Politique de confidentialité et sécurité des données

1. Introduction et informations générales

Nous apprécions votre intérêt pour Chorilo. La protection des données est une priorité élevée pour nous. Dans cette politique de confidentialité, nous vous informons sur le traitement de vos données personnelles lors de l'utilisation de notre site web et de notre service "Chorilo".

Le responsable du traitement de vos données personnelles est Chorilo - Melanie Schneider, Tränkstraße 3, 65558 Holzheim, Allemagne. Pour toute question concernant la protection des données ou l'exercice de vos droits, veuillez nous contacter par e-mail à datenschutz@chorilo.com.

2. Visite de notre site web

2.1 Mise à disposition du site web

Pour la mise à disposition de notre site web, nous traitons des données techniquement nécessaires telles que l'adresse IP, l'heure d'accès, les informations du navigateur, le système d'exploitation et les paramètres de langue de tous les visiteurs du site. Ce traitement est techniquement nécessaire pour permettre l'utilisation de notre site web (Art. 6(1)(b) RGPD). Les données sont supprimées à la fin de votre visite, sauf si des données individuelles sont traitées ultérieurement à d'autres fins (par ex., sécurité).

2.2 Sécurité et détection des attaques

Pour détecter et se défendre contre les attaques sur notre site web et notre infrastructure technique (par ex., piratage, attaques par déni de service), nous traitons des données d'accès telles que les adresses IP, l'heure d'accès, les sous-pages visitées et le volume de données transférées de tous les visiteurs du site. Ce traitement sert à remplir notre obligation légale de prendre des mesures de protection et notre intérêt légitime à maintenir la sécurité de nos systèmes (Art. 6(1)(c) et (f) RGPD). Les données sont généralement supprimées sept (7) jours après la fin de votre visite sur notre site web, sauf si une tentative d'attaque est détectée. En cas de tentative d'attaque détectée, les données seront traitées ultérieurement pour une enquête technique complète et, si nécessaire, juridique.

3. Cookies

3.1 Informations générales sur les cookies

Nous utilisons des cookies sur notre site web et dans notre service "Chorilo". Les cookies sont de petits fichiers texte stockés sur votre appareil. Ils nous permettent de stocker certaines informations liées à l'utilisateur en relation avec l'utilisation de nos services et de reconnaître votre ordinateur lors d'une visite ultérieure.

Certains cookies sont techniquement nécessaires pour que vous puissiez naviguer librement sur le site web et utiliser ses fonctionnalités (cookies nécessaires). D'autres cookies nous aident à comprendre comment les visiteurs utilisent notre site web pour l'améliorer (cookies analytiques, actuellement non utilisés). Les cookies de session stockent des informations sur vos activités et sont supprimés lorsque vous fermez le navigateur. Les cookies persistants restent stockés plus longtemps.

3.2 Cookies dans Chorilo

Pour la fourniture du service "Chorilo", nous définissons des cookies nécessaires. Un cookie SessionID stocke un numéro d'identification aléatoire pour reconnaître l'utilisateur correctement authentifié. Un autre cookie stocke le paramètre de langue sélectionné. Un cookie CSRF stocke un autre numéro d'identification aléatoire pour sécuriser la transmission des données contre certaines attaques (Cross-Site Request Forgery). Ce traitement est techniquement nécessaire pour permettre l'utilisation sécurisée du service (Art. 6(1)(b) RGPD). Aucune donnée n'est transférée à des tiers. Ces cookies sont généralement supprimés à la fin de la session du navigateur, sauf si un paramètre différent dans votre navigateur web prévoit une suppression antérieure.

4. Utilisation de notre service "Chorilo"

4.1 Données traitées et finalité

Pour la fourniture du service "Chorilo" et l'exécution du contrat utilisateur, nous traitons les données suivantes pour tous les utilisateurs : Nom, prénom, adresse e-mail, hash du mot de passe, langue et fuseau horaire. Pour les chefs de chœur en plus : Nom du chœur, nom abrégé du chœur, taille du chœur et pupitres. Pour les chanteurs en plus : Nom du chœur auquel le chanteur appartient et pupitre.

De plus, tous les utilisateurs peuvent volontairement fournir des informations d'adresse et de date de naissance, et télécharger une photo. En outre, des données d'utilisation sont traitées, notamment le contenu et les engagements pour les rendez-vous, les fichiers téléchargés (partitions, documents) et les données de communication au sein des sessions de répétition.

Ces données sont traitées pour gérer l'administration et l'authentification des utilisateurs, permettre la communication entre les utilisateurs d'un chœur et faciliter l'utilisation des fonctions du service (par ex., gestion des rendez-vous, gestion des partitions, fonctionnalités des sessions de répétition). La base juridique est l'exécution du contrat utilisateur (Art. 6(1)(b) RGPD).

4.2 Destinataires des données

a) Autres membres du chœur

Certaines données (nom, prénom, e-mail [optionnel], photo [optionnelle], pupitre, engagements de rendez-vous) sont visibles par les autres membres du chœur respectif pour permettre l'organisation et la communication au sein du chœur.

b) Hébergement

Toutes les données personnelles susmentionnées sont stockées et traitées sur les serveurs de DigitalOcean LLC, 101 Avenue of the Americas, New York, NY 10013, USA, en tant que sous-traitant (Art. 28 RGPD) pour fournir techniquement le service "Chorilo" (hébergement). L'emplacement du serveur est dans l'UE (Francfort-sur-le-Main). Le transfert de données vers les USA est basé sur le cadre de protection des données UE-USA (décision d'adéquation) ou les clauses contractuelles types (Art. 45, 46 RGPD).

c) Envoi d'e-mails (e-mails système)

Le nom, le prénom et l'adresse e-mail sont transférés à The Rocket Science Group LLC (Mailchimp), 675 Ponce De Leon Ave NE, Suite 5000, Atlanta, GA 30308, USA, en tant que sous-traitant (Art. 28 RGPD) pour mettre en œuvre techniquement l'envoi d'e-mails système (par ex., réinitialisation du mot de passe, invitations). Le transfert de données vers les USA est basé sur le cadre de protection des données UE-USA (décision d'adéquation) ou les clauses contractuelles types (Art. 45, 46 RGPD).

d) Traitement des e-mails (support)

Lorsque vous nous contactez par e-mail (par ex., à support@chorilo.com), votre adresse e-mail et le contenu de votre demande sont traités via les serveurs de STRATO AG, Otto-Ostrowski-Straße 7, 10249 Berlin, Allemagne, en tant que sous-traitant (Art. 28 RGPD) pour recevoir et répondre à votre demande. La base juridique est le traitement de votre demande (Art. 6(1)(b) RGPD) ou notre intérêt légitime à fournir un support client (Art. 6(1)(f) RGPD).

e) Suivi des erreurs (Sentry)

Pour détecter et analyser les erreurs techniques dans notre application, nous utilisons le service Sentry de Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. En cas d'erreur, des données techniques telles que les informations sur l'appareil, le système d'exploitation, le navigateur et potentiellement des parties anonymisées des interactions utilisateur et un ID utilisateur anonymisé peuvent être transmises à Sentry. Cela sert notre intérêt légitime à améliorer la stabilité et la fonctionnalité de notre service (Art. 6(1)(f) RGPD). Le transfert de données vers les USA est basé sur le cadre de protection des données UE-USA (décision d'adéquation) ou les clauses contractuelles types (Art. 45, 46 RGPD).

f) Notifications push (Firebase Cloud Messaging)

Pour l'envoi de notifications push dans notre application mobile, nous utilisons Firebase Cloud Messaging (FCM) de Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, en tant que sous-traitant (Art. 28 RGPD). Un jeton spécifique à l'appareil (jeton FCM) est traité pour envoyer des notifications à votre appareil. De plus, des données techniques telles que le type d'appareil et le système d'exploitation peuvent être transmises. Cela sert à l'exécution du contrat utilisateur et à la fourniture de la fonction de notification (Art. 6(1)(b) RGPD). Le transfert de données vers les USA est basé sur le cadre de protection des données UE-USA (décision d'adéquation) ou les clauses contractuelles types (Art. 45, 46 RGPD).

g) Traitement des paiements (Stripe)

Pour le traitement des paiements et des abonnements, nous utilisons Stripe, Inc., 510 Townsend Street, San Francisco, CA 94103, USA, en tant que sous-traitant (Art. 28 RGPD). Lors du traitement des paiements, le nom, l'adresse e-mail, les informations de paiement (données de carte de crédit, IBAN) et l'adresse de facturation sont transmis à Stripe. Ce traitement est nécessaire à l'exécution du contrat de paiement (Art. 6(1)(b) RGPD). Stripe est certifié PCI-DSS et garantit les normes de sécurité les plus élevées pour les données de paiement. Le transfert de données vers les USA est basé sur le cadre de protection des données UE-USA (décision d'adéquation) ou les clauses contractuelles types (Art. 45, 46 RGPD).

4.3 Durée de conservation

Nous conservons vos données personnelles uniquement aussi longtemps que nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées ou comme l'exige la loi.

Les données liées à votre compte utilisateur (telles que les données de profil, les appartenances aux ensembles, les partitions téléchargées) sont conservées tant que votre compte est actif. Si vous supprimez votre compte, ces données seront supprimées conformément à nos politiques de suppression des données, sous réserve des obligations légales de conservation.

Les données d'utilisation et les journaux techniques sont généralement conservés pendant une courte période (par ex., 7 à 30 jours), sauf si une conservation plus longue est nécessaire pour l'analyse des erreurs ou des raisons de sécurité.

5. Traitement des demandes téléphoniques

Lorsque vous nous contactez par téléphone, que ce soit pour des demandes générales ou le support client, nous traitons les données que vous fournissez, telles que votre nom, numéro de téléphone, numéro de client (le cas échéant) et le contenu de votre demande. Ce traitement est nécessaire pour traiter votre demande conformément à l'Art. 6(1)(b) RGPD. Une fois le traitement terminé, nous limitons le traitement à la finalité spécifique (par ex., exécution du contrat, acquisition de nouveaux clients). Une fois la finalité atteinte et les délais de conservation légaux (par ex., droit commercial et fiscal) expirés, vos données seront automatiquement supprimées.

6. Traitement des demandes via les réseaux sociaux

Si vous nous contactez via nos profils sur les réseaux sociaux (par ex., Facebook, Twitter, LinkedIn, Xing), nous traitons les données que vous avez stockées dans votre profil respectif pour traiter votre demande conformément à l'Art. 6(1)(b) RGPD. Une fois le traitement terminé, nous limitons le traitement à la finalité spécifique. Une fois la finalité atteinte et les délais de conservation légaux expirés, vos données seront supprimées.

7. Acquisition de nouveaux clients et marketing direct

Pour informer les clients potentiels de nos produits et services, nous pouvons contacter les employés d'entreprises par téléphone, courrier, e-mail ou via des plateformes comme Xing et LinkedIn. Ce faisant, nous traitons des données telles que le nom, les coordonnées (adresse postale, e-mail, numéro de téléphone, identifiant de plateforme), le poste dans l'entreprise et les informations sur l'intérêt potentiel pour nos offres. Nous obtenons ces données soit directement de vous (par ex., lors de salons, via des formulaires de contact) soit de sources accessibles au public (profils de plateforme, annuaires), lorsque cela est autorisé.

Le traitement de ces données est basé sur notre intérêt légitime (Art. 6(1)(f) RGPD) en matière de marketing direct et d'augmentation de nos ventes, mais uniquement si vous n'avez pas fait objection et si le contact est dans des attentes raisonnables et ne constitue pas un harcèlement déraisonnable. Vous pouvez vous opposer à l'utilisation de vos données à des fins de marketing direct à tout moment. Nous supprimerons vos données ou mettrons fin à la connexion sur les plateformes si vous vous y opposez, s'il n'y a plus d'intérêt ou si une réponse est définitivement absente.

8. Programme de parrainage

Chorilo propose un programme de parrainage où les ensembles inscrits peuvent parrainer d'autres ensembles et recevoir des commissions. Les données suivantes sont traitées dans le cadre de ce programme :

Si vous vous inscrivez via un lien de parrainage et souscrivez à un forfait payant, le nom de votre ensemble sera affiché à l'ensemble parrain pour qu'il puisse suivre ses commissions de parrainage. Cela sert la transparence et l'intérêt légitime de l'ensemble parrain à suivre ses demandes de compensation conformément à l'Art. 6(1)(f) RGPD.

Les informations suivantes sont affichées à l'ensemble parrain :

• Nom de l'ensemble parrainé
• Montant de la commission
• Date de création de la transaction

Aucune donnée personnelle des membres individuels de l'ensemble parrainé n'est partagée. L'affichage du nom de l'ensemble sert uniquement au suivi des règlements de commissions et est une pratique courante dans les programmes de parrainage. La transaction n'est affichée à l'ensemble parrain qu'après la conclusion d'un abonnement payant.

8. Maintenance et administration des systèmes informatiques

Pour assurer la fonctionnalité et la sécurité de nos systèmes informatiques, nos prestataires de services informatiques peuvent potentiellement accéder à des données personnelles lors de travaux de maintenance. Ces accès sont strictement limités au nécessaire et sont effectués dans le respect d'accords de confidentialité stricts et de mesures techniques et organisationnelles pour protéger vos données. La base juridique est notre intérêt légitime (Art. 6(1)(f) RGPD) au fonctionnement stable et sécurisé de nos services.

9. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles complètes pour protéger vos données contre l'accès non autorisé, la perte ou l'utilisation abusive. Celles-ci comprennent les technologies de chiffrement, les contrôles d'accès et les examens de sécurité réguliers. Malgré tous les efforts, une sécurité absolue ne peut être garantie pour la transmission de données sur Internet.

10. Vos droits en tant que personne concernée

Vous avez le droit d'accéder aux informations concernant les données personnelles vous concernant (Art. 15 RGPD).

Vous pouvez demander la rectification de données inexactes (Art. 16 RGPD).

De plus, vous avez le droit à l'effacement (Art. 17 RGPD) et à la limitation du traitement (Art. 18 RGPD) de vos données.

Si le traitement des données est basé sur votre consentement ou si un contrat de traitement des données existe et que le traitement des données est effectué à l'aide de procédures automatisées, vous pouvez avoir un droit à la portabilité des données (Art. 20 RGPD). Si vous avez consenti au traitement, vous pouvez retirer votre consentement à tout moment avec effet pour l'avenir. La légalité du traitement effectué sur la base du consentement jusqu'au retrait n'est pas affectée par le retrait.

Vous avez également le droit de déposer une plainte auprès d'une autorité de contrôle de la protection des données concernant notre traitement de vos données personnelles.

11. Modifications de cette politique de confidentialité

Nous nous réservons le droit d'adapter cette politique de confidentialité afin qu'elle soit toujours conforme aux exigences légales actuelles ou pour mettre en œuvre des modifications de nos services dans la politique de confidentialité, par ex., lors de l'introduction de nouveaux services. La nouvelle politique de confidentialité s'appliquera alors à votre prochaine visite.

12. Entité responsable

L'entité responsable selon les lois sur la protection des données est :