Politique de confidentialité
Dernière mise à jour : 12 mai 2026
OBSB SRL (ci-après « nous », « notre » ou « Craino ») s'engage à protéger la vie privée des utilisateurs de sa plateforme. La présente politique de confidentialité décrit comment nous collectons, utilisons, stockons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la législation belge applicable.
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
- OBSB SRL
- Rue du Mouligneau 71, 7011 Ghlin, Belgique
- BCE / TVA : en cours d'attribution (société en cours de constitution)
- Email : hello@craino.app
2. Données collectées
Nous collectons différentes catégories de données personnelles selon votre utilisation de Craino :
2.1 Données d'identification et de contact
- Nom et prénom
- Adresse email
- Numéro de téléphone (optionnel)
- Adresse postale (organisations, ressources, clients finaux)
- Nom de l'organisation
- Fuseau horaire et préférences de langue
2.2 Données de compte
- Identifiants de connexion (email, mot de passe chiffré)
- Mode d'authentification (mot de passe ou Google Sign-In)
- Préférences de compte et paramètres
- Rôle au sein de l'organisation (propriétaire, administrateur, membre)
2.3 Données d'utilisation et données métier
- Historique des réservations, missions et événements de calendrier
- Données de calendrier synchronisées avec Google Calendar ou Microsoft Outlook Calendar, lorsque la synchronisation est activée par l'utilisateur (titres, descriptions, lieux et horaires des événements)
- Fichiers et images téléchargés dans le cadre des missions et des formulaires
- Adresses postales et coordonnées géographiques utilisées pour planifier les interventions et calculer les trajets entre les ressources et les lieux d'intervention
- Zones de couverture géographique configurées pour chaque ressource
2.4 Données des clients finaux (formulaires publics)
Lorsqu'un client final remplit un formulaire public de réservation hébergé sur Craino pour le compte d'une organisation cliente, nous collectons :
- Nom, prénom, email, téléphone
- Adresse de l'intervention
- Réponses aux questions du formulaire et préférences de créneaux
- Informations techniques liées à la soumission (adresse IP, navigateur, page d'origine), nécessaires pour prévenir la fraude et tracer la réservation
Dans ce cas, l'organisation cliente est responsable du traitement et Craino agit en qualité de sous-traitant.
2.5 Données de facturation
- Informations de facturation (nom, adresse, numéro de TVA)
- Historique des abonnements, factures et transactions
- Informations de paiement traitées exclusivement par Stripe — nous ne stockons aucune donnée de carte bancaire
2.6 Données techniques
- Adresse IP
- Type de navigateur et système d'exploitation
- Pages visitées et horodatage
- Données de session
- Historique des actions effectuées sur la plateforme, conservé à des fins de sécurité, de support et de conformité
3. Finalités du traitement
Vos données personnelles sont traitées pour les finalités suivantes :
| Finalité | Base légale |
|---|---|
| Gestion de votre compte et authentification | Exécution du contrat |
| Fourniture des services de la plateforme (réservations, missions, planning) | Exécution du contrat |
| Traitement des paiements et facturation | Exécution du contrat / Obligation légale |
| Synchronisation avec Google Calendar ou Microsoft Outlook Calendar (si activée) | Consentement |
| Géocodage des adresses et calcul des temps de trajet pour proposer des créneaux optimisés | Exécution du contrat |
| Envoi d'emails transactionnels (confirmations, rappels) | Exécution du contrat |
| Protection des formulaires publics contre les soumissions automatisées | Intérêt légitime |
| Traçabilité des actions sensibles (sécurité, support, conformité) | Intérêt légitime |
| Amélioration de nos services et analyse d'usage | Intérêt légitime |
| Respect de nos obligations légales et fiscales | Obligation légale |
| Prévention de la fraude et sécurité | Intérêt légitime |
| Mesure d'efficacité des campagnes publicitaires (Meta Pixel) | Consentement |
4. Destinataires des données
Vos données personnelles peuvent être partagées avec les catégories de destinataires suivantes :
4.1 Sous-traitants
- OVH SAS (France) : hébergement des serveurs applicatifs, de la base de données et des fichiers médias
- Stripe (États-Unis) : traitement des paiements et gestion des abonnements - Politique de confidentialité
- Resend (États-Unis) : envoi d'emails transactionnels (confirmations, invitations, rappels, notifications) - Politique de confidentialité
- Mapbox (États-Unis) : recherche d'adresses, géocodage et calcul des temps de trajet entre les ressources et les lieux d'intervention - Politique de confidentialité
- Google (États-Unis) : connexion via Google Sign-In et synchronisation Google Calendar, si activées par l'utilisateur - Politique de confidentialité
- Microsoft (États-Unis) : synchronisation Microsoft Outlook Calendar, si activée par l'utilisateur - Déclaration de confidentialité
- Cloudflare Turnstile (États-Unis) : protection contre les bots et sécurité des formulaires publics - Politique de confidentialité Turnstile
- Meta Platforms (États-Unis) : mesure d'efficacité des campagnes publicitaires via le Meta Pixel (soumis à consentement) - Politique de confidentialité
- Google Tag Manager (États-Unis) : gestion technique des balises marketing (soumis à consentement) - Politique de confidentialité
4.2 Autres destinataires
- Les membres de votre organisation (selon les permissions configurées)
- Les clients qui effectuent des réservations (données limitées au nécessaire)
- Autorités compétentes en cas d'obligation légale
5. Transferts hors Union Européenne
Certains de nos sous-traitants (Stripe, Resend, Mapbox, Google, Microsoft, Cloudflare, Meta Platforms) sont situés aux États-Unis ou opèrent une infrastructure mondiale. Ces transferts sont encadrés par :
- Le Data Privacy Framework (DPF) UE-États-Unis pour les entreprises certifiées
- Les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne
Ces garanties assurent un niveau de protection adéquat de vos données conformément aux exigences du RGPD.
6. Durée de conservation
Nous conservons vos données personnelles selon les durées suivantes :
| Type de données | Durée de conservation |
|---|---|
| Données de compte | 12 mois après la résiliation du contrat |
| Données de facturation | 7 ans (obligation légale comptable belge) |
| Données de réservations/missions | Durée de la relation contractuelle + 3 ans |
| Fichiers et images | Supprimés avec le compte ou sur demande |
| Données techniques de soumission des formulaires publics | 6 mois |
| Historique des actions sur la plateforme | 12 mois |
| Logs techniques (applicatifs) | 6 mois |
| Logs de sécurité (authentification, tentatives de connexion) | 12 mois |
| Sauvegardes de la base de données | 30 jours glissants |
À l'expiration de ces délais, vos données sont supprimées ou anonymisées de manière irréversible.
7. Protection anti-bot (Cloudflare Turnstile)
Pour protéger nos formulaires contre les soumissions automatisées et les abus, nous utilisons Cloudflare Turnstile, une alternative respectueuse de la vie privée aux CAPTCHA traditionnels.
7.1 Données collectées par Turnstile
Lorsque vous interagissez avec un formulaire protégé, Turnstile collecte automatiquement :
- Votre adresse IP
- L'empreinte TLS (informations techniques sur votre connexion sécurisée)
- L'en-tête User-Agent (type de navigateur et système d'exploitation)
- Des signaux comportementaux côté client
7.2 Finalité et base légale
Ces données sont traitées uniquement pour distinguer les visiteurs humains des bots automatisés. Cloudflare ne peut pas identifier directement les individus à partir de ces signaux et ne les utilise pas à des fins publicitaires ou de ciblage.
Base légale : intérêt légitime (protection contre la fraude et les abus).
7.3 Conservation
Les données collectées par Turnstile sont traitées en temps réel et ne sont pas conservées au-delà de ce qui est nécessaire pour la validation. Pour plus de détails, consultez la politique de confidentialité de Turnstile .
8. Mesure d'audience (Analytics)
Pour comprendre comment notre site est utilisé et améliorer nos services, nous utilisons Umami , un outil d'analyse d'audience open source auto-hébergé sur nos propres serveurs.
8.1 Caractéristiques respectueuses de la vie privée
Umami a été choisi pour son respect de la vie privée :
- Aucun cookie : Umami ne dépose aucun cookie sur votre navigateur
- Aucune donnée personnelle identifiante : les adresses IP ne sont pas stockées
- Pas de tracking cross-site : votre navigation n'est pas suivie entre différents sites
- Auto-hébergé : toutes les données restent sur nos propres serveurs en Europe
8.2 Données collectées
Les données collectées de manière anonyme sont :
- Pages visitées et URL de référence (referrer)
- Pays de provenance (déterminé à partir de l'IP, sans stockage de l'IP)
- Type d'appareil (desktop, mobile, tablette)
- Navigateur et système d'exploitation (informations génériques)
- Horodatage de la visite
8.3 Finalité et base légale
Ces données sont utilisées exclusivement pour mesurer la fréquentation du site et améliorer l'expérience utilisateur. Aucune donnée n'est partagée avec des tiers.
Base légale : intérêt légitime (amélioration des services). Cet outil de mesure d'audience, qui ne dépose pas de cookies et n'identifie pas les visiteurs, est exempté de consentement préalable conformément aux lignes directrices européennes en matière de protection des données.
8.4 Durée de conservation
Les données d'analyse d'audience sont conservées pendant une durée maximale de 13 mois, conformément aux recommandations européennes en matière de mesure d'audience.
8.5 Hébergement des données
Les données d'analyse sont stockées sur nos serveurs auto-hébergés situés en Europe. Aucun transfert de données vers des pays tiers n'est effectué pour cette finalité.
9. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des données en transit (HTTPS/TLS)
- Chiffrement des mots de passe et des jetons sensibles
- Isolation stricte des données entre organisations clientes
- Hébergement sur des serveurs sécurisés en Europe (OVH, France)
- Accès restreint aux données (principe du moindre privilège)
- Sauvegardes quotidiennes et sécurisées, conservées 30 jours glissants
- Authentification à deux facteurs disponible
- Protection contre les soumissions automatisées sur les formulaires publics
- Historisation des actions sensibles à des fins de sécurité et de support
10. Vos droits
Conformément au RGPD, vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l'effacement : demander la suppression de vos données (« droit à l'oubli »)
- Droit à la limitation : restreindre le traitement de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible
- Droit d'opposition : vous opposer au traitement basé sur l'intérêt légitime
- Droit de retirer votre consentement : à tout moment, sans affecter la licéité du traitement antérieur
Vous pouvez exercer directement deux de ces droits depuis votre compte Craino :
- Exporter vos données : depuis les paramètres de votre compte, vous pouvez télécharger l'ensemble de vos données dans un format structuré
- Supprimer votre compte : la suppression de votre compte entraîne l'anonymisation ou la suppression de vos données personnelles, sous réserve des obligations légales de conservation (notamment comptables)
Pour les autres droits, ou pour toute question, contactez-nous à : hello@craino.app
Nous nous engageons à répondre à votre demande dans un délai d'un mois. Ce délai peut être prolongé de deux mois en cas de demande complexe, auquel cas nous vous en informerons.
11. Réclamation
OBSB SRL étant établie en Belgique, l'autorité de contrôle compétente est l'Autorité de protection des données (APD) :
- Autorité de protection des données (APD)
Rue de la Presse 35, 1000 Bruxelles, Belgique
www.autoriteprotectiondonnees.be
Si vous résidez dans un autre État membre de l'Union européenne, vous pouvez également introduire une réclamation auprès de l'autorité de contrôle de votre pays de résidence habituelle.
12. Modifications de cette politique
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par email ou via une notification sur la plateforme. La date de dernière mise à jour est indiquée en haut de ce document.
13. Contact
Pour toute question relative à cette politique de confidentialité ou au traitement de vos données personnelles, vous pouvez nous contacter :
- Par email : hello@craino.app
- Par courrier : OBSB SRL, Rue du Mouligneau 71, 7011 Ghlin, Belgique