Politique de Confidentialité

Responsable de traitement : SAS Maha Giri, représentée par son Président, Belkheir Houssem Eddine.

Délégué à la Protection des Données (DPO) — point de contact unique pour toutes vos demandes RGPD :

Pour les services Giri Soins (vitrines praticiens) et Giri Store (boutiques revendeurs) : Maha Giri agit comme sous-traitant au sens de l'art. 28 RGPD vis-à-vis des données clients finaux du praticien/revendeur ; ce dernier est responsable de traitement pour ses propres clients.

Compte utilisateur (Giri App, Giri Soins, Giri Store) :

• Identité : nom, prénom, slug public
• Coordonnées : email, téléphone (facultatif)
• Authentification : mot de passe (haché bcrypt), jeton de session
• Préférences : langue, thème, paramètres de l'interface

Vitrine praticien Giri Soins :

• Profil professionnel : photo, biographie, parcours, spécialités
• Services proposés : titre, description, durée, tarif
• Galerie photos / vidéos / témoignages
• Liens externes (réseaux sociaux, site personnel)
• Adresse / zone d'exercice (si renseignée)

Réservation et paiement :

• Disponibilités, dates de rendez-vous
• Identité du client (nom, email, téléphone)
• Montants payés, numéros de transaction Stripe (les numéros de carte ne transitent jamais par nos serveurs — Stripe est responsable de traitement autonome pour le paiement)

Communication :

• Messages transactionnels (confirmations, rappels) via Postal
• Conversations avec l'assistante E-CARE / Lumi (questions, réponses générées)
• Demandes au support (contenu des tickets)

Données techniques (LCEN art. 6-II) :

• Adresse IP (minimisée par hachage SHA-256 dès que possible)
• Type de navigateur, système d'exploitation, horodatage
• Logs nginx (accès, erreurs)

Politique « no-health-data » (Giri Soins) : la plateforme Giri Soins ne collecte, ne traite, ni n'héberge aucune donnée de santé identifiable au sens de l'article 9 RGPD. Aucun champ ne permet la saisie de motif de consultation, symptôme, antécédent, contre-indication ou traitement. Les éventuels échanges contenant des informations de santé ont lieu directement entre le client et le praticien, hors plateforme (téléphone, e-mail personnel, échange en cabinet). Le respect de l'article 9 RGPD côté praticien relève de sa responsabilité exclusive (cf. CGV Plateforme art. 16 et Politique de confidentialité Plateforme §2 bis).

• Fourniture du service (compte, vitrine, paiements) — exécution du contrat (art. 6-1-b)
• Facturation et obligations comptables (10 ans) — obligation légale (art. 6-1-c, art. L123-22 Code commerce)
• Sécurité, prévention de la fraude, journalisation — intérêt légitime (art. 6-1-f) et obligation légale (LCEN art. 6-II)
• Communication transactionnelle (confirmations, alertes) — exécution du contrat
• Newsletter / informations commerciales — consentement (art. 6-1-a, opt-in explicite, désinscription en 1 clic)
• Statistiques d'usage agrégées — intérêt légitime, données pseudonymisées
• Modération de contenus / signalements (DSA) — obligation légale (Règlement UE 2022/2065)

Vos données ne sont jamais vendues ni louées. Nous faisons appel à des sous-traitants soumis à des accords de traitement (DPA) et à des engagements de sécurité :

AWS S3 n'est pas utilisé. La liste à jour des sous-traitants peut être obtenue auprès du DPO.

Certains sous-traitants (Cloudflare, Anthropic, Stripe pour certains traitements) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :

• Les Clauses Contractuelles Types de la Commission européenne (décision 2021/914/UE)
• Une analyse d'impact des transferts (TIA) au sens de l'arrêt CJUE Schrems II (C-311/18) avec mesures supplémentaires (chiffrement en transit et au repos, minimisation, contrôle d'accès)
• Pour les fournisseurs certifiés Data Privacy Framework UE-US, le mécanisme de la décision d'adéquation 2023/1795/UE

• Droit d'accès (art. 15) — obtenir une copie de vos données
• Droit de rectification (art. 16) — corriger des données inexactes
• Droit à l'effacement (art. 17) — sous réserve des obligations légales de conservation comptable
• Droit à la limitation (art. 18)
• Droit à la portabilité (art. 20) — pour les praticiens Giri Soins, un export JSON complet est disponible directement dans l'onglet « Mon Compte » de votre espace
• Droit d'opposition (art. 21) — y compris pour le traitement à des fins de prospection
• Droit de retirer votre consentement à tout moment (art. 7-3), sans remettre en cause la licéité du traitement antérieur
• Décision automatisée (art. 22) — aucune décision purement automatisée produisant des effets juridiques significatifs n'est prise. L'assistante E-CARE fournit des informations à titre indicatif ; toute décision finale est humaine

Pour exercer vos droits : dpo@mahagiri.fr. Réponse sous 1 mois (prorogeable de 2 mois pour les demandes complexes — art. 12-3).

Vous pouvez à tout moment introduire une réclamation auprès de la CNIL — cnil.fr/fr/plaintes ou 3 place de Fontenoy, 75007 Paris.

• Compte actif — pendant toute la durée du contrat, puis 5 ans après résiliation au titre de la prescription commerciale (art. L.110-4 Code de commerce). Aligné CGV Plateforme art. 21 et Politique de confidentialité Plateforme §4.
• Compte inactif — suppression automatique après 36 mois sans connexion (avec préavis email)
• Données comptables et de facturation — 10 ans (art. L123-22 Code commerce). Archivage anonymisé par hachage SHA-256 dès la suppression du compte
• Logs techniques (LCEN) — jusqu'à 12 mois pour les données de connexion (décret n° 2021-1363)
• Logs nginx applicatifs — 12 mois maximum, en rotation chiffrée (alignement recommandation CNIL délibération 2021-122 sur la conservation des journaux de sécurité)
• Données de prospection — 3 ans à compter du dernier contact (recommandation CNIL)
• Cookies analytiques / publicitaires — 13 mois maximum (recommandation CNIL)
• Conversations E-CARE — 90 jours pour amélioration du service, puis suppression ou anonymisation
• Sauvegardes chiffrées — 30 jours glissants

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées (art. 32 RGPD) :

• Chiffrement TLS 1.3 en transit, AES-256 au repos pour les sauvegardes
• Mots de passe hachés (bcrypt avec sel)
• Secrets applicatifs chiffrés AES-256-GCM
• Contrôle d'accès strict (principe du moindre privilège)
• Journalisation horodatée et infalsifiable des accès sensibles
• Sauvegardes chiffrées et testées régulièrement
• Tests de sécurité réguliers et veille CVE

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures (art. 33 RGPD) et, lorsque le risque est élevé, vous informerons sans délai (art. 34).

Une analyse d'impact relative à la protection des données (AIPD) a été réalisée pour le traitement Giri Soins (mise en relation, politique no-health-data) et pour l'IA E-CARE (art. 35 RGPD). Synthèse publique disponible : /soins/legal-vault/aipd. Version détaillée sur demande au DPO.

Les services Giri ne sont pas destinés aux mineurs de moins de 15 ans. Aucun compte ne peut être créé par une personne de moins de 15 ans sans le consentement de ses titulaires de l'autorité parentale. Si vous constatez qu'un compte a été créé par un mineur sans cette autorisation, contactez immédiatement dpo@mahagiri.fr pour suppression.

Conformément à la directive 2002/58/CE et aux recommandations CNIL, nous utilisons :

Vous pouvez configurer votre navigateur pour bloquer ou supprimer les cookies à tout moment. Le refus des cookies non essentiels n'a aucun impact sur l'accès aux fonctionnalités du service.

Conformément à l'article 50 du règlement européen sur l'IA (UE 2024/1689), vous êtes informé que les services E-CARE et Lumi reposent sur des modèles d'intelligence artificielle (Claude, éditeur Anthropic PBC).

• Vos messages sont transmis au modèle pour générer une réponse contextualisée
• Anthropic s'engage contractuellement à ne pas utiliser vos données pour entraîner ses modèles
• Aucune décision automatisée individuelle au sens de l'art. 22 RGPD n'est prise sans intervention humaine
• Vous pouvez à tout moment ne plus utiliser l'assistante : ce n'est pas un canal obligatoire du service

Un Transfer Impact Assessment (TIA Schrems II) et une AIPD sont disponibles sur demande au DPO.

Cette politique peut évoluer (nouvelles fonctionnalités, évolution réglementaire). Toute modification substantielle sera notifiée par email et/ou via une bannière sur le site, au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en bas de page.