Collectif Point Zéro

Politique de confidentialité

Dernière mise à jour : 4 mai 2026

1. Responsable du traitement

Le site du Collectif Point Zéro est édité par Arcturian SRL, société de droit belge (n° d'entreprise / TVA BE 1023.532.023, RPM Tribunal de l'entreprise francophone de Bruxelles), dont le siège social est situé Av. Guillaume Crock 15, 1160 Auderghem, Belgique.

Référent RGPD : Rémi Comte-Offenbach. Pour toute question relative à vos données personnelles ou à l'exercice de vos droits : remi@pointzero.me.

2. Données collectées

  • Compte utilisateur : nom, prénom, adresse e-mail, mot de passe (haché), informations transmises via les formulaires d'inscription ou de contact.
  • Données de réservation : nom, prénom, adresse e-mail, numéro de téléphone, motif éventuel, détails de la réservation (date, heure, type de prestation, praticien concerné).
  • Conversations Point Zéro : messages échangés avec l'assistant IA, conservés pour la continuité des échanges. Supprimables à tout moment depuis votre interface.
  • Données de paiement : traitées exclusivement par Stripe. Aucune donnée bancaire (numéro de carte, IBAN) n'est stockée sur nos serveurs.
  • Navigation et logs techniques : adresse IP, type d'appareil, pages visitées, horodatage, conservés à des fins de sécurité et de fraude.

3. Données sensibles — informations de santé

L'assistant Point Zéro et les formulaires de réservation peuvent conduire l'utilisateur à partager spontanément des informations relatives à sa santé physique ou mentale, à des symptômes, des traitements ou des pratiques de soin. De telles données relèvent de la catégorie particulière prévue à l'article 9 du RGPD (données concernant la santé).

Le traitement de ces données est fondé sur votre consentement explicite (article 9.2.a RGPD), recueilli au moment de votre inscription au service Point Zéro+ et/ou lors de la saisie d'informations dans les formulaires concernés. Vous pouvez retirer ce consentement à tout moment, sans que cela n'affecte la licéité des traitements antérieurs.

Ces données ne font l'objet d'aucun profilage automatisé produisant des effets juridiques, ne sont jamais revendues, et ne sont accessibles qu'au responsable du traitement et, le cas échéant, au praticien concerné par votre réservation.

4. Finalités et bases légales des traitements

Conformément à l'article 13 du RGPD, le détail des bases légales par catégorie de traitement :

  • Création et gestion du compte, réservations, abonnements : exécution du contrat (art. 6.1.b).
  • Traitement des paiements et facturation : exécution du contrat et obligations légales (art. 6.1.b et 6.1.c).
  • Conversations avec Point Zéro IA et données de santé associées : consentement (art. 6.1.a et 9.2.a).
  • Rappels SMS et notifications transactionnelles : consentement (art. 6.1.a) lorsque optionnels, exécution du contrat sinon.
  • Communications marketing et newsletters : consentement préalable opt-in (art. 6.1.a).
  • Sécurité, prévention de la fraude, journalisation : intérêt légitime (art. 6.1.f).
  • Obligations comptables, fiscales et déclaratives (DAC7) : obligation légale (art. 6.1.c).
  • Analytics (PostHog) : intérêt légitime pour les mesures pseudonymisées et consentement pour les cookies non strictement nécessaires.

5. Destinataires — transmission aux praticiens

Lorsqu'un utilisateur effectue une réservation, ses données de contact (nom, prénom, e-mail, numéro de téléphone) ainsi que les informations utiles à la prestation sont transmises au praticien concerné. Le praticien est responsable de traitement autonome au sens de l'article 4.7 RGPD pour les traitements qu'il met en œuvre dans le cadre de son activité professionnelle (gestion de la prestation, dossier client, suivi).

En acceptant les présentes, l'utilisateur reconnaît que ses données seront partagées avec le praticien aux fins d'exécution de la prestation. Pour exercer ses droits sur ces traitements spécifiques, il doit s'adresser directement au praticien.

6. Sous-traitants

Nous faisons appel aux prestataires suivants, liés par des accords de traitement de données (DPA) conformes à l'article 28 RGPD :

  • Vercel Inc. (États-Unis) — hébergement du site web. Certifié EU-US Data Privacy Framework (DPF).
  • Supabase Inc. (États-Unis, infrastructure UE disponible) — hébergement de la base de données et authentification.
  • Stripe Payments Europe Ltd. (Irlande, traitement possible aux États-Unis) — traitement des paiements et gestion des abonnements. Stripe Inc. est certifié DPF. Données transmises : informations de paiement, identité, montant, e-mail.
  • Stripe Connect — gestion des paiements de la marketplace praticiens (KYC praticiens, transferts de fonds).
  • Anthropic, PBC (États-Unis) — modèle d'intelligence artificielle alimentant l'assistant Point Zéro. Données transmises : contenu des messages utilisateur, sans identifiant personnel direct côté API. Selon les conditions Anthropic en vigueur, les données ne sont pas utilisées pour entraîner les modèles.
  • Twilio Inc. (États-Unis) — envoi de SMS transactionnels (rappels de réservation), uniquement si l'utilisateur a consenti. Certifié DPF.
  • Resend Inc. (États-Unis) — envoi des emails transactionnels (confirmations, rappels, notifications). Données transmises : adresse e-mail du destinataire, contenu de l'email (incluant nom et détails de la réservation le cas échéant).
  • PostHog Inc. (États-Unis, hébergement EU via eu.i.posthog.com) — analytics pseudonymisées. Aucun profil publicitaire. Conservation : 7 ans par défaut, sauf anonymisation préalable.
  • Google LLC (États-Unis) — uniquement pour les praticiens connectant leur compte Google Calendar / Meet (voir section 7). Certifié DPF.
  • Groq, Inc. (États-Unis) — modèle d'intelligence artificielle complémentaire pour certaines fonctionnalités internes.

Transferts hors de l'Espace économique européen : lorsque des données sont transférées vers les États-Unis, ces transferts sont encadrés soit par la décision d'adéquation relative au EU-US Data Privacy Framework (Décision d'exécution UE 2023/1795 du 10 juillet 2023) lorsque le prestataire est certifié, soit par les Clauses Contractuelles Types (SCC) de la Commission européenne (Décision d'exécution UE 2021/914 du 4 juin 2021) assorties, le cas échéant, de mesures supplémentaires de protection. Les DPAs pertinents peuvent être communiqués sur simple demande à remi@pointzero.me.

Vos données ne sont ni vendues ni partagées avec des tiers à des fins commerciales.

7. Intégration Google Calendar et Google Meet (praticiens)

Les praticiens inscrits sur la plateforme peuvent connecter leur compte Google pour automatiser la gestion de leurs rendez-vous. Cette intégration est strictement optionnelle, déclenchée à l'initiative du praticien, et révocable à tout moment.

Données Google auxquelles nous accédons :

  • Création et modification d'événements sur le calendrier sélectionné par le praticien (scope calendar.events), utilisé exclusivement pour créer les rendez-vous confirmés sur la plateforme avec leur lien Google Meet, et pour les supprimer en cas d'annulation.
  • Lecture des créneaux occupés (scope calendar.freebusy), utilisé exclusivement pour bloquer automatiquement les créneaux indisponibles sur la page de réservation publique du praticien. Aucun détail sur les événements existants (titre, participants, description) n'est lu ni stocké.
  • Liste des calendriers (scope calendar.calendarlist.readonly), utilisé uniquement au moment de la connexion pour permettre au praticien de choisir quel calendrier synchroniser.
  • Adresse email Google du compte connecté, stockée pour identifier la connexion et permettre la révocation.

Limited Use disclosure : notre utilisation des informations reçues des APIs Google respecte la Google API Services User Data Policy, y compris les exigences Limited Use. Concrètement :

  • Les données Google sont utilisées uniquement pour les fonctionnalités décrites ci-dessus.
  • Elles ne sont jamais transférées à des tiers, sauf pour fournir le service (hébergement Supabase / Vercel) ou si la loi l'exige.
  • Elles ne sont jamais utilisées à des fins publicitaires.
  • Elles ne sont jamais lues par des humains, sauf avec votre consentement explicite, pour répondre à un ticket de support technique, ou si la loi l'exige.
  • Aucun modèle d'intelligence artificielle n'est entraîné sur vos données Google.

Stockage et sécurité : les jetons d'accès et de rafraîchissement OAuth fournis par Google sont stockés de manière sécurisée dans notre base de données Supabase (chiffrement au repos et en transit). Aucun mot de passe Google n'est jamais transmis à notre plateforme.

Révoquer l'accès : depuis votre espace praticien (« Déconnecter Google Calendar ») ou directement sur myaccount.google.com/permissions. Dans les deux cas, les jetons OAuth correspondants sont immédiatement supprimés de notre base de données.

8. Durée de conservation

  • Compte utilisateur : conservé tant que le compte est actif. Suppression sur demande dans un délai de 30 jours.
  • Conversations Point Zéro : conservées tant que le compte est actif, supprimables à tout moment par l'utilisateur.
  • Données de réservation et facturation : conservées pendant 10 ans à compter de la dernière transaction, conformément aux obligations comptables belges (article III.86 du Code de droit économique).
  • Données de paiement : traitées et conservées par Stripe selon ses propres obligations légales et comptables.
  • Logs techniques et de sécurité : conservés au maximum 12 mois.
  • Cookies et analytics : voir section dédiée.

9. Cookies et traceurs

Le site utilise les cookies et traceurs suivants :

  • Cookies strictement nécessaires (session d'authentification, panier, préférences) — pas de consentement requis. Durée : session ou 30 jours maximum.
  • PostHog (analytics, hébergement EU eu.i.posthog.com) — mesure d'audience pseudonymisée. Cookie ph_* de durée 12 mois. Consentement requis pour les utilisateurs UE/EEE.

Aucun cookie publicitaire n'est utilisé. Vous pouvez à tout moment modifier vos préférences via le module dédié ou en paramétrant votre navigateur.

10. Sécurité et violations de données

Arcturian SRL met en œuvre des mesures techniques et organisationnelles raisonnables pour protéger vos données : chiffrement TLS en transit, chiffrement au repos chez les sous-traitants, contrôle d'accès, journalisation, audits réguliers.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Arcturian SRL notifiera l'Autorité de Protection des Données (APD) belge dans un délai de 72 heures conformément à l'article 33 du RGPD, et vous informera sans retard injustifié dans les conditions prévues à l'article 34.

11. Mineurs

Le service est destiné à des personnes âgées de 18 ans révolus. La création d'un compte ou l'achat de prestations par un mineur requiert l'autorisation d'un représentant légal. Conformément à l'article 7 de la loi belge du 30 juillet 2018, le consentement au traitement des données par les services de la société de l'information ne peut être valablement donné par un mineur de moins de 13 ans qu'avec l'accord de son représentant légal.

Si nous constatons qu'un compte a été créé en violation de ces règles, il sera supprimé sans délai.

12. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Accès : obtenir une copie de vos données
  • Rectification : corriger des données inexactes
  • Suppression (droit à l'oubli) : demander l'effacement de vos données
  • Portabilité : recevoir vos données dans un format structuré
  • Opposition : vous opposer à certains traitements (notamment marketing)
  • Limitation : restreindre le traitement de vos données
  • Retrait du consentement : à tout moment, sans effet sur les traitements antérieurs
  • Définir des directives post-mortem conformément à la loi belge applicable

Pour exercer ces droits, contactez-nous à remi@pointzero.me. Nous répondrons dans un délai maximum de 30 jours (prolongeable de 60 jours en cas de demande complexe, avec information préalable).

13. Autorité de contrôle

Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous pouvez introduire une réclamation auprès de l'Autorité de Protection des Données (APD) belge :

Les utilisateurs résidant dans un autre État membre de l'UE peuvent également saisir l'autorité de contrôle de leur pays de résidence (en France : la CNIL, cnil.fr).

14. Modification de la présente politique

La présente politique peut être modifiée à tout moment afin de refléter les évolutions réglementaires, techniques ou contractuelles. Toute modification substantielle sera portée à votre attention par e-mail ou via une notification sur le site, au moins 15 jours avant son entrée en vigueur. La poursuite de l'utilisation du service après cette date vaut acceptation de la version mise à jour.