La présente Politique de confidentialité décrit la manière dont Havvaa Média SAS (ci-après « Havvaa ») collecte, utilise, conserve et protège les données à caractère personnel des utilisateurs de la plateforme ffa.havvaa.com (ci-après la « Plateforme »), dans le respect du Règlement général sur la protection des données (RGPD — Règlement UE 2016/679) et de la loi Informatique et Libertés du 6 janvier 1978 modifiée.
Elle s’applique à toute personne visitant la Plateforme, créant un compte, effectuant un achat ou utilisant les services proposés (ci-après la « Personne concernée »).
1. Responsable du traitement
Havvaa Média SAS
5 rue des Suisses, 75014 Paris, France
SIREN : 899 061 949 — RCS Paris
TVA intracommunautaire : FR76899061949
Contact délégué aux données personnelles : hello@havvaa.com
Havvaa Média SAS n’a pas désigné de Délégué à la Protection des Données (DPO) formellement nommé. Toute demande relative à la protection des données personnelles est traitée directement par Havvaa Média SAS à l’adresse indiquée ci-dessus.
2. Données collectées
Havvaa collecte uniquement les données strictement nécessaires aux finalités décrites à l’Article 3. Ces données sont collectées directement auprès de la Personne concernée, ou automatiquement lors de la navigation sur la Plateforme.
2.1 Données fournies directement
- Données d’identification : prénom, nom, adresse email, mot de passe (chiffré)
- Données de facturation : adresse postale, pays de résidence (requis pour la TVA)
- Données de paiement : traitées exclusivement par les prestataires de paiement (Stripe, PayPal) — Havvaa ne conserve aucune donnée bancaire brute
- Données de communication : contenu des messages envoyés à hello@havvaa.com, commentaires publiés sous les contenus live
- Données du programme d’affiliation : coordonnées bancaires pour le versement des commissions (collectées uniquement pour les Affiliées)
2.2 Données collectées automatiquement
- Données de navigation : adresse IP, type et version du navigateur, système d’exploitation, pages visitées, durée de visite, pages de provenance
- Données de comportement : interactions avec les contenus, progression dans les modules, fréquence de connexion
- Données de cookies et traceurs : identifiants de session, préférences d’affichage, données analytiques et publicitaires (voir Article 7)
2.3 Données que nous ne collectons pas
Havvaa ne collecte aucune donnée dite « sensible » au sens de l’article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, données biométriques, orientation sexuelle). Si des données de cette nature devaient être mentionnées spontanément par une Personne concernée dans ses communications avec Havvaa, elles ne feraient l’objet d’aucun traitement spécifique et seraient traitées avec la plus stricte confidentialité.
3. Finalités et bases légales des traitements
Chaque traitement repose sur l’une des bases légales prévues par l’article 6 du RGPD.
| Finalité | Données concernées | Base légale |
|---|---|---|
| Création et gestion du compte membre | Identification, email, mot de passe | Exécution du contrat |
| Traitement des commandes et facturation | Identification, facturation, paiement | Exécution du contrat |
| Accès aux contenus de la Plateforme | Compte membre, progression | Exécution du contrat |
| Envoi d’emails transactionnels (confirmation, accès, facture) | Email, données de commande | Exécution du contrat |
| Envoi de communications marketing et newsletters | Email, prénom | |
| Mesure d’audience via Google Analytics | Navigation, comportement, IP anonymisée | |
| Ciblage publicitaire via Meta Pixel | Navigation, comportement, conversions | |
| Gestion du programme d’affiliation | Identification, données bancaires affiliées | Exécution du contrat |
| Modération des commentaires sous les lives | Pseudonyme, email, contenu du commentaire, IP | Intérêt légitime |
| Prévention de la fraude et sécurité de la Plateforme | IP, données de navigation, tentatives de connexion | Intérêt légitime |
| Conservation des preuves de transactions (obligations comptables) | Données de facturation et de paiement | Obligation légale |
Le consentement peut être retiré à tout moment sans que cela n’affecte la licéité des traitements effectués avant ce retrait.
4. Destinataires des données
Les données personnelles des Personnes concernées sont traitées exclusivement par Havvaa Média SAS et ses sous-traitants techniques, dans la stricte limite de ce qui est nécessaire à l’exécution de leurs missions. Elles ne sont jamais vendues à des tiers.
Sous-traitants et partenaires techniques
| Prestataire | Rôle | Données transmises |
|---|---|---|
| Hostinger International Ltd. | Hébergement de la Plateforme et des données | Toutes les données stockées sur la Plateforme |
| Stripe, Inc. | Traitement des paiements par carte bancaire | Données de paiement, identification, montant |
| PayPal Holdings, Inc. | Paiement comptant et paiement en plusieurs fois | Données de paiement, email, montant |
| Fluent CRM (hébergé sur WordPress) | Gestion des séquences email et des contacts | Email, prénom, tags de segmentation, historique d’ouverture |
| Google Analytics (Google LLC) | Mesure d’audience et analyse du comportement de navigation | Données de navigation anonymisées, IP tronquée |
| Meta Pixel (Meta Platforms, Inc.) | Mesure des conversions publicitaires et audiences personnalisées | Événements de navigation, conversions, données comportementales |
| WooCommerce (Automattic, Inc.) | Gestion de la boutique et des commandes | Identification, facturation, historique d’achats |
| Restrict Content Pro (Sandhills Development) | Gestion des accès membres par niveau de formule | Email, niveau d’accès, statut de l’abonnement |
| TutorLMS (Themeum) | Plateforme d’apprentissage et commentaires sous les lives | Compte membre, progression, commentaires publiés |
5. Transferts hors Union européenne
Deux prestataires impliquent des transferts de données vers les États-Unis, pays ne disposant pas d’une décision d’adéquence générale de la Commission européenne au sens de l’article 45 du RGPD. Ces transferts sont encadrés par des garanties appropriées.
Google LLC — Google Analytics
Google LLC est certifiée au cadre EU-US Data Privacy Framework. Les données de navigation sont transmises sous couvert de Clauses Contractuelles Types (Standard Contractual Clauses — SCC) approuvées par la Commission européenne. Google Analytics est configuré avec anonymisation de l’adresse IP. Politique de confidentialité Google — Opt-out Google Analytics.
Meta Platforms, Inc. — Meta Pixel
Meta Platforms, Inc. est certifiée au cadre EU-US Data Privacy Framework. Les données sont transmises sous couvert de Clauses Contractuelles Types. Le Meta Pixel n’est activé qu’après recueil du consentement de la Personne concernée via le bandeau de gestion des cookies. Politique de confidentialité Meta.
PayPal Holdings, Inc.
PayPal est certifiée au cadre EU-US Data Privacy Framework et traite les données de paiement sous couvert de Clauses Contractuelles Types. Le traitement des données par PayPal est régi par sa propre politique de confidentialité, accessible sur paypal.com.
Tous les autres prestataires mentionnés à l’Article 4 hébergent et traitent les données au sein de l’Union européenne ou en vertu d’un cadre de protection adéquat.
6. Durée de conservation
| Catégorie de données | Durée de conservation | Motif |
|---|---|---|
| Données du compte membre actif | Durée de la relation contractuelle | Exécution du contrat |
| Données du compte après résiliation ou suppression | 5 ans à compter de la fin de la relation | Obligations légales et comptables (art. L. 123-22 C. com.) |
| Données de facturation et preuves de paiement | 10 ans à compter de la transaction | Obligation comptable (livre de commerce) |
| Données de prospects (non-membres, leads) | 3 ans à compter du dernier contact actif | Intérêt légitime — gestion commerciale |
| Commentaires publiés sous les lives | Durée de mise en ligne du contenu + 1 an | Intérêt légitime — modération et traçabilité |
| Données de navigation (Google Analytics) | 14 mois maximum (paramétrage par défaut GA4) | Consentement — mesure d’audience |
| Données affiliées | Durée du programme + 5 ans | Obligations légales et comptables |
| Logs de sécurité (tentatives de connexion, IP) | 12 mois | Intérêt légitime — sécurité |
À l’expiration des délais de conservation applicables, les données sont soit supprimées de manière sécurisée, soit anonymisées de façon irréversible lorsqu’une conservation à des fins statistiques est justifiée.
7. Cookies et technologies de traçage
7.1 Qu’est-ce qu’un cookie ?
Un cookie est un petit fichier texte déposé sur l’appareil de l’utilisateur lors de la visite d’un site web. Il permet de mémoriser des informations relatives à la navigation et peut être lu lors d’une visite ultérieure.
7.2 Cookies utilisés sur la Plateforme
| Catégorie | Exemples | Finalité | Consentement requis |
|---|---|---|---|
| Strictement nécessaires | Session WordPress, authentification, panier WooCommerce | Fonctionnement technique de la Plateforme — ne peuvent pas être désactivés | Non |
| Fonctionnels | Mémorisation des préférences d’affichage, langue | Amélioration de l’expérience utilisateur | Non (intérêt légitime) |
| Analytiques | _ga, _gid, _gat (Google Analytics) | Mesure d’audience, analyse du comportement de navigation | Oui |
| Publicitaires | _fbp, _fbc (Meta Pixel) | Mesure des conversions publicitaires, audiences personnalisées sur Meta | Oui |
7.3 Comment gérer vos cookies
Vous pouvez contrôler et gérer les cookies via les paramètres de votre navigateur :
Pour désactiver spécifiquement Google Analytics : Extension de navigateur Google Analytics Opt-out.
Pour gérer vos préférences publicitaires Meta : Paramètres publicitaires Meta.
8. Vos droits
Conformément au RGPD (articles 15 à 22), toute Personne concernée dispose des droits suivants sur ses données personnelles :
Droit d’accès (art. 15)
Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
Droit de rectification (art. 16)
Demander la correction de données inexactes ou incomplètes vous concernant.
Droit à l’effacement (art. 17)
Demander la suppression de vos données, dans les cas prévus par le RGPD et sous réserve de nos obligations légales de conservation.
Droit à la limitation (art. 18)
Demander la suspension temporaire du traitement de vos données dans certaines circonstances.
Droit à la portabilité (art. 20)
Recevoir vos données dans un format structuré et lisible par machine, ou les faire transmettre à un autre responsable.
Droit d’opposition (art. 21)
Vous opposer à tout moment au traitement de vos données fondé sur l’intérêt légitime, notamment à des fins de prospection commerciale.
Retrait du consentement
Retirer à tout moment votre consentement pour les traitements qui en sont fondés (cookies analytiques, publicitaires, newsletters), sans effet rétroactif.
Directives post-mortem
Définir des directives relatives au sort de vos données après votre décès, conformément à la loi Informatique et Libertés.
Comment exercer vos droits
Toute demande doit être adressée à hello@havvaa.com, en précisant : vos nom et prénom, votre adresse email associée au compte, le droit que vous souhaitez exercer et, le cas échéant, les données concernées. Havvaa s’engage à répondre dans un délai d’un mois à compter de la réception de la demande (délai pouvant être porté à trois mois en cas de demandes complexes ou nombreuses, avec notification dans le premier mois).
Si vous estimez que vos droits n’ont pas été respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) :
- En ligne : cnil.fr/fr/plaintes
- Par courrier : CNIL — 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
9. Sécurité des données
Havvaa Média SAS met en oeuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre toute destruction accidentelle ou illicite, perte, altération, divulgation non autorisée ou accès non autorisé, notamment :
- Chiffrement des communications via protocole HTTPS (TLS)
- Chiffrement des mots de passe (hachage bcrypt via WordPress)
- Accès aux données restreint aux seules personnes habilitées
- Sauvegardes régulières des données hébergées chez Hostinger
- Mise à jour régulière des composants logiciels (WordPress, plugins, thèmes)
En cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des Personnes concernées, Havvaa s’engage à les en informer dans les meilleurs délais, conformément à l’article 34 du RGPD.
10. Modifications de la politique
Havvaa se réserve le droit de modifier la présente Politique de confidentialité à tout moment, notamment pour se conformer à de nouvelles obligations légales ou réglementaires, ou pour tenir compte de l’évolution de ses pratiques de traitement.
Toute modification substantielle sera notifiée aux membres par email à l’adresse associée à leur compte, au moins 30 jours avant son entrée en vigueur. La date de la dernière mise à jour est indiquée en haut du document. La version en vigueur au moment de la collecte des données est celle applicable au traitement correspondant.
11. Contact
Pour toute question relative à la présente Politique de confidentialité, à l’exercice de vos droits ou à vos données personnelles :
Havvaa Média SAS — Responsable des données personnelles
5 rue des Suisses, 75014 Paris, France
Email : hello@havvaa.com
Vous pouvez également exercer votre droit de réclamation auprès de la CNIL : www.cnil.fr