Politique de confidentialité & RGPD
Dernière mise à jour : 18 mai 2026
1. Responsable du traitement
byArno SAS — capital 1 500 € — SIRET 942 322 843 00015 — TVA FR56942322843
60 rue François Ier, 75008 Paris, France
rgpd@mixos.cloud · contact@mixos.cloud
2. Données collectées sur le DJ (Utilisateur)
| Donnée | Finalité | Conservation |
|---|---|---|
| Email, nom de scène | Authentification (magic link), support | Durée du compte + 3 ans |
| Raison sociale, SIRET, adresse, n° TVA | Émission des devis, contrats, factures | 10 ans (obligation fiscale) |
| IBAN, RIB | Mention sur les factures émises (virement client) | Durée du compte + 3 ans |
| Bio, photo, lien site web | Affichage sur widget pré-réservation et documents | Durée du compte |
| Devis, contrats, factures émis | Traçabilité comptable et contractuelle | 10 ans (obligation fiscale) |
| Set lists, événements, prestations | Gestion opérationnelle | Durée du compte + 5 ans |
| Connexion Google Calendar (refresh token) | Synchronisation MixOS → agenda Google | Jusqu'à révocation par le DJ |
| Logs d'accès (IP, user-agent) | Sécurité, détection d'abus, rate limit | 30 jours |
| Données de carte bancaire (paiement de l'abonnement) | Traitées exclusivement par Stripe — jamais stockées chez MixOS | N/A |
3. Données des clients finaux du DJ (prospects)
Les fiches prospects collectées via le widget de pré-réservation ou saisies par le DJ contiennent typiquement :
| Donnée | Finalité | Conservation |
|---|---|---|
| Nom, prénom du couple/contact | Identification, personnalisation des documents | Durée du compte + 5 ans |
| Email, téléphone | Communication contractuelle et commerciale | Durée du compte + 5 ans |
| Date d'événement, lieu, type | Devis, planification, set list | Durée du compte + 5 ans |
| Brief, notes, moodboard | Préparation de la prestation | Durée du compte + 3 ans |
| Montants payés, virements | Comptabilité et conformité fiscale | 10 ans |
Pour ces données, le DJ est responsable de traitement, MixOS est sous-traitant au sens de l'article 28 du RGPD. Les modalités sont détaillées dans le DPA.
4. Hébergement & transferts
Toutes les données sont hébergées sur les serveurs OVHcloud en France (Roubaix / Gravelines), au sein de l'Union Européenne. Aucune donnée personnelle n'est transférée hors UE, hors des exceptions listées ci-dessous.
Sous-traitants (article 28 RGPD) :
- Stripe, Inc. (Irlande / États-Unis) — uniquement pour le paiement de l'abonnement MixOS du DJ (plan Pro). Clauses contractuelles types, certifié PCI-DSS niveau 1. MixOS n'utilise pas Stripe pour encaisser les paiements des clients finaux du DJ.
- UniSend (Union Européenne) — emails transactionnels.
- Google LLC (Irlande) — uniquement sur opt-in du DJ pour la synchronisation Google Calendar. Push de prestations uniquement, MixOS ne lit pas l'agenda existant.
- OVH Object Storage (France) — pièces jointes, PDF générés.
5. Cookies
MixOS utilise un nombre volontairement très limité de cookies :
| Cookie | Type | Finalité | Durée |
|---|---|---|---|
| session | Strictement nécessaire | Jeton d'authentification (magic link) | 30 jours |
| mixos_consent | Strictement nécessaire | Mémorisation de vos choix concernant les cookies | 13 mois |
| mixos_ref | Soumis à consentement | Mémorise le code parrain présent dans l'URL (?ref=…) pour créditer l'ambassadeur | 30 jours |
| Cookies Stripe | Strictement nécessaire | Sécurisation du paiement de l'abonnement (anti-fraude) | Session |
Conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL : les cookies strictement nécessaires sont déposés sans consentement préalable ; le cookie de parrainage n'est déposé qu'après consentement explicite, et peut être refusé ou retiré à tout moment via le lien « Gérer les cookies » en pied de page. MixOS n'utilise ni cookies publicitaires, ni cookies d'analyse statistique, ni traceurs de tiers en dehors de ceux strictement nécessaires au paiement Stripe.
6. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679), vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de toutes vos données personnelles.
- Droit de rectification : corriger des données inexactes ou incomplètes.
- Droit à l'effacement : demander la suppression de votre compte et de vos données (hors obligations légales de conservation, ex. factures 10 ans).
- Droit à la portabilité : recevoir vos données dans un format structuré (JSON / CSV).
- Droit d'opposition : vous opposer à un traitement basé sur l'intérêt légitime.
- Droit de limitation : demander la suspension d'un traitement.
Pour exercer vos droits, contactez-nous à rgpd@mixos.cloud. Nous répondons sous 30 jours. Si vos droits ne sont pas respectés, vous pouvez saisir la CNIL.
7. Sécurité
- Chiffrement des communications en transit (TLS 1.3).
- Authentification sans mot de passe (magic link) — réduit le risque de compromission ; 2FA TOTP optionnelle en step-up.
- Permissions granulaires par rôle (Pro+ multi-utilisateurs).
- Sauvegardes quotidiennes chiffrées des bases de données.
- Hébergement certifié ISO 27001 (OVHcloud).
- Données de paiement jamais stockées chez MixOS (délégation à Stripe PCI-DSS niveau 1).
- Domaine d'envoi d'emails séparé (mailer.mixos.cloud) avec SPF, DKIM, DMARC alignés.
8. Modifications
Cette politique peut être mise à jour. En cas de modification substantielle, les utilisateurs sont informés par email au moins 15 jours avant l'entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.