Naar inhoud
StippaStippa
FonctionnalitésTarifsFAQContact
Se connecterCommencer

Politique de confidentialité

Dernière mise à jour: 21 juin 2026

1. Qui sommes-nous ?

De Rechter Software (ci-après : « nous », « notre » ou « Stippa ») est responsable du traitement des données à caractère personnel décrit dans la présente politique de confidentialité.

  • De Rechter Software (exerçant sous le nom commercial Stippa), entreprise individuelle de droit néerlandais
  • Molenwater 20, 4511 BN Breskens, Pays-Bas
  • Numéro KvK (registre du commerce néerlandais) : 98466402
  • Numéro de TVA : NL005332100B80
  • Courriel : support@stippa.nl (ou support@derechtersoftware.nl)

Le traitement de vos données est régi par le Règlement général sur la protection des données (RGPD) ainsi que, pour les utilisateurs établis en France, par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (loi « Informatique et Libertés »).

Nous remplissons deux rôles. Pour les données de nos titulaires de compte (les entreprises qui utilisent Stippa) et de leurs collaborateurs, nous agissons en qualité de responsable de traitement. Pour les données à caractère personnel des clients finaux qu'un titulaire de compte gère via Stippa, nous agissons en qualité de sous-traitant : le titulaire de compte détermine la finalité et est responsable de traitement, et nous ne traitons ces données qu'au nom et pour le compte du titulaire de compte. Les modalités correspondantes figurent dans notre accord de sous-traitance.

2. Quelles données collectons-nous ?

Nous traitons les catégories de données à caractère personnel suivantes :

  • Nom et adresse électronique (lors de l'inscription et de la gestion des rendez-vous)
  • Numéro de téléphone (facultatif, pour les messages de rappel)
  • Données de rendez-vous (date, heure, prestation, collaborateur, notes)
  • Informations de paiement (traitées via Stripe ; nous ne conservons aucune donnée complète de carte bancaire)
  • Données techniques (adresse IP, type de navigateur, journaux d'utilisation)
  • Données Google Calendar (uniquement lorsqu'un collaborateur connecte son agenda Google ; voir la section 6 pour les explications complètes)

3. À quelles fins utilisons-nous vos données, et sur quelle base légale ?

Nous traitons chaque donnée pour une finalité déterminée et sur une base légale précise tirée de l'article 6 du RGPD :

  • Planifier, gérer et confirmer les rendez-vous, sur la base légale de l'exécution du contrat.
  • Envoyer des rappels et des notifications, sur la base légale de l'exécution du contrat.
  • Traiter les paiements, sur la base légale de l'exécution du contrat et du respect d'une obligation légale (fiscale).
  • Synchroniser les rendez-vous avec des agendas externes (Google Calendar, iCal), sur la base légale de votre consentement explicite, que vous pouvez retirer à tout moment.
  • Sécuriser, maintenir et améliorer le service (y compris l'analyse produit et la prévention de la fraude), sur la base légale de notre intérêt légitime à fournir un service sûr et utilisable. Nous mettons cet intérêt en balance avec votre vie privée et limitons le traitement à ce qui est nécessaire à cette fin.
  • Respecter les obligations légales, sur la base légale d'une obligation légale.

4. Partage avec des tiers

Nous ne partageons vos données qu'avec les sous-traitants strictement nécessaires à l'exécution de notre service :

  • Supabase Inc. pour l'hébergement de la base de données (hébergé dans l'UE)
  • Vercel Inc. pour l'hébergement de l'application
  • Upstash, Inc. pour la limitation de débit et la prévention des abus (traitement temporaire d'adresses IP)
  • Cloudflare, Inc. pour la protection anti-bot et anti-abus (Turnstile)
  • Sentry (Functional Software, Inc.) pour la surveillance des erreurs et la stabilité de l'application
  • Inngest, Inc. pour l'exécution de tâches en arrière-plan, comme l'envoi de rappels
  • Grafana Labs pour la gestion des journaux (Loki), uniquement si activé
  • Stripe Payments Europe Ltd. et Mollie B.V. pour le traitement des paiements (Mollie hébergé dans l'UE)
  • Resend, Inc. pour l'envoi d'e-mails transactionnels (confirmations, rappels et notifications)
  • Twilio Inc. / WhatsApp Business pour des services de messagerie optionnels
  • PostHog pour l'analyse produit (sur notre site web de présentation, uniquement après votre consentement via la bannière de cookies, et au sein de l'application pour les titulaires de compte afin d'améliorer le service ; les données sont traitées sur des serveurs situés dans l'UE ; voir la section 10)

Les intégrations suivantes ne sont activées que lorsque vous ou un membre du personnel les connectez : Google LLC pour la synchronisation d'agenda (voir section 6) et Moneybird B.V. pour une intégration comptable.

Nous ne vendons jamais vos données à des tiers. Dans la mesure où des données à caractère personnel sont transférées vers des sous-traitants situés en dehors de l'Espace économique européen (notamment aux États-Unis, comme dans le cas de Stripe, Google, Vercel, Resend, Sentry, Cloudflare, Upstash ou Inngest), ce transfert repose principalement sur le cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework) (décision d'adéquation de la Commission européenne du 10 juillet 2023), pour les parties certifiées à ce titre. À titre de garantie complémentaire ou de repli, les clauses contractuelles types de la Commission européenne (Standard Contractual Clauses, décision d'exécution (UE) 2021/914) s'appliquent.

5. Base légale du traitement

Comme expliqué à la section 3, nous traitons vos données sur le fondement de l'exécution d'un contrat, d'un intérêt légitime, d'une obligation légale ou de votre consentement explicite. Lorsque nous nous fondons sur le consentement, vous pouvez le retirer à tout moment ; ce retrait ne porte pas atteinte à la licéité du traitement effectué avant le retrait.

6. Intégration Google Calendar

Stippa offre aux collaborateurs la possibilité de connecter leur agenda Google via Google OAuth 2.0. Les dispositions ci-dessous expliquent quelles données utilisateur Google nous consultons, comment nous les utilisons, avec qui nous les partageons, comment nous les stockons et les sécurisons, et comment vous pouvez retirer votre consentement.

6.1 Quelles données Google consultons-nous ?

Lorsque vous ou un collaborateur de votre organisation choisissez de connecter un agenda Google, nous ne demandons que la portée (« scope ») OAuth suivante : https://www.googleapis.com/auth/calendar.events.readonly. Il s'agit d'un droit en lecture seule ; avec cette autorisation, Stippa ne peut pas créer, modifier ou supprimer d'événements dans votre agenda Google. Avec cette autorisation, nous consultons :

  • L'adresse électronique du compte Google connecté (uniquement à des fins d'affichage dans le tableau de bord, afin que le collaborateur voie quel compte est connecté) ;
  • Les heures de début et de fin, le statut et l'identifiant unique des événements de l'agenda principal du compte Google connecté, dans une fenêtre de 90 jours à compter de l'instant présent ;
  • Nous ne lisons aucun titre, description, lieu ou donnée d'invité de votre agenda Google existant, uniquement le fait qu'un créneau soit occupé.

6.2 Comment utilisons-nous ces données ?

Les données sont utilisées exclusivement pour afficher dans Stippa les créneaux occupés de votre agenda Google, afin d'éviter les doubles réservations. Stippa n'écrit aucun événement dans votre agenda Google ; les rendez-vous que vous gérez dans Stippa restent uniquement dans Stippa.

6.3 Avec qui partageons-nous ces données ?

Nous ne partageons les données utilisateur Google avec aucun tiers. Les jetons (tokens) et les données d'agenda sont utilisés uniquement pour communiquer avec les API de Google au nom de l'utilisateur connecté. Nous n'utilisons jamais les données utilisateur Google à des fins publicitaires ni à aucune autre fin que celle décrite dans la présente politique de confidentialité.

6.4 Comment stockons-nous et sécurisons-nous ces données ?

Les jetons d'accès et de rafraîchissement OAuth sont chiffrés avec AES-256-GCM avant stockage. Toutes les communications avec les API de Google s'effectuent en TLS 1.2 ou supérieur. La base de données est hébergée au sein de l'Union européenne. L'accès aux jetons est limité aux processus automatisés de synchronisation ; les jetons ne sont jamais consultés par les collaborateurs de De Rechter Software.

6.5 Durée de conservation et suppression

Nous conservons les données utilisateur Google tant que le collaborateur maintient son agenda Google connecté à Stippa. Lorsque la connexion est rompue via Stippa (Tableau de bord, Collaborateurs, onglet « Synchronisation de l'agenda », « Déconnecter ») :

  • les jetons et les heures d'occupation sont immédiatement supprimés de notre base de données ;
  • le canal de notifications « push » de Google pour cette connexion est interrompu ;
  • aucune nouvelle donnée n'est récupérée auprès de Google.

Vous pouvez également retirer l'accès à tout moment via votre compte Google sur myaccount.google.com/permissions. Vous pouvez par ailleurs adresser une demande de suppression à support@stippa.nl ; nous traitons une telle demande dans un délai de 30 jours.

6.6 Usage limité (« Limited Use »), publicité et entraînement IA/ML

L'utilisation et le transfert par Stippa des informations obtenues via les API de Google vers toute autre application respectent la Google API Services User Data Policy, y compris ses exigences d'usage limité (Limited Use).

Nous n'utilisons pas les données obtenues via les API de Google Workspace pour développer, améliorer ou entraîner des modèles génériques d'intelligence artificielle (IA) ou d'apprentissage automatique (ML). Nous ne transférons pas non plus de telles données à des tiers à cette fin. Les données utilisateur Google ne sont pas utilisées pour l'affichage de publicités.

7. Durées de conservation

Les données à caractère personnel sont conservées aussi longtemps que nécessaire à la finalité pour laquelle elles ont été collectées, ou aussi longtemps que la loi l'exige :

  • Données de rendez-vous et de clients : par défaut 2 ans après le dernier rendez-vous ;
  • Données liées aux paiements : 7 ans (obligation légale de conservation à des fins fiscales) ;
  • Jetons Google Calendar et données de synchronisation : jusqu'à la rupture de la connexion (voir section 6.5) ;
  • Journaux techniques : 90 jours au maximum ;
  • Journaux d'audit des modifications effectuées dans le tableau de bord : 2 ans, à des fins de sécurité et de conformité.

8. Vos droits

Vous disposez des droits suivants :

  • Droit d'accès à vos données à caractère personnel
  • Droit de rectification ou de complément des données inexactes
  • Droit à l'effacement de vos données (« droit à l'oubli »)
  • Droit à la limitation du traitement
  • Droit à la portabilité des données
  • Droit d'opposition au traitement fondé sur l'intérêt légitime
  • Droit de retirer un consentement précédemment donné (par exemple lors de la connexion d'un agenda externe), sans que cela porte atteinte à la licéité du traitement antérieur

Vous pouvez adresser vos demandes à support@stippa.nl. Nous répondons dans un délai de 30 jours. Afin de prévenir tout abus, nous pouvons vous demander de justifier de votre identité. Si un titulaire de compte traite vos données en tant que client final, vous pouvez adresser votre demande à ce titulaire de compte ; nous lui apportons, en notre qualité de sous-traitant, la coopération nécessaire.

9. Sécurité

Nous prenons des mesures techniques et organisationnelles appropriées pour protéger vos données, notamment :

  • Le chiffrement des données en transit (TLS 1.2 ou supérieur) et au repos ;
  • Le chiffrement des jetons sensibles (tels que les jetons d'accès et de rafraîchissement OAuth) avec AES-256-GCM avant stockage ;
  • Une gestion des accès fondée sur les rôles avec sécurité au niveau des lignes (row-level security) dans la base de données ;
  • Des évaluations de sécurité régulières et la journalisation des accès ;
  • Une procédure de notification des violations de données aux personnes concernées et à l'autorité de contrôle compétente conformément au RGPD.

10. Cookies et analyse

Nous utilisons des cookies fonctionnels et du stockage local strictement nécessaires au fonctionnement du service (gestion de session, état de connexion et préférences). Ils sont toujours déposés et ne peuvent pas être désactivés, car le service ne fonctionnerait pas sans eux.

Sur notre site web public de présentation, nous utilisons en outre PostHog pour l'analyse produit, afin de comprendre comment les visiteurs utilisent le site et de l'améliorer. Conformément à l'article 82 de la loi Informatique et Libertés, cette analyse n'est réalisée qu'après que vous y avez consenti via la bannière de cookies qui apparaît lors de votre première visite. Refuser le dépôt de ces traceurs est aussi simple que de l'accepter : la bannière propose un choix équivalent pour accepter et pour refuser. Si vous refusez, ou si vous n'entreprenez aucune action, aucune analyse n'a lieu. Vous pouvez modifier votre choix à tout moment en effaçant la préférence enregistrée dans votre navigateur.

Au sein de l'application après connexion, nous utilisons PostHog pour l'analyse produit au niveau du compte (par exemple, quelles fonctionnalités sont utilisées), sur le fondement de notre intérêt légitime à améliorer le service. Dans cet environnement, il n'y a aucun enregistrement de session, aucun relevé de carte de chaleur (heatmap) et aucun enregistrement automatique des clics. Pendant les sessions d'administration (impersonation par le support), l'analyse est entièrement désactivée.

Par ailleurs, nous collectons via Vercel Speed Insights des données de performance anonymisées (telles que les temps de chargement, le type de navigateur, le type d'appareil et le pays au niveau national) afin de surveiller et d'améliorer la vitesse et la fiabilité de l'application. Aucun cookie n'est déposé à cette fin et aucune donnée à caractère personnel ni aucune adresse IP n'est conservée ; les données ne permettent pas d'identifier un visiteur en particulier. Aucun consentement n'est donc requis ; le traitement repose sur notre intérêt légitime.

Toutes les données d'analyse sont traitées sur des serveurs situés au sein de l'Union européenne. Nous n'utilisons aucun cookie publicitaire et ne partageons aucune donnée avec des régies publicitaires.

11. Enfants

Notre service n'est pas destiné à être utilisé par des personnes de moins de 16 ans. Nous ne collectons pas sciemment de données à caractère personnel d'enfants de moins de 16 ans. Si vous pensez que nous avons collecté de telles données, veuillez nous contacter afin que nous puissions les supprimer.

12. Décision automatisée

Nous n'avons pas recours à une prise de décision automatisée ni à un profilage produisant des effets juridiques à votre égard ou vous affectant de manière significative.

13. Réclamations

Vous avez une réclamation concernant la manière dont nous traitons vos données ? Contactez-nous à support@stippa.nl. Vous avez également le droit d'introduire une réclamation auprès d'une autorité de contrôle. Si vous êtes établi en France, l'autorité compétente est la Commission nationale de l'informatique et des libertés (CNIL), cnil.fr. Si vous résidez dans un autre État membre de l'UE, vous pouvez également vous adresser à l'autorité de contrôle de votre propre pays.

14. Modifications

Nous pouvons mettre à jour la présente politique de confidentialité de temps à autre. La version la plus récente est toujours disponible sur cette page. En cas de modification substantielle, nous vous en informons par courriel ou par une notification dans l'application.

StippaStippa

La prise de rendez-vous, sans tracas.

Pour qui

  • Pour coiffeurs
  • Instituts de beauté
  • Kinésithérapeutes
  • Coachs
  • Coachs sportifs

Fonctionnalités

  • Widget de réservation
  • Paiements en ligne
  • Rappels
  • Prévention des no-shows
  • Agenda en ligne
  • Gestion des clients

Produit

  • Fonctionnalités
  • Tarifs
  • FAQ
  • Contact

Mentions légales

  • Politique de confidentialité
  • Conditions d'utilisation
  • Accord de traitement des données

© 2026 Stippa. Tous droits réservés.

De Rechter Software · Molenwater 20, 4511 BN Breskens · KvK 98466402 · btw NL005332100B80

······