Politique de Confidentialité

1. Responsable de traitement

Le responsable du traitement de vos données personnelles est :
MojoFE, Société par Actions Simplifiée (SAS) au capital social variable
Siège social : 26 rue de Constantinople, 75008 Paris, France
RCS Paris 884 035 148 — SIRET : 884 035 148 — TVA : FR 88 884035148
Représentant légal : Johan Fernandez
Email : privacy@mojofe.com

2. Délégué à la protection des données (DPO)

Vous pouvez contacter notre Délégué à la protection des données pour toute question relative à vos données personnelles ou à l'exercice de vos droits :

Email : dpo@mojofe.com
Voie postale : DPO — MojoFE, 26 rue de Constantinople, 75008 Paris, France

3. Données collectées

Nous traitons les catégories de données suivantes :

Identification : nom, prénom, email, téléphone, mot de passe (haché), photo de profil.
Compte et profil : type de compte (particulier, organisateur, prestataire, agence), bio, préférences, langue, rôle.
Données professionnelles (prestataires / organisateurs pro) : raison sociale, SIRET, KBIS, RIB, statut de vérification.
Données d'événement : événements créés ou suivis, billets, QR codes, scans d'accès, participations, avis.
Données de transaction : montants, dates, références Stripe, factures, remboursements, retraits. Les numéros de carte bancaire complets ne transitent ni ne sont stockés sur nos serveurs (tokenisation Stripe).
Données de cagnotte : montants collectés, contributions, bénéficiaires.
Communications : messages, devis, pièces jointes, signalements.
Données techniques : adresse IP, user-agent, identifiants d'appareil, journaux de connexion, pages consultées.
Données de localisation : position approximative (IP) ou précise (avec votre consentement) pour proposer des événements et prestataires à proximité.
Cookies et traceurs : voir la Politique Cookies.

Nous ne collectons pas de catégories particulières de données (santé, opinions, orientation, etc.) au sens de l'article 9 RGPD. Merci de ne pas en publier dans les contenus libres (profil, messages).

4. Finalités et bases légales

Chaque traitement repose sur une base légale au sens de l'article 6 RGPD :

Finalité	Base légale	Durée de conservation
Création et gestion du compte, authentification	Exécution du contrat (art. 6.1.b)	Durée du compte + 3 ans à compter du dernier contact actif
Vente de billets, paiement, remboursement, émission de factures	Exécution du contrat (art. 6.1.b) et obligation légale comptable (art. 6.1.c)	10 ans (pièces comptables, art. L123-22 C. com.)
Vérification KYC / KBIS / lutte contre la fraude et le blanchiment	Obligation légale (art. 6.1.c) et intérêt légitime (art. 6.1.f)	5 ans après la fin de la relation (art. L561-12 C. mon. fin.)
Communications transactionnelles (billets, confirmations)	Exécution du contrat (art. 6.1.b)	3 ans après le dernier contact
Emails marketing, newsletters, notifications push promotionnelles	Consentement (art. 6.1.a) ou intérêt légitime pour nos clients existants sur services similaires (art. L34-5 CPCE)	3 ans après le dernier contact ou jusqu'au retrait du consentement
Amélioration produit, analytics, mesure d'audience	Consentement (art. 6.1.a) — exemption CNIL possible pour la mesure d'audience strictement anonymisée	13 mois maximum pour les cookies ; 25 mois pour les données agrégées
Sécurité, prévention des abus, modération, journaux techniques	Intérêt légitime (art. 6.1.f) et obligation légale (LCEN)	1 an pour les logs de connexion (art. R10-13 CPCE)
Respect d'une obligation légale (CNIL, fisc, justice)	Obligation légale (art. 6.1.c)	Durée prévue par la loi applicable

5. Destinataires et sous-traitants

Vos données sont accessibles, selon les besoins, à nos équipes habilitées et aux sous-traitants listés ci-dessous, agissant sur instruction documentée de MojoFE conformément à l'article 28 RGPD.

Sous-traitant	Rôle	Pays d'hébergement
Vercel Inc.	Hébergement du site et des fonctions serverless	UE (fra1) / États-Unis (SCC)
Supabase Inc.	Base de données, authentification, stockage de fichiers	UE (Francfort)
Stripe Payments Europe, Ltd. / Stripe, Inc.	Traitement des paiements, Stripe Connect, KYC	Irlande / États-Unis (SCC + DPF)
Resend, Inc.	Envoi d'emails transactionnels	États-Unis (SCC + DPF)
Mapbox, Inc.	Affichage cartographique	États-Unis (SCC + DPF)
Apple / Google	Notifications push mobiles, portefeuille (Apple Wallet / Google Wallet)	UE / États-Unis (SCC + DPF)

Une liste à jour des sous-traitants est disponible sur simple demande à dpo@mojofe.com.

Dans le cadre d'un achat de billet ou d'une prestation, vos données de participation peuvent être communiquées à l'organisateur ou au prestataire concerné, qui agit alors comme responsable de traitement distinct pour ses propres finalités (gestion de la billetterie, contrôle d'accès, relation client).

Nous pouvons également communiquer des données aux autorités administratives ou judiciaires compétentes sur réquisition ou pour respecter une obligation légale.

6. Transferts hors Union européenne

Certains sous-traitants hébergent ou traitent des données en dehors de l'Espace économique européen. Ces transferts sont encadrés par :

des clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) ;
la certification EU-US Data Privacy Framework lorsqu'elle est applicable ;
des mesures techniques complémentaires (chiffrement en transit et au repos, pseudonymisation, contrôles d'accès).

Une copie des garanties peut être obtenue auprès de notre DPO.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Accès aux données que nous détenons à votre sujet ;
Rectification des données inexactes ou incomplètes ;
Effacement (« droit à l'oubli »), sous réserve des obligations légales de conservation ;
Limitation du traitement dans les cas prévus par le RGPD ;
Portabilité des données fournies, dans un format structuré, couramment utilisé et lisible par machine ;
Opposition au traitement fondé sur l'intérêt légitime ou à la prospection commerciale ;
Retrait du consentement à tout moment, sans affecter la licéité du traitement antérieur ;
Directives post-mortem sur le sort de vos données après votre décès (art. 85 loi Informatique et Libertés).

Pour exercer ces droits, écrivez à dpo@mojofe.com ou utilisez l'outil « Exporter / supprimer mes données » disponible dans vos paramètres. Nous pouvons demander un justificatif d'identité en cas de doute raisonnable. Nous répondons dans un délai d'un mois, prorogeable de deux mois pour les demandes complexes.

8. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22 — www.cnil.fr

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées (art. 32 RGPD) : chiffrement TLS 1.2+, chiffrement au repos, hachage des mots de passe (bcrypt/argon2), cloisonnement des environnements, gestion des accès par rôle (RBAC + RLS Supabase), journalisation, sauvegardes régulières et tests de restauration, revue de sécurité lors des mises à jour.

10. Violations de données

En cas de violation susceptible d'engendrer un risque pour vos droits et libertés, nous notifions la CNIL dans les 72 heuressuivant la connaissance de l'incident (art. 33 RGPD). Si le risque est élevé, nous vous en informons également dans les meilleurs délais (art. 34 RGPD).

11. Mineurs

MojoFE n'est pas destiné aux enfants de moins de 15 ans. Conformément à l'article 8 RGPD et à l'article 45 de la loi Informatique et Libertés, le consentement d'un représentant légal est requis en dessous de cet âge. Si nous apprenons qu'un mineur non autorisé a créé un compte, nous le supprimons.

12. Décisions automatisées et profilage

Nous n'utilisons aucune décision produisant des effets juridiques ou affectant significativement l'utilisateur de manière automatisée au sens de l'article 22 RGPD. Certaines fonctionnalités (recommandations d'événements, suggestions de prestataires, assistant IA) reposent sur des traitements algorithmiques simples : vous pouvez les désactiver dans vos paramètres ou nous contacter pour obtenir une intervention humaine.

13. Cookies et traceurs

L'usage des cookies et traceurs est détaillé dans notre Politique relative aux Cookies. Vous pouvez modifier vos préférences à tout moment via le bouton « Gérer les cookies » en pied de page.

14. Modifications

Cette politique peut être mise à jour pour refléter des évolutions légales, techniques ou de nos services. Toute modification substantielle vous sera notifiée par email ou via la plateforme au moins 15 jours avant son entrée en vigueur.

15. Contact

MojoFE — Délégué à la protection des données
26 rue de Constantinople, 75008 Paris, France
Email : dpo@mojofe.com