Politique de confidentialité

La présente politique décrit la manière dont Orchestra Intelligence SAS (société mère éditant La Loge Beauté) collecte, utilise et protège les données à caractère personnel dans le cadre du service La Loge Beauté, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n°78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

Le responsable de traitement au sens de l'article 4(7) du RGPD est :

• Orchestra Intelligence SAS
• Siège social : 123 Rue de la Paix, 75002 Paris, France
• SIREN : 923 456 789 — RCS Paris B 923 456 789
• Contact : contact@orchestra-intelligence.com

Un Délégué à la Protection des Données est désigné. Il peut être contacté pour toute question relative à la présente politique ou à l'exercice de vos droits :

• Email : dpo@orchestra-intelligence.com
• Courrier : DPO — Orchestra Intelligence SAS, 123 Rue de la Paix, 75002 Paris

Trois catégories de données sont traitées :

• Données salons publiques— nom commercial du salon, adresse postale, ville, code postal, numéro de téléphone professionnel, adresse email professionnelle (lorsque publiée), site web, liens réseaux sociaux publics, note Google et avis publics, horaires d'ouverture.
• Données enrichies par nos modèles— estimations indicatives de chiffre d'affaires et de taille d'équipe, score de positionnement, classement catégoriel, segmentation concurrentielle, signaux de recrutement et de valorisation. Ces données constituent des produits dérivés issus de traitements algorithmiques à partir des sources publiques.
• Données fournies volontairement par le salon— informations renseignées dans le formulaire d'audit (prénom/nom du responsable, email de contact, téléphone, préférences, réponses aux questionnaires) ; données d'interaction avec nos emails (ouverture, clic, réponse, désinscription) ; logs techniques (adresse IP, user-agent, horodatages).

Conformément à l'article 14 du RGPD, nous vous informons que lorsque les données ne sont pas collectées directement auprès de vous, elles proviennent des sources suivantes :

• Google Business Profile via l'API Google Places (fournie par Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) : nom commercial, adresse, contacts publics, note Google et avis publics, catégorie d'activité. Ces données sont accessibles publiquement via Google Maps et Google Search. L'utilisation de l'API est encadrée par les Google Maps Platform Terms of Service.
• Répertoire public Pages Jaunes(édité par Solocal SA, 204 Rond-Point du Pont de Sèvres, 92649 Boulogne-Billancourt) : coordonnées professionnelles publiquement référencées dans l'annuaire.
• Données fournies par vous-mêmesi vous remplissez le formulaire d'audit, demandez une étude personnalisée ou répondez à nos communications.

Aucune donnée n'est achetée à un courtier en données ni collectée par des moyens occultes ou trompeurs.

• Établir un score de positionnement de votre salon et un diagnostic comparatif local.
• Vous proposer, sur mesure, des partenariats avec des marques partenaires du secteur de la beauté (produits, franchise, coloration, soin, extensions, spa).
• Adresser des communications commerciales B2B relatives à nos services ou à ceux de nos partenaires, dans le strict respect de l'article L.34-5 du Code des postes et communications électroniques (prospection vers des personnes morales).
• Assurer la gestion contractuelle et comptable des salons ayant conclu un partenariat.
• Garantir la sécurité du système d'information et prévenir la fraude.

• Intérêt légitime(RGPD art. 6.1.f) — prospection commerciale B2B vers des professionnels à partir de données publiques, accompagnée d'un mécanisme d'opt-out simple, gratuit et immédiat. Une analyse de balance des intérêts a été conduite et documentée. Aucune donnée sensible n'est traitée.
• Exécution du contrat (art. 6.1.b) — pour les salons ayant activé un partenariat.
• Obligation légale (art. 6.1.c) — conservation comptable, obligations fiscales et sociales.
• Consentement(art. 6.1.a) — cookies non essentiels, formulaire d'audit optionnel.

Vos données ne sont jamais vendues. Elles sont accessibles uniquement aux destinataires suivants, dans la limite stricte du besoin d'en connaître :

• Équipes internes d'Orchestra Intelligence — accès restreint par rôle, authentification forte (MFA).
• Marques partenaires— uniquement si le salon a activé la mise en relation. Les coordonnées directes du responsable ne sont transmises qu'après consentement explicite du salon.
• Sous-traitants techniques liés par un accord de traitement (DPA) :
  • Vercel Inc. — hébergement web (datacenters Paris/Frankfurt)
  • Supabase Inc. — base de données (région eu-west-3 Paris/Frankfurt)
  • Resend — email transactionnel
  • Anthropic PBC — traitements IA sur données pseudonymisées
  • Google LLC — API Google Places (source)

• Salon contacté sans réponse ou non contacté : 12 mois à compter du dernier contact, puis suppression.
• Salon ayant refusé ou s'étant désinscrit : 6 mois en liste de suppression (prévention de nouveaux envois), puis suppression définitive.
• Salon ayant signé un partenariat : durée du contrat + 1 an (gestion) ; archivage comptable 10 ans (art. L.123-22 du Code de commerce).
• Logs techniques de sécurité : 6 mois (art. L.34-1 du CPCE).
• Cookies : 13 mois maximum (recommandation CNIL).

Vous disposez, à tout moment et gratuitement, des droits suivants sur vos données :

• Droit d'accès (art. 15) — obtenir la confirmation du traitement et une copie de vos données. Procédure : email au DPO avec justificatif d'identité.
• Droit de rectification (art. 16) — corriger toute donnée inexacte ou incomplète. Procédure : email au DPO précisant la correction.
• Droit à l'effacement (« droit à l'oubli ») (art. 17) — demander la suppression de vos données, sous réserve des obligations légales de conservation. Procédure : email au DPO ou formulaire de désinscription.
• Droit d'opposition(art. 21) — vous opposer à tout moment, pour des raisons tenant à votre situation particulière, au traitement fondé sur l'intérêt légitime, et sans motif à la prospection commerciale. Procédure : lien « se désinscrire » en pied d'email ou formulaire dédié.
• Droit à la limitation (art. 18) — demander le gel temporaire du traitement en cas de contestation. Procédure : email au DPO.
• Droit à la portabilité (art. 20) — recevoir les données que vous nous avez fournies dans un format structuré, couramment utilisé et lisible par machine (JSON / CSV). Procédure : email au DPO.
• Droit de définir des directives post-mortem (art. 85 LIL) — fixer le sort de vos données après votre décès.
• Droit de réclamation auprès de la CNIL— si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir l'autorité de contrôle française : www.cnil.fr/fr/plaintes — CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris CEDEX 07.

Les données sont hébergées en Union Européenne (Vercel Paris/Frankfurt, Supabase eu-west-3 Paris/Frankfurt). Toutefois, certains de nos sous-traitants (Vercel Inc., Google LLC, Anthropic PBC) sont des sociétés de droit américain susceptibles d'accéder à des données depuis les États-Unis dans le cadre de leurs opérations.

Ces transferts sont encadrés par les garanties suivantes (RGPD chap. V) :

• Clauses Contractuelles Types (SCC) de la Commission Européenne (décision 2021/914) signées avec chaque sous-traitant concerné.
• EU-US Data Privacy Framework lorsque le sous-traitant y est certifié.
• Mesures techniques supplémentaires : pseudonymisation, chiffrement bout-en-bout, minimisation des données transférées.

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD :

• Chiffrement en transit (TLS 1.3) et au repos (AES-256).
• Row-Level Security (RLS) sur la base de données Supabase, authentification JWT, politiques d'accès par rôle.
• Authentification multi-facteurs (MFA) obligatoire pour l'équipe interne.
• Backups quotidiens chiffrés et tests de restauration mensuels.
• Journalisation des accès et revue périodique des privilèges.
• Plan de réponse aux incidents et procédure de notification CNIL sous 72 heures (RGPD art. 33).

La plateforme utilise exclusivement des cookies strictement nécessaires par défaut. Les cookies de mesure d'audience font l'objet d'un consentement préalable via notre bandeau. Pour plus de détails, consultez notre politique cookies dédiée.

Pour toute demande relative à vos données, écrivez à :

• Email : dpo@orchestra-intelligence.com
• Courrier : DPO — Orchestra Intelligence SAS, 123 Rue de la Paix, 75002 Paris

Afin de prévenir toute usurpation, un justificatif d'identité peut vous être demandé en cas de doute raisonnable (art. 12 RGPD). Nous nous engageons à répondre à votre demande dans un délai maximum de 30 jours, prolongeable de deux mois en cas de complexité avérée (vous serez alors informé(e) des raisons de la prolongation).

La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou organisationnelles. La version en vigueur est toujours celle publiée sur cette page, avec sa date de mise à jour. Toute modification substantielle fera l'objet d'une information préalable par email.