Politique de confidentialite

01 Responsable du traitementData controller

Le responsable du traitement des donnees personnelles collectees via la plateforme Pulzar est :

Societe

BASSIN REALITY EXPERIENCE SAS

SIRET

940 693 005 00016

TVA Intracommunautaire

FR21 940 693 005

Siege social

7 rue Louis Braille, 33380 Biganos, France

Contact DPO

contact@pulzar.fr

Le delegue a la protection des donnees (DPO) peut etre contacte a tout moment a l'adresse contact@pulzar.fr pour toute question relative a la protection de vos donnees personnelles.

02 Donnees collecteesData collected

2.1 — Donnees d'identite et de contact

Nom, prenom
Adresse email
Numero de telephone (optionnel)
Nom de l'etablissement, adresse professionnelle, SIRET

2.2 — Donnees de compte

Mot de passe (stocke sous forme de hash bcrypt via Supabase Auth — jamais en clair)
Preferences de compte et parametres
Photo de profil (optionnel)

2.3 — Donnees de paiement

Informations de facturation (nom, adresse)
Donnees de carte bancaire : gerees exclusivement par Stripe — nous ne stockons jamais les numeros de carte, dates d'expiration ou codes CVV
Historique des transactions et factures

2.4 — Donnees d'utilisation

Pages visitees, fonctionnalites utilisees
Horaires et frequence de connexion
Actions effectuees dans le service (reservations creees, rapports generes, etc.)

2.5 — Donnees techniques

Adresse IP
Type et version du navigateur
Systeme d'exploitation
Type d'appareil (desktop, mobile, tablette)
Donnees de journalisation (logs) a des fins de securite

2.6 — Donnees des clients de l'Utilisateur

En tant que sous-traitant pour le compte de l'Utilisateur, nous pouvons heberger les donnees que l'Utilisateur saisit dans le service concernant ses propres clients (noms, telephones, historique fidelite, reservations). L'Utilisateur reste responsable du traitement de ces donnees vis-a-vis de ses propres clients.

03 Finalites et bases legalesPurposes and legal bases

Finalite	Base legale
Gestion du compte utilisateur	Execution du contrat
Fourniture du service Pulzar	Execution du contrat
Facturation et gestion des paiements	Execution du contrat / Obligation legale
Support client	Execution du contrat
Amelioration du service (analytics)	Interet legitime
Securite et prevention des fraudes	Interet legitime
Envoi de newsletters et communications marketing	Consentement
Notifications liees au service	Execution du contrat
Conservation des donnees comptables	Obligation legale
Reponse aux demandes d'exercice de droits	Obligation legale

Purpose	Legal basis
User account management	Contract performance
Providing the Pulzar service	Contract performance
Billing and payment management	Contract performance / Legal obligation
Customer support	Contract performance
Service improvement (analytics)	Legitimate interest
Security and fraud prevention	Legitimate interest
Newsletters and marketing communications	Consent
Service-related notifications	Contract performance
Accounting data retention	Legal obligation
Responding to rights exercise requests	Legal obligation

04 Destinataires et sous-traitantsRecipients and subprocessors

Vos donnees personnelles ne sont jamais vendues, louees ou partagees avec des tiers a des fins commerciales. Elles sont uniquement transmises aux sous-traitants suivants, strictement necessaires a la fourniture du service :

Sous-traitant	Role	Localisation	Garanties
Supabase Inc.	Base de donnees, authentification, stockage	USA (serveurs EU - Francfort)	DPA signe, clauses contractuelles types UE
Stripe Inc.	Traitement des paiements	USA	PCI DSS Level 1, clauses contractuelles types UE
Brevo (ex Sendinblue)	Envoi d'emails transactionnels et marketing	France	Conforme RGPD, DPA disponible
IONOS SE	Hebergement du site web	Allemagne	Conforme RGPD, ISO 27001

Un Data Processing Agreement (DPA) est disponible sur demande a contact@pulzar.fr.

En cas de changement de sous-traitant, les Utilisateurs en seront informes par email au moins 30 jours a l'avance.

Subprocessor	Role	Location	Safeguards
Supabase Inc.	Database, authentication, storage	USA (EU servers - Frankfurt)	Signed DPA, EU Standard Contractual Clauses
Stripe Inc.	Payment processing	USA	PCI DSS Level 1, EU Standard Contractual Clauses
Brevo (formerly Sendinblue)	Transactional and marketing email delivery	France	GDPR compliant, DPA available
IONOS SE	Website hosting	Germany	GDPR compliant, ISO 27001

05 Transferts internationauxInternational transfers

Certaines donnees peuvent etre transferees vers les Etats-Unis dans le cadre de l'utilisation de Supabase et Stripe. Ces transferts sont encadres par :

Clauses contractuelles types (SCC) approuvees par la Commission europeenne (Decision d'execution 2021/914)
EU-US Data Privacy Framework lorsque applicable
Mesures supplementaires de securite : chiffrement de bout en bout, pseudonymisation

Les serveurs Supabase utilises pour Pulzar sont situes dans la region EU (Francfort, Allemagne), ce qui limite les transferts de donnees hors UE au strict necessaire.

06 Duree de conservationRetention periods

Type de donnees	Duree de conservation
Donnees de compte (profil, parametres)	Duree du contrat + 3 ans apres resiliation
Donnees des clients de l'Utilisateur	Duree du contrat + 30 jours apres resiliation
Donnees de facturation et comptables	10 ans (obligation legale, art. L123-22 C. com.)
Donnees de paiement (via Stripe)	Selon la politique de retention de Stripe
Logs techniques et de securite	12 mois
Cookies analytics	13 mois maximum (recommandation CNIL)
Donnees de prospection commerciale	3 ans apres le dernier contact
Demandes d'exercice de droits	5 ans

A l'expiration de ces delais, les donnees sont supprimees de maniere securisee et irreversible.

Data type	Retention period
Account data (profile, settings)	Contract duration + 3 years after termination
User's customer data	Contract duration + 30 days after termination
Billing and accounting data	10 years (legal obligation)
Payment data (via Stripe)	Per Stripe's retention policy
Technical and security logs	12 months
Analytics cookies	13 months maximum (CNIL recommendation)
Marketing prospection data	3 years after last contact
Rights exercise requests	5 years

07 Securite des donneesData security

Nous mettons en oeuvre des mesures techniques et organisationnelles appropriees pour proteger vos donnees personnelles :

Chiffrement au repos

AES-256

Chiffrement en transit

TLS 1.3

Authentification

Bcrypt hash + MFA

Isolation des donnees

Row Level Security

Chiffrement HTTPS (TLS 1.3) sur toutes les communications
Chiffrement AES-256 au repos pour toutes les donnees stockees
Mots de passe hashes avec bcrypt via Supabase Auth
Isolation stricte des donnees par tenant (Row Level Security PostgreSQL)
Sauvegardes automatiques quotidiennes avec retention de 30 jours
Acces restreint aux donnees de production (principe du moindre privilege)
Surveillance automatisee des anomalies et tentatives d'intrusion
Tests de securite reguliers

En cas de violation de donnees, nous nous engageons a notifier la CNIL dans les 72 heures conformement a l'article 33 du RGPD, et a informer les personnes concernees dans les meilleurs delais si la violation est susceptible d'engendrer un risque eleve pour leurs droits et libertes.

08 CookiesCookies

8.1 — Cookies necessaires (pas de consentement requis)

Ces cookies sont essentiels au fonctionnement du service et ne peuvent pas etre desactives :

Session : maintien de votre connexion authentifiee
Securite : protection CSRF, detection d'anomalies
Preferences : langue, theme, parametres d'affichage

8.2 — Cookies analytics (consentement requis)

Avec votre consentement explicite, nous pouvons utiliser des cookies d'analyse pour comprendre comment le service est utilise et l'ameliorer. Ces cookies sont soumis a votre opt-in et vous pouvez retirer votre consentement a tout moment.

8.3 — Aucun cookie publicitaire

Pulzar n'utilise aucun cookie publicitaire, de tracking tiers ou de retargeting. Nous ne partageons aucune donnee de navigation avec des regies publicitaires.

09 Vos droits (RGPD)Your rights (GDPR)

Conformement au Reglement General sur la Protection des Donnees (UE 2016/679), vous disposez des droits suivants sur vos donnees personnelles :

Droit	Article RGPD	Description
Acces	Art. 15	Obtenir la confirmation du traitement de vos donnees et en recevoir une copie
Rectification	Art. 16	Faire corriger ou completer vos donnees inexactes ou incompletes
Effacement	Art. 17	Demander la suppression de vos donnees ("droit a l'oubli")
Limitation	Art. 18	Limiter le traitement de vos donnees dans certaines circonstances
Portabilite	Art. 20	Recevoir vos donnees dans un format structure, courant et lisible (CSV, JSON)
Opposition	Art. 21	Vous opposer au traitement de vos donnees pour des raisons tenant a votre situation particuliere
Retrait du consentement	Art. 7	Retirer votre consentement a tout moment, sans affecter la licite du traitement anterieur
Directives post-mortem	Loi Informatique et Libertes	Definir des directives sur le sort de vos donnees apres votre deces

Comment exercer vos droits

Envoyez votre demande a contact@pulzar.fr en precisant votre identite et le droit que vous souhaitez exercer. Nous repondrons dans un delai maximum de 30 jours. Ce delai peut etre prolonge de 2 mois en cas de demande complexe (vous en serez informe).

L'exercice de ces droits est gratuit. En cas de demande manifestement infondee ou excessive, des frais raisonnables pourront etre demandes.

Right	GDPR Article	Description
Access	Art. 15	Obtain confirmation of data processing and receive a copy of your data
Rectification	Art. 16	Have inaccurate or incomplete data corrected or completed
Erasure	Art. 17	Request deletion of your data ("right to be forgotten")
Restriction	Art. 18	Restrict processing of your data in certain circumstances
Portability	Art. 20	Receive your data in a structured, commonly used, machine-readable format (CSV, JSON)
Objection	Art. 21	Object to the processing of your data on grounds relating to your particular situation
Consent withdrawal	Art. 7	Withdraw your consent at any time, without affecting the lawfulness of prior processing
Post-mortem directives	French Data Protection Act	Define directives regarding the fate of your data after your death

10 Droits specifiques Californie (CCPA)California-specific rights (CCPA)

Si vous etes resident de Californie, vous disposez de droits supplementaires en vertu du California Consumer Privacy Act (CCPA) et du California Privacy Rights Act (CPRA) :

Nous ne vendons pas vos donnees personnelles. Nous ne vendons, louons ni partageons vos informations personnelles avec des tiers a des fins commerciales ou publicitaires, au sens du CCPA.

Vos droits CCPA

Droit de savoir : vous pouvez demander quelles categories et elements specifiques de donnees personnelles nous collectons, les sources, les finalites, et les tiers avec lesquels nous les partageons
Droit de suppression : vous pouvez demander la suppression de vos donnees personnelles
Droit de refuser la vente : "Do Not Sell My Personal Information" — bien que nous ne vendions pas de donnees, vous pouvez exercer ce droit a tout moment
Droit a la non-discrimination : nous ne vous discriminerons pas pour l'exercice de vos droits CCPA
Droit de correction : vous pouvez demander la correction de donnees personnelles inexactes
Droit de limiter : vous pouvez limiter l'utilisation de certaines donnees sensibles

Pour exercer ces droits : contact@pulzar.fr. Reponse sous 45 jours.

11 Modifications de la politiquePolicy changes

Nous nous reservons le droit de modifier la presente politique de confidentialite. En cas de modification substantielle :

Vous serez informe par email au moins 30 jours avant l'entree en vigueur des modifications
Un bandeau d'information sera affiche dans l'interface du service
La date de mise a jour et le numero de version seront mis a jour en haut de cette page
L'utilisation continue du service apres la date d'entree en vigueur vaut acceptation de la politique modifiee

L'historique des versions precedentes est disponible sur demande.

12 Contact et reclamationsContact and complaints

Pour toute question concernant cette politique de confidentialite ou pour exercer vos droits :

Email DPO

contact@pulzar.fr

Adresse postale

BASSIN REALITY EXPERIENCE SAS
7 rue Louis Braille
33380 Biganos, France

Si vous estimez que le traitement de vos donnees constitue une violation du RGPD, vous avez le droit d'introduire une reclamation aupres de l'autorite de controle competente :

CNIL (Commission Nationale de l'Informatique et des Libertes)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr — Tel. : 01 53 73 22 22

Politique de confidentialite

Privacy Policy

01 Responsable du traitementData controller

02 Donnees collecteesData collected

2.1 — Donnees d'identite et de contact

2.2 — Donnees de compte

2.3 — Donnees de paiement

2.4 — Donnees d'utilisation

2.5 — Donnees techniques

2.6 — Donnees des clients de l'Utilisateur

2.1 — Identity and contact data

2.2 — Account data

2.3 — Payment data

2.4 — Usage data

2.5 — Technical data

2.6 — User's customer data

03 Finalites et bases legalesPurposes and legal bases

04 Destinataires et sous-traitantsRecipients and subprocessors

05 Transferts internationauxInternational transfers

06 Duree de conservationRetention periods

07 Securite des donneesData security

08 CookiesCookies

8.1 — Cookies necessaires (pas de consentement requis)

8.2 — Cookies analytics (consentement requis)

8.3 — Aucun cookie publicitaire

8.1 — Necessary cookies (no consent required)

8.2 — Analytics cookies (consent required)

8.3 — No advertising cookies

09 Vos droits (RGPD)Your rights (GDPR)

Comment exercer vos droits

How to exercise your rights

10 Droits specifiques Californie (CCPA)California-specific rights (CCPA)

Vos droits CCPA

Your CCPA rights

11 Modifications de la politiquePolicy changes

12 Contact et reclamationsContact and complaints

Responsable du traitement

Data controller