Politique de confidentialité

PAMDAY est une plateforme de réservation événementielle française qui met en relation des particuliers organisateurs d'événements avec des prestataires (barmans, traiteurs, musiciens, DJ, fleuristes, photographes-vidéastes, artistes de spectacle et animateurs). Le site est édité par Steeven RYSAK, entrepreneur individuel (micro-entreprise), SIRET 821 804 093 00028, dont le siège est situé au 78 Chemin de Mazagran, 25000 Besançon (France). Voir nos mentions légales complètes.

Le responsable du traitement au sens du RGPD est Steeven RYSAK. Pour toute question relative à cette politique ou au traitement de vos données, vous pouvez nous contacter à contact@pamday.com.

Nous collectons uniquement les données nécessaires à la fourniture du service :

Pour les clients (organisateurs)

• Nom, prénom, adresse email, numéro de téléphone
• Adresse de l'événement (lieu, code postal)
• Détails de la réservation (date, type d'événement, nombre d'invités, prestations choisies)
• Informations de paiement (traitées par Stripe — nous ne stockons jamais les numéros de carte)

Pour les prestataires

• Toutes les données ci-dessus, plus :
• Raison sociale, SIRET, forme juridique, adresse de facturation, IBAN/BIC
• Photos et description de l'activité
• Si vous activez la synchronisation Google Calendar : tokens OAuth (chiffrés) et titres d'événements de votre agenda Google

Données techniques

• Logs de connexion (IP, date, action) — conservés 12 mois
• Cookies de session (authentification, préférences) — durée variable

Données des invités (saisies par le client)

Les outils de gestion d'événement (liste d'invités, RSVP) permettent au client de saisir des données concernant ses propres invités : nom, prénom, adresse email, téléphone, et le cas échéant régime alimentaire ou allergies. Pour ces données :

• Le client est responsable du traitement de la liste de ses invités ; PAMDAY agit en qualité de sous-traitant(art. 28 RGPD), pour le seul compte du client et uniquement aux fins de l'organisation de l'événement concerné
• Ces données ne sont jamais utilisées à d'autres fins(ni marketing, ni revente, ni mise en relation) et ne sont accessibles qu'au client (et, le cas échéant, à l'organisateur qu'il a invité)
• L'invité répond à son invitation via un lien privé, sans création de compte
• Conservation : 12 mois après la date de l'événement, puis suppression automatique. Le client peut supprimer un invité à tout moment depuis son espace
• Pour exercer ses droits (accès, rectification, effacement), un invité contacte l'organisateur de l'événement (responsable de traitement) ou nous écrit à contact@pamday.com qui transmettra

• Fourniture du service (base légale : exécution du contrat) : créer votre compte, traiter vos réservations, mettre en relation client et prestataires, gérer les paiements
• Communication transactionnelle (base légale : exécution du contrat) : confirmation de réservation, messagerie, notifications de litige, alertes paiement
• Obligations légales(base légale : obligation légale) : conservation des factures, numérotation séquentielle, déclarations fiscales, vérification SIRET des prestataires via l'API publique recherche-entreprises.api.gouv.fr
• Vérification d'identité des prestataires(base légale : obligation légale et intérêt légitime de prévention de la fraude) : contrôle SIRET, état administratif de l'entreprise, validation manuelle par notre équipe
• Mesure d'audience anonyme(base légale : consentement) : Google Analytics 4 via Google Tag Manager, en mode Consent Mode v2. Aucune donnée n'est transmise tant que vous n'avez pas explicitement accepté via le bandeau cookies (cf. section 8)
• Communications marketing (base légale : consentement) : envoi de newsletter, annonces de nouvelles catégories ou fonctionnalités, uniquement si vous avez explicitement opté-in via le bandeau dédié ou les préférences de notifications. Vous pouvez vous désabonner à tout moment depuis chaque email (lien de désabonnement RFC 8058 « one-click ») ou depuis votre espace
• Amélioration du service (base légale : intérêt légitime) : détection de fraude, sécurité applicative, statistiques agrégées

Si un prestataire active la synchronisation avec Google Calendar, nous utilisons l'API Google pour lire en lecture seuleles événements de ses agendas. Cela nous permet d'afficher comme indisponibles, sur PAMDAY, les jours où il a déjà un événement personnel ou professionnel.

• Nous ne lisons jamais le contenu détaillé des événements (description, participants, etc.) — uniquement les dates et titres
• Nous n'écrivons jamais dans votre agenda Google
• Nous excluons automatiquement les calendriers « jours fériés » et « anniversaires »
• Vous pouvez révoquer l'accès à tout moment via la page de l'agenda PAMDAY ou via myaccount.google.com/permissions
• L'utilisation de cette intégration est conforme à la Google API Services User Data Policy et aux Limited Use requirements

Nous ne vendons jamais vos données. Nous les partageons avec :

• Le prestataire ou client de votre réservation : prénom, contact, détails de la prestation. Indispensable à la prestation
• Stripe (sous-traitant — paiements et virements Stripe Connect) : États-Unis, certifié PCI-DSS Level 1, participant au DPF EU-US
• Supabase (sous-traitant — hébergement de la base de données et authentification) : infrastructure Union européenne
• Vercel (sous-traitant — hébergement applicatif et CDN) : États-Unis, participant au DPF EU-US
• Resend(sous-traitant — envoi d'emails transactionnels et marketing) : États-Unis
• Zoho Mail (sous-traitant — boîte de réception contact@pamday.com) : Inde / États-Unis
• Google(Google Calendar API si la sync est activée par un prestataire ; Google Analytics 4 via Google Tag Manager si vous avez consenti aux cookies de mesure d'audience) : États-Unis, participant au DPF EU-US
• API « Recherche d'entreprises »de l'État français (annuaire SIRENE INSEE — vérification SIRET prestataire) : pas de sous-traitant au sens RGPD, simple consultation d'une base publique. Aucune donnée client n'y est transmise

Tous nos sous-traitants situés hors UE ont signé un Data Processing Agreement (DPA) conforme au RGPD et bénéficient soit du Data Privacy Framework (DPF) EU-US, soit de clauses contractuelles types (CCT) de la Commission européenne.

• Données de compte actif : tant que le compte est actif
• Après suppression de compte : 30 jours (sauf obligations légales — voir factures ci-dessous)
• Factures et données comptables : 10 ans (obligation légale française)
• Logs de connexion : 12 mois
• Tokens Google OAuth : tant que la synchronisation est active. Supprimés immédiatement à la déconnexion

Conformément au RGPD, vous disposez des droits suivants :

• Accès : obtenir une copie des données vous concernant
• Rectification : corriger les données inexactes (la plupart sont modifiables directement depuis votre profil)
• Suppression(« droit à l'oubli ») : supprimer votre compte et vos données
• Limitation : restreindre l'utilisation de vos données dans certains cas
• Portabilité : récupérer vos données dans un format lisible
• Opposition : vous opposer au traitement basé sur l'intérêt légitime

Pour exercer ces droits, contactez-nous à contact@pamday.com. Nous répondons sous 30 jours maximum.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr.

8.1 Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement du site et ne nécessitent pas votre consentement (art. 82 loi Informatique et Libertés) :

• Cookie d'authentification (session Supabase)
• Cookie d'accès (mode beta privé pre-launch, durée 30 jours)
• Cookies anti-CSRF (sécurité formulaires)
• pamday_cookie_consenten localStorage : mémorise votre choix d'accepter ou refuser les cookies de mesure d'audience

8.2 Cookies de mesure d’audience (soumis à votre consentement)

Nous utilisons Google Analytics 4, chargé via Google Tag Manager, pour mesurer l'usage agrégé du site (pages consultées, durée des sessions, sources de trafic) et améliorer le service.

• Aucun cookie d'analytics n'est posé tant que vous n'avez pas cliqué « Accepter » sur le bandeau cookies. Nous utilisons Google Consent Mode v2 avec une valeur par défaut « denied » sur tous les types de stockage analytics et publicitaires.
• Avant consentement : Google ne reçoit que des pings anonymes non identifiants, sans cookie.
• Après consentement : pose de cookies _ga et _ga_* (durée 13 mois) pour distinguer les visiteurs uniques. Aucun cookie publicitairen'est activé (ad_storage, ad_user_data, ad_personalization restent en denied).
• Vous pouvez retirer votre consentement à tout moment en supprimant l'entréepamday_cookie_consent de votre localStorage navigateur, ou en utilisant les paramètres de votre navigateur pour bloquer / supprimer les cookies Google.
• Politique Google Analytics : policies.google.com/privacy.

8.3 Pas de cookies publicitaires

Aucun cookie publicitaire, de remarketing ou de tracking inter-sites n'est utilisé sur PAMDAY. Nous ne participons à aucun écosystème AdTech tiers.

• Toutes les communications sont chiffrées en TLS 1.3 (HTTPS)
• Les mots de passe sont hashés avec bcrypt
• Les tokens OAuth Google sont chiffrés au repos
• Les paiements sont délégués à Stripe (certifié PCI-DSS Level 1)
• Accès aux bases de données restreint par Row-Level Security (RLS)

Nous pouvons mettre à jour cette politique de temps en temps. La date de dernière mise à jour est indiquée en haut de cette page. En cas de changement substantiel, nous notifierons les utilisateurs par email et/ou par bandeau dans l'application.

Pour toute question relative à cette politique ou à vos données personnelles :

• Email : contact@pamday.com
• Adresse postale : Steeven RYSAK — 78 Chemin de Mazagran, 25000 Besançon, France
• SIRET : 821 804 093 00028