Politique de confidentialité

1. Préambule

Probook attache une importance fondamentale à la protection de votre vie privée et à la sécurité de vos données personnelles. La présente politique a pour objet de vous informer, en toute transparence, sur la manière dont Probook collecte, utilise, conserve et protège les données personnelles qui lui sont confiées dans le cadre de l'utilisation de sa plateforme et de ses services.

Cette politique s'applique à trois catégories distinctes de personnes concernées :

• les gérants de salon abonnés à la plateforme Probook, qui en sont les utilisateurs professionnels ;
• les clients finaux des salons, qui utilisent les outils de réservation en ligne ou dont les données figurent dans le fichier client géré par leur salon via Probook ;
• les visiteurs du site probook.ch et des pages vitrines des salons.

Elle est rédigée en conformité avec la nouvelle Loi fédérale suisse sur la protection des données (nLPD, entrée en vigueur le 1er septembre 2023) ainsi qu'avec le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), applicable dès lors qu'un résident de l'Union européenne est concerné.

2. Responsable du traitement

Le responsable du traitement, au sens de la nLPD et de l'article 4 du RGPD, est Probook, entreprise suisse, joignable par voie postale à l'adresse indiquée en pied de page et par voie électronique à hello@probook.ch.

Précision importante. S'agissant des données saisies par les salons utilisateurs concernant leurs propres clients finaux (fiches clients, rendez-vous, notes, photographies avant/après, historique de prestations, factures), Probook agit en qualité de sous-traitant au sens de la nLPD et du RGPD. Le salon utilisateur conserve la qualité de responsable du traitement à l'égard de ces données. Un accord de sous-traitance (Data Processing Agreement) est mis à disposition sur simple demande adressée à hello@probook.ch.

3. Données personnelles collectées

Les catégories de données collectées varient selon votre qualité (gérant, client final ou simple visiteur). Probook s'attache à ne collecter que les données strictement nécessaires aux finalités décrites au point 4.

3.1. Données du gérant de salon (titulaire d'un compte Probook)

• identité : nom, prénom, civilité ;
• coordonnées : adresse email, numéro de téléphone ;
• identifiants : mot de passe (stocké sous forme chiffrée et irréversible) ;
• données professionnelles : raison sociale du salon, adresse postale, numéro de TVA le cas échéant, sous-domaine choisi ;
• données bancaires et financières : IBAN, identifiant Stripe Connect lorsque l'encaissement en ligne est activé, historique de facturation, statut d'abonnement ;
• données d'usage : préférences d'interface, journaux de connexion, actions effectuées dans l'application.

3.2. Données du client final (collectées par et pour le compte du salon)

• identité : nom, prénom, civilité ;
• coordonnées : email, téléphone (utilisés pour les confirmations et rappels de rendez-vous) ;
• données relatives aux rendez-vous : historique des rendez-vous passés et à venir, prestations choisies, collaborateur favori, durée, statut (confirmé, annulé, honoré) ;
• données métier : notes du salon, fiches techniques (couleur, allergies, préférences), photographies avant/après lorsque téléversées par le salon ;
• données de paiement : montant des prestations, mode de règlement, factures. Aucune donnée bancaire complète n'est stockée par Probook : le numéro de carte et le cryptogramme sont traités directement par le prestataire de paiement.

3.3. Données des visiteurs du site et des pages vitrines

• adresse IP et identifiant technique de connexion ;
• type de navigateur, système d'exploitation, langue ;
• pages consultées, durée de consultation, source de provenance ;
• cookies techniques strictement nécessaires (voir politique cookies).

4. Finalités du traitement

Les données collectées sont traitées exclusivement pour les finalités suivantes :

• Fourniture du service : création et gestion du compte gérant, mise à disposition des fonctionnalités de la plateforme (agenda, fiche client, caisse, facturation, statistiques, page vitrine, sous-domaine).
• Réservation en ligne : traitement des demandes de rendez-vous des clients finaux, envoi des confirmations et rappels par email et SMS.
• Facturation et comptabilité : édition des factures d'abonnement, prélèvement automatique, conservation des justificatifs comptables.
• Support utilisateur : réponse aux demandes adressées au support, accompagnement, dépannage.
• Amélioration du service : analyse statistique anonymisée des usages afin d'améliorer l'ergonomie et la fiabilité de la plateforme.
• Sécurité : prévention de la fraude, détection des intrusions, limitation des abus (rate limiting), protection contre les attaques automatisées.
• Respect des obligations légales : conservation des pièces comptables et fiscales, réponse aux demandes des autorités compétentes le cas échéant.

5. Bases légales du traitement

Chaque traitement repose sur une base légale identifiée :

• Exécution du contrat conclu entre le salon et Probook pour la fourniture du service d'abonnement.
• Intérêt légitime de Probook pour la sécurité de la plateforme, la prévention de la fraude et l'amélioration continue du produit.
• Consentement de la personne concernée pour les traitements optionnels (dépôt de cookies non strictement nécessaires, communications commerciales).
• Obligation légale de conservation des pièces comptables (durée de 10 ans selon le Code des obligations suisse).

6. Destinataires et sous-traitants

Pour fournir le service, Probook recourt à des sous-traitants techniques soigneusement sélectionnés. Chacun est lié à Probook par un contrat conforme à la nLPD et au RGPD, garantissant un niveau de protection adéquat des données. Aucune donnée n'est vendue, louée ou transmise à des tiers à des fins commerciales ou publicitaires.

• Supabase - base de données PostgreSQL, authentification et stockage de fichiers. Hébergement dans l'Union européenne (Stockholm, Suède, région eu-north-1).
• Vercel Inc. - hébergement et diffusion de l'application web. Siège aux États-Unis, certifié au titre du Data Privacy Framework UE-États-Unis et de son extension suisse.
• Stripe Payments Europe Ltd et Stripe, Inc. - traitement des paiements d'abonnement et, le cas échéant, encaissement des rendez-vous via Stripe Connect. Conforme PCI-DSS, certifié Data Privacy Framework.
• Resend - acheminement des emails transactionnels (confirmation de compte, factures, confirmations et rappels de rendez-vous).
• Upstash (QStash) - programmation et déclenchement des messages différés (notamment rappels SMS et emails programmés). Hébergement européen disponible.
• Cloudflare - service Turnstile de protection anti-bot sur les formulaires publics.
• Prestataire d'envoi de SMS - acheminement technique des SMS de rappel et de confirmation.

La liste actualisée des sous-traitants, ainsi que leur localisation et leurs garanties de conformité, est tenue à jour et communiquée sur simple demande à hello@probook.ch.

7. Transferts hors Union européenne et hors Suisse

Vos données sont stockées et traitées par défaut au sein de l'Espace économique européen. Toutefois, certains sous-traitants techniques (notamment Vercel et Stripe pour leur entité américaine) peuvent procéder à des transferts ou à un accès depuis les États-Unis dans le cadre de leurs opérations techniques.

Ces transferts sont encadrés par les garanties prévues par la réglementation, à savoir :

• les Clauses Contractuelles Types adoptées par la Commission européenne et reconnues par le Préposé fédéral à la protection des données et à la transparence (PFPDT) ;
• la certification des prestataires au titre du Data Privacy Framework UE-États-Unis et de son extension suisse-États-Unis, reconnue par décision d'adéquation ;
• des mesures techniques complémentaires (chiffrement, pseudonymisation, contrôles d'accès) destinées à renforcer le niveau de protection.

8. Durées de conservation

Probook conserve les données pendant la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées :

• Compte gérant actif : pendant toute la durée du contrat d'abonnement.
• Compte gérant résilié : les données du compte et de son tenant sont supprimées 30 jours après la fin effective du contrat, sauf demande expresse de prolongation ou obligation légale contraire.
• Données de clients finaux : conservées tant que le salon utilise Probook, puis pendant 5 ans après la dernière interaction documentée, sauf demande de suppression anticipée par le client final ou par le salon.
• Factures et pièces comptables : 10 ans, conformément à l'article 958f du Code des obligations suisse.
• Journaux techniques et logs de sécurité : 90 jours en accès opérationnel, archivés ensuite sous forme anonymisée.
• Sauvegardes : les sauvegardes de la base de données sont conservées 30 jours par notre prestataire d'hébergement, puis écrasées par rotation.

9. Droits des personnes concernées

Conformément à la nLPD suisse et au RGPD, vous disposez à tout moment des droits suivants sur les données personnelles vous concernant :

• Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir copie.
• Droit de rectification : faire corriger des données inexactes ou incomplètes.
• Droit à l'effacement (droit à l'oubli) : demander la suppression de vos données, sous réserve des obligations légales de conservation pesant sur Probook.
• Droit à la limitation du traitement dans certaines circonstances.
• Droit à la portabilité : récupérer vos données dans un format structuré, couramment utilisé et lisible par machine, ou en demander la transmission directe à un autre responsable de traitement lorsque cela est techniquement possible.
• Droit d'opposition : vous opposer, pour des raisons tenant à votre situation particulière, au traitement de vos données fondé sur l'intérêt légitime de Probook.
• Droit de retrait du consentement à tout moment, sans que cela n'affecte la licéité du traitement effectué avant le retrait.
• Droit de définir des directives relatives au sort de vos données après votre décès.
• Droit d'introduire une réclamation auprès d'une autorité de contrôle : le PFPDT en Suisse ( www.edoeb.admin.ch ) ou l'autorité de contrôle compétente dans votre pays de résidence si vous résidez dans l'Union européenne (par exemple la CNIL en France : www.cnil.fr).

10. Comment exercer vos droits

Pour exercer l'un quelconque des droits décrits ci-dessus, il suffit d'adresser une demande, par voie électronique, à hello@probook.ch. Afin de prévenir toute usurpation d'identité, Probook peut être amené à vous demander un justificatif d'identité avant de traiter votre demande.

Probook s'engage à répondre à votre demande dans un délai maximum de 30 jours à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande particulièrement complexe ou en cas de pluralité de demandes, après information préalable.

Si vous êtes un client final d'un salon utilisant Probook, votre demande doit en principe être adressée directement au salon concerné, qui est responsable du traitement de vos données. Probook répercutera néanmoins toute demande reçue vers le salon concerné dans les meilleurs délais.

11. Sécurité des données

Probook met en oeuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

• chiffrement des communications en transit via le protocole TLS (HTTPS sur l'ensemble des points d'accès) ;
• chiffrement des données au repos sur l'infrastructure d'hébergement ;
• cloisonnement strict des données entre salons via un mécanisme de multi-tenant et de contrôle d'accès au niveau de la base de données (Row Level Security PostgreSQL) ;
• authentification forte des comptes gérants, mots de passe stockés sous forme hachée et salée, expiration automatique des sessions ;
• limitation du nombre de requêtes par minute pour prévenir les attaques par force brute et les abus automatisés ;
• journalisation des actions sensibles et audit de sécurité régulier ;
• formation et sensibilisation des intervenants ayant accès aux données ;
• procédure documentée de gestion des incidents de sécurité, incluant la notification aux autorités compétentes et aux personnes concernées dans les délais réglementaires.

12. Violations de données

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Probook notifie l'autorité de contrôle compétente (PFPDT en Suisse ou autorité de contrôle européenne) dans un délai de 72 heures après en avoir pris connaissance, conformément aux obligations légales en vigueur. Les personnes concernées sont informées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits.

13. Mineurs

La plateforme Probook s'adresse exclusivement à des professionnels majeurs exerçant une activité commerciale dans le domaine de la beauté et de la coiffure. Probook ne collecte pas sciemment de données concernant des mineurs de moins de 16 ans. Si vous estimez qu'un mineur a communiqué des données via la plateforme sans autorisation parentale, vous pouvez en informer Probook à hello@probook.ch : les données concernées seront supprimées sans délai.

14. Cookies

Les modalités de dépôt et d'utilisation des cookies sur le site et la plateforme sont décrites de manière détaillée dans la politique en matière de cookies.

15. Modifications de la présente politique

Probook se réserve le droit de modifier la présente politique de confidentialité à tout moment afin de l'adapter à l'évolution de la plateforme, de ses services ou de la réglementation applicable. Toute modification substantielle est portée à la connaissance des utilisateurs concernés par email ou par notification au sein de la plateforme, au moins 30 jours avant son entrée en vigueur. La date de mise à jour figurant en tête du document permet d'identifier rapidement la version applicable.

16. Contact et délégué à la protection des données

Compte tenu de la taille et de la nature de ses activités, Probook n'a pas désigné de délégué à la protection des données (DPO) au sens de l'article 37 du RGPD. Toutes les demandes relatives à la protection des données peuvent être adressées à l'équipe support, qui en assure le traitement avec diligence :

Email : hello@probook.ch

Voie postale : Probook, Chemin de la Croix 1, 1580 Avenches, Suisse.