Politique de Confidentialité d'Evnyo

Bienvenue sur la plateforme Evnyo, solution SaaS pay-per-event destinée aux PME européennes pour la gestion de leurs événements. La protection de vos données personnelles est une priorité absolue pour nous. La présente politique de confidentialité vous explique de manière transparente comment Evnyo traite vos données, en totale conformité avec le Règlement (UE) 2016/679 dit RGPD et les lois nationales applicables. Rédigée avec le plus haut niveau d'exigence juridique, cette politique reflète notre engagement en matière de confidentialité et de sécurité. Nous y détaillons les finalités des traitements de données, nos bases légales, les sous-traitants auxquels nous faisons appel, les mesures de sécurité mises en œuvre, vos droits et la manière de les exercer.

Evnyo s'engage à respecter les principes de licéité, loyauté, transparence, de minimisation des données et de limitation des finalités prévus par le RGPD. Nous veillons également à la responsabilisation (accountability) en documentant rigoureusement notre conformité. En utilisant notre plateforme, vous demeurez maître de vos données : nous ne les utilisons qu'aux fins explicites décrites ci-dessous et nous ne les commercialisons jamais.

Le responsable du traitement des données collectées via la plateforme Evnyo est la société MACK, société à responsabilité limitée au capital de 246 389,00 €, ayant son siège social APPARTEMENT 6 2 ALL SAINT MICHEL 59890 QUESNOY SUR DEULE, immatriculée au Registre du Commerce et des Sociétés de Lille Métropole sous le numéro 852 895 747, SIRET 85289574700032 (ci-après « Evnyo » ou « nous »). En tant que responsable de traitement, nous déterminons les finalités et moyens des traitements relatifs à la gestion du site et des comptes clients. Par ailleurs, lorsque nous traitons des données de participants pour le compte de nos clients (organisateurs d'événements), nous agissons en qualité de sous-traitant conformément à l'article 28 du RGPD (voir section « Sous-Traitance » ci-dessous).

Désignation d'un Référent en Protection des Données : En tant que PME, Evnyo n'a pas l'obligation légale de désigner un DPO au sens de l'article 37 du RGPD et des législations nationales équivalentes, car notre activité principale ne consiste pas en un traitement à grande échelle nécessitant un suivi régulier et systématique des personnes concernées, ni en un traitement à grande échelle de catégories particulières de données. Cette évaluation a été effectuée conformément aux lignes directrices du Comité européen de la protection des données (EDPB) et des autorités nationales. Toutefois, par souci de transparence et d'amélioration continue de nos pratiques, nous avons choisi de désigner un référent en protection des données. Ce référent ne dispose pas du statut de DPO au sens de l'article 37 RGPD.

Autorités de contrôle compétentes : Selon votre lieu de résidence, l'autorité de contrôle compétente est :

• France : Commission Nationale de l'Informatique et des Libertés (CNIL)
• Royaume-Uni : Information Commissioner's Office (ICO)
• Allemagne : Autorités de protection des données des Länder et Bundesbeauftragte für den Datenschutz
• Espagne : Agencia Española de Protección de Datos (AEPD)
• Italie : Garante per la protezione dei dati personali
• Portugal : Comissão Nacional de Proteção de Dados (CNPD)
• Pologne : Urząd Ochrony Danych Osobowych (UODO)
• Roumanie : Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
• Pays-Bas : Autoriteit Persoonsgegevens (AP)
• Belgique : Autorité de protection des données (APD/GBA)
• Autriche : Datenschutzbehörde (DSB)

Pour toute question relative à la présente politique ou pour exercer vos droits (détaillés plus loin), vous pouvez contacter notre référent en protection des données :

• Dominique PRASIVORAVONG – Référent Protection des Données d'Evnyo
• Contact : privacy@evnyo.com (ou par courrier à l'adresse de notre siège, à l'attention du référent protection des données)

Nous collectons et traitons des données personnelles uniquement pour des finalités déterminées, explicites et légitimes. Vous trouverez ci-dessous la liste détaillée de nos finalités de traitement, ainsi que la base légale correspondante pour chacune d'elles, conformément à l'article 6 du RGPD :

• Envoi d'invitations et relances pour les événements : Evnyo permet aux organisateurs d'envoyer des invitations par e-mail (via Postmark) et par SMS (via Twilio) aux participants, de relancer les personnes n'ayant pas répondu ou de leur envoyer des rappels avant l'événement. Ce traitement est nécessaire à l'exécution du contrat qui nous lie à nos clients organisateurs (article 6(1)(b) RGPD) – nous agissons sur instruction de nos clients pour contacter les invités dans le cadre de l'organisation de l'événement. L'organisateur, en tant que responsable des invitations, s'assure de son côté disposer d'une base légale adéquate (par exemple son intérêt légitime à inviter ses contacts professionnels).

• Suivi de la participation et gestion du check-in : Notre plateforme traite les réponses des invités (participation confirmée, refus, etc.), assure le suivi des inscriptions et gère l'accès à l'événement. Ces données permettent à l'organisateur de suivre en temps réel l'affluence et de gérer la présence des participants le jour J. Le traitement est effectué dans le cadre du service fourni (gestion de l'événement), sur base contractuelle (article 6(1)(b)).

• Importation de contacts : Evnyo offre une fonctionnalité d'import de contacts pour aider nos clients à intégrer facilement leurs listes d'invités (par exemple depuis un carnet d'adresses). Cette opération, déclenchée à la demande de l'utilisateur, implique le traitement des coordonnées (ex. noms, emails, numéros) de vos contacts afin de les ajouter comme invités. L'utilisation de données utilisateur brutes ou dérivées reçues des API Workspace respectera la politique de données utilisateur de Google, y compris les exigences d'utilisation limitée. La base légale est l'exécution du contrat et l'intérêt légitime de l'organisateur à simplifier l'ajout de participants (article 6(1)(b) ou (f) selon les cas). Le client s'engage à n'importer que des contacts qu'il est autorisé à utiliser et à avoir informé ces personnes si nécessaire.

• Correction de données et génération d'images par IA : Pour améliorer l'expérience utilisateur, nous proposons des fonctionnalités assistées par intelligence artificielle. Concrètement, Evnyo peut envoyer à OpenAI des extraits de données fournis par le client (par exemple un fichier CSV mal structuré ou une liste de participants copiée-collée) afin d'en corriger le format ou de générer automatiquement une image (visuel d'événement) sur demande. Ces traitements ont pour finalité de faciliter la préparation de l'événement (données uniformisées, visuels attractifs). La base légale repose sur l'exécution du contrat – ces fonctionnalités étant activées uniquement à votre demande pour vous rendre service. Note : Les données transmises à OpenAI sont limitées au strict nécessaire (principe de minimisation) et font l'objet d'un traitement automatisé. Conformément aux conditions générales d'OpenAI, les données soumises via leur API ne sont pas utilisées pour entraîner leurs modèles (sauf opt-in explicite de notre part, ce que nous ne faisons pas), et sont automatiquement supprimées dans un délai maximum de 30 jours après traitement. Important : Les données de contacts Google Workspace sont utilisées exclusivement pour les invitations aux événements. Aucun modèle d'IA ou d'apprentissage automatique n'utilise les données issues des API Google Workspace. Nos fonctionnalités d'IA opèrent de manière totalement indépendante des sources de données Google.

• Statistiques anonymisées : Evnyo peut élaborer des statistiques globales et anonymisées à partir des données des événements (ex. taux moyen de réponse, nombre total de participants, etc.) dans le but de fournir aux organisateurs des indicateurs sur la réussite de leurs événements et d'améliorer nos services. Aucune donnée personnelle n'apparaît dans ces statistiques (les résultats sont agrégés de façon irréversible). La production de telles statistiques étant sans impact sur la vie privée (données non identifiantes), elle peut être effectuée sur la base de notre intérêt légitime à évaluer et améliorer nos services (article 6(1)(f) RGPD).

• Traitement des paiements et facturation : Evnyo utilise Stripe pour traiter les paiements de nos clients organisateurs pour l'utilisation de notre plateforme pay-per-event, ainsi que pour la gestion de la facturation récurrente et des abonnements. Cette fonction inclut le traitement sécurisé des coordonnées bancaires, la validation des paiements, la gestion des échéances de facturation et le suivi des transactions. La base légale de ce traitement est l'exécution du contrat qui nous lie à nos clients (article 6(1)(b) RGPD) – ces données de paiement sont indispensables pour fournir notre service payant et respecter nos obligations contractuelles de facturation.

• Gestion des cookies et consentements : Sur notre site web, nous utilisons des cookies et traceurs conformément aux exigences de la Directive ePrivacy (2002/58/CE) et de ses transpositions nationales, notamment les réglementations strictes allemandes et françaises en matière de cookies. Les cookies non essentiels (par exemple pour des mesures d'audience ou des fonctionnalités de personnalisation) ne sont déposés qu'après avoir obtenu votre consentement préalable, libre, spécifique, éclairé et univoque via notre bandeau de consentement géré par CookieYes. Ce consentement est enregistré et documenté conformément aux standards les plus stricts. La base légale pour l'utilisation de cookies non essentiels est votre consentement explicite (article 6(1)(a) RGPD). S'agissant des cookies strictement nécessaires au fonctionnement du service (ex. pour rester connecté à votre compte), ils reposent sur notre intérêt légitime ou la nécessité technique liée à l'exécution du service demandé (article 6(1)(b) ou (f)). Vous pouvez à tout moment gérer vos préférences cookies grâce à l'outil de consentement (CMP) et retirer votre consentement aussi facilement que vous l'avez donné. (Voir section « Cookies » ci-après.)

• Documentation des consentements et obligations légales : Afin de démontrer notre conformité réglementaire dans tous les pays où nous opérons, nous conservons la preuve des consentements que vous avez pu donner (par exemple votre consentement aux cookies via CookieYes, ou à la réception de communications si applicable). En vertu du RGPD et des lois nationales équivalentes, le responsable du traitement doit pouvoir à tout moment apporter la preuve que la personne a consenti dans des conditions valides. Nous documentons donc les conditions de recueil des consentements et tenons un registre des consentements conformément aux recommandations des autorités européennes de protection des données. Ce traitement est nécessaire au respect d'une obligation légale qui pèse sur nous (article 6(1)(c) RGPD, art. 7(1) RGPD – capacité à prouver le consentement). Par exemple, le journal des consentements recueillis via CookieYes (incluant l'historique des choix de chaque utilisateur, un identifiant, la date/heure et l'adresse IP anonymisée) est conservé de manière sécurisée afin de constituer une preuve en cas de contrôle ou de contestation.

En toutes hypothèses, Evnyo ne traite vos données personnelles que pour les finalités précitées et ne procédera jamais à des traitements ultérieurs incompatibles avec ces finalités sans vous en informer et, le cas échéant, recueillir votre consentement à nouveau. Par ailleurs, aucun décisionnement automatisé ni profilage au sens de l'article 22 RGPD n'est mis en œuvre au travers de nos services.

Dans le cadre des finalités ci-dessus, Evnyo est susceptible de collecter différentes catégories de données à caractère personnel :

• Données d'identification et de contact : nom, prénom, adresse e-mail, numéro de téléphone des participants invités à un événement (fournis par l'organisateur ou par le participant lui-même lors de l'inscription). Pour les utilisateurs clients (organisateurs), nous collectons les noms, prénoms, coordonnées professionnelles, fonction/titre, ainsi que les informations relatives à l'entreprise (raison sociale, adresse, TVA le cas échéant) lors de la création du compte et de la facturation.

• Données relatives à l'événement : informations liées à l'invitation et à la participation des personnes – par ex. statut de l'invitation (envoyée/ouverte), réponse (oui/non/en attente), nombre d'accompagnants, préférences formulées (ex. choix de créneau ou régime alimentaire, si l'organisateur le demande), présence effective lors du check-in. Ces données permettent le suivi logistique de l'événement.

• Données importées : si l'organisateur utilise la fonction d'import de contacts, Evnyo traitera les données de son carnet d'adresses tiers (par ex. contacts Gmail, Outlook) qu'il aura sélectionnées – typiquement nom, email, société, téléphone des contacts à inviter. Important : cette importation n'est réalisée qu'à l'initiative de l'utilisateur et avec son autorisation explicite d'accéder à ces contacts via le service tiers (lequel peut demander l'autorisation OAuth correspondante). Evnyo n'utilise pas ces données au-delà de la constitution de la liste d'invités.

• Contenus fournis : tout contenu libre que vous pourriez renseigner sur la plateforme, par exemple le message personnalisé de l'invitation, le logo ou visuel de l'événement (qui peut contenir une image, potentiellement le visage d'une personne si vous l'uploadez, etc.), ou encore des fichiers que vous joignez (ex. programme PDF de l'événement). Ces contenus ne sont utilisés que dans le cadre de l'événement (diffusion de l'invitation, mise à disposition aux participants, etc.). Lorsqu'Evnyo recourt à OpenAI pour générer une image ou reformater un texte fourni, le prompt et/ou les données envoyées à l'IA peuvent inclure certains éléments de ces contenus fournis (ex. texte brut comportant des noms). Nous veillons toutefois à ne pas envoyer d'informations superflues ou hautement sensibles à ces services externes.

• Données techniques et de navigation : lors de votre utilisation de la plateforme ou de consultation du site, nous pouvons collecter certaines données techniques : adresse IP (anonymisée pour les mesures d'audience), informations de l'appareil et du navigateur, préférences de langue, logs de connexion (dates/heures) et cookies (voir section dédiée). Ces données sont principalement utilisées pour la sécurité, la fourniture du service (ex. maintenir votre session ouverte) et des statistiques agrégées. Elles peuvent également servir à détecter et prévenir des usages abusifs de la plateforme.

Toutes les données collectées le sont directement auprès de vous (utilisateur organisateur ou invité) ou proviennent de votre utilisation des services (par ex. statut de participation). Dans les rares cas où des données nous sont transmises par un tiers autorisé (par ex. un collègue vous inscrit à un événement via Evnyo), l'organisateur s'engage à avoir obtenu les autorisations nécessaires. Nous demandons à nos clients-organisateurs de s'assurer qu'ils informent correctement les participants de l'utilisation de la plateforme Evnyo pour gérer les invitations, conformément à l'article 14 RGPD le cas échéant.

Vos données personnelles sont accessibles aux personnels habilités d'Evnyo dans la stricte mesure du nécessaire (principe d'accès limité – par exemple, notre équipe support peut accéder aux informations de votre compte pour vous assister). En dehors de ces accès internes protégés par des engagements de confidentialité, Evnyo ne communique pas vos données à des tiers, à l'exception de ses prestataires techniques dûment autorisés, listés ci-après. Ces prestataires agissent en notre nom et pour notre compte en tant que sous-traitants, selon nos instructions et dans le respect de la présente politique.

Nous sélectionnons nos sous-traitants avec le plus grand soin, en nous assurant qu'ils présentent des garanties suffisantes en matière de protection des données (expertise, mesures de sécurité, conformité RGPD). Important : Evnyo s'assure que tous ses sous-traitants hors UE disposent de mécanismes de transfert validés (BCR, CCT, décision d'adéquation). Les DPA standards utilisés respectent les exigences de l'article 28 RGPD. Ces DPA standards définissent l'objet et la durée du traitement, la nature des opérations effectuées, les types de données et personnes concernées, ainsi que les obligations de confidentialité, de sécurité et d'assistance qui leur incombent. Nos sous-traitants n'utiliseront jamais vos données à d'autres fins que celles que nous leur avons spécifiées selon leurs conditions générales d'utilisation. Voici la liste complète de nos prestataires et leur rôle exact :

• CookieYes – Consent Management Platform (CMP) : outil de gestion des consentements cookies. CookieYes déploie sur notre site le bandeau de cookies et enregistre les choix de chaque utilisateur en matière de cookies. Rôle : garantir que les traceurs non essentiels ne sont activés qu'avec consentement, et conserver la preuve du consentement ou refus de l'utilisateur. Localisation : CookieYes Limited est une société enregistrée au Royaume-Uni. Les préférences de consentement peuvent être stockées localement (via un cookie technique sur votre navigateur) et/ou sur les serveurs de CookieYes. Ces données (identifiant anonyme de consentement, date, type de consentement) sont purement techniques et utilisées pour prouver le respect de vos choix.

• Déclaration d'utilisation des données de l'API Google : L'utilisation par Evnyo des informations reçues des API Google respecte la politique d'utilisation des données des services API Google, y compris les exigences d'utilisation limitée. Pour plus d'informations sur ces exigences vous pouvez visiter : Google Workspace API User Data Policy et Google API Services User Data Policy .

• OpenAI – Intelligence artificielle (IA) : service d'IA avancée que nous utilisons via API pour des fonctionnalités spécifiques (ex: correction de données mal formatées, génération d'images à la demande). Rôle : traitement algorithmique du contenu que nous lui soumettons afin de produire un résultat (fichier corrigé ou image générée) renvoyé à Evnyo. Localisation : États-Unis (OpenAI, Inc.). Données transmises : les extraits de texte ou instructions que vous nous fournissez pour utilisation de l'IA (pouvant contenir des données personnelles si vous les y avez incluses). Garanties : Conformément aux conditions d'utilisation de l'API OpenAI (OpenAI API Data Processing Terms), les données que nous transmettons ne sont pas utilisées par OpenAI pour entraîner leurs modèles d'IA (sauf opt-in explicite de notre part, ce que nous ne faisons pas) et sont automatiquement supprimées de leurs systèmes dans un délai maximum de 30 jours après traitement. OpenAI s'engage contractuellement à ne pas utiliser ces données à d'autres fins que la fourniture du service demandé.

• Supabase – Base de données & Hébergement de fichiers : Supabase est notre fournisseur d'infrastructure applicative. Rôle : hébergement de la base de données PostgreSQL contenant les données d'Evnyo (comptes, événements, invitations, réponses, etc.), et stockage des fichiers associés (par ex. images de vos événements) dans un espace dédié (bucket). Localisation : Union Européenne. Nous utilisons les serveurs européens de Supabase (région UE) afin que toutes les données et fichiers soient hébergés exclusivement en Europe. À noter que Supabase repose sur des centres de données certifiés (ils utilisent notamment des infrastructures Cloud régionales conformes RGPD). Les données stockées dans la base ou le bucket sont chiffrées au repos (voir section Sécurité) et ne sont accessibles qu'aux applications Evnyo et à nos administrateurs habilités. Supabase n'accède pas aux données en clair et ne les utilise pas autrement que pour les besoins techniques du stockage.

• Vercel – Hébergement front-end : Vercel est la plateforme d'hébergement du front-end de notre application (site web et interface utilisateur d'Evnyo). Rôle : diffusion de l'application web et des contenus statiques aux utilisateurs finaux, via un réseau mondial de diffusion (CDN) pour des performances optimales. Localisation : principal aux États-Unis (Vercel Inc.), avec un CDN à travers le monde (y compris des serveurs en Europe) pour rapprocher le contenu de l'utilisateur. Garanties de transfert : Vercel est certifié au EU-US Data Privacy Framework et propose un Data Processing Addendum standard conforme au RGPD. Données concernées : essentiellement des données techniques de navigation. Lorsque vous utilisez Evnyo, votre navigateur se connecte aux serveurs de Vercel pour charger l'interface ; Vercel peut journaliser des données techniques (ex. adresse IP, date, ressource demandée) pour des besoins de log et de cache, mais ne traite aucune donnée personnelle applicative stockée (la base de données demeure chez Supabase). Les logs de Vercel ne sont utilisés qu'à des fins de dépannage et sont purgés régulièrement.

• Postmark – Envoi d'emails transactionnels : service d'emailing (proposé par Wildbit/ActiveCampaign) utilisé pour acheminer les courriels générés par Evnyo. Rôle : envoi fiable des e-mails transactionnels liés aux événements (ex. invitations, confirmations d'inscription, rappels, suivis post-événement) au nom de l'organisateur. Localisation : principal aux États-Unis (serveurs d'envoi de Postmark), avec des infrastructures redondantes. Garanties de transfert : Postmark propose un Data Processing Addendum (DPA) standard conforme aux exigences RGPD et des garanties contractuelles pour les transferts internationaux. Données transmises : adresse e-mail du destinataire, contenu de l'invitation ou du message (incluant éventuellement le nom de l'invité, les détails de l'événement, etc.). Postmark agit en simple vecteur d'envoi et stocke temporairement les informations d'envoi (journal des emails, statut de délivrance) à des fins de suivi et de preuve d'envoi. Ces journaux sont conservés pour une durée limitée puis supprimés selon leur politique de rétention. Postmark est contractuellement tenu de respecter la confidentialité des données transmises.

• Twilio – Envoi de SMS transactionnels : plateforme utilisée pour l'envoi des SMS (par exemple les invitations ou rappels par SMS, ou les messages de vérification) aux participants qui ont fourni un numéro de téléphone. Rôle : acheminer les SMS vers les opérateurs téléphoniques de vos contacts. Localisation : Twilio Inc. est une société américaine, mais dispose de points de présence dans l'UE. Par défaut, les requêtes SMS d'Evnyo sont routées via des serveurs situés dans l'UE. Cependant, en cas de surcharge ou de besoin de routage international, il peut arriver que le message soit traité par un serveur hors UE (ex. aux États-Unis) pour garantir la délivrabilité – c'est le « fallback » international. Garanties de transfert : Twilio dispose de Binding Corporate Rules (BCR) approuvées par les autorités européennes de protection des données et propose un Data Processing Addendum conforme au RGPD. Données transmises : numéro de téléphone du destinataire, contenu textuel du SMS (incluant éventuellement le nom de l'événement ou un lien de confirmation). Twilio ne conserve ces données que pour la journalisation et la facturation (détails des messages) et les supprime selon des délais conformes aux réglementations télécom.

• Stripe – Traitement des paiements : plateforme de paiement utilisée pour traiter les paiements de nos clients organisateurs d'événements et la facturation de nos services. Rôle : traitement sécurisé des paiements par carte bancaire, virements, et autres moyens de paiement, ainsi que la gestion de la facturation et des abonnements. Localisation : Stripe Europe, Ltd. (Irlande) pour les clients européens, avec une infrastructure répartie en Europe et conformité SEPA. Garanties de transfert : Stripe dispose de certifications GDPR complètes et applique des Standard Contractual Clauses (SCC) pour tout transfert hors UE. Données transmises : coordonnées de facturation de l'organisateur (nom, adresse, email, informations de paiement), montants des transactions, historique de facturation. Stripe agit en tant que responsable du traitement pour les aspects liés au paiement et sous-traitant pour les données que nous lui transmettons dans le cadre de notre service. Les données de paiement sont chiffrées et sécurisées selon les standards PCI DSS. Stripe conserve les données de transaction selon ses propres politiques de rétention et obligations réglementaires financières.

• OVH – Gestion du nom de domaine & DNS : OVHcloud est notre registraire et hébergeur DNS pour le domaine evnyo.com. Rôle : gestion technique du nom de domaine, des enregistrements DNS (notamment ceux liés à l'envoi d'emails, tels que SPF/DKIM), et hébergement de certaines fonctions annexes (par ex. redirection du site vers Vercel). Localisation : France (OVH, société française). Données personnelles : très peu de données en réalité – OVH traite essentiellement des données techniques (requêtes DNS des visiteurs, qui ne contiennent pas de donnée personnelle identifiable en soi hormis possiblement l'IP de celui qui fait la requête). Par transparence, nous mentionnons OVH car c'est un prestataire de notre chaîne technique, mais il n'exploite aucune donnée utilisateur finale.

Chaque prestataire susmentionné n'agit que sur instruction d'Evnyo et jamais pour son propre compte. Nous gardons la maîtrise de vos données. Si dans le futur nous devions faire appel à de nouveaux prestataires ou changer l'un d'eux, nous mettrions à jour cette liste et, le cas échéant, vous en informerions préalablement si cela impacte vos données. Vous conservez bien entendu vos droits (voir section « Vos Droits ») y compris sur les données traitées par le biais de ces sous-traitants : Evnyo demeure votre point de contact unique.

Evnyo s'assure que tous ses sous-traitants offrent des garanties contractuelles robustes en matière de protection des données, conformément à l'article 28 du RGPD. Cela signifie notamment que :

• Nous n'autorisons nos sous-traitants à traiter les données qu'à des fins précises et documentées, en lien avec nos instructions. Un sous-traitant ne peut en aucun cas réutiliser vos données pour son propre usage (ex. marketing) ou les transmettre à des tiers sans autorisation.

• Chaque sous-traitant est lié par une clause de confidentialité stricte concernant les données auxquelles il peut avoir accès. Le personnel de nos prestataires autorisé à manipuler vos données est soumis à un devoir de confidentialité légal ou contractuel.

• Nos contrats imposent à ces prestataires de mettre en œuvre toutes les mesures de sécurité requises par l'article 32 du RGPD (voir détails dans la section Sécurité ci-dessous), et de nous assister pour permettre l'exercice de vos droits (ex: si vous demandiez l'effacement de vos données, le sous-traitant doit coopérer pour les supprimer de ses systèmes).

• Aucun sous-traitant ultérieur (appelé « sous-traitant de second niveau ») ne peut être engagé sans notre autorisation écrite préalable. Si l'un de nos prestataires souhaite en recruter un autre pour exécuter une partie du traitement, il doit nous en informer au préalable et contracter avec lui des obligations identiques. En tout état de cause, le prestataire initial demeure pleinement responsable envers Evnyo de toute faute de son sous-traitant ultérieur (principe de responsabilité en cascade, art. 28(4) RGPD).

• À l'issue de la prestation, nos contrats stipulent que les sous-traitants doivent, au choix d'Evnyo, supprimer toutes les données personnelles ou nous les renvoyer et détruire toute copie existante (sauf obligation légale contraire). Par exemple, si vous supprimez un événement et demandez l'effacement des données participants, nous veillerons à ce que ces informations soient également supprimées des systèmes de nos prestataires (Supabase, sauvegardes, etc.).

• Enfin, nos sous-traitants doivent nous fournir toutes les informations nécessaires pour démontrer la conformité aux exigences du RGPD et permettre la réalisation d'audits éventuels. Evnyo effectue des diligences régulières (revue de certifications, audits tiers, rapports de sécurité) afin de s'assurer du respect continu de ces obligations.

En travaillant ainsi avec un écosystème de prestataires conformes et contractuellement engagés, Evnyo garantit que la sous-traitance de certaines opérations n'affaiblit en rien le niveau de protection appliqué à vos données.

Evnyo attache une importance particulière à la souveraineté et à la localisation des données. Tous vos fichiers et données sont hébergés exclusivement au sein de l'Union Européenne via notre partenaire technologique Supabase, dont l'infrastructure européenne garantit une localisation stricte des données sur le territoire de l'UE. Cette approche européenne nous permet de maintenir un contrôle juridique optimal sur vos informations, les documents que vous importez et les listes de participants demeurant physiquement sur des serveurs européens, soumis à la réglementation européenne. Les bénéfices sont doubles : une réduction des latences grâce à la proximité géographique avec vos participants européens, et une meilleure maîtrise juridique, vos données n'étant pas exposées aux législations extraterritoriales de pays tiers. En résumé, Evnyo privilégie un hébergement européen conforme aux exigences de souveraineté numérique, gage de sécurité et de conformité RGPD renforcées.

Evnyo vise dans la mesure du possible à éviter les transferts de données hors de l'Espace Économique Européen (EEE). La règle générale est que les données sont traitées et stockées au sein de l'UE. Toutefois, certains de nos sous-traitants ou outils étant basés en dehors de l'UE, des transferts internationaux de données peuvent survenir de manière limitée. Nous détaillons ci-après ces cas et les garanties mises en place :

• Pas de transfert non encadré : Aucun transfert de données à caractère personnel n'est effectué vers un pays non membre de l'EEE sans protection. Tous nos flux internationaux sont encadrés afin d'assurer un niveau de protection des données essentiellement équivalent à celui de l'UE. En pratique, cela signifie que si vos données sont amenées à quitter le sol européen, Evnyo s'appuie sur l'un des mécanismes prévus par le RGPD : par exemple, l'existence d'une décision d'adéquation de la Commission européenne pour le pays destinataire, ou la signature de Clauses Contractuelles Types (CCT) lorsqu'il s'agit d'un transfert vers un prestataire situé dans un pays sans adéquation.

• Prestataires situés hors UE : Parmi nos sous-traitants listés, certains sont établis aux États-Unis (par ex. OpenAI, Postmark, Twilio, Vercel) ou en Irlande (Stripe). À ce titre, les données qui leur sont transmises dans le cadre de leur mission constituent des transferts hors de l'UE continentale. Important : En tant que PME, Evnyo ne dispose pas du poids contractuel pour négocier des Clauses Contractuelles Types (CCT) personnalisées avec ces géants technologiques. Ces prestataires nous imposent leurs conditions générales standard qui incluent leurs propres mécanismes de protection. Concrètement :
• Stripe : basé en Irlande (UE) pour les clients européens, dispose de certifications GDPR complètes et applique des Standard Contractual Clauses (SCC) pour tout transfert hors UE
• Twilio : dispose de Binding Corporate Rules (BCR) approuvées par les autorités européennes et adhère aux conditions de leur Data Processing Addendum standard
• Postmark : propose un Data Processing Addendum (DPA) standard conforme aux exigences RGPD
• Vercel : certifié au EU-US Data Privacy Framework et propose un DPA standard
• OpenAI : applique les OpenAI API Data Processing Terms standard (rétention ≤ 30 jours, pas d'entraînement sans opt-in)

Ces mécanismes, bien que non négociés individuellement par Evnyo, offrent des garanties juridiques équivalentes aux CCT pour protéger vos données lors des transferts internationaux.

• Royaume-Uni : Le prestataire CookieYes étant basé au Royaume-Uni, il y a lieu de noter que le Royaume-Uni bénéficie d'une décision d'adéquation de la Commission européenne depuis le 28 juin 2021, permettant les transferts de données dans les mêmes conditions que vers l'EEE (conformément à l'article 45 RGPD). Toutefois, le Royaume-Uni applique désormais le UK GDPR et le Data Protection Act 2018, qui peuvent présenter des divergences avec le RGPD européen. Evnyo surveille l'évolution de cette décision d'adéquation et des réglementations britanniques, et prendra les mesures nécessaires si la situation changeait (ex: conclusion d'un UK Addendum aux CCT, etc.).

• Cas particulier de Twilio (SMS) : Comme mentionné, Twilio dispose de mécanismes juridiquement approuvés. Twilio a notamment mis en place des Binding Corporate Rules (BCR) internes validées par les autorités européennes, qui constituent son principal instrument de transfert. En complément, Twilio adhère aux CCT pour les pays tiers non couverts par ses BCR. Ainsi, l'utilisation de Twilio pour envoyer des SMS (y compris si ceux-ci sont routés hors UE) reste conforme aux exigences européennes.

• Proportionnalité : Nous veillons à ce que les données envoyées hors UE soient minimisées au regard de la finalité. Par exemple, lorsque OpenAI est sollicité pour corriger un texte, nous ne transmettons que le texte nécessaire, sans métadonnées additionnelles. De même, pour un SMS via Twilio, seules les informations indispensables (contenu du SMS, numéro) sont concernées. Aucune de vos données Evnyo n'est massivement ou systématiquement hébergée hors UE, les éventuels transferts sont ponctuels et circonscrits.

• Évaluation des risques de transfert : Avant de faire appel à tout prestataire situé hors UE, Evnyo évalue les risques liés au transfert des données personnelles en prenant en compte :
• La nature et la sensibilité des données transférées (minimisation au strict nécessaire)
• La finalité et la durée du traitement
• Les garanties contractuelles proposées par le prestataire (DPA, BCR, certification Data Privacy Framework)
• La législation du pays de destination et les risques d'accès gouvernemental
• Les mesures de sécurité techniques complémentaires (chiffrement, pseudonymisation)

Cette évaluation nous permet de nous assurer que chaque transfert bénéficie d'un niveau de protection adéquat, même sans négociation de CCT personnalisées.

En résumé, aucun transfert de vos données en dehors de l'EEE n'a lieu sans encadrement strict. Evnyo demeure attentif aux évolutions jurisprudentielles (arrêt « Schrems II », etc.) et recommandations des autorités pour ajuster si besoin ses mécanismes de transferts internationaux. Notre objectif est que vos données bénéficient où qu'elles se trouvent d'un niveau de confidentialité et de sécurité conforme aux normes européennes.

Evnyo ne conserve vos données personnelles que pour des durées limitées, proportionnées aux finalités pour lesquelles elles ont été collectées, et en conformité avec les exigences légales. Voici nos politiques de rétention principales :

• Données liées aux événements et participants : Les données personnelles des invités/participants (noms, contacts, statut, etc.) sont conservées pendant la durée de vie de l'événement et sa gestion active, puis supprimées ou anonymisées 90 jours après la fin de l'événement ou la résiliation du contrat, selon la première de ces échéances. En pratique, dès qu'un événement est passé et clôturé par l'organisateur, un compteur de rétention démarre. À l'issue de 90 jours, nous purgeons de notre base tous les détails identifiants relatifs à cet événement (liste des participants avec leurs informations). Cette période de 3 mois après l'événement permet à l'organisateur d'accéder encore aux rapports et statistiques, d'effectuer des suivis post-événement (remerciements, compte-rendus anonymisés) et de gérer d'éventuelles réclamations (ex. demande de certificat de participation) avant suppression. Passé ce délai, l'organisateur n'a plus accès aux données nominatives des participants sur Evnyo, celles-ci étant soit supprimées définitivement soit conservées sous forme agrégée/anonymisée pour les statistiques globales. (Exemple : un taux de participation de 80% pourra être conservé sans aucune mention de qui a participé ou non.)

• Données de compte client (organisateur) : Les informations relatives à votre compte Evnyo (profil utilisateur, informations de l'entreprise cliente, historique de facturation) sont conservées aussi longtemps que vous utilisez nos services et êtes un client actif. Si vous décidez de fermer votre compte ou en cas de résiliation du contrat, nous supprimerons ou anonymiserons les données de votre profil et des événements passés au plus tard 30 jours après la fin du contrat, à l'exception de celles que nous devons garder plus longtemps pour respecter nos obligations légales ou établir la preuve d'un droit. Par exemple, les données de facturation (factures émises, informations de paiement) seront conservées conformément aux obligations comptables et fiscales pendant la durée légale (en France, 10 ans pour les pièces comptables). Elles seront ensuite supprimées. De même, les échanges contractuels pouvant avoir une valeur juridique pourront être archivés le temps des prescriptions légales applicables.

• Logs techniques et données de navigation : Les journaux d'activité du système (connexions, actions réalisées) sont conservés pour la sécurité et la traçabilité pendant une durée de 12 mois glissants, sauf exigence légale différente. Les logs plus sensibles (ex. logs d'accès administrateur) peuvent être gardés jusqu'à 2 ans. Les adresses IP collectées à des fins de sécurité ou de journalisation sont généralement conservées 3 mois (sauf IP associées aux logs d'administration, conservées 2 ans). Les données de navigation collectées à des fins statistiques (via cookies analytiques) sont quant à elles agrégées et anonymisées immédiatement, mais les données brutes associées aux cookies (ex. identifiant cookie) peuvent être conservées 13 mois maximum conformément aux recommandations des autorités européennes de protection des données, et notamment les exigences strictes de la CNIL française et des autorités allemandes.

• Consentements : Les enregistrements de consentement (par ex. journaux CMP de CookieYes, preuve d'opt-in) seront conservés le temps nécessaire pour pouvoir prouver la conformité dans tous les pays où nous opérons. Ainsi, les logs de consentement cookies sont archivés pendant 6 mois à 13 mois (selon que l'utilisateur maintient ses choix ou les renouvelle), en ligne avec les réglementations nationales les plus strictes en matière de cookies. Les preuves de consentement à recevoir des communications (si Evnyo propose une newsletter ou autre) seraient conservées jusqu'à cessation de l'envoi + 3 ans (durée de prescription). De façon générale, nous n'effaçons pas une preuve de consentement tant que le traitement concerné est en cours et non contesté. En cas de retrait de consentement, nous pouvons conserver l'information que vous vous êtes opposé (liste d'opposition) aussi longtemps que nécessaire pour ne plus vous solliciter de manière indue.

• Sauvegardes : Notre système réalise des sauvegardes régulières chiffrées de la base de données pour assurer la continuité du service. Ces backups peuvent contenir des données personnelles et sont conservés en général pendant 30 jours roulants avant d'être écrasés par de nouvelles sauvegardes. Ainsi, même après suppression de données en base principale, il peut subsister une copie dans une sauvegarde jusqu'à expiration de celle-ci. Passé 30 jours, les sauvegardes contenant ces données obsolètes sont automatiquement détruites. Les sauvegardes ne sont accessibles qu'à des fins de restauration par nos administrateurs et font l'objet des mêmes mesures de sécurité et confidentialité.

Au terme des durées ci-dessus, les données sont soit supprimées de façon sécurisée, soit rendues anonymes de manière irréversible. Lorsque des données sont anonymisées, elles sortent du champ du RGPD (plus aucune personne n'est identifiable) et peuvent être conservées plus longtemps sans limite particulière, par exemple pour alimenter nos statistiques globales ou analyses internes.

Exceptions particulières : Il peut arriver que nous devions conserver certaines données plus longtemps en cas de contentieux ou d'enquête (par ex. gel de données à la demande d'une autorité, ou conservation jusqu'à résolution d'un litige). Dans ce cas, nous bloquerons l'accès aux données concernées et les conserverons le temps nécessaire à l'action judiciaire ou administrative. Vos données peuvent également être conservées plus longtemps si la loi l'exige (par ex. dans le cadre d'une obligation légale de conservation ou d'archivage public).

Nous réévaluons régulièrement nos politiques de conservation afin d'éviter de stocker des données personnelles plus longtemps que nécessaire. Si vous estimez qu'une de vos données est indûment conservée, n'hésitez pas à exercer votre droit à l'effacement (voir ci-après « Vos Droits »), nous analyserons votre demande avec attention dans le respect du RGPD.

Evnyo met en œuvre des mesures de sécurité techniques et organisationnelles rigoureuses pour protéger vos données contre les risques de perte, d'altération, de divulgation ou d'accès non autorisé, conformément à l'article 32 du RGPD. Notre approche sécurité se base sur les meilleures pratiques du secteur et une évaluation continue des risques. Parmi les mesures en place :

• Chiffrement des échanges (TLS) : Toutes les communications entre votre navigateur/appareil et la plateforme Evnyo sont protégées par un chiffrement TLS 1.3 (https) de bout-en-bout. Cela garantit que les données que vous transmettez ou consultez sur Evnyo ne puissent être interceptées ou lues par un tiers durant le transit. Vous pouvez vérifier la présence du cadenas de sécurité dans votre navigateur lors de l'utilisation du service.

• Chiffrement des données au repos : Les données personnelles stockées dans notre base de données ainsi que les fichiers importés dans le bucket Supabase sont chiffrés au repos à l'aide d'algorithmes de pointe (AES-256 par exemple). Le chiffrement au repos signifie que même en cas d'accès physique ou de vol des supports de stockage, les données demeurent illisibles sans les clés de déchiffrement appropriées. Ces clés de chiffrement sont gardées secrètes et protégées sur des modules sécurisés.

• Contrôle d'accès et authentification renforcée : En interne, l'accès aux données personnelles est strictement réservé aux personnes qui en ont besoin pour leurs fonctions (principe du need-to-know). Nous utilisons une gestion fine des accès par rôles (RBAC – Role-Based Access Control) pour segmenter les permissions au sein de notre équipe. Par exemple, un technicien support peut voir certaines données de votre compte pour vous aider, mais n'aura pas accès aux données financières ou aux listes d'invités d'autres clients. De plus, tous nos comptes administrateurs et sensibles sont protégés par une authentification multi-facteur (MFA) obligatoire, réduisant le risque d'intrusion via un vol de mot de passe. L'authentification des utilisateurs clients supporte également des standards de sécurité (mots de passe hashés avec salt, exigences de complexité, possibilité de 2FA si vous le souhaitez, etc.).

• Tests, audits et maintenance de sécurité : Nous effectuons régulièrement des tests d'intrusion et analyses de vulnérabilités sur notre plateforme pour identifier d'éventuelles failles. Tout composant ou dépendance logicielle est mis à jour promptement lorsqu'un correctif de sécurité est disponible. Nous suivons les recommandations de l'OWASP Top 10 pour prévenir les failles applicatives communes (injections, XSS, CSRF, etc.). Par ailleurs, nos sous-traitants critiques (ex. Supabase, Vercel) sont certifiés ou audités (certifications ISO 27001, SOC 2 Type II, etc.), assurant un haut niveau de sécurité de l'infrastructure.

• Intégrité et résilience : Nos systèmes intègrent des mécanismes garantissant la confidentialité, l'intégrité, la disponibilité et la résilience de vos données. Par exemple, nous dupliquons les données sur plusieurs serveurs redondants pour prévenir la perte en cas de panne (avec sauvegardes régulières comme évoqué). L'accès aux données en production est journalisé et surveillé en permanence. Toute anomalie (tentative d'accès injustifié, pic de trafic suspect, etc.) déclenche des alertes de sécurité en temps réel. Nous avons également des procédures de restauration d'urgence testées régulièrement pour rétablir rapidement le service et l'accès aux données en cas d'incident majeur (plan de continuité d'activité / plan de reprise après sinistre).

• Sécurité des développements : Nos équipes intègrent la sécurité dès la conception des nouvelles fonctionnalités (privacy by design & by default, art. 25 RGPD). Les environnements de test sont isolés des données réelles (nous utilisons des jeux de données fictives pour le développement afin de ne pas exposer de vraies données). Toute modification de code fait l'objet de revues (code review) et de tests unitaires/fonctionnels y compris sur les volets sécurité.

• Confidentialité du personnel et formation : Chaque collaborateur d'Evnyo ayant accès à des données personnelles est soumis contractuellement à une obligation de confidentialité. De plus, nous sensibilisons régulièrement l'ensemble du personnel aux bonnes pratiques de protection des données (formations RGPD, sécurité informatique, procédures à suivre en cas d'incident, etc.).

• Mesures physiques et environnementales : Bien qu'Evnyo soit une solution cloud, nous nous assurons que nos hébergeurs disposent de mesures de protection physique robustes (centres de données surveillés 24/7, contrôle d'accès physique biométrique ou par badge, redondance électrique, détection incendie, etc.).

En cas de violation de données personnelles malgré toutes ces précautions (par ex. intrusion avérée, perte ou divulgation non autorisée de données), nous nous engageons à suivre la procédure légale : notification à la CNIL dans les 72h si exigé (article 33 RGPD) et communication aux personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour celles-ci (article 34 RGPD). Nous disposons d'un registre interne des incidents de sécurité et d'un plan de réponse aux incidents pour gérer efficacement ce type de situation. Notre objectif est d'être proactif et transparent : si vous êtes concerné par un incident grave, vous en serez informé dans les meilleurs délais, avec toutes les informations sur la nature de l'incident et les mesures prises.

Conformément au RGPD, vous disposez d'un ensemble de droits relatifs à vos données personnelles. Evnyo tient à garantir le respect effectif de ces droits et à vous offrir des modalités simples pour les exercer. Voici un résumé de vos droits fondamentaux :

• Droit d'être informé : vous avez le droit d'être informé de manière claire sur les traitements de vos données (c'est précisément l'objet de cette politique de confidentialité). Nous nous efforçons de vous fournir toutes les informations requises par les articles 13 et 14 RGPD (identité du responsable, finalités, bases légales, destinataires, durées de conservation, etc.).

• Droit d'accès : vous pouvez nous demander confirmation que nous détenons des données personnelles vous concernant, et le cas échéant, en obtenir une copie ainsi que des informations sur les modalités du traitement (finalités, catégories de données, destinataires, etc.). Concrètement, cela vous permet de savoir quelles données nous avons sur vous. Nous fournirons ces informations sous forme compréhensible et par le moyen de communication de votre choix (électronique ou papier). Remarque : pour les invités d'événements, dans la mesure où Evnyo agit comme sous-traitant de l'organisateur, il est souvent plus pertinent de solliciter d'abord l'organisateur (responsable du traitement) pour l'accès à vos données d'inscription. Toutefois, vous pouvez également nous contacter directement ; nous coordonnerons alors avec notre client pour vous apporter une réponse complète.

• Droit de rectification : si vous constatez que des données vous concernant sont inexactes ou incomplètes, vous pouvez demander leur correction ou leur mise à jour. Par exemple, si votre nom est mal orthographié ou si vous changez d'adresse email, nous procéderons à la modification dans les meilleurs délais. En pratique, les utilisateurs organisateurs peuvent rectifier eux-mêmes certaines informations de leur compte via les paramètres du profil. Pour les participants, une demande peut être adressée à l'organisateur ou à nous, et nous rectifierons sur instruction de l'organisateur.

• Droit à l'effacement (« droit à l'oubli ») : vous pouvez obtenir la suppression de vos données personnelles dans nos fichiers, notamment si elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, ou si vous retirez votre consentement (lorsque le traitement était fondé sur le consentement). Ce droit n'est pas absolu : nous pourrons devoir conserver certaines données si une obligation légale nous y oblige ou si elles sont encore nécessaires pour constater/exercer/défendre un droit en justice. Concrètement, pour un invité qui ne souhaite plus apparaître dans la liste des participants, l'organisateur ou nous-mêmes pouvons supprimer ses données (ce qui sera réalisé sauf empêchement légitime). Si Evnyo intervient en tant que sous-traitant, nous informerons l'organisateur de votre demande d'effacement et, sauf instruction contraire légitime de sa part, nous procéderons à la suppression effective de vos données dans nos systèmes et confirmerons l'opération.

• Droit à la limitation du traitement : dans certaines situations, vous pouvez demander la limitation (gel temporaire) du traitement de vos données. Par exemple, si vous contestez l'exactitude d'une donnée ou la licéité d'un traitement, le temps que nous vérifiions ou que l'on trouve un accord, vous pouvez demander à ce que la donnée ne soit plus utilisée (mais simplement conservée). Lorsque la limitation est accordée, nous ne traitons plus la donnée excepté pour la conserver ou pour des motifs légaux impératifs. Nous vous informerons préalablement si la limitation doit être levée.

• Droit d'opposition : vous avez le droit de vous opposer, pour des raisons tenant à votre situation particulière, à tout traitement de vos données fondé sur l'intérêt légitime d'Evnyo (article 6(1)(f)). Si vous exercez ce droit, nous cesserons le traitement contesté, sauf s'il existe des motifs légitimes et impérieux pour continuer (par exemple, la nécessité de conserver certaines données pour la défense de droits en justice) ou si le traitement est requis par la loi. Vous pouvez également vous opposer à tout moment au traitement de vos données à des fins de prospection (ex: si Evnyo envoyait des newsletters ou communications marketing – ce que nous ne faisons que sur consentement). Dans ce dernier cas, l'opposition est absolue : nous arrêterons sans condition l'envoi de sollicitations. Concernant les cookies, votre droit d'opposition se traduit par la possibilité de refuser tout cookie non essentiel via le CMP (ce qui est une forme d'opposition à un traitement de profilage publicitaire par ex.).

• Droit à la portabilité : vous avez le droit de recevoir vos données personnelles que vous nous avez fournies, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement si vous le souhaitez. Ce droit s'applique uniquement aux données que vous avez fournies activement (ex: informations de votre profil, listes d'invités importées) ou générées par votre activité, et seulement pour les traitements automatisés fondés sur votre consentement ou un contrat. En pratique, les organisateurs peuvent exporter eux-mêmes beaucoup de données via notre interface (par ex. exporter la liste de participants d'un événement en CSV). Si vous souhaitez qu'Evnyo facilite le transfert vers un autre service, nous ferons notre possible (ex: fournir un fichier contenant vos événements et contacts invités). Pour les participants, la portabilité peut s'exercer auprès de l'organisateur (qui est responsable du traitement de leurs données d'invitation) ou auprès d'Evnyo qui relaiera la demande.

• Droit de ne pas faire l'objet d'une décision automatisée : Evnyo ne prend aucune décision ayant des effets juridiques ou significatifs sur vous de façon automatisée (sans intervention humaine). Ce droit, prévu à l'article 22 RGPD, vise des cas comme du profilage automatique menant à un refus de service, etc., ce qui n'a pas lieu ici. En toute hypothèse, vous auriez le droit de solliciter l'intervention humaine, d'exprimer votre point de vue et de contester la décision.

En plus de ces droits, nous rappelons que si le traitement de vos données repose sur votre consentement, vous pouvez retirer ce consentement à tout moment (aussi facilement que vous l'avez donné). Le retrait du consentement met fin au traitement concerné pour l'avenir, sans effet rétroactif (cela n'entache pas la licéité du traitement passé). Par exemple, vous pouvez vous désabonner d'une newsletter ou refuser les cookies optionnels, nous respecterons ce choix immédiatement.

Exercice de vos droits : Ces droits peuvent être exercés gratuitement (sauf abus répété) en nous contactant aux coordonnées indiquées dans la section Responsable du traitement. Pour faciliter vos démarches, vous pouvez envoyer un email à privacy@evnyo.com en précisant l'objet de votre demande et en justifiant de votre identité (afin d'éviter qu'un tiers n'exerce vos droits à votre place de manière frauduleuse, nous pourrions vous demander un justificatif ou une vérification). Vous pouvez également envoyer un courrier postal à notre adresse légale (mentionnée sur notre site) à l'attention du référent protection des données. Nous accuserons réception de votre demande et y donnerons suite dans les meilleurs délais.

Délai de réponse : Nous nous engageons à vous répondre sous 1 mois à compter de la réception de la demande. Si votre demande est complexe ou que nous en recevons beaucoup, ce délai pourra être prolongé de 2 mois supplémentaires, mais vous serez alors informé du besoin de prolongation dans le premier mois. En cas de refus exceptionnel de faire droit à votre demande (par exemple si elle est manifestement infondée ou excessive, art. 12(5) RGPD), nous vous en exposerons les raisons et vous aurez la possibilité de contester cette décision.

Evnyo s'efforcera toujours de faciliter l'exercice de vos droits. Aucune demande raisonnable ne sera ignorée. Si vous estimez que nous ne vous avons pas satisfaits dans l'exercice de vos droits, ou plus généralement que nous ne respectons pas nos obligations en matière de protection des données, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente de votre pays de résidence :

• France : Commission Nationale de l'Informatique et des Libertés (CNIL) - Site web : cnil.fr, section « Plaintes ». Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Royaume-Uni : Information Commissioner's Office (ICO) - Site web : ico.org.uk
• Allemagne : Selon votre Land de résidence, contactez l'autorité compétente via bfdi.bund.de
• Espagne : Agencia Española de Protección de Datos (AEPD) - Site web : aepd.es
• Italie : Garante per la protezione dei dati personali - Site web : garanteprivacy.it
• Portugal : Comissão Nacional de Proteção de Dados (CNPD) - Site web : cnpd.pt
• Pologne : Urząd Ochrony Danych Osobowych (UODO) - Site web : uodo.gov.pl
• Roumanie : Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) - Site web : dataprotection.ro
• Pays-Bas : Autoriteit Persoonsgegevens (AP) - Site web : autoriteitpersoonsgegevens.nl
• Belgique : Autorité de protection des données (APD/GBA) - Site web : dataprotectionauthority.be
• Autriche : Datenschutzbehörde (DSB) - Site web : dsb.gv.at

Si vous résidez dans un autre pays de l'UE/EEE, vous pouvez contacter l'autorité de protection des données de votre pays, qui transmettra le cas échéant à l'autorité chef de file (la CNIL française pour Evnyo) ou traitera en coopération avec elle selon le mécanisme de guichet unique du RGPD.

Nous vous invitons toutefois à nous contacter en premier recours : nous sommes ouverts au dialogue et ferons tout notre possible pour résoudre directement tout problème dont vous nous feriez part.

(Nota Bene : Pour les participants invités via Evnyo, rappelez-vous que l'organisateur de l'événement est généralement le « responsable de traitement » principal de vos données d'invitation. Evnyo agit alors en tant que sous-traitant. Ainsi, vous pouvez adresser vos demandes soit directement à l'organisateur (qui nous les relayera si besoin), soit à Evnyo via notre référent protection des données – nous coopérerons étroitement avec l'organisateur pour vous répondre.)

Le site et la plateforme Evnyo utilisent des cookies et technologies similaires pour diverses finalités, conformément aux exigences de la Directive ePrivacy (2002/58/CE) et de ses transpositions nationales, notamment :

• France : Articles 82 et suivants de la Loi Informatique et Libertés modifiée
• Allemagne : Telemediengesetz (TMG) et exigences strictes du BGH
• Espagne : Ley de Servicios de la Sociedad de la Información (LSSI)
• Italie : Codice Privacy et guidelines du Garante
• Royaume-Uni : Privacy and Electronic Communications Regulations (PECR)
• Pays-Bas : Telecommunicatiewet et guidelines strictes de l'Autoriteit Persoonsgegevens
• Belgique : Loi du 13 juin 2005 relative aux communications électroniques
• Autriche : Telekommunikationsgesetz (TKG) et standards stricts de la DSB
• Autres pays : Réglementations nationales équivalentes

Consentement renforcé : Lors de votre première visite, un bandeau de consentement (fourni par CookieYes) vous permet d'accepter ou refuser les cookies non essentiels de manière granulaire par catégorie. Conformément aux standards européens les plus stricts, nous obtenons votre consentement préalable, libre, spécifique, éclairé et univoque pour chaque finalité. Vous pouvez à tout moment modifier vos choix en cliquant sur le lien « Cookies » ou icône dédiée disponible sur le site, et retirer votre consentement aussi facilement que vous l'avez donné.

Les cookies que nous utilisons se classent notamment en catégories suivantes :

• Cookies strictement nécessaires : indispensables au fonctionnement du site ou à la fourniture du service que vous demandez. Par exemple, les cookies de session pour vous maintenir connecté, ou ceux servant à mémoriser les choix de consentement. Ces cookies ne requièrent pas de consentement préalable selon l'exception de l'article 5(3) de la Directive ePrivacy. Vous ne pouvez pas les désactiver sans altérer le service, mais ils ne traitent pas de données à caractère personnel autres que purement techniques.

• Cookies de performance et statistiques : ces cookies (Google Analytics ou équivalent, paramétrés en respect de la réglementation avec anonymisation IP et durée de conservation limitée) nous aident à comprendre comment le site est utilisé, quelles pages sont les plus visitées, etc. Nous avons configuré ces outils pour anonymiser votre IP et éviter tout suivi individuel. Ils ne sont déposés qu'avec votre consentement explicite. Les données collectées sont agrégées pour améliorer nos services et l'ergonomie du site.

• Cookies de fonctionnalité : améliorent votre expérience (ex: mémoriser vos préférences d'affichage, langue, etc.). Ils sont optionnels et soumis à consentement préalable.

• Cookies de communication : si Evnyo intègre à l'avenir des modules de chat en direct, de vidéo conférence ou d'autres services tiers (par ex. pour les webinaires), ces services pourraient déposer leurs propres cookies. Ils seront également soumis à consentement et clairement identifiés dans la CMP.

Durée de conservation : Chaque cookie a une durée de vie prédéfinie et proportionnée à sa finalité (par ex. session, 1 mois, 13 mois maximum pour les cookies analytiques). Vous trouverez le détail de chaque cookie, sa finalité, son émetteur et sa durée dans notre Politique Cookies accessible via le CMP.

Traçabilité des consentements : Evnyo maintient un registre détaillé des consentements cookies via CookieYes, ce qui nous permet de garder la preuve de votre accord ou refus pour chaque catégorie de cookies sur notre site. Cette traçabilité garantit que nous respectons vos préférences en continu et permet de démontrer notre conformité en cas de contrôle.

Aucune monétisation des données : Nous ne procédons à aucune vente de données de navigation à des annonceurs ou autres tiers. Si des cookies tiers (par ex. YouTube, Google Maps intégrés) étaient utilisés, ils seraient également soumis à votre consentement préalable et clairement identifiés.

Pour plus d'informations sur notre utilisation des cookies, et sur comment les paramétrer, consultez notre page dédiée « Politique de gestion des Cookies » ou contactez-nous.

Evnyo permet aux participants d'un événement de télécharger des photos dans les albums d'événements lorsque cette fonctionnalité est activée par l'organisateur. Lors du téléchargement de photos sur un événement, les utilisateurs doivent fournir un consentement explicite et reconnaître les responsabilités suivantes :

Consentement et responsabilités de l'utilisateur : Avant de télécharger une photo, les utilisateurs doivent confirmer :

• Qu'ils ont le droit de partager le contenu téléchargé
• Que toutes les personnes identifiables sur les photos ont donné leur consentement pour être photographiées et pour que les photos soient partagées dans le contexte de l'événement
• Que l'organisateur de l'événement peut utiliser ces photos dans le cadre de l'événement
• Qu'ils acceptent l'entière responsabilité du contenu qu'ils téléchargent

Répartition des responsabilités : Pour garantir une responsabilité claire :

• La personne qui télécharge est seule responsable du contenu qu'elle télécharge, y compris l'obtention des autorisations nécessaires des personnes apparaissant sur les photos
• L'organisateur de l'événement est responsable de la modération du contenu s'il a activé la modération, et de l'utilisation qu'il fait des photos téléchargées
• Evnyo agit en tant qu'intermédiaire technique et n'est pas responsable du contenu téléchargé par les utilisateurs, mais coopérera avec les demandes légitimes de suppression

Droit à l'image et vie privée : Les utilisateurs téléchargeant des photos doivent respecter :

• Le droit à l'image de toutes les personnes apparaissant sur les photos
• Les lois sur la vie privée applicables dans leur juridiction
• Le contexte spécifique de l'événement et toute restriction communiquée par l'organisateur

Suppression de contenu : Si vous apparaissez sur une photo et souhaitez la faire supprimer, vous pouvez :

• Contacter directement l'organisateur de l'événement
• Utiliser la fonction de signalement disponible sur chaque photo
• Contacter notre délégué à la protection des données à privacy@evnyo.com

Nous traiterons les demandes de suppression conformément aux lois applicables et pourrons exiger une preuve d'identité pour garantir la légitimité de la demande.

Mesures techniques : Par souci de transparence, nous enregistrons :

• La confirmation du consentement (horodatage et IP anonymisée)
• Les métadonnées de téléchargement pour la responsabilité
• Toutes les photos sont traitées pour supprimer les données de localisation GPS pour la confidentialité

La présente politique de confidentialité pourra être amenée à évoluer, notamment pour refléter les changements de nos pratiques ou pour se conformer à d'éventuelles modifications légales/réglementaires. En cas de modification substantielle (par ex. nouvelles finalités, nouveaux destinataires, etc.), nous vous en informerons préalablement, via un avis sur le site ou un email, et si requis par la loi, nous solliciterons votre consentement lorsque la modification l'exige. La version à jour de la politique sera toujours accessible sur notre site à la rubrique « Confidentialité ». Nous vous invitons à la consulter périodiquement.

Date d'effet : Cette politique est en vigueur à compter du 01/06/2025.

En choisissant Evnyo, vous confiez vos données à une plateforme qui place la confidentialité et la sécurité au cœur de ses préoccupations. Nous espérons que ce document vous a apporté toute la transparence attendue sur nos pratiques. Si vous avez la moindre question supplémentaire concernant vos données ou notre conformité, n'hésitez pas à nous contacter – notre équipe et notre référent sont là pour vous apporter des réponses expertes et personnalisées.

Merci de votre confiance, et bons événements avec Evnyo !