Politique de confidentialité — Espace professionnel

Dernière mise à jour : 10 mai 2026

1. Préambule

La présente politique décrit comment NL NIGHT'LIFE traite les données à caractère personnel des professionnels (gérants d'établissements, associations / BDE, prestataires événementiels, membres du staff) qui utilisent le Dashboard professionnel, l'application Night'Life Pro ou la marketplace prestataires.

Elle est rédigée conformément au Règlement (UE) 2016/679 (« RGPD », notamment articles 12 à 14) et à la loi n° 78-17 du 6 janvier 1978 dite « Informatique et Libertés ». Une politique distincte couvre les utilisateurs finaux de l'application mobile B2C (consultable ici).

2. Responsable du traitement

Le responsable du traitement des données personnelles est :

NL NIGHT'LIFE

SAS au capital de 1 112,00 €

44 Chemin de la Rive Bergère, 06480 La Colle-sur-Loup

RCS Antibes 931 965 461 — SIRET 931 965 461 00011

Présidence : Timothée Herblin & Julie Huret--Tanguy

Référent protection des données

Co-référents internes désignés : Timothée Herblin et Julie Huret--Tanguy

Email RGPD : support@nightlife-pro.com (objet : « Protection des données »)

Email général : contact@nightlife-pro.com

NL NIGHT'LIFE n'a pas l'obligation de désigner un Délégué à la protection des données (DPO) formel au sens de l'article 37 du RGPD à la date de la présente politique. Deux co-référents internes ont néanmoins été nommés pour instruire l'ensemble des demandes relatives à la protection des données et tenir le registre des traitements (art. 30).

3. Catégories de personnes concernées

La présente politique vise les catégories suivantes :

  • Professionnels gestionnaires : gérants ou représentants légaux d'établissements (bars, clubs, restaurants-bars, lounges) inscrits sur le Dashboard
  • Associations & BDE : représentants d'associations étudiantes ou loi 1901 organisant des événements via la plateforme
  • Prestataires événementiels : DJ, artistes, photographes, vidéastes, agents de sécurité, décorateurs inscrits sur la marketplace prestataires
  • Membres du staff : équipiers (bar, salle, entrée, marketing) ajoutés par un gérant à son établissement
  • Prospects commerciaux : établissements démarchés par l'équipe Night'Life avant inscription
  • Demandeurs de revendication : personnes physiques sollicitant la récupération d'une fiche établissement créée par Night'Life

4. Données collectées

4.1 Données d'identification (gérants & représentants)

  • Nom, prénom du gérant / représentant légal
  • Adresse email professionnelle
  • Numéro de téléphone
  • Mot de passe (haché avec bcrypt, jamais stocké en clair)
  • Adresse postale, ville, code postal, pays

4.2 Données relatives à l'établissement

  • Raison sociale, SIRET, adresse de l'établissement
  • Catégorie (bar, club, restaurant-bar), style général, styles musicaux, ambiance
  • Photos de profil, de couverture et publications (téléchargées sur Supabase Storage)
  • Menus, carte des boissons, horaires d'ouverture
  • Plan de salle et configuration des tables (zones, étages, capacité)
  • Code vestimentaire, restrictions d'âge, capacité, clientèle cible
  • Coordonnées GPS (latitude, longitude) pour l'affichage sur la carte
  • Informations d'accès (parking, transports, points de repère)
  • Filtres et caractéristiques détaillés (services, accessibilité PMR)
  • Site web, liens vers réseaux sociaux

4.3 Données spécifiques aux associations / BDE

  • Nom de l'école / faculté de rattachement
  • Numéro RNA (récépissé de déclaration en préfecture)
  • Statuts de l'association (PDF)
  • Email et téléphone du président de l'association (pour la conformité KYC Stripe Connect)

4.4 Données spécifiques aux prestataires

  • Nom artiste / société, type (DJ, artiste, photographe, vidéaste, sécurité, décoration)
  • Description, biographie publique, ville d'exercice
  • Photo de profil, portfolio (URLs photos / vidéos / SoundCloud)
  • Tarif minimum / maximum estimés, années d'expérience, tags / spécialités
  • Email et téléphone de contact
  • Liens réseaux sociaux (Instagram, SoundCloud, site web, YouTube)
  • Disponibilités et dates indisponibles
  • Avis reçus, demandes de booking, messages échangés avec les pros

4.5 Données du staff d'établissement

Lorsqu'un gérant ajoute un membre du staff, il agit en tant que responsable de traitement vis-à-vis de ce salarié. NL NIGHT'LIFE intervient comme sous-traitant au sens de l'article 28 du RGPD pour le simple stockage de ces données.

  • Nom, prénom, email, téléphone
  • Rôle (admin, manager, bartender, serveur, entrée, marketing, autre)
  • Notes RH internes (saisies par le gérant)
  • Plannings (dates et heures de service)

4.6 Données financières et bancaires

  • Identifiants Stripe Customer et Stripe Subscription (les données de carte sont traitées par Stripe et jamais stockées par NL NIGHT'LIFE)
  • Identifiant Stripe Connect Account (pour la billetterie payante — destination charges) et statuts associés (charges_enabled, payouts_enabled, exigences KYC)
  • IBAN (référence interne — non utilisé pour l'attribution NLP, désormais déclenchée par scan QR client validé par le pro)
  • Historique de facturation et abonnement (Essential / Pro / Elite / NL Business)
  • Historique de transactions de billetterie (commandes, billets émis, montants)

4.7 Documents légaux et justificatifs (KYC)

  • Extrait KBIS (URL du document stocké sur Supabase Storage)
  • Pièce d'identité du représentant légal
  • Licence de débit de boissons (le cas échéant)
  • Statuts de l'association (BDE / loi 1901)
  • Documents transmis à Stripe pour la conformité Stripe Connect (KYC, vérification d'identité, justificatif d'adresse)

4.8 Données relatives à l'intelligence artificielle

  • Ton de communication IA choisi (formel, amical, décontracté, personnalisé)
  • Instructions personnalisées et contexte fourni à l'IA
  • Paramètres de réponse automatique (avis clients, messages clients)
  • Langue de l'IA, compteur d'utilisation quotidien
  • Historique des interactions IA (type d'action, prompts d'entrée, réponses générées, statut accepté/rejeté)

4.9 Données d'utilisation du Service

  • Logs de connexion, adresses IP, type de navigateur, système d'exploitation
  • Actions réalisées sur le Dashboard (publications, événements, réservations, CRM, messagerie)
  • Statistiques de fréquentation et performance de l'établissement
  • Historique des campagnes marketing (boost, hero banner, notifications push, email, SMS, CPM/CPC)
  • Solde et historique NLP (dépenses marketing, packs achetés)
  • Historique de support (tickets, messages avec l'équipe Night'Life)
  • Notifications push reçues sur l'application Pro (tokens FCM/APNs)

5. Finalités et bases légales du traitement

Conformément à l'article 6 du RGPD, chaque traitement repose sur l'une des bases légales suivantes :

FinalitéBase légale (Art. 6 RGPD)
Création et gestion du compte professionnelExécution du contrat (art. 6.1.b)
Fourniture du Dashboard, marketplace prestataires, billetterieExécution du contrat (art. 6.1.b)
Traitement des paiements et facturation des abonnementsExécution du contrat (art. 6.1.b)
Vérification d'identité (KYC) et conformité Stripe ConnectObligation légale (art. 6.1.c) — directives anti-blanchiment
Conservation des factures et pièces comptablesObligation légale (art. 6.1.c) — art. L123-22 Code commerce
Détection des transactions bancaires pour le cumul NLP des utilisateursExécution du contrat (art. 6.1.b)
Communication relative au Service (notifications, support, mises à jour)Exécution du contrat (art. 6.1.b)
Communications marketing (newsletters, conseils produit)Consentement (art. 6.1.a) — opt-in à l'inscription
Amélioration du Service, statistiques anonymisées, prévention de la fraudeIntérêt légitime (art. 6.1.f)
Modération des contenus publiés et signalementsIntérêt légitime (art. 6.1.f) + obligation légale (LCEN)
Génération de réponses IA aux avis et messagesExécution du contrat (art. 6.1.b) — fonctionnalité optionnelle activable par le pro

L'intérêt légitime invoqué fait l'objet d'une mise en balance avec les droits et libertés des personnes concernées (test LIA — Legitimate Interest Assessment). Vous pouvez vous opposer à tout traitement fondé sur l'intérêt légitime (cf. article 8 ci-dessous).

6. Sous-traitants et destinataires

Conformément à l'article 28 du RGPD, NL NIGHT'LIFE a conclu des accords de sous-traitance écrits (Data Processing Agreements / DPA) avec chacun des prestataires ci-dessous, garantissant un niveau de protection équivalent au RGPD.

Sous-traitantFinalitéLocalisation
Stripe Payments Europe LtdPaiement abonnements et billetterie (Stripe Connect destination charges)Irlande / États-Unis (CCT + DPF)
Supabase Inc. (infrastructure AWS)Base de données PostgreSQL et stockage de fichiersAWS eu-west-3 Paris (données) — Supabase siège Singapour
Railway Corp.Hébergement applicatif (API backend, Dashboard Pro, Dashboard Admin)Siège États-Unis / infrastructure Europe (Irlande) — CCT + DPF
Resend Inc.Envoi d'emails transactionnels et marketingÉtats-Unis (CCT + DPF)
Sentry / Functional Software Inc.Supervision technique et journalisation des erreursÉtats-Unis (CCT + DPF)
Expo Inc. / Apple Push (APNs) / Firebase Cloud Messaging (Google)Notifications push application ProÉtats-Unis (CCT + DPF)
Anthropic PBCModèles d'IA Claude (génération de réponses, recommandations, IA campagne)États-Unis (CCT + DPF — option Zero Data Retention activée)
KlipyBibliothèque de stickers et GIFs intégrée aux stories / publicationsÉtats-Unis (CCT + DPF)

Aucune donnée n'est vendue à des tiers à des fins commerciales. La liste à jour des sous-traitants est disponible sur simple demande à l'adresse contact.

7. Transferts hors Union européenne

Plusieurs sous-traitants ont leur siège aux États-Unis (Railway, Stripe pour la partie extra-européenne, Resend, Sentry, Expo, Apple, Google, Anthropic, Klipy). Ces transferts sont encadrés conformément aux articles 44 et suivants du RGPD par :

  • les Clauses contractuelles types (CCT) adoptées par la Commission européenne (décision (UE) 2021/914)
  • la certification au EU-U.S. Data Privacy Framework (DPF) lorsque le sous-traitant y a adhéré

La base de données principale et le stockage de fichiers(photos, KBIS, pièces d'identité, statuts, etc.) sont localisés en France (Supabase / AWS eu-west-3 Paris). L'hébergement applicatif (API backend, Dashboard Pro, Dashboard Admin) est assuré par Railway en Europe (Irlande). Les flux entre la couche applicative (Irlande) et la base de données (France) demeurent à l'intérieur de l'Union européenne. Le détail des garanties pour chaque transfert est disponible sur demande.

8. Durées de conservation

  • Données de compte professionnel : durée de l'abonnement + 3 ans après la résiliation à des fins de prospection commerciale, sauf opposition
  • Données comptables et factures : 10 ans à compter de la clôture de l'exercice (art. L123-22 du Code de commerce)
  • Documents d'identité (KBIS, CNI, statuts) : durée de la relation contractuelle + 5 ans (LCB-FT — art. L561-12 CMF)
  • Données Stripe Connect : durée du compte Connect + 5 ans (obligations LCB-FT)
  • Logs de connexion et adresses IP : 12 mois (art. L34-1 CPCE)
  • Attributions NLP (scans QR client) : durée de l'abonnement (preuve d'attribution NLP, audit du programme)
  • Données de pré-inscription : jusqu'au lancement officiel ou 24 mois maximum, puis suppression
  • Tickets de support : 3 ans après résolution
  • Interactions IA (`AiInteraction`) : durée du compte (audit qualité et amélioration du service)
  • Candidatures prestataires refusées : 6 mois
  • Données de prospects (CRM) : 3 ans à compter du dernier contact

9. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès (art. 15) — obtenir une copie des données vous concernant
  • Droit de rectification (art. 16) — corriger des données inexactes ou incomplètes
  • Droit à l'effacement (art. 17) — sous réserve des obligations légales de conservation
  • Droit à la limitation (art. 18) — restreindre temporairement le traitement
  • Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré, lisible par machine
  • Droit d'opposition (art. 21) — y compris à la prospection commerciale, à tout moment et sans motif
  • Droit de retirer votre consentement (art. 7) — pour les traitements fondés sur le consentement
  • Droit de définir des directives post-mortem (art. 85 LIL)

Pour exercer ces droits, écrivez à contact@nightlife-pro.com en joignant un justificatif d'identité. Réponse sous un mois (prorogeable de deux mois pour les demandes complexes — art. 12.3 RGPD).

Réclamation : en cas de désaccord sur le traitement de vos données, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

10. NL NIGHT'LIFE en qualité de sous-traitant

Lorsque vous utilisez les fonctionnalités de campagnes marketing (notifications push, email, SMS, CRM avancé) à destination de vos propres clients, NL NIGHT'LIFE agit en qualité de sous-traitant au sens de l'article 28 du RGPD pour le compte de votre établissement, qui demeure responsable du traitement vis-à-vis de ses clients finaux.

Les conditions de cette sous-traitance sont précisées dans l'Accord de traitement des données (DPA) intégré aux Conditions Générales d'Utilisation. Le Professionnel s'engage notamment à ne traiter via la plateforme que des données dont il a la base légale, à informer ses clients conformément aux articles 13/14 du RGPD, et à recueillir leur consentement préalable lorsque la prospection l'exige (art. L34-5 CPCE pour la prospection email/SMS B2C).

11. Sécurité (art. 32 RGPD)

NL NIGHT'LIFE met en œuvre des mesures techniques et organisationnelles appropriées :

  • Chiffrement des communications en transit (TLS 1.2+)
  • Chiffrement au repos des bases de données (AWS RDS)
  • Hachage des mots de passe avec bcrypt (coût ≥ 10)
  • Authentification par tokens JWT à durée limitée et refresh tokens rotatifs
  • Contrôle d'accès par rôles (RBAC) avec séparation pro / utilisateur / admin
  • Journalisation des accès administrateurs (AdminAuditLog)
  • Sauvegardes chiffrées quotidiennes
  • Hébergement applicatif Railway en Europe (Irlande), base de données Supabase/AWS eu-west-3 (Paris)
  • Procédure documentée de notification de violation (art. 33-34 RGPD) sous 72 heures

12. Cookies

Le Dashboard et le site de pré-inscription utilisent uniquement des cookies et technologies de stockage strictement nécessaires au fonctionnement (authentification JWT en localStorage, préférences de session). Aucun cookie publicitaire ou de traçage tiers n'est déployé.

13. Modifications

La présente politique peut être modifiée pour refléter une évolution réglementaire ou des fonctionnalités du Service. La date de dernière mise à jour figure en tête de page. Toute modification substantielle vous sera notifiée par email ou via le Dashboard au moins 15 jours avant son entrée en vigueur.

14. Contact

NL NIGHT'LIFE
44 Chemin de la Rive Bergère, 06480 La Colle-sur-Loup
Email : contact@nightlife-pro.com