La présente politique de confidentialité décrit comment Ink&Pik collecte, utilise, stocke et protège vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
1. Responsable du traitement
[Raison sociale]
Siège social : [adresse complète]
SIRET : [numéro]
Email DPO : dpo@inkpik.fr
2. Données collectées
2.1 Données communes à tous les Utilisateurs
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom, prénom | Identification, gestion du compte | Exécution du contrat (art. 6.1.b RGPD) |
| Adresse email | Création de compte, communications transactionnelles | Exécution du contrat |
| Mot de passe (hashé) | Sécurité de l'authentification | Exécution du contrat |
| Adresse IP, données de navigation | Sécurité, prévention des fraudes, statistiques anonymisées | Intérêt légitime (art. 6.1.f RGPD) |
| Avatar (photo) | Personnalisation du profil | Consentement (art. 6.1.a RGPD) |
2.2 Données spécifiques aux Artistes
| Donnée | Finalité | Base légale |
|---|---|---|
| Numéro SIRET | Vérification de l'immatriculation professionnelle | Obligation légale (art. 6.1.c RGPD) |
| Déclaration ARS | Vérification de la conformité réglementaire | Obligation légale |
| Certification hygiène et salubrité | Vérification de la conformité réglementaire | Obligation légale |
| Compte Stripe Connect (identifiant) | Versement des paiements | Exécution du contrat |
| Portfolio (photos d'œuvres) | Présentation sur la marketplace | Exécution du contrat |
| Adresse professionnelle | Géolocalisation dans la marketplace | Exécution du contrat |
2.3 Données spécifiques aux Clients
| Donnée | Finalité | Base légale |
|---|---|---|
| Date de naissance | Vérification de la majorité | Obligation légale (art. R.1311-11 CSP) |
| Numéro de téléphone | Contact pour les rendez-vous | Exécution du contrat |
| Photos de référence (projet) | Communication avec l'Artiste | Exécution du contrat |
2.4 Données sensibles (catégories particulières — art. 9 RGPD)
| Donnée | Finalité | Base légale |
|---|---|---|
| Allergies, conditions médicales | Sécurité de la prestation (contre-indications) | Consentement explicite (art. 9.2.a RGPD) + motifs d'intérêt public en matière de santé publique (art. 9.2.i RGPD) |
| Historique de tatouages | Suivi médical, gestion des fiches clients | Consentement explicite |
| Consentements signés (dont parental) | Obligation légale (Code de la Santé Publique) | Obligation légale (art. 6.1.c RGPD) |
Important : les données de santé sont collectées uniquement dans le cadre de la relation entre le Client et l'Artiste. Elles sont accessibles uniquement à l'Artiste concerné (et au Studio dont il dépend, le cas échéant). Ink&Pik en tant qu'éditeur de la Plateforme n'accède pas aux données de santé des Clients, sauf obligation légale ou judiciaire.
2.5 Traçabilité des actes
Conformément au Code de la Santé Publique, les enregistrements de traçabilité (encres, aiguilles, numéros de lots) sont conservés par l'Artiste via la Plateforme. Ces données constituent des données de santé et bénéficient des protections renforcées décrites dans la présente politique.
3. Sous-traitants et destinataires des données
| Sous-traitant | Finalité | Localisation des données |
|---|---|---|
| Stripe Payments Europe, Ltd. | Traitement des paiements | Union européenne (Irlande) |
| [Hébergeur — ex: Hetzner, OVH, Scaleway] | Hébergement de la Plateforme et des données | Union européenne ([pays]) |
| [Service email — ex: Mailgun, Postmark] | Envoi des emails transactionnels | [UE / à vérifier] |
Aucun transfert de données hors de l'Union européenne n'est effectué, sauf garantie appropriée (clauses contractuelles types de la Commission européenne ou décision d'adéquation). Si un tel transfert devait être nécessaire, les Utilisateurs en seraient informés.
4. Durée de conservation
| Type de données | Durée de conservation | Fondement |
|---|---|---|
| Données de compte (identité, email) | Durée de la relation contractuelle + 3 ans | Prescription civile |
| Données de facturation / transactions | 10 ans | Obligation comptable (Code de commerce) |
| Données de traçabilité des actes | 10 ans minimum | Code de la Santé Publique |
| Fiches clients (santé) | Durée de la relation + 5 ans | Recommandation santé publique |
| Consentements (parentaux et généraux) | Durée de la relation + 5 ans | Preuve du consentement |
| Messages (chat) | 1 an après la dernière activité de la conversation | Intérêt légitime (gestion des litiges) |
| Logs de connexion / IP | 1 an | LCEN (art. 6-II) |
| Cookies | 13 mois maximum | Recommandation CNIL |
À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
5. Droits des Utilisateurs
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données personnelles
- Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes
- Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation
- Droit à la limitation (art. 18) : restreindre le traitement dans certains cas
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine
- Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime
- Droit de retirer votre consentement à tout moment (pour les traitements fondés sur le consentement)
- Droit d'introduire une réclamation auprès de la CNIL (3 Place de Fontenoy, 75007 Paris — www.cnil.fr)
Pour exercer vos droits, contactez : dpo@inkpik.fr. Ink&Pik s'engage à répondre dans un délai de 30 jours.
Exceptions : Les données de traçabilité des actes (encres, aiguilles, lots) ne peuvent pas être supprimées, même sur demande, car leur conservation est une obligation légale du Code de la Santé Publique. De même, les données de facturation doivent être conservées 10 ans.
6. Sécurité des données
Ink&Pik met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des données en transit (TLS/HTTPS)
- Hashage des mots de passe (Bcrypt)
- Authentification à deux facteurs (2FA) disponible
- Contrôle d'accès basé sur les rôles (RBAC)
- Pare-feu applicatif et middleware de sécurité (CSP, rate limiting, protection CSRF)
- Analyse antivirus des fichiers uploadés
- Journalisation des accès et monitoring de sécurité
- Sauvegardes régulières et chiffrées
- Données bancaires jamais stockées par Ink&Pik (traitées exclusivement par Stripe, certifié PCI DSS)
En cas de violation de données, Ink&Pik s'engage à notifier la CNIL dans les 72 heures et à informer les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément aux articles 33 et 34 du RGPD.
7. Profilage et décision automatisée
Ink&Pik n'effectue aucun profilage ni prise de décision automatisée au sens de l'article 22 du RGPD. L'algorithme de recherche de la marketplace classe les résultats en fonction de critères objectifs (localisation, disponibilité, évaluations) sans discrimination.
8. Modifications
Ink&Pik peut modifier la présente politique. Les Utilisateurs seront informés par email de toute modification substantielle au moins 30 jours avant son entrée en vigueur.