Politique de confidentialité
En vigueur au 12/05/2026
L'Entreprise Individuelle VBShark, exploitée par Corentin Mercier, éditrice de la plateforme NOXIO (ci-après « NOXIO », « nous »), accorde une grande importance à la protection de vos données personnelles. La présente Politique de Confidentialité a pour objet de vous informer sur la manière dont nous collectons, utilisons et protégeons vos données, conformément au Règlement Général sur la Protection des Données (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
Sommaire
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
VBShark — Entreprise Individuelle
Exploitée par Corentin Mercier
SIREN : 913 216 578
Siège social : 231 rue Saint Honoré, 75001 Paris
Email DPO : dpo@noxio.fr
Dans le cadre de l'utilisation de la plateforme par ses clients prestataires, NOXIO agit également en qualité de sous-traitant au sens du RGPD pour le traitement des données de leurs propres clients finaux.
2. Données collectées
Nous collectons les catégories de données suivantes :
Données d'identification
Nom, prénom, adresse email, numéro de téléphone, adresse postale, photo de profil (facultatif).
Données professionnelles
Nom de l'entreprise, numéro SIRET, adresse du siège, type de prestation, informations relatives aux événements créés.
Données financières
Montants des devis et factures, commissions versées aux membres d'équipe, historique de paiement. Les données bancaires de paiement sont traitées directement par notre prestataire de paiement sécurisé et ne sont pas stockées sur nos serveurs.
Données de connexion et d'utilisation
Adresse IP, type de navigateur, pages consultées, date et heure de connexion, données de géolocalisation approximative.
Données de communication
Messages échangés via la messagerie intégrée de la plateforme entre prestataires, membres d'équipe et clients.
Données liées à la signature électronique des devis
Lorsqu'un devis est envoyé pour signature électronique et signé par son destinataire, nous collectons et conservons : nom et email du signataire, tracé de la signature manuscrite (image), adresse IP du signataire, user-agent du navigateur utilisé, horodatages UTC (consultation, signature), empreinte cryptographique (hash) du document, journal d'audit complet. Ces données sont intégrées au PDF final scellé et nécessaires pour conférer à la signature sa valeur probante au sens des articles 1366 et 1367 du Code civil et du règlement européen eIDAS n° 910/2014. Voir détail dans les CGV — Article 15.
3. Finalités et bases légales du traitement
| Finalité | Base légale |
|---|---|
| Création et gestion de votre compte utilisateur | Exécution du contrat |
| Fourniture des services (événements, devis, factures, planning) | Exécution du contrat |
| Gestion des membres d'équipe et de leurs commissions | Exécution du contrat |
| Envoi de notifications par email (rappels, confirmations) | Intérêt légitime |
| Messagerie intégrée entre utilisateurs | Exécution du contrat |
| Signature électronique des devis (collecte de l'identité, IP, horodatage, scellement cryptographique) | Exécution du contrat + obligation de preuve (art. 1366 Code civil, eIDAS) |
| Amélioration de la plateforme et statistiques internes d'utilisation | Intérêt légitime |
| Mesure d'audience via Google Analytics 4 (pages vues, durée de visite, provenance du trafic) | Consentement (Art. 6.1.a RGPD) |
| Respect des obligations légales et comptables | Obligation légale |
4. Destinataires des données
Vos données personnelles peuvent être communiquées aux destinataires suivants :
- Personnel habilité de NOXIO : dans le cadre du support technique et de la gestion de la plateforme.
- Votre prestataire événementiel : si vous êtes un client final, vos données sont accessibles au prestataire auquel vous êtes rattaché.
- Membres d'équipe du prestataire : dans le cadre de l'affectation aux événements.
- Sous-traitants techniques : hébergeur (IONOS), service d'envoi d'emails (Brevo / Sendinblue, France), prestataire de paiement (Stripe). Ces sous-traitants agissent sur nos instructions et sont soumis à des obligations contractuelles conformes au RGPD. Le moteur de signature électronique (Documenso, open-source AGPL-3.0) est auto-hébergé sur l'infrastructure NOXIO en France ; il ne s'agit pas d'un sous-traitant externe et aucune donnée n'est transmise à l'éditeur.
- Google Ireland Limited : dans le cadre de la mesure d'audience via Google Analytics 4, des données de navigation anonymisées (pages consultées, durée de visite, type d'appareil) sont transmises à Google, uniquement si vous avez donné votre consentement via le bandeau cookies.
Nous ne vendons jamais vos données personnelles à des tiers.
5. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données de compte utilisateur | Durée de la relation contractuelle + 3 ans après la suppression du compte |
| Comptes rattachés (membres et clients) en cas de suppression du prestataire | 15 jours après la suppression du compte prestataire (cf. CGV/CGU art. 6.5) |
| Données de facturation | 10 ans (obligation comptable et fiscale) |
| Messages de la messagerie intégrée | Durée de la relation contractuelle + 1 an |
| Données de connexion (logs) | 12 mois |
| Notifications lues | 3 mois |
| Notifications non lues | 12 mois |
| Messages de contact (formulaire) | 12 mois |
| Logs d'audit (administration) | 24 mois |
| PDF signés électroniquement et journal d'audit associé | Durée de la relation contractuelle + 5 ans (prescription contractuelle, art. 2224 Code civil) |
| Sessions de connexion | 2 heures d'inactivité |
| Cookies | 13 mois maximum |
6. Transferts de données hors UE
Vos données sont hébergées au sein de l'Union européenne (IONOS, Allemagne). Dans le cas où un transfert de données vers un pays tiers serait nécessaire, nous nous assurons que des garanties appropriées sont mises en place conformément au RGPD (articles 44 à 49).
Sous-traitants et transferts
| Sous-traitant | Finalité | Localisation | Garantie |
|---|---|---|---|
| IONOS | Hébergement | Allemagne (UE) | Pas de transfert hors UE |
| Stripe | Paiements et abonnements | Irlande (UE) / États-Unis | DPA Stripe (art. 28 RGPD) + EU-US Data Privacy Framework |
| Brevo (Sendinblue) | Envoi d'emails transactionnels | France (UE) | DPA Brevo (art. 28 RGPD) |
| Google Analytics 4 | Mesure d'audience (après consentement) | Irlande (UE) / États-Unis | EU-US Data Privacy Framework (décision d'adéquation du 10/07/2023) + clauses contractuelles types |
Google LLC et Stripe Inc. sont certifiés au titre du EU-US Data Privacy Framework (vérifiable sur dataprivacyframework.gov). Les adresses IP ne sont pas enregistrées par GA4. Un accord de traitement des données (DPA, art. 28 RGPD) est en place avec chacun de nos sous-traitants.
7. Sécurité des données
Nous mettons en place des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité de vos données personnelles :
- Chiffrement des communications via HTTPS/TLS
- Mots de passe hashés selon les standards actuels
- Accès aux données restreint au personnel habilité
- Sauvegardes régulières et redondantes
- Mises à jour de sécurité appliquées régulièrement
8. Cookies et traceurs
La plateforme NOXIO utilise des cookies strictement nécessaires au fonctionnement du service (cookies de session, authentification). Ces cookies ne nécessitent pas votre consentement conformément à la réglementation.
Cookies strictement nécessaires
- csrftoken : protection contre les attaques CSRF (sécurité)
- sessionid : maintien de votre session de connexion
- noxio_consent : mémorisation de votre choix cookies (13 mois)
Cookies de mesure d'audience (soumis à consentement)
NOXIO utilise Google Analytics 4 (Google Ireland Limited) pour mesurer la fréquentation du site. Ces cookies ne sont déposés que si vous cliquez sur « Accepter » dans le bandeau de consentement.
- _ga : identifiant unique pour distinguer les visiteurs (13 mois)
- _ga_G9L63F3DNHR : cookie de session Google Analytics 4 (13 mois)
Pour plus de détails, consultez notre Politique des cookies. Aucun cookie publicitaire ou de ciblage n'est utilisé.
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès
Obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification
Demander la correction de données inexactes ou incomplètes.
Droit à l'effacement
Demander la suppression de vos données dans les cas prévus par le RGPD.
Droit à la limitation
Demander la suspension temporaire du traitement de vos données.
Droit à la portabilité
Recevoir vos données dans un format structuré et lisible par machine.
Droit d'opposition
Vous opposer au traitement de vos données pour des motifs légitimes.
Droit de retrait du consentement
Retirer à tout moment votre consentement aux traitements fondés sur celui-ci (ex : mesure d'audience), sans remettre en cause la licéité du traitement effectué avant ce retrait (art. 7.3 RGPD).
Directives post-mortem
Conformément à l'article 85 de la loi Informatique et Libertés, vous pouvez définir des directives relatives à la conservation, l'effacement et la communication de vos données personnelles après votre décès.
Pour exercer vos droits, contactez-nous à l'adresse : dpo@noxio.fr. Nous nous engageons à répondre dans un délai d'un mois.
En cas de désaccord, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.
10. Modifications de la politique
Nous nous réservons le droit de modifier la présente Politique de Confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par email ou par notification sur la plateforme. La date de dernière mise à jour est indiquée en haut de cette page.
11. Contact
Pour toute question relative à la présente Politique de Confidentialité ou pour exercer vos droits, vous pouvez nous contacter :
Par email : dpo@noxio.fr
Par courrier : VBShark — 231 rue Saint Honoré, 75001 Paris