Politique de confidentialité

1. Qui sommes-nous ?

L'écosystème CaleDoHub et ses 13 sites thématiques (caledohub, caledobeaute, caledoresto, caledodrive, caledotech, caledoimmo, caledosante, caledokids, caledokdo, caledojob, caledovol, caledoevent, caledolegales) sont édités et exploités par :

Deep Events SARL est le responsable de traitement au sens de l'article 4-7 du RGPD pour l'ensemble des traitements opérés sur les 13 sites de l'écosystème CaleDoHub.

2. Cadre légal applicable

L'écosystème CaleDoHub est conforme à un triple cadre légal cumulatif :

• Loi du pays n° 2019-7 du 30 juillet 2019 relative à la protection des données à caractère personnel en Nouvelle-Calédonie — texte de référence applicable sur le territoire
• Loi n° 78-17 du 6 janvier 1978 "Informatique et Libertés" modifiée — applicable en tant que de droit français aux traitements réalisés depuis ou vers la métropole
• Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) — appliqué volontairement par Deep Events SARL, même si la Nouvelle-Calédonie n'est pas formellement dans le champ géographique du RGPD, afin de garantir le plus haut niveau de protection à nos utilisateurs

L'autorité de contrôle compétente pour la Nouvelle-Calédonie est la CNIL (Commission Nationale de l'Informatique et des Libertés), 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07, France. Site : www.cnil.fr.

3. Quelles données collectons-nous ?

Nous distinguons strictement les données fournies par l'utilisateur et celles collectées automatiquement.

3.1 Données fournies par l'utilisateur

• Identification : nom, prénom, email, mot de passe (haché bcrypt, jamais stocké en clair), téléphone (optionnel)
• Compte professionnel : nom commercial, RIDET, secteur d'activité, adresse professionnelle, description, logo, photos, vidéos
• Annonces, demandes, signalements : contenu textuel, photos, géolocalisation (optionnelle, jamais en arrière-plan)
• Messagerie privée : contenu des messages échangés entre utilisateurs (chiffrement en transit TLS, en clair côté serveur pour permettre la modération en cas de signalement, jamais accessible aux équipes Deep Events sans signalement)
• Préférences : favoris, alertes, paramètres de notification

3.2 Données collectées automatiquement

• Données techniques : adresse IP (anonymisée après 30 jours), type de navigateur, système d'exploitation, pages consultées, durée de visite
• Identifiants Firebase : UID anonyme attribué automatiquement par Firebase Auth lors de la création de compte
• Logs de sécurité : tentatives de connexion, IP de connexion, actions sensibles (suppression compte, paiement, etc.)

3.3 Données que nous ne collectons JAMAIS

• ❌ Numéros de carte bancaire (traités exclusivement par Stripe, jamais transitant par nos serveurs)
• ❌ Numéro de sécurité sociale ou identifiants fiscaux
• ❌ Données de santé sensibles (sauf catégories explicites sur caledosante avec consentement)
• ❌ Opinions politiques, religieuses, syndicales, orientation sexuelle
• ❌ Données biométriques (empreintes, reconnaissance faciale)

4. À quoi servent ces données ?

Chaque donnée collectée sert exclusivement à une ou plusieurs des finalités suivantes :

5. Base légale du traitement

Chaque traitement repose sur l'une des six bases légales prévues par l'article 6 du RGPD :

1. Consentement (art. 6-1-a) : géolocalisation précise, notifications push, cookies non essentiels (si applicable)
2. Exécution du contrat (art. 6-1-b) : création compte, publication annonces, messagerie, paiement
3. Obligation légale (art. 6-1-c) : conservation factures (10 ans Code de commerce), réquisitions judiciaires
4. Intérêt légitime (art. 6-1-f) : sécurité, prévention de fraude, statistiques anonymisées

Vous pouvez à tout moment retirer votre consentement pour les traitements basés sur cette base légale, sans que cela ne remette en cause la licéité du traitement effectué avant ce retrait.

6. Où vos données sont-elles stockées ?

L'architecture technique de l'écosystème CaleDoHub repose sur trois localisations distinctes :

7. Avec qui partageons-nous vos données ?

Les destinataires de vos données sont strictement limités aux sous-traitants techniques nécessaires au fonctionnement de la plateforme. Aucune donnée n'est vendue ni cédée à des tiers à des fins commerciales.

Les sous-traitants n'accèdent à vos données que dans la stricte limite nécessaire à l'exécution de leur prestation, sous notre instruction écrite, et sont contractuellement tenus à des obligations équivalentes au RGPD (article 28).

Aucune communication n'est faite à des tiers en deho2s de ces sous-traitants, sauf réquisition judiciaire émanant d'une autorité compétente.

8. Durées de conservation

Vos données sont conservées le temps strictement nécessaire à la finalité poursuivie, puis archivées ou supprimées :

9. Vos droits

Conformément au RGPD, à la loi I&L 78-17 et à la loi du pays n° 2019-7, vous disposez à tout moment des droits suivants sur vos données :

1. Droit d'accès (art. 15 RGPD) : obtenir une copie complète des données vous concernant
2. Droit de rectification (art. 16 RGPD) : corriger une donnée inexacte ou incomplète
3. Droit à l'effacement (art. 17 RGPD) : "droit à l'oubli" — supprimer toutes vos données
4. Droit à la limitation (art. 18 RGPD) : geler temporairement un traitement
5. Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format JSON structuré et réutilisable
6. Droit d'opposition (art. 21 RGPD) : refuser un traitement basé sur l'intérêt légitime
7. Droit de retirer son consentement à tout moment, pour les traitements basés sur cette base légale
8. Directives post-mortem (art. 84 loi du pays NC 2019-7) : définir ce qu'il advient de vos données après votre décès

👉 Pour exercer vos droits, consultez notre page RGPD dédiée ou contactez directement le DPO : contact@deep-com.com.

Délai de réponse : 1 mois maximum (prorogeable à 3 mois pour les demandes complexes, avec information préalable).

En cas de désaccord, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr/fr/plaintes.

10. Mesures de sécurité

Nous appliquons des mesures techniques et organisationnelles strictes pour protéger vos données :

Mesures techniques

• Chiffrement en transit : TLS 1.2+ sur toutes les communications (HTTPS obligatoire, HSTS activé)
• Chiffrement au repos : AES-256 sur Firebase (Firestore, Storage, Auth) et Hostinger
• Hachage des mots de passe : bcrypt avec sel aléatoire côté Firebase Auth — Deep Events n'a jamais accès aux mots de passe en clair
• Authentification 2FA : disponible et recommandée sur tous les comptes pro
• Règles Firestore strictes : règles déclaratives v1.2 limitant l'accès aux seules données autorisées par utilisateur (vérification côté serveur, pas seulement côté client)
• Cloud Functions sécurisées : actions sensibles (suppression compte, paiement) traitées exclusivement en backend authentifié, jamais directement par le client
• Sauvegardes automatiques : PITR (Point-In-Time Recovery) Firestore actif sur 7 jours + snapshots quotidiens sur 30 jours
• Anonymisation IP : automatique au-delà de 30 jours

Mesures organisationnelles

• Accès aux données restreint au strict besoin opérationnel
• Tous les sous-traitants ont signé un DPA (Data Processing Agreement) conforme art. 28 RGPD
• Journalisation et audit des accès administrateurs
• Plan de réponse aux incidents documenté
• Sensibilisation continue aux risques (phishing, ingénierie sociale)

11. Cookies et traceurs

L'écosystème CaleDoHub utilise un nombre extrêmement limité de cookies et traceurs, tous strictement nécessaires au fonctionnement du service. Consultez la politique cookies détaillée pour la liste exhaustive.

Les seuls éléments stockés localement sur votre navigateur sont :

• Un cookie de session strictement nécessaire au maintien de votre connexion Firebase Auth
• Le stockage sessionStorage pour vos préférences temporaires (mode invité, code d'accès bêta)
• L'IndexedDB Firebase pour la persistance hors-ligne de l'authentification

12. Données des mineurs

L'écosystème CaleDoHub est réservé aux utilisateurs majeurs (18 ans et plus). Lors de l'inscription, l'utilisateur déclare sur l'honneur être majeur.

Si nous découvrons qu'un compte appartient à un mineur :

• Le compte est immédiatement suspendu
• Toutes les données associées sont supprimées sous 7 jours
• Le représentant légal est informé si possible

Le site caledokids.com est destiné aux activités enfants & famille mais ses comptes sont créés et gérés exclusivement par des parents majeurs.

13. Profilage et décisions automatisées

Deep Events SARL ne prend aucune décision automatisée ayant un effet juridique significatif vous concernant, au sens de l'article 22 du RGPD.

Le seul traitement automatique opéré est :

• Le filtrage anti-spam et anti-fraude (intérêt légitime de protection)
• Le tri par pertinence dans les résultats de recherche (basé sur des critères neutres : récence, catégorie, distance, popularité)

Aucun scoring publicitaire, aucune décision de crédit, aucune sélection automatique d'utilisateurs n'est effectuée.

14. Violation de données personnelles

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Deep Events SARL s'engage à :

1. Notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation (article 33 RGPD)
2. Vous informer dans les meilleurs délais si le risque est élevé, avec une description claire de l'incident, des données concernées, des mesures prises et des recommandations à suivre (article 34 RGPD)
3. Mettre en place toutes les mesures correctives nécessaires pour limiter les dommages
4. Documenter l'incident dans le registre des violations

15. Contact & réclamations

Pour toute question relative à vos données personnelles, exercice d'un droit, signalement d'un incident :

Cette politique de confidentialité peut être amendée pour s'adapter à l'évolution légale, technique ou opérationnelle. Toute modification substantielle vous sera notifiée par email et/ou par bandeau d'information sur le site avant son entrée en vigueur.