Politique de confidentialité
Dernière mise à jour : avril 2026
1. Introduction
RunStudio Inc. (ci-après « RunStudio », « nous » ou « notre ») accorde une importance primordiale à la protection de vos données personnelles. La présente politique de confidentialité décrit la manière dont nous collectons, utilisons et protégeons vos données dans le cadre de l'utilisation de notre Plateforme, conformément aux lois applicables en matière de protection des données, notamment :
- La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) (Canada)
- La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, Québec)
- Le Règlement Général sur la Protection des Données (RGPD)(Union européenne), pour les utilisateurs résidant en UE
Cette politique s'adresse à deux catégories d'utilisateurs :
- Les Utilisateurs professionnels (Studios) qui utilisent notre tableau de bord de gestion
- Les Clients finaux qui effectuent des réservations via les portails publics des Studios
2. Responsable du traitement
Le responsable du traitement des données est RunStudio Inc., dont le siège social est situé à [À COMPLÉTER — adresse Canada], immatriculée sous le numéro [À COMPLÉTER].
Pour toute question relative à vos données personnelles : privacy@runstudio.io
Responsable de la protection des renseignements personnels (RPRP) : [À COMPLÉTER — nom du responsable] — privacy@runstudio.io
3. Données collectées
3.1 Données des Utilisateurs professionnels (Studios)
Lors de la création d'un compte et de l'utilisation de la Plateforme :
- Identité : nom, prénom, nom du studio
- Coordonnées : adresse email, numéro de téléphone
- Informations du studio : adresse, ville, pays, description, logo, photos
- Données de paiement : gérées par Stripe (nous ne stockons pas les données bancaires)
- Données de connexion : adresse IP, dates et heures de connexion
- Données d'utilisation : actions réalisées sur la Plateforme, préférences
3.2 Données des Clients finaux
Lors d'une réservation de session :
- Identité : nom, prénom
- Coordonnées : adresse email, numéro de téléphone
- Informations de réservation : salle, formule, date, horaire, montant
- Données de paiement : traitées exclusivement par Stripe
- Éventuellement : réponses à un questionnaire pré-session défini par le Studio
3.3 Données collectées automatiquement
- Données de navigation : adresse IP, type de navigateur, système d'exploitation
- Témoins (cookies) techniques nécessaires au fonctionnement de la Plateforme
- Données d'utilisation anonymisées à des fins statistiques
Nous collectons uniquement les renseignements personnels nécessaires aux fins indiquées. Nous n'utilisons pas vos renseignements à des fins non divulguées sans obtenir votre consentement préalable.
4. Finalités et bases légales des traitements
| Finalité | Base légale (LPRPDE/Loi 25) | Base légale (RGPD) |
|---|---|---|
| Gestion des comptes et authentification | Exécution du contrat | Exécution du contrat |
| Traitement des réservations et paiements | Exécution du contrat | Exécution du contrat |
| Envoi d'emails transactionnels (confirmation, rappels) | Exécution du contrat | Exécution du contrat |
| Amélioration du service et analyses statistiques | Intérêt légitime | Intérêt légitime |
| Prévention de la fraude et sécurité | Intérêt légitime | Intérêt légitime |
| Respect des obligations légales (comptabilité, fiscalité) | Obligation légale | Obligation légale |
| Envoi de communications marketing (newsletters) | Consentement exprès | Consentement |
| Utilisation de témoins (cookies) non essentiels | Consentement exprès | Consentement |
5. Durées de conservation
- Données de compte : durée de la relation contractuelle + 3 ans après la résiliation du compte
- Données de réservation : 7 ans à compter de la réservation (obligation comptable canadienne)
- Données de paiement : conservées par Stripe selon leurs propres politiques (généralement 7 ans pour les obligations légales)
- Logs de connexion : 12 mois
- Données de navigation et témoins : 13 mois maximum
Lorsque vos données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées, elles sont supprimées de manière sécurisée ou anonymisées.
6. Destinataires et localisation des données
Vos données peuvent être transmises aux destinataires suivants :
- Stripe : traitement sécurisé des paiements. Les données sont traitées aux États-Unis et dans l'UE. Encadrement : clauses contractuelles types (CCT) et Privacy Shield successeur.
- Supabase : hébergement de la base de données. Les données sont stockées sur des serveurs AWS dans la région us-east-1 (Virginie, États-Unis). Encadrement : CCT.
- Vercel : hébergement de l'application. Serveurs principalement aux États-Unis et dans l'UE. Encadrement : CCT.
- Resend : envoi d'emails transactionnels. Données traitées aux États-Unis. Encadrement : CCT.
Transferts transfrontaliers (Canada) : conformément à la LPRPDE, nous informons nos utilisateurs que leurs renseignements personnels peuvent être transférés à l'extérieur du Canada pour les sous-traitants mentionnés ci-dessus. Ces sous-traitants sont liés par des obligations contractuelles de protection des données équivalentes. En utilisant la Plateforme, vous consentez à ces transferts.
Nous ne vendons ni ne louons vos données personnelles à des tiers. En dehors des cas mentionnés ci-dessus, vos données ne sont transmises à des tiers que sur demande judiciaire ou pour respecter une obligation légale.
7. Sous-traitance (Studios)
Dans le cadre de la gestion des données de leurs propres clients, les Studios agissent en tant que responsables du traitement. RunStudio intervient en tant que sous-traitant.
Les Studios s'engagent à informer leurs propres clients de l'utilisation de leurs données via la Plateforme et à disposer d'une base légale valide pour ce traitement, conformément aux lois applicables dans leur territoire.
8. Vos droits
Conformément à la LPRPDE, à la Loi 25 (Québec) et au RGPD (selon votre territoire), vous disposez des droits suivants :
- Droit d'accès : obtenir la confirmation que vos données sont traitées et en obtenir une copie, y compris la liste de nos sous-traitants
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l'effacement / à la désindexation : demander la suppression de vos données (sous réserve des obligations légales de conservation)
- Droit à la portabilité (Loi 25 & RGPD) : recevoir vos données dans un format technologique structuré et communément utilisé
- Droit de retrait du consentement : à tout moment pour les traitements fondés sur votre consentement, sans effet rétroactif
- Droit d'opposition (RGPD) : vous opposer au traitement fondé sur l'intérêt légitime
Pour exercer vos droits, contactez notre responsable de la protection des renseignements personnels : privacy@runstudio.io. Nous répondrons dans un délai de 30 jours (45 jours pour les demandes complexes selon la LPRPDE, avec notification).
Résidants du Québec : si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une plainte auprès de la Commission d'accès à l'information du Québec (CAI).
Résidants du Canada (hors Québec) : vous pouvez déposer une plainte auprès du Commissariat à la protection de la vie privée du Canada (CPVP).
Résidants de l'UE : vous pouvez introduire une réclamation auprès de la CNIL (France) ou de l'autorité de contrôle de votre État membre.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte, destruction ou altération :
- Chiffrement des données en transit (HTTPS / TLS 1.2+)
- Chiffrement des données au repos (AES-256 via Supabase)
- Contrôle d'accès strict aux données (principe du moindre privilège)
- Authentification sécurisée (Supabase Auth)
- Mots de passe hashés (bcrypt)
- Revues de sécurité régulières
En cas d'incident de confidentialité susceptible de causer un préjudice réel à une personne, nous nous engageons à notifier les autorités compétentes et les personnes concernées dans les délais prévus par la loi (72h pour le RGPD, dès que possible pour la LPRPDE/Loi 25).
10. Témoins (cookies)
Pour plus d'informations sur les témoins utilisés par la Plateforme, consultez notre Politique relative aux témoins (cookies).
11. Loi 25 — Mesures spécifiques (Québec)
Conformément à la Loi 25 du Québec (en vigueur depuis le 22 septembre 2022 pour les premières obligations, et progressivement jusqu'au 22 septembre 2023 et 2024) :
- Responsable de la protection des renseignements personnels (RPRP) : notre RPRP est désigné et ses coordonnées sont accessibles au public via cette politique (voir section 2)
- Évaluation des facteurs relatifs à la vie privée (ÉFVP) : nous réalisons des ÉFVP pour tout nouveau projet impliquant des renseignements personnels
- Droit à la portabilité : sur demande, vous pouvez recevoir vos données dans un format technologique structuré et couramment utilisé
- Consentement manifeste : pour les traitements non essentiels (marketing, cookies non nécessaires), nous recueillons votre consentement de manière distincte et explicite
- Confidentialité par défaut : seuls les renseignements nécessaires à la finalité sont collectés ; les paramètres de confidentialité les plus élevés s'appliquent par défaut
12. Modifications
Nous pouvons modifier la présente politique à tout moment. La version en vigueur est celle disponible sur cette page, avec la date de dernière mise à jour indiquée en haut. En cas de modification substantielle, nous vous en informerons par email au moins 30 jours avant l'entrée en vigueur des changements.
13. Contact
Pour toute question relative à cette politique ou à vos données personnelles, ou pour exercer vos droits (accès, rectification, suppression, portabilité) :
- Email : privacy@runstudio.io
- Formulaire en ligne : Demande d'accès / suppression
- Courrier : RunStudio Inc. — [À COMPLÉTER — adresse postale Canada]