Politique de Confidentialité -- SAS SWEB
Dernière mise à jour : 16 juin 2026 Version : 3.0 URL canonique : https://sweb.so/politiques/confidentialite
La société SAS SWEB (ci-après « SWEB »), société par actions simplifiée au capital de 1 000 euros, dont le siège social est situé au 6 rue d'Armaillé, 75017 Paris, immatriculée au RCS de Paris sous le numéro 105 241 699, attache une importance particulière à la protection des données à caractère personnel de ses utilisateurs.
La présente Politique de Confidentialité a pour objet d'informer les utilisateurs de la Plateforme SWEB sur les modalités de collecte, de traitement et de protection de leurs données à caractère personnel, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée.
1. Responsable de traitement
- Dénomination sociale : SAS SWEB
- Adresse : 6 rue d'Armaillé, 75017 Paris
- RCS : Paris 105 241 699
- Email : hello@sweb.so
- Référent protection des données : Monsieur Nathan RUTILY
- Contact : hello@sweb.so
SWEB n'est pas légalement tenue de désigner un Délégué à la Protection des Données (DPO) au regard des critères de l'article 37 du RGPD. Monsieur Nathan RUTILY intervient en qualité de référent protection des données, et non de DPO au sens du RGPD. SWEB procédera à la désignation formelle d'un DPO dès lors que les conditions de l'article 37 du RGPD seront réunies.
2. Données collectées
2.1 Professionnels (Clients abonnés)
| Catégorie | Données | Base légale (Art. 6 RGPD) |
|---|---|---|
| Identification | Nom, prénom, raison sociale, SIRET, adresse professionnelle | Exécution du contrat (Art. 6.1.b) |
| Contact | Email, téléphone | Exécution du contrat |
| Paiement | Coordonnées bancaires (traitées par Stripe) | Exécution du contrat |
| Connexion | Identifiants, adresse IP, logs d'accès | Intérêt légitime (sécurité) (Art. 6.1.f) |
| Usage | Données d'utilisation du Service (fonctionnalités, fréquence) | Intérêt légitime (amélioration) |
| Contenu | Portfolio (photos, vidéos), descriptions de prestations | Exécution du contrat |
| Communication | Historique des échanges avec le support | Exécution du contrat |
2.2 Clients Finaux (utilisateurs de la réservation)
| Catégorie | Données | Base légale |
|---|---|---|
| Identification | Nom, prénom | Exécution du contrat (Art. 6.1.b) |
| Contact | Email, téléphone | Exécution du contrat |
| Réservation | Date, heure, prestation, historique de RDV | Exécution du contrat |
| Avis | Commentaires et notations | Intérêt légitime (transparence) |
| Paiement | Données de paiement fractionné (traitées par Klarna) | Exécution du contrat |
| Connexion | Adresse IP, données de navigation | Intérêt légitime (sécurité) |
2.3 Données sensibles potentielles
Dans le cadre de l'utilisation du Service par les Professionnels, des informations relatives à la santé des Clients Finaux peuvent être saisies (allergies, traitements capillaires, contre-indications). Ces données constituent des catégories particulières de données au sens de l'article 9 du RGPD.
Leur traitement repose sur le consentement explicite de la personne concernée (Art. 9.2.a du RGPD), recueilli par le Professionnel. Le Professionnel est responsable de traitement pour ces données et assume la responsabilité du recueil du consentement.
2.4 Source des données des Clients Finaux (Art. 14 RGPD)
Les données des Clients Finaux sont collectées :
- Directement auprès du Client Final lorsqu'il crée un compte ou effectue une réservation en ligne via la Plateforme ;
- Indirectement, par saisie du Professionnel (le salon) dans son espace de gestion, par exemple lors de l'ajout manuel d'un client dans son fichier clients.
Lorsque les données sont collectées indirectement, le Professionnel, en sa qualité de responsable de traitement, est tenu d'informer ses clients de la collecte et du traitement de leurs données conformément à l'article 14 du RGPD. SWEB agit alors en qualité de sous-traitant pour le compte du Professionnel.
3. Finalités du traitement
| Finalité | Base légale | Durée de conservation |
|---|---|---|
| Fourniture du Service (agenda, caisse, réservation, portfolio) | Exécution du contrat | Durée de l'Abonnement, puis archivage intermédiaire de 3 ans à compter de la fin de la relation contractuelle au titre de la prescription civile (Art. 2224 C. civ.). Les données restituées ou supprimées en fin de contrat le sont dans un délai de 30 jours. |
| Gestion de la facturation et du paiement | Exécution du contrat + obligation légale | 10 ans (Art. L. 123-22 C. com.) |
| Conservation des données de caisse | Obligation légale | 6 exercices comptables (Art. L. 102 B LPF) |
| Envoi de notifications et rappels de RDV | Exécution du contrat | Durée de l'Abonnement |
| Envoi de communications marketing (newsletters, offres) | Consentement (Art. 6.1.a) | Jusqu'au retrait du consentement |
| Analyse et amélioration du Service (analytics PostHog) | Intérêt légitime | 25 mois |
| Sécurité et prévention de la fraude | Intérêt légitime | 12 mois pour les logs |
| Gestion des demandes de support | Exécution du contrat | 3 ans après clôture du ticket |
| Traitement du champ libre « santé » des Clients Finaux (allergies, contre-indications, traitements capillaires) | Consentement explicite (Art. 9.2.a) recueilli par le Professionnel responsable de traitement | Durée de la relation entre le Professionnel et son Client Final ; suppression sur demande |
| Obligations déclaratives de l'opérateur de plateforme (DAC7) -- déclaration à l'administration fiscale de l'identité des Professionnels et des revenus qu'ils génèrent via la Plateforme | Obligation légale (Art. 6.1.c) -- Directive (UE) 2021/514 (DAC7), art. 1649 ter A et s. du CGI | Durée légale de conservation des documents fiscaux (jusqu'à 6 ans, Art. L. 102 B LPF) |
4. Destinataires des données
Les données à caractère personnel peuvent être communiquées aux destinataires suivants :
4.1 Personnel habilité de SWEB : équipe technique, support client, direction -- dans la stricte limite de leurs attributions.
4.2 Sous-traitants : les prestataires techniques listés dans la Liste des Sous-traitants annexée au DPA. La liste à jour est la suivante :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Stripe | Traitement des paiements par carte bancaire | Irlande + États-Unis |
| Klarna | Paiement fractionné (BNPL) | Suède (Union européenne) |
| Klaviyo | Envoi d'emails marketing (newsletters, campagnes) | États-Unis |
| Vercel | Hébergement du front-end et diffusion via CDN | États-Unis (région iad1 -- Washington DC) |
| Railway | Hébergement de la base de données | Union européenne (Pays-Bas -- Eemshaven) |
| PostHog | Analytics et mesure d'audience | Union européenne (Cloud EU -- Francfort) |
| WhatsApp Business / Meta Platforms, Inc. | Envoi de notifications et messages WhatsApp | États-Unis |
| Resend, Inc. | Envoi des e-mails transactionnels (confirmations, rappels de RDV, factures) | États-Unis |
| Bunny.net (BunnyWay d.o.o.) | Stockage de fichiers (photos des Professionnels, sauvegardes de la base de données) | Union européenne (Slovénie) |
| Envoi de SMS | Fonctionnalité non activée à ce jour -- aucun prestataire SMS | -- |
Chaque sous-traitant agit sur instruction documentée de SWEB, dans le cadre d'un contrat conforme à l'article 28 du RGPD.
4.3 Professionnels : les données des Clients Finaux sont accessibles au Professionnel chez qui ils ont pris rendez-vous, dans la limite nécessaire à la fourniture de la Prestation.
4.4 Autorités : les données peuvent être communiquées aux autorités compétentes (CNIL, administration fiscale, autorités judiciaires) en cas d'obligation légale.
SWEB ne vend, ne loue ni ne cède les données à caractère personnel à des tiers à des fins commerciales ou publicitaires.
5. Transferts internationaux
Certains sous-traitants de SWEB sont situés en dehors de l'Union européenne (notamment aux États-Unis). Ces transferts sont encadrés par :
- Le Data Privacy Framework (DPF) UE-US (décision d'adéquation de la Commission européenne du 10 juillet 2023), lorsque le sous-traitant est certifié ;
- Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision 2021/914) ;
- Des mesures techniques complémentaires (chiffrement en transit TLS 1.3 et au repos).
Le mécanisme de transfert applicable à chaque sous-traitant est le suivant :
| Sous-traitant | Pays | Mécanisme de transfert |
|---|---|---|
| Stripe | Irlande + États-Unis | DPF + CCT |
| Klarna | Suède (UE) | Aucun transfert hors UE |
| Klaviyo | États-Unis | DPF + CCT |
| WhatsApp Business / Meta Platforms, Inc. | États-Unis | DPF + CCT |
| Resend, Inc. | États-Unis | DPF + CCT (Décision 2021/914) |
| PostHog | Union européenne (Cloud EU -- Francfort) | Aucun transfert hors UE |
| Vercel | États-Unis (région iad1) | DPF + CCT (Décision 2021/914) |
| Railway | Union européenne (Pays-Bas) | Aucun transfert hors UE |
Le détail des mécanismes de transfert par sous-traitant est également disponible dans le DPA et la Liste des Sous-traitants. Toute Personne concernée peut obtenir une copie des garanties mises en place en adressant une demande à SWEB.
6. Sécurité des données
SWEB met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des données en transit (TLS 1.3) et au repos ;
- Authentification sécurisée avec mots de passe hashés ;
- Sauvegardes régulières automatisées ;
- Journalisation des accès et des actions critiques ;
- Tests de sécurité réguliers ;
- Contrôle d'accès strict basé sur le principe du moindre privilège ;
- Assurance cyber et responsabilité civile professionnelle, souscrites par l'intermédiaire du courtier Assurup.
7. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Description | Article RGPD |
|---|---|---|
| Accès | Obtenir la confirmation que vos données sont traitées et en obtenir une copie | Art. 15 |
| Rectification | Corriger des données inexactes ou incomplètes | Art. 16 |
| Effacement | Demander la suppression de vos données (« droit à l'oubli ») | Art. 17 |
| Limitation | Demander la suspension du traitement de vos données | Art. 18 |
| Portabilité | Récupérer vos données dans un format structuré et lisible par machine | Art. 20 |
| Opposition | Vous opposer au traitement fondé sur l'intérêt légitime | Art. 21 |
| Retrait du consentement | Retirer votre consentement à tout moment (sans affecter la licéité du traitement antérieur) | Art. 7.3 |
| Directives post-mortem | Définir des directives relatives au sort de vos données après votre décès | Loi 78-17 Art. |
Pour exercer vos droits :
- Email : hello@sweb.so
- Courrier : SAS SWEB -- 6 rue d'Armaillé, 75017 Paris
SWEB s'engage à répondre dans un délai de trente (30) jours à compter de la réception de la demande, accompagnée d'un justificatif d'identité.
En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL :
- Site : www.cnil.fr
- Adresse : 3 place de Fontenoy -- TSA 80715 -- 75334 Paris Cedex 07
8. Cookies et traceurs
La Plateforme utilise des cookies et traceurs. Pour connaître les cookies utilisés, leurs finalités et gérer votre consentement, consultez la Politique de Cookies de SWEB.
9. Protection des données des mineurs
La Plateforme n'est pas destinée aux personnes âgées de moins de seize (16) ans. SWEB ne collecte pas sciemment de données relatives à des mineurs de moins de 16 ans.
Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés, lorsque le traitement est fondé sur le consentement, celui d'un mineur de moins de 15 ans doit être donné ou autorisé par le ou les titulaires de l'autorité parentale.
Si SWEB constate avoir collecté des données relatives à un mineur sans le consentement parental requis, elle procédera à leur suppression dans les meilleurs délais.
10. Profilage et décision automatisée
SWEB ne prend aucune décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou affectant de manière significative les Personnes concernées, au sens de l'article 22 du RGPD.
SWEB peut mettre en œuvre des traitements automatisés à des fins de recommandation (suggestion de créneaux ou de prestations fondée sur l'historique de réservation) et d'analytics agrégés (statistiques anonymisées relatives à l'activité). Ces traitements n'entraînent aucune décision automatisée produisant des effets juridiques à l'égard des Personnes concernées.
Si SWEB venait à mettre en œuvre un traitement de profilage au sens du RGPD, les Personnes concernées en seraient préalablement informées et disposeraient du droit de s'y opposer conformément à l'article 21 du RGPD.
11. Modifications
SWEB se réserve le droit de modifier la présente Politique de Confidentialité à tout moment. Toute modification substantielle sera notifiée aux utilisateurs par e-mail ou notification au sein du Service au moins trente (30) jours avant son entrée en vigueur.
La version en vigueur est celle accessible à tout moment sur la Plateforme.
12. Voie de recours en matière de protection des données
En cas de difficulté relative au traitement de vos données à caractère personnel, vous êtes invité à contacter SWEB au préalable (voir article 7) afin de rechercher une solution amiable.
Conformément à l'article 77 du RGPD, si vous estimez que le traitement de vos données constitue une violation de la réglementation, vous disposez du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), autorité de contrôle compétente en France :
- Site : www.cnil.fr
- Adresse : 3 place de Fontenoy -- TSA 80715 -- 75334 Paris Cedex 07
La médiation de la consommation prévue aux articles L. 611-1 et suivants du Code de la consommation relève des Conditions Générales de Vente / d'Utilisation et non de la présente Politique de Confidentialité.
SAS SWEB 6 rue d'Armaillé, 75017 Paris RCS Paris 105 241 699
La présente Politique de Confidentialité est accessible en permanence à l'adresse https://sweb.so/politiques/confidentialite.