Préambule
La présente politique décrit comment la SAS Krystale Communication, éditrice de Bon Ti Koté (bontikote.com), ci-après « BTK », « la Plateforme » ou « nous », traite les données à caractère personnel des utilisateurs, dans le respect du RGPD (Règlement (UE) 2016/679), de la loi Informatique et Libertés (n° 78-17 du 6 janvier 1978 modifiée) et des recommandations de la CNIL. Elle fait partie intégrante des Conditions Générales d'Utilisation et de Vente.
1. Responsable de traitement et contact
SAS Krystale Communication Siège social : 52 zone artisanale Galmot, 97300 Cayenne — Guyane française SIRET : 829 755 479 00013 · RCS Cayenne Représentant légal : Frantz FABIEN, Président
- Contact « protection des données » : contact@bontikote.com
- Courrier : SAS Krystale Communication — Protection des données, 52 zone artisanale Galmot, 97300 Cayenne.
Délégué à la protection des données (DPO) : aucun DPO n'a été désigné, cette désignation n'étant pas obligatoire au sens de l'article 37 du RGPD (la SAS n'est pas un organisme public et son activité de base ne consiste ni en un suivi à grande échelle des personnes, ni en un traitement à grande échelle de données sensibles). Toute question peut être adressée au point de contact ci-dessus.
Identité partagée « krystal-id ». L'authentification repose sur un fournisseur d'identité commun aux plateformes éditées par la SAS Krystale Communication (notamment Bon Ti Koté et Dronmi) — voir l'article 8. La SAS Krystale Communication demeure responsable de traitement pour les données traitées dans le cadre de BTK.
2. Catégories de données collectées
- Compte et identité : prénom, nom, e-mail, mot de passe (haché), téléphone (facultatif) et, le cas échéant, identifiant Google.
- Profil professionnel (Organisateurs, Partenaires, Agences) : coordonnées, dénomination sociale, SIRET/RCS, forme juridique, secteurs d'activité et pièces justificatives KYC (immatriculation, assurance, pièces d'identité des représentants).
- Réservation, billetterie et commande : historique, billets (QR codes), participants, dates, montants, frais de service, factures et avoirs, réponses aux champs personnalisés, données de contrôle d'accès.
- Paiement : traité par Stripe ; nous ne stockons jamais les numéros de carte, seulement des identifiants techniques (référence de transaction, identifiant client/abonnement, éventuel moyen de paiement enregistré pour les échéances, 4 derniers chiffres et marque de la carte).
- Connexion et technique : adresse IP, identifiants de session, journaux techniques et de sécurité, type de navigateur/appareil, pages consultées, cookies (article 7).
- Contenus déposés : descriptifs, photos, visuels, avis et notes, messages et signalements.
- Prospection (back-office) : données professionnelles issues de sources accessibles au public, traitées sur la base de l'intérêt légitime (article 6).
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création/gestion du compte et authentification | Exécution du contrat (art. 6.1.b) |
| Mise en relation, réservation, billetterie, contrôle d'accès | Exécution du contrat (art. 6.1.b) |
| Encaissement, paiement et reversement | Exécution du contrat (art. 6.1.b) |
| Vérification d'identité (KYC) et lutte anti-fraude/anti-blanchiment | Obligation légale et intérêt légitime (art. 6.1.c et f) |
| Émission et conservation des factures et avoirs | Obligation légale (art. 6.1.c) |
| Sécurité, prévention des abus | Intérêt légitime (art. 6.1.f) |
| Amélioration du Service et statistiques | Intérêt légitime (art. 6.1.f) |
| E-mails transactionnels (confirmations, rappels, factures) | Exécution du contrat (art. 6.1.b) |
| Newsletter et communications commerciales | Consentement (art. 6.1.a) ou intérêt légitime (clients, produits analogues) |
| Cookies non essentiels (audience, marketing) | Consentement (art. 6.1.a) |
| Analyse de documents par IA | Exécution du contrat ou intérêt légitime (article 9) |
| Prospection commerciale B2B | Intérêt légitime (art. 6.1.f) |
4. Destinataires et sous-traitants
Les données sont traitées par les équipes habilitées de la SAS Krystale Communication et peuvent être communiquées à des sous-traitants agissant pour son compte, sous engagement contractuel de confidentialité et de conformité au RGPD (article 28). Les catégories de destinataires sont :
- prestataire de paiement (encaissement, reversement, KYC) ;
- hébergeur et fournisseur de base de données / stockage ;
- fournisseur d'identité (authentification) ;
- fournisseurs d'envoi d'e-mails ;
- outils d'analyse de documents par intelligence artificielle ;
- organismes de paiement spécifiques (chèques-vacances, Pass Culture).
Certains prestataires sont situés hors de l'Union européenne (voir l'article 5). Lorsqu'une Commande est passée, l'Organisateur concerné reçoit les données nécessaires à l'exécution de la prestation. Aucune donnée n'est vendue ou louée à des tiers. La liste nominative à jour des sous-traitants est disponible sur demande à contact@bontikote.com.
5. Transferts hors Union européenne
Certaines données peuvent être transférées vers des pays tiers, notamment les États-Unis, dans le cadre de services de paiement, d'authentification et d'analyse par IA. Ces transferts sont encadrés par des garanties appropriées au sens des articles 44 et suivants du RGPD : décision d'adéquation de la Commission européenne (notamment le Data Privacy Framework UE–États-Unis, lorsque le destinataire y est certifié) et/ou clauses contractuelles types, complétées le cas échéant de mesures supplémentaires.
6. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte actif | Tant que le compte n'est pas clôturé |
| Compte inactif | Suppression ou anonymisation après une inactivité prolongée (env. 3 ans), après relance |
| Commande, réservation, billetterie | Durée de la relation contractuelle, puis archivage selon les obligations légales |
| Factures et avoirs | 10 ans (art. L. 123-22 du Code de commerce) |
| Pièces KYC des Organisateurs | Durée de la relation + 5 ans (lutte anti-blanchiment) |
| Données de paiement (identifiants techniques) | Le temps de l'exécution puis selon les politiques de Stripe ; identifiants de moyen de paiement échelonné supprimés à l'issue du plan ou à la clôture du compte |
| Logs de connexion et de sécurité | Jusqu'à 12 mois |
| Avis publiés | Durée d'exposition de l'Offre ; anonymisation possible sur demande motivée |
| Newsletter / consentement marketing | Jusqu'au retrait du consentement |
| Cookies non essentiels | Maximum 13 mois |
| Données de prospection | Au plus 3 ans à compter du dernier contact pour un prospect non converti |
7. Cookies et traceurs
La Plateforme utilise :
- Cookies strictement nécessaires (session, authentification, sécurité, panier) — exemptés de consentement ;
- Cookies de mesure d'audience — exemptés de consentement lorsqu'ils sont configurés conformément aux recommandations CNIL, sinon soumis à consentement ;
- Cookies marketing / réseaux sociaux — soumis à consentement préalable via le bandeau cookies.
L'Utilisateur peut exprimer, modifier ou retirer ses choix à tout moment via le module de gestion des cookies. Le refus des cookies non essentiels n'empêche pas l'accès aux fonctionnalités essentielles.
8. Identité partagée « krystal-id »
L'authentification repose sur un fournisseur d'identité commun aux plateformes éditées par la SAS Krystale Communication (notamment Bon Ti Koté et Dronmi) : un compte créé sur l'une peut être utilisé sur l'autre. Les identifiants d'authentification (e-mail, état de connexion, identifiant technique) sont partagés au sein de l'entité Krystale Communication pour permettre cette connexion unifiée ; les données métier propres à BTK (réservations, billets, factures) restent gérées dans le cadre de la Plateforme et ne sont pas mutualisées du seul fait du partage d'identité.
Ce partage, au sein d'une même entité juridique, repose sur l'exécution du contrat et l'intérêt légitime à offrir une authentification cohérente. La connexion via Google implique un échange de données avec Google selon ses propres conditions.
9. Traitements assistés par intelligence artificielle
Lorsqu'un Organisateur crée une Offre à partir d'un visuel (« flyer »), ou dans le cadre de l'outil interne de prospection, les images et textes fournis peuvent être analysés par des sous-traitants spécialisés en IA afin d'en extraire des informations structurées (titre, dates, lieu, description, coordonnées). Ces analyses sont opérées par des modèles hébergés dans l'Union européenne et/ou aux États-Unis (transferts encadrés conformément à l'article 5).
Les résultats sont des aides à la saisie, soumises à la supervision et à la validation d'un humain : ils ne constituent pas une décision entièrement automatisée produisant des effets juridiques au sens de l'article 22 du RGPD.
10. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement des communications (HTTPS/TLS) ; mots de passe hachés ; contrôle d'accès par rôle et règles de sécurité au niveau de la base de données ; stockage privé et accès restreint des pièces KYC ; journalisation des actions sensibles et limitation des tentatives ; absence de stockage des numéros de carte (traités par Stripe).
En cas de violation de données présentant un risque pour les droits et libertés des personnes, la CNIL sera notifiée dans les 72 heures et les personnes concernées informées sans délai injustifié (articles 33 et 34 du RGPD).
11. Mineurs
La Plateforme n'est pas destinée aux mineurs de moins de 15 ans ; aucune inscription ne leur est ouverte. De 15 à 18 ans, l'inscription suppose le consentement du titulaire de l'autorité parentale. Toute donnée relative à un mineur de moins de 15 ans collectée par inadvertance sera supprimée sur signalement.
12. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits d'accès, de rectification, d'effacement (sous réserve de nos obligations légales de conservation), de limitation, de portabilité, d'opposition (notamment à la prospection), de retrait du consentement à tout moment, et de définition de directives post-mortem sur le sort de vos données.
Exercer vos droits : adressez votre demande à contact@bontikote.com ou par courrier (SAS Krystale Communication — Protection des données, 52 zone artisanale Galmot, 97300 Cayenne). Une copie d'une pièce d'identité peut être demandée en cas de doute raisonnable. Nous répondons dans un délai d'un mois (prolongeable de deux mois en cas de complexité).
Réclamation : vous pouvez saisir la CNIL (3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — https://www.cnil.fr).
13. Modifications de la présente politique
La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou fonctionnelles. La version applicable est celle publiée à la date de la consultation ; les utilisateurs inscrits sont informés des modifications substantielles.
14. Contact
Pour toute question : contact@bontikote.com — ou par courrier : SAS Krystale Communication — Protection des données, 52 zone artisanale Galmot, 97300 Cayenne — Guyane française.
