Politique de confidentialité

1. Identité du responsable du traitement

Le responsable du traitement de vos données personnelles est :

• Raison sociale : IN THE BOX
• Forme juridique : SASU
• SIRET : 994 106 375 00011
• Siège social : 32 Boulevard du Port, 95000 Cergy
• Représentante légale : Mathilde Schumer, Présidente
• Contact données personnelles : contact@intheboxparis.com

In The Box est une SASU française éditant la plateforme intheboxparis.com et exploitant un café de déconnexion digitale à Paris. En tant que responsable du traitement, nous déterminons les finalités et les moyens de traitement de vos données personnelles.

2. Données personnelles que nous collectons

Nous distinguons deux catégories d'utilisateurs sur la plateforme, qui ne donnent pas lieu aux mêmes collectes.

2.1 Clients (réservation d'ateliers)

Vous n'avez pas besoin de créer un compte pour réserver un atelier. Lors de votre réservation, nous collectons uniquement :

• Nom et prénom — pour identifier votre réservation et vous accueillir le jour J.
• Adresse email — pour vous envoyer la confirmation de réservation et les informations pratiques.
• Numéro de téléphone — pour vous contacter en cas d'imprévu (annulation, changement de dernière minute).
• Données de paiement — collectées et traitées intégralement par Stripe. In The Box ne voit jamais votre numéro de carte bancaire et ne le stocke sur aucun de ses serveurs.

2.2 Organisateurs (espace professionnel)

L'espace organisateur nécessite la création d'un compte. Nous collectons, via différentes étapes du parcours d'inscription :

• Nom, prénom et adresse email professionnelle — via notre outil d'authentification Clerk, lors de la création du compte.
• Mot de passe — chiffré et géré exclusivement par Clerk. In The Box n'a jamais accès à votre mot de passe en clair.
• Numéro SIRET — pour vérifier votre statut professionnel et votre éligibilité à proposer des ateliers.
• Description de votre activité — nom de l'atelier, description, durée, tarif, photo — pour la mise en ligne sur la plateforme.
• Informations bancaires — collectées et sécurisées par Stripe Connect (numéro IBAN, RIB) pour permettre le reversement de vos revenus. In The Box n'y a pas accès directement.
• Identifiant Stripe Connect (acct_xxxxxxxx) — transmis manuellement à In The Box lors de la validation de votre compte pour router les paiements.

2.3 Données techniques (tous utilisateurs)

À chaque visite sur le site, des données techniques sont collectées automatiquement à des fins de bon fonctionnement et de sécurité :

• Adresse IP (anonymisée après traitement)
• Type de navigateur et système d'exploitation
• Pages consultées et durée de visite
• Logs de serveur (gérés par Vercel)

Nous n'utilisons pas de cookies publicitaires ou de traceurs tiers à des fins de ciblage comportemental. Les seuls cookies déposés sont fonctionnels (maintien de la session Clerk pour les organisateurs connectés).

3. Pourquoi nous utilisons vos données — les finalités

3.1 Gestion des réservations

Vos coordonnées (nom, email, téléphone) sont utilisées pour confirmer votre réservation, vous envoyer le récapitulatif, vous alerter en cas de modification ou d'annulation de l'atelier, et vous accueillir le jour J. C'est la finalité principale de la collecte pour les clients.

3.2 Traitement des paiements

Les données nécessaires au paiement sécurisé sont transmises à Stripe, notre prestataire de paiement, qui opère en tant que sous-traitant. Stripe traite les transactions, émet les reçus électroniques et reverse les fonds aux organisateurs via Stripe Connect.

3.3 Gestion des comptes organisateurs

Les données collectées lors de l'inscription et de l'onboarding permettent de créer et gérer votre espace professionnel : publier des ateliers, soumettre des contenus à validation, recevoir des reversements, accéder à votre tableau de bord.

3.4 Communication transactionnelle

Nous vous envoyons des emails à caractère strictement transactionnel : confirmation de réservation, accusé de réception d'un atelier soumis, notification d'approbation ou de rejet, récapitulatif de virement. Nous n'envoyons pas d'emails marketing sans votre consentement explicite.

3.5 Obligations légales et comptables

In The Box conserve les données liées aux transactions financières pour répondre à ses obligations légales : tenue de la comptabilité, émission de justificatifs, archivage des pièces comptables, déclarations fiscales. Cette conservation est imposée par la loi indépendamment de votre consentement.

3.6 Sécurité et prévention de la fraude

Les journaux de connexion et les données techniques sont analysés pour détecter et prévenir les accès non autorisés, les tentatives d'intrusion et les comportements frauduleux sur la plateforme.

4. Base légale de chaque traitement

Conformément au RGPD (article 6), tout traitement de données personnelles doit reposer sur une base légale. Voici les bases que nous appliquons :

4.1 Exécution du contrat (art. 6.1.b RGPD)

C'est la base légale principale pour les clients et les organisateurs. Le traitement de vos données est nécessaire pour vous fournir le service que vous avez demandé : confirmer une réservation, gérer votre compte organisateur, effectuer les paiements et les reversements. Vous ne pouvez pas refuser ce traitement sans renoncer au service.

4.2 Obligation légale (art. 6.1.c RGPD)

Certains traitements sont imposés par la loi française et européenne : conservation des données comptables, communication aux autorités fiscales ou judiciaires en cas de réquisition, lutte contre le blanchiment d'argent. Ces traitements ne nécessitent pas votre consentement.

4.3 Intérêt légitime (art. 6.1.f RGPD)

In The Box se fonde sur son intérêt légitime pour traiter les données techniques de navigation à des fins de sécurité du site, de détection de fraudes et d'amélioration du service. Cet intérêt a été mis en balance avec vos droits fondamentaux et ne vous porte pas préjudice.

4.4 Consentement (art. 6.1.a RGPD)

Si nous souhaitons un jour vous envoyer une newsletter ou des communications marketing, nous vous demanderons un consentement explicite, libre, spécifique et éclairé au préalable. Vous pourrez retirer ce consentement à tout moment, sans que cela affecte la légalité des traitements effectués avant ce retrait.

5. Nos sous-traitants et partenaires

In The Box fait appel à des prestataires tiers pour opérer sa plateforme. Ces prestataires agissent en tant que sous-traitants: ils traitent vos données uniquement sur nos instructions et dans le cadre de leur mission. Nous avons vérifié qu'ils offrent des garanties suffisantes de conformité au RGPD.

5.1 Stripe — Paiements et reversements

5.2 Clerk — Authentification des organisateurs

Clerk, Inc.gère la création de comptes, la connexion sécurisée et la gestion des sessions pour les organisateurs. Clerk chiffre les mots de passe et les tokens de session. Les données d'authentification sont stockées sur des serveurs conformes au RGPD. Politique de confidentialité : clerk.com/legal/privacy.

5.3 Convex — Base de données

Convex, Inc. héberge notre base de données applicative : fiches ateliers, réservations, informations organisateurs. Les données sont chiffrées au repos et en transit. Convex offre des garanties contractuelles de conformité RGPD via DPA (Data Processing Agreement). Politique de confidentialité : convex.dev/privacy.

5.4 Vercel — Hébergement du site

Vercel, Inc.(340 Pine Street, Suite 701, San Francisco, CA 94104, États-Unis) héberge l'infrastructure du site web et traite les journaux de connexion. Les transferts vers les États-Unis sont couverts par des Clauses Contractuelles Types. Politique de confidentialité : vercel.com/legal/privacy-policy.

5.5 Absence de revente de données

In The Box ne vend, ne loue et ne partage jamais vos données personnelles avec des tiers à des fins commerciales ou publicitaires. Nous ne cédons vos données qu'aux sous-traitants listés ci-dessus, dans le strict cadre de leur mission.

6. Transferts de données hors Union Européenne

Certains de nos sous-traitants (Stripe, Vercel) sont établis aux États-Unis. Ces transferts sont encadrés par les mécanismes juridiques reconnus par la Commission Européenne :

• Clauses Contractuelles Types (CCT)— contrats standardisés imposant aux prestataires américains les mêmes obligations de protection qu'au sein de l'UE.
• Certifications sectorielles — Stripe est certifié PCI DSS niveau 1, ce qui couvre la sécurité des données de paiement indépendamment de la localisation.

Convex et Clerk peuvent stocker des données sur des serveurs situés dans l'UE ou couverts par des CCT. Nous mettons à jour ces informations dès qu'un changement intervient chez un prestataire.

7. Durée de conservation de vos données

Nous ne conservons vos données que le temps strictement nécessaire aux finalités pour lesquelles elles ont été collectées. Voici les durées applicables :

7.1 Données de réservation (clients)

• Nom, email, téléphone : 3 ans à compter de la réservation, puis suppression ou anonymisation.
• Historique des transactions : 10 ans à compter de la date de la transaction, conformément à l'obligation légale de conservation des pièces comptables (article L.123-22 du Code de commerce).

7.2 Comptes organisateurs

• Données de compte actif (email, nom, SIRET) : conservées pendant toute la durée d'activité du compte.
• Après fermeture du compte : suppression des données personnelles dans un délai de 30 jours, sauf obligation légale de conservation (comptabilité).
• Données comptables et financières : 10 ans à compter de l'exercice comptable concerné.

7.3 Données techniques (logs)

• Journaux de connexion : 12 mois maximum, conformément aux recommandations de la CNIL.
• Données de navigation anonymisées : 25 mois maximum.

7.4 Données de prospects

Si vous nous avez contactés sans finaliser de réservation ou d'inscription, vos données sont conservées pendant 3 ans à compter du dernier contact, puis supprimées.

8. Vos droits sur vos données personnelles

En tant que personne résidant dans l'Union Européenne, vous disposez de l'ensemble des droits garantis par le RGPD (articles 15 à 22). Voici ce que vous pouvez demander à tout moment :

8.1 Droit d'accès (art. 15 RGPD)

Vous avez le droit d'obtenir la confirmation que nous traitons ou non vos données personnelles, et si oui, d'en recevoir une copie complète ainsi que toutes les informations relatives à ce traitement (finalités, destinataires, durée de conservation, etc.).

8.2 Droit de rectification (art. 16 RGPD)

Si vos données sont inexactes ou incomplètes, vous pouvez nous demander de les corriger ou de les compléter. Nous procéderons à la rectification dans les meilleurs délais et, si nécessaire, informerons les sous-traitants concernés.

8.3 Droit à l'effacement — « droit à l'oubli » (art. 17 RGPD)

Vous pouvez demander la suppression de vos données personnelles lorsque :

• elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
• vous retirez votre consentement et il n'existe pas d'autre base légale ;
• vous vous opposez au traitement et il n'existe pas de motif légitime prévalant ;
• les données ont fait l'objet d'un traitement illicite.

Ce droit ne s'applique pas lorsque la conservation est imposée par une obligation légale (notamment les données comptables à conserver 10 ans).

8.4 Droit à la limitation du traitement (art. 18 RGPD)

Dans certains cas (contestation de l'exactitude des données, traitement illicite, opposition en cours d'examen), vous pouvez demander que nous limitions temporairement l'utilisation de vos données — elles restent stockées mais ne sont plus utilisées activement.

8.5 Droit à la portabilité (art. 20 RGPD)

Vous pouvez recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine (ex. JSON ou CSV), et les transmettre à un autre service. Ce droit s'applique aux données que vous nous avez fournies et qui sont traitées sur la base de votre consentement ou de l'exécution d'un contrat.

8.6 Droit d'opposition (art. 21 RGPD)

Vous pouvez vous opposer à tout moment au traitement de vos données fondé sur notre intérêt légitime. Nous cesserons le traitement sauf si nous démontrons des motifs légitimes impérieux qui prévalent sur vos intérêts. Vous pouvez également vous opposer à tout moment aux communications marketing.

8.7 Retrait du consentement

Si un traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment. Ce retrait ne remet pas en cause la légalité des traitements effectués avant votre décision.

8.8 Comment exercer vos droits ?

Nous pouvons vous demander de justifier de votre identité avant de traiter votre demande, afin de garantir la sécurité de vos données.

9. Cookies et traceurs

9.1 Cookies strictement nécessaires

Notre site utilise des cookies techniques indispensables à son fonctionnement. Ils ne collectent aucune donnée personnelle à des fins de ciblage et ne nécessitent pas votre consentement. Il s'agit notamment des cookies de session Clerk pour maintenir l'espace organisateur connecté.

9.2 Absence de cookies publicitaires

Nous n'utilisons pas de cookies publicitaires, de pixels de suivi (Meta Pixel, Google Ads) ni de technologies de ciblage comportemental. Aucune de vos données de navigation n'est partagée avec des régies publicitaires.

9.3 Gestion des cookies

Vous pouvez gérer vos préférences en matière de cookies directement depuis les paramètres de votre navigateur (suppression, blocage). Désactiver les cookies techniques peut perturber le fonctionnement de l'espace organisateur.

10. Sécurité des données

In The Box met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte, altération ou divulgation :

• Chiffrement en transit : toutes les communications entre votre navigateur et nos serveurs sont chiffrées via le protocole TLS (HTTPS).
• Chiffrement au repos : les données stockées dans Convex sont chiffrées au repos.
• Authentification sécurisée : les mots de passe des organisateurs sont hachés et salés par Clerk — ni Clerk ni In The Box ne peut lire votre mot de passe.
• Accès restreint : seules les personnes habilitées au sein d'In The Box ont accès aux données personnelles, dans la limite stricte de leurs attributions.
• Paiements PCI DSS : les données bancaires ne transitent jamais par nos serveurs — elles sont traitées directement par Stripe, certifié PCI DSS niveau 1.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures et à vous en informer sans délai si le risque est élevé, conformément à l'article 33 du RGPD.

11. Protection des mineurs

La plateforme intheboxparis.com n'est pas destinée aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles concernant des mineurs. Si vous pensez qu'un mineur nous a fourni des données personnelles, contactez-nous à contact@intheboxparis.com afin que nous puissions les supprimer.

12. Modifications de la présente politique

In The Box se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour s'adapter aux évolutions législatives, réglementaires ou techniques. La date de mise à jour figurant en haut de ce document est actualisée à chaque révision.

En cas de modification substantielle affectant vos droits, nous vous en informerons par email (si vous disposez d'un compte organisateur) ou via une bannière visible sur le site lors de votre prochaine visite. La poursuite de l'utilisation du site après la publication d'une nouvelle version vaut acceptation des modifications.

13. Recours et droit de saisir la CNIL

Si vous estimez que vos droits ne sont pas respectés ou que nous n'avons pas répondu de manière satisfaisante à votre demande, vous disposez du droit de déposer une réclamation auprès de l'autorité de contrôle compétente en France :

Nous vous encourageons cependant à nous contacter en premier lieu à contact@intheboxparis.comafin de résoudre toute difficulté à l'amiable dans les meilleurs délais.

Si vous résidez dans un autre État membre de l'Union Européenne, vous pouvez également saisir l'autorité de protection des données de votre pays de résidence. La CNIL reste l'autorité chef de file pour In The Box en tant que société française.