Politique de confidentialité
Dernière mise à jour : 2 mai 2026
1. Introduction
Happenin s'engage à protéger la vie privée de ses utilisateurs. Cette politique de confidentialité explique quelles données nous collectons, pourquoi nous les collectons et comment nous les utilisons.
En utilisant Happenin, vous acceptez les pratiques décrites dans cette politique.
1 bis. Responsable de traitement
Le responsable de traitement est TRANCHIER JULES (Entrepreneur Individuel), 8 rue André Salel, 92260 Fontenay-aux-Roses, France — SIRET 802 069 260 00031. Le passage en SASU est en cours et fera l'objet d'une mise à jour de la présente politique. Pour toute question relative à vos données, contactez le référent RGPD à l'adresse indiquée à la section « Contact ».
2. Données collectées
Nous collectons les données suivantes :
- Données de compte : nom d'affichage, adresse email, mot de passe (chiffré), avatar.
- Données d'événements : titre, description, catégorie, adresse, coordonnées GPS.
- Données de localisation : votre position géographique (uniquement si vous l'autorisez dans votre navigateur).
- Données d'utilisation : pages visitées, interactions avec la carte, demandes de participation.
- Données de paiement : gérées exclusivement par Stripe. Happenin ne stocke jamais vos informations de carte bancaire.
3. Finalités du traitement
Vos données sont utilisées pour :
- Fournir et améliorer le service Happenin.
- Afficher les événements à proximité de votre position.
- Gérer les demandes de participation aux événements.
- Vous envoyer des notifications liées à votre compte (demandes acceptées, rappels).
- Traiter les paiements pour les boosts d'événements.
- Assurer la sécurité et prévenir les abus.
4. Bases légales par traitement (RGPD art. 6)
Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale identifiée :
| Traitement | Base légale |
|---|---|
| Création et gestion du compte | Exécution du contrat (CGU acceptées à l'inscription) — art. 6.1.b |
| Géolocalisation pour la carte et la recherche à proximité | Consentement explicite, révocable à tout moment — art. 6.1.a |
| Notifications push et email (rappels, demandes acceptées) | Consentement par catégorie, opt-in séparé — art. 6.1.a |
| Mesure d'audience PostHog (parcours, conversions) | Consentement via le bandeau cookies — art. 6.1.a + ePrivacy |
| Logs Sentry serveur (erreurs applicatives) | Intérêt légitime (sécurité et débogage) — art. 6.1.f |
| Modération et signalements UGC | Obligation légale (LCEN art. 6 + DSA art. 14) — art. 6.1.c |
| Traitement des paiements et facturation billetterie | Exécution du contrat + obligation légale (art. 289 CGI, art. L.123-22 C.com.) — art. 6.1.b et 6.1.c |
5. Partage des données et sous-traitants
Vos données ne sont jamais vendues. Conformément à l'article 28 du RGPD, nous faisons appel à des sous-traitants encadrés par un accord de protection des données (DPA) :
| Sous-traitant | Finalité | Hébergement | Encadrement transfert |
|---|---|---|---|
| Supabase | Hébergement BDD, Auth, Storage | Frankfurt (UE) | DPA — pas de transfert hors UE |
| Stripe | Paiements billetterie + Stripe Connect (à venir) | Irlande + États-Unis | DPA + SCCs + Data Privacy Framework UE-USA |
| Mapbox | Tuiles cartographiques + géocodage | États-Unis | SCCs + Data Privacy Framework UE-USA |
| Vercel | Hébergement application + edge global | États-Unis + Edge global | SCCs + Data Privacy Framework UE-USA |
| Sentry | Monitoring erreurs serveur et client | Frankfurt (UE) | DPA — pas de transfert hors UE |
| PostHog | Mesure d'audience produit (consentement requis) | Frankfurt (UE) | DPA — pas de transfert hors UE |
| Resend | Envoi d'emails transactionnels | États-Unis | DPA + SCCs + Data Privacy Framework UE-USA |
| Cloudflare | DNS + routing email + Turnstile anti-bot | États-Unis + Edge global | DPA + SCCs + Data Privacy Framework UE-USA |
5 ter. Transferts hors Union Européenne
Certains sous-traitants (Resend, Mapbox, Vercel, Cloudflare et Stripe) ont une partie de leur infrastructure hors UE, principalement aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (« SCC ») adoptées par la Commission européenne le 4 juin 2021 et / ou par le Data Privacy Framework (DPF) UE-USA pour les organisations certifiées. Le détail des garanties contractuelles par sous-traitant est documenté dans notre registre DPA, disponible sur demande à l'adresse indiquée à la section « Contact ».
5 quater. Mesure d'audience et identifiants
Avec votre consentement explicite via le bandeau cookies, Happenin utilise PostHog Cloud EU pour mesurer le parcours d'usage (événements consultés, demandes envoyées, participations confirmées). Aucune donnée de profil n'est créée tant que vous n'êtes pas connecté. Une fois connecté, votre identifiant Supabase (UUID v4 aléatoire, non lié à votre identité) est utilisé comme identifiant pour relier les événements de session. Aucune adresse email, nom ou titre d'événement n'est jamais transmis à PostHog. Les données sont conservées 13 mois maximum puis purgées automatiquement. Vous pouvez révoquer ce consentement à tout moment depuis la section « Vos cookies » dans les réglages.
6. Durées de conservation
Conformément au principe de limitation de la conservation (art. 5.1.e RGPD), nous appliquons les durées suivantes :
- Compte actif : durée de vie du compte. En cas d'inactivité, suppression automatique au-delà de 3 ans sans connexion (notification préalable 30 jours avant).
- Chat in-event : 1 an après la fin de l'événement, conformément à l'article 6-II de la LCEN (conservation des logs nécessaires pour identifier les contributeurs en cas de réquisition judiciaire).
- Photos et stories d'événements : durée de vie du compte + 1 an après suppression du compte (puis purge automatique).
- Logs d'accès (IP, user-agent, horodatages) : 1 an, en application du décret n° 2011-219 du 25 février 2011.
- Journal d'audit applicatif (audit_log) : 5 ans, en application de l'article 32 RGPD (sécurité du traitement) et des obligations comptables (art. L.123-22 C.com.).
- Logs d'erreurs Sentry : 90 jours (configuration de rétention par défaut Sentry).
- Événements PostHog : 13 mois maximum (configuration par défaut conforme à la recommandation CNIL sur les durées de conservation des cookies de mesure d'audience).
- Données de facturation et comptables (billetterie) : 10 ans (article L.123-22 du Code de commerce).
- Billets achetés (id, statut, montant, QR code, identifiant acheteur, identifiant événement) : 10 ans à compter de la date de vente, en application de l'obligation légale de conservation des pièces comptables.
- Données de déclaration DAC7 (identification fiscale des organisateurs : nom, adresse, n° TIN/SIRET, montant total perçu par année) : 10 ans à compter de la déclaration, conformément à l'article 1649 ter A du Code général des impôts.
Place de marché (billetterie payante)
Lorsque vous achetez un billet via Happenin ou que vous vendez des billets en tant qu'organisateur professionnel, des traitements de données spécifiques s'appliquent en complément des règles générales ci-dessus.
Les paiements sont traités par notre prestataire Stripe Payments Europe Ltd (Irlande) qui agit en qualité de sous-traitant. Stripe collecte les informations bancaires et de paiement (numéro de carte tokenisé, IP, dispositif) pour exécuter la transaction et lutter contre la fraude. Les organisateurs disposent par ailleurs d'un compte Stripe Connect Express : Stripe collecte alors leurs informations d'identification (pièce d'identité du dirigeant, Kbis, IBAN) directement et agit comme responsable de traitement conjoint pour ces données KYC.
Conformément à la directive européenne 2021/514 (DAC7), Happenin transmet chaque année à la Direction Générale des Finances Publiques (DGFIP) les informations d'identification fiscale des organisateurs qui ont dépassé 2 000 € de revenus ou 30 transactions sur la plateforme dans l'année civile. Ces informations incluent : nom, adresse postale, numéro fiscal (TIN/SIRET), nombre de transactions, montant total perçu. L'organisateur concerné est informé avant la première transmission.
Les organisateurs professionnels acceptent que leur raison sociale, leur statut juridique et l'adresse de leur siège social soient affichés publiquement sur la fiche de leurs événements et sur leur page organisateur, conformément à l'obligation marketplace d'identification du vendeur (article L.521-3-1 du Code de la consommation).
7. Vos droits (RGPD)
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données.
- Droit de rectification : corriger vos données inexactes.
- Droit de suppression : demander la suppression de vos données.
- Droit à la portabilité : recevoir vos données dans un format structuré.
- Droit d'opposition : vous opposer au traitement de vos données.
- Droit à la limitation : geler temporairement le traitement de vos données.
- Droit de retrait du consentement à tout moment, sans porter atteinte à la licéité du traitement effectué avant ce retrait.
Pour exercer ces droits, contactez-nous à : tranchierjules@gmail.com
Nous répondons à toute demande dans un délai d'un mois à compter de sa réception (art. 12.3 RGPD), prorogeable de deux mois si la demande est complexe.
7 bis. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez à tout moment introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — Téléphone : 01 53 73 22 22 — En ligne : www.cnil.fr/plaintes
8. Géolocalisation
Happenin utilise votre localisation pour afficher les événements à proximité. Cette fonctionnalité est optionnelle et nécessite votre autorisation explicite via votre navigateur. Vous pouvez la désactiver à tout moment dans les paramètres de votre appareil. Votre position exacte n'est jamais partagée avec les autres utilisateurs.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données : chiffrement en transit (HTTPS/TLS), chiffrement au repos (AES-256 via Supabase), contrôle d'accès basé sur les rôles (RLS), et authentification sécurisée.
10. Mineurs (RGPD art. 8)
Happenin est interdit aux mineurs de moins de 16 ans, conformément à l'article 8 du RGPD et à l'article 7-1 de la loi Informatique et Libertés. Une case à cocher à l'inscription atteste de votre âge minimum. Si nous apprenons qu'un compte a été créé par une personne de moins de 16 ans, ce compte est immédiatement suspendu et les données associées sont supprimées dans un délai de 30 jours, sauf obligation légale de conservation.
11. Modifications
Cette politique peut être modifiée à tout moment. Les modifications seront publiées sur cette page avec une date de mise à jour. Votre utilisation continue du service après modification constitue votre acceptation.
12. Contact
Pour toute question concernant cette politique, contactez-nous à : tranchierjules@gmail.com
Vous pouvez également adresser une réclamation auprès de la CNIL : www.cnil.fr