

3.6 Données NON collectées

❌ Géolocalisation (GPS ou IP)
❌ Contacts de votre téléphone
❌ Photos ou médias de votre appareil
❌ Données de paiement (carte bancaire) - gérées exclusivement par Stripe
❌ Données de tracking publicitaire

4. Applications mobiles - Permissions spécifiques

4.1 Application iOS (App Store)

L'application iOS Sostenutoo peut demander l'accès à :

Calendrier : pour ajouter des événements (répétitions, concerts) à votre calendrier personnel. Cette action est manuelle et optionnelle - vous choisissez quels événements ajouter.

L'application ne collecte pas et ne synchronise pas automatiquement vos données de calendrier. Elle permet uniquement d'exporter un événement vers votre calendrier local.

4.2 Application Android (Google Play Store)

L'application Android Sostenutoo utilise les permissions suivantes :

INTERNET : pour accéder aux données de votre orchestre et synchroniser les informations
ACCESS_NETWORK_STATE : pour vérifier la connexion internet avant les opérations réseau

L'application Android ne demande aucune permission sensible (pas d'accès aux contacts, localisation, caméra, microphone, ou stockage).

5. Finalités du traitement

Finalité	Base légale
Création et gestion de votre compte	Exécution du contrat
Accès aux programmes et partitions de votre orchestre	Exécution du contrat
Gestion des événements et déclarations d'absences	Exécution du contrat
Communication par email (invitations, notifications)	Intérêt légitime
Amélioration de la plateforme	Intérêt légitime
Sécurité et prévention des fraudes	Intérêt légitime

6. Partage et sous-traitants

6.1 Au sein de votre orchestre

Les administrateurs, coordinateurs et fondateurs de votre orchestre peuvent voir :

Votre nom et adresse email
Votre/vos instrument(s)
Vos déclarations d'absences aux événements

Les autres musiciens ne peuvent pas accéder à vos données personnelles.

6.2 Sous-traitants techniques

Service	Usage	Localisation
Supabase	Base de données, authentification, stockage des partitions	🇪🇺 Union Européenne (Paris, France)
Netlify	Hébergement du site web	🇺🇸 États-Unis (conforme RGPD via clauses contractuelles)
Resend	Envoi des emails transactionnels	🇺🇸 États-Unis (conforme RGPD)
Stripe	Paiements (abonnements orchestres)	🇪🇺 / 🇺🇸 (conforme RGPD et PCI-DSS)

Nous ne vendons jamais vos données à des tiers.

7. Transferts internationaux

Certains de nos sous-traitants (Netlify, Resend, Stripe) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :

Les Clauses Contractuelles Types de la Commission Européenne
Le Data Privacy Framework UE-USA (pour les entreprises certifiées)

Votre base de données principale reste hébergée en France (Paris) via Supabase.

8. Conservation des données

Type de données	Durée de conservation
Données de compte actif	Tant que le compte est actif
Données après suppression de compte	90 jours puis suppression définitive
Logs de connexion	1 an
Emails de support	5 ans
Données de facturation (Stripe)	10 ans (obligation légale comptable)

8.1 Suppression d'un orchestre

Lorsqu'un orchestre est supprimé, toutes les partitions, événements, programmes et données associées sont supprimés définitivement.

8.2 Départ d'un orchestre

Lorsque vous quittez un orchestre, vos déclarations d'absences pour cet orchestre sont supprimées. Vos données personnelles (compte, profil) restent intactes.

9. Vos droits RGPD

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès : obtenir une copie de vos données (réponse sous 7 jours ouvrés)
Droit de rectification : corriger vos données directement dans l'application ou sur demande
Droit à l'effacement : supprimer votre compte depuis les paramètres ou sur demande
Droit à la portabilité : recevoir vos données dans un format structuré (JSON/CSV)
Droit d'opposition : vous opposer au traitement pour motif légitime
Droit de retirer votre consentement à tout moment

Pour exercer vos droits : Envoyez un email à support@sostenutoo.com avec l'objet "RGPD - [Votre demande]".
Nous répondons sous 7 jours ouvrés maximum.

10. Sécurité des données

Nous mettons en œuvre les mesures suivantes :

Chiffrement en transit : toutes les communications sont sécurisées via HTTPS/TLS
Authentification sécurisée : mots de passe hashés, tokens JWT signés
Isolation des données : chaque orchestre est isolé via Row Level Security (RLS)
Sauvegardes : backups réguliers de la base de données
Accès restreint : principe du moindre privilège pour les accès administrateur

11. Cookies et stockage local

Nous utilisons uniquement des cookies et stockage local strictement nécessaires :

Token de session : maintenir votre connexion
Préférences : orchestre sélectionné, thème d'affichage

Aucun cookie de tracking, publicitaire ou analytique n'est utilisé.

Note : Google Analytics pourra être ajouté ultérieurement avec une option de consentement.

12. Protection des mineurs

Sostenutoo est un service destiné à la gestion d'orchestres et ensembles musicaux. Il n'y a pas de restriction d'âge pour utiliser le service, car il ne collecte pas de données sensibles et est utilisé dans un contexte éducatif et culturel encadré (écoles de musique, conservatoires, orchestres amateurs).

Si vous êtes parent ou tuteur légal et souhaitez obtenir des informations sur les données de votre enfant, contactez-nous à support@sostenutoo.com.

13. Violation de données

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :

Notifier la CNIL dans les 72 heures
Vous informer dans les meilleurs délais par email
Prendre les mesures correctives nécessaires

14. Modifications de cette politique

Cette politique peut être mise à jour. En cas de modification substantielle :

La date de mise à jour sera modifiée en haut de cette page
Un email d'information sera envoyé aux utilisateurs
Une notification pourra apparaître dans l'application

15. Contact et réclamations

Pour toute question sur cette politique :

Email : support@sostenutoo.com

Pour déposer une réclamation auprès de l'autorité de contrôle :

CNIL - Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07
www.cnil.fr

← Retour à l'accueil