Politique de Confidentialité
Dernière mise à jour : avril 2026
1. Introduction
La société GLOWHUB SASU, au capital de 1 000 euros, dont le siège social est situé 80 avenue du Bac, 94100 Saint-Maur-des-Fossés (ci-après « GlowHub », « nous », « notre »), s'engage à protéger la vie privée des utilisateurs de ses services.
La présente politique de confidentialité décrit de manière transparente comment nous collectons, utilisons, partageons et protégeons vos données personnelles lorsque vous utilisez :
- GlowHub (glowhub.fr) – Plateforme de réservation pour les clients particuliers
- GlowHub Pro (glowhubpro.fr) – Application de gestion pour les salons de coiffure et instituts de beauté
- API GlowHub (api.glowhub.fr) – Services backend
Cette politique s'applique conformément au :
- Règlement Général sur la Protection des Données (RGPD) (UE) 2016/679
- Loi Informatique et Libertés n°78-17 du 6 janvier 1978, modifiée
- Directive ePrivacy 2002/58/CE concernant les cookies
2. Responsable du traitement
GLOWHUB SASU
Capital social : 1 000 euros
80 avenue du Bac
94100 Saint-Maur-des-Fossés
France
RCS : Créteil 103 657 516
N° TVA : FR66103657516
Contact RGPD : contact@glowhub.fr
Président : Monsieur Axel PERBAL
3. Données collectées
3.1 Clients particuliers (utilisation de glowhub.fr)
| Catégorie | Données | Finalité | Obligatoire |
|---|---|---|---|
| Identification | Nom, prénom, email, téléphone | Création compte, réservations | Oui |
| Rendez-vous | Historique, préférences, notes | Gestion des réservations | Oui |
| Beauté | Fiche technique (type de cheveux, préférences) | Personnalisation des soins | Non |
| Santé | Allergies déclarées | Sécurité des soins | Non (consentement) |
| Conversations | Messages WhatsApp échangés avec le salon | Support client, devis | Non |
| Paiement | Données carte (tokenisées via Stripe) | Acomptes, paiements en ligne | Selon salon |
| Avis | Notes, commentaires | Amélioration des services | Non |
| Favoris | Salons favoris | Expérience utilisateur | Non |
3.2 Données collectées automatiquement
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse IP | Sécurité, géolocalisation approximative | Intérêt légitime |
| Type de navigateur et appareil | Compatibilité, support | Intérêt légitime |
| Pages visitées et durée | Amélioration du service (mesure d'audience anonymisée) | Intérêt légitime |
| Cookies | Voir notre Politique de Cookies | Selon type de cookie |
4. Bases légales des traitements
| Traitement | Base légale (Art. 6 RGPD) | Justification |
|---|---|---|
| Gestion du compte client | Exécution du contrat (b) | Nécessaire à la fourniture du service |
| Réservations et agenda | Exécution du contrat (b) | Nécessaire à la fourniture du service |
| Encaissement d'acomptes | Exécution du contrat (b) | Sécurisation de la réservation |
| Rappels de rendez-vous | Exécution du contrat (b) | Nécessaire au service |
| Marketing par email/SMS | Consentement (a) | Opt-in explicite requis |
| Fiche technique beauté | Consentement (a) | Données sensibles (allergies) |
| Analyse d'usage (anonymisée) | Intérêt légitime (f) | Amélioration du service |
| Sécurité et prévention de la fraude | Intérêt légitime (f) | Protection de la plateforme |
| Assistant IA (réponses WhatsApp côté salon) | Exécution du contrat (b) | Fonctionnalité du service salon |
Concernant les données de santé (allergies) : ces données sont traitées sur la base de l'article 9.2.a du RGPD (consentement explicite), recueilli lors de la création de la fiche technique.
5. Durées de conservation
| Type de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte actif | Durée de la relation + 3 ans | Prescription commerciale |
| Données de compte supprimé | 3 ans après suppression | Gestion des litiges |
| Historique des rendez-vous | 3 ans après le dernier RDV | Suivi client |
| Justificatifs d'acomptes / paiements | 10 ans | Art. L123-22 Code de commerce |
| Logs de connexion | 1 an | Recommandation CNIL |
| Conversations WhatsApp | 2 ans | Gestion relation client |
| Données de paiement (Stripe) | Selon politique Stripe | PCI-DSS |
| Cookies | 13 mois maximum | Recommandation CNIL |
| Consentements | Durée du consentement + 3 ans | Preuve |
À l'expiration de ces délais, les données sont :
- Supprimées de manière sécurisée (méthodes certifiées)
- Ou anonymisées de manière irréversible pour les besoins statistiques
6. Destinataires des données
6.1 Au sein de GlowHub
Seuls les employés et prestataires habilités ont accès aux données, dans la limite stricte de leurs attributions et dans le respect du principe du moindre privilège.
6.2 Sous-traitants
Nous faisons appel aux sous-traitants suivants, tous conformes au RGPD et disposant d'un DPA (Data Processing Agreement) :
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Railway Inc. | Hébergement backend, BDD PostgreSQL | UE (Amsterdam) | DPA, SOC 2 Type II |
| Vercel Inc. | Hébergement frontend | UE (Paris) | DPA v2024, SOC 2, ISO 27001 |
| Stripe Inc. | Paiements | UE (Irlande) + US | DPA signé, PCI-DSS Level 1, EU-US DPF |
| Anthropic PBC | IA conversationnelle (Claude) | US | CCT, 0-day retention, SOC 2 |
| Meta Platforms | WhatsApp Business API | UE (Irlande) + US | DPA WhatsApp, CCT, ISO 27001 |
| OVH SAS | Nom de domaine | France | DPA, HDS, SecNumCloud |
6.3 Partage avec les salons
Lorsque vous réservez dans un salon via GlowHub, les données suivantes sont partagées avec ce salon pour la bonne exécution du service :
- Nom et prénom
- Adresse email et numéro de téléphone
- Historique des rendez-vous pris dans ce salon
- Fiche technique beauté (si vous y avez consenti)
Le salon devient alors co-responsable du traitement pour ses propres finalités (suivi client, prestation de service).
6.4 Autorités
Nous pouvons être amenés à communiquer des données aux autorités compétentes (CNIL, administration fiscale, justice) en cas d'obligation légale.
6.5 Vente de données
Nous ne vendons jamais vos données personnelles à des tiers. Aucune donnée n'est cédée à des fins publicitaires ou de profilage marketing externe.
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
| Droit | Description | Délai |
|---|---|---|
| Accès (Art. 15) | Obtenir une copie de toutes vos données | 1 mois |
| Rectification (Art. 16) | Corriger des données inexactes ou incomplètes | 1 mois |
| Effacement (Art. 17) | Supprimer vos données ("droit à l'oubli") | 1 mois |
| Limitation (Art. 18) | Geler temporairement le traitement de vos données | 1 mois |
| Portabilité (Art. 20) | Recevoir vos données dans un format standard (JSON/CSV) | 1 mois |
| Opposition (Art. 21) | Vous opposer au traitement (marketing notamment) | Immédiat |
| Retrait du consentement | Retirer votre consentement à tout moment | Immédiat |
| Directives post-mortem | Définir le sort de vos données après votre décès | N/A |
Limitations :
- Le droit à l'effacement ne s'applique pas aux données que nous devons conserver pour des obligations légales (justificatifs comptables liés aux paiements).
- Le délai peut être prolongé de 2 mois pour les demandes complexes (nous vous en informerons).
Comment exercer vos droits
Par email : contact@glowhub.fr
Par courrier :
GLOWHUB SASU
Service Protection des Données
80 avenue du Bac
94100 Saint-Maur-des-Fossés
Dans l'application : Mon compte > Mes données > Exporter / Supprimer
Vérification d'identité : une pièce d'identité peut être demandée pour vérifier votre identité et éviter les demandes frauduleuses.
8. Transferts hors UE
Certains sous-traitants (Anthropic, Meta, Stripe) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :
- Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision 2021/914)
- Certification EU-US Data Privacy Framework le cas échéant
- Mesures techniques complémentaires : chiffrement, pseudonymisation, minimisation des données
9. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD.
Mesures techniques
| Mesure | Spécification |
|---|---|
| Chiffrement en transit | TLS 1.3, certificats RSA 2048-bit |
| Chiffrement au repos | AES-256, clés maîtres tournantes |
| Hachage des mots de passe | bcrypt, cost factor 12 |
| Authentification | 2FA disponible, session tokens sécurisés (JWT) |
| Protection réseau | Pare-feu, protection DDoS, IDS/IPS |
| Sauvegardes | Quotidiennes, chiffrées, zone géographique distincte (UE) |
| Tests de sécurité | Audits réguliers, tests de pénétration |
| Journalisation | Logs des accès et actions, conservés 1 an |
Mesures organisationnelles
- Accès restreint : principe du moindre privilège, revue trimestrielle
- Formation : sensibilisation RGPD de tout le personnel
- Confidentialité : engagement de confidentialité des employés
- Procédures : gestion des incidents, plan de continuité
- Privacy by Design : protection intégrée dès la conception
En cas de violation de données
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés :
- Nous notifions la CNIL dans les 72 heures
- Nous vous informons dans les meilleurs délais si le risque est élevé
- Nous mettons en œuvre les mesures correctives nécessaires
10. Cookies
GlowHub utilise un nombre limité de cookies, essentiellement techniques. Aucun cookie publicitaire ni traceur marketing tiers n'est déployé. Notre solution de mesure d'audience est interne (aucun service tiers) et repose sur deux cookies anonymes HttpOnly — glowhub_session_id (session, 30 min) et glowhub_visitor_id (appareil, 13 mois) — sans adresse IP ni fingerprinting, exemptée de consentement au titre des lignes directrices CNIL.
Pour plus de détails, consultez notre Politique de Cookies.
11. Intelligence Artificielle
GlowHub intègre un assistant IA basé sur Claude (Anthropic), utilisé par les salons pour :
- Répondre automatiquement aux messages WhatsApp des clients
- Fournir des conseils internes aux gérants et employés (module GlowHub IA)
Garanties :
- Pas d'entraînement : Anthropic ne peut pas utiliser vos données pour entraîner ses modèles (API Terms)
- Rétention zéro : les données ne sont pas conservées par Anthropic après traitement
- Supervision humaine : les réponses peuvent être revues par le salon avant envoi
- Historique limité : les 20 derniers messages au maximum sont transmis pour préserver la cohérence des échanges
12. Mineurs
Nos services ne s'adressent pas aux personnes de moins de 16 ans.
Nous ne collectons pas sciemment de données concernant des mineurs de moins de 16 ans. Si vous êtes parent ou tuteur et constatez que votre enfant nous a fourni des données personnelles, contactez-nous immédiatement à contact@glowhub.fr pour que nous procédions à leur suppression.
13. Modifications de la politique
Nous pouvons modifier cette politique de confidentialité à tout moment pour refléter les évolutions de nos pratiques ou de la réglementation.
En cas de modification substantielle :
- Nous vous informerons par email ou notification dans l'application
- Au moins 30 jours avant l'entrée en vigueur des modifications
- Vous pourrez exercer vos droits avant l'application des nouvelles conditions
La date de « dernière mise à jour » en haut du document indique la version en vigueur.
14. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés après nous avoir contactés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site web : www.cnil.fr
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
15. Contact
Pour toute question relative à cette politique ou à vos données personnelles :
GLOWHUB SASU
Service Protection des Données
80 avenue du Bac
94100 Saint-Maur-des-Fossés
France
Email : contact@glowhub.fr
Cette politique de confidentialité est conforme au RGPD (UE) 2016/679 et à la Loi Informatique et Libertés.
Voir aussi : Mentions légales · CGU · CGV · Politique de Cookies