Politique de confidentialité
La présente Politique de confidentialité (ci-après la « Politique ») décrit, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »), les modalités selon lesquelles GOLIUP, EURL au capital de 2 000 €, immatriculée au RCS de 942 377 722 R.C.S. Dijon sous le numéro 942377722, dont le siège social est situé 61 B AVENUE JEAN JAURES, 21000 DIJON (ci-après « nous », « GOLIUP », ou la « Société »), collecte, utilise, conserve et protège vos données personnelles dans le cadre de l'utilisation de la plateforme accessible à https://webinup.com et des services associés. Cette Politique s'applique à tous les Utilisateurs du service : Visiteurs, Coachs (clients professionnels de la Société), Modérateurs, Participants aux webinaires, Acheteurs des prestations vendues par les Coachs, et tiers ayant un lien avec le service (signalants, support). Nous nous engageons à traiter vos données avec transparence, à les protéger par des mesures techniques et organisationnelles adaptées au risque, et à n'utiliser que les données strictement nécessaires aux finalités déclarées.
1. Responsable de traitement et DPO
1.1 — Responsable de traitement. Le responsable de traitement, au sens de l'article 4.7 du RGPD, est : GOLIUP EURL au capital de 2 000 € RCS 942 377 722 R.C.S. Dijon — SIREN 942377722 — SIRET 94237772200015 TVA intra-UE : FR84942377722 Siège social : 61 B AVENUE JEAN JAURES, 21000 DIJON Représentant légal : David PLEBANSKYJ - Gérant Email : [à compléter : contactEmail] — Téléphone : 0756897600 1.2 — Délégué à la Protection des Données (DPO). Vous pouvez contacter notre Délégué à la Protection des Données pour toute question relative à vos données personnelles : Email : [email protected] Adresse postale : à l'attention du DPO, 61 B AVENUE JEAN JAURES, 21000 DIJON 1.3 — Coach comme responsable de traitement. Lorsqu'un Coach utilise la Plateforme pour gérer ses propres inscriptions et son fichier clients, il est responsable de traitement pour les données de ses inscrits et de ses Clients. GOLIUP agit alors en qualité de sous-traitant au sens de l'article 28 du RGPD. Les modalités de cette sous-traitance sont fixées dans les CGV applicables aux Coachs et valent acte de sous-traitance conformément à l'article 28.3.
2. Données personnelles collectées
Selon votre interaction avec le service, nous collectons les catégories de données suivantes : 2.1 — Données d'identification : • adresse email (obligatoire) ; • nom, prénom (Coach : obligatoire à l'onboarding ; Participant : facultatif) ; • nom commercial / raison sociale (Coach) ; • numéro de téléphone E.164 (Coach : obligatoire ; Participant : facultatif) ; • adresse postale (Coach : obligatoire pour la facturation B2B) ; • photo de profil (Coach, facultative). 2.2 — Données d'authentification : • mot de passe (stocké haché via l'algorithme argon2id, jamais en clair) ; • jeton de session (cookie sécurisé HTTP-only) ; • identifiants d'authentification sociale (Google, LinkedIn) — uniquement l'identifiant utilisateur du fournisseur, jamais le mot de passe ; • secret TOTP chiffré (si 2FA activée) ; • codes de vérification email/téléphone à 6 chiffres (durée 15 min). 2.3 — Données professionnelles (Coach) : • SIRET, n° de TVA intracommunautaire, forme juridique, capital social ; • statut professionnel (auto-entrepreneur, SAS, SARL, etc.) ; • identifiants Stripe Connect (compte facilité, jamais les données de carte) ; • régime fiscal déclaré (franchise TVA, régime normal). 2.4 — Données de contenu : • Webinaires créés (titre, description, dates, configuration, sources vidéo) ; • Vidéos uploadées vers Bunny Stream ou références vers les sources externes (YouTube, Vimeo) ; • Pages éditoriales (pages de vente, FAQ Coach, profil public). 2.5 — Données d'interaction : • messages de chat (incluant ceux modérés ou supprimés, conservés par soft-delete) ; • votes aux sondages, mains levées, réactions emoji ; • inscriptions aux webinaires (date, statut, consentements) ; • achats (montant, statut, références de la transaction Stripe). 2.6 — Données techniques et de journalisation : • adresse IP (anonymisée partiellement après 12 mois) ; • agent utilisateur (navigateur, OS, type d'appareil) ; • journaux de connexion (date, heure, action) ; • identifiants de session WebSocket pour le chat live ; • identifiants techniques générés (cuid des entités, hachages anonymisés). 2.7 — Données de communication : • sujets et corps des emails envoyés (factures, confirmations, rappels) ; • numéros SMS envoyés (sans corps du message conservé) ; • journaux de webhooks coach (payload, statut, retries). 2.8 — Données de consentement : • consentement RGPD principal (case obligatoire à l'inscription) ; • consentement marketing (case facultative non pré-cochée) ; • preuves d'opt-in pour les invitations en masse (texte de l'attestation, source, date) ; • renonciation expresse au droit de rétractation pour contenu numérique (case dédiée) ; • horodatage et adresse IP lors du recueil du consentement. 2.9 — Données financières (gérées par Stripe). GOLIUP ne stocke à aucun moment de données bancaires complètes (numéro de carte, CVC, date d'expiration). Stripe est seul à manipuler ces données, en tant que prestataire de service de paiement régulé.
3. Finalités et bases légales
Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale précise : 3.1 — Exécution du contrat (art. 6.1.b RGPD) : • création et gestion du compte ; • hébergement et diffusion des Webinaires ; • gestion des inscriptions et des ventes ; • facturation, recouvrement, comptabilité ; • envoi des communications transactionnelles (confirmations, rappels J-1/H-1/LIVE_NOW, factures, reçus) ; • support utilisateur. 3.2 — Obligation légale (art. 6.1.c RGPD) : • conservation des documents comptables (art. L. 123-22 Code commerce, 10 ans) ; • conservation des journaux de connexion pour les besoins judiciaires (art. R. 10-13 CPCE, 1 an) ; • respect des obligations LCEN (signalements, retraits, coopération autorités) ; • lutte contre le blanchiment (AMLD5) pour les coachs réalisant des transactions au-delà des seuils Stripe. 3.3 — Intérêt légitime (art. 6.1.f RGPD) : • prévention de la fraude, anti-spam, anti-multi-comptes ; • rate-limiting et protection contre les attaques (CAPTCHA Cloudflare Turnstile) ; • journalisation des accès administrateur (audit log) ; • analyses statistiques anonymisées d'usage du service ; • amélioration produit (A/B tests, métriques d'engagement) ; • communications de service strictement nécessaires (sécurité, modifications CGU, changements tarifs). Le test de mise en balance entre nos intérêts et vos droits a été conduit pour chacun de ces traitements. Vous pouvez vous y opposer dans les conditions de l'article 21 RGPD (voir article 8 ci-après). 3.4 — Consentement (art. 6.1.a RGPD) : • inscription à la newsletter ou aux communications marketing (case non pré-cochée) ; • dépôt de cookies non strictement nécessaires (mesure d'audience, marketing) ; • pixels de tracking sur les pages publiques (Meta, GA4, TikTok, LinkedIn, GTM, Clarity), uniquement après consentement explicite via la bannière cookies. Vous pouvez retirer votre consentement à tout moment via les mêmes interfaces que celles utilisées pour le donner, sans que ce retrait n'affecte la licéité des traitements antérieurs.
4. Sources des données
4.1 — Données fournies par vous. La majorité des données est collectée directement auprès de vous lors de la création de votre Compte, de la complétion de l'onboarding, de la création de Webinaires, de l'inscription à un Webinaire, d'un achat, ou d'un échange avec le support. 4.2 — Données générées par votre utilisation. Certaines données sont générées automatiquement par votre utilisation (logs de connexion, journaux d'actions, identifiants techniques de session). 4.3 — Données provenant de tiers : • identifiants de connexion sociale (uniquement le « sub » et l'email de Google/LinkedIn lorsque vous choisissez ce mode) ; • données KYC de Stripe Connect (résultat de la vérification d'identité du Coach, sans transmission des pièces elles-mêmes) ; • données de paiement transmises par Stripe pour la finalisation d'une commande (montant, statut, jeton, jamais le PAN complet) ; • signaux d'erreur de provider (bounces email Brevo/Resend, échecs SMS).
5. Destinataires et sous-traitants
5.1 — Destinataires internes. Vos données sont accessibles aux collaborateurs habilités de GOLIUP (équipe technique, support, comptabilité), strictement dans la limite des besoins de leur mission, soumis à une obligation de confidentialité. 5.2 — Coach destinataire. Lorsqu'un Participant s'inscrit à un Webinaire d'un Coach, l'identité et les données d'inscription du Participant sont transmises au Coach concerné, qui devient responsable de traitement pour son propre fichier (article 1.3). 5.3 — Sous-traitants techniques. Nous recourons aux sous-traitants suivants, sélectionnés pour leur niveau de garanties et liés par des contrats incluant les engagements de l'article 28 RGPD : ┌──────────────────────────┬──────────────────────────┬──────────────────────────┐ │ Sous-traitant │ Finalité │ Localisation │ ├──────────────────────────┼──────────────────────────┼──────────────────────────┤ │ Contabo GmbH (DE) │ Hébergement infra (serv. │ Allemagne (UE) │ │ │ applicatif + base de │ │ │ │ données + Redis) │ │ │ Stripe Payments Europe │ Paiements, Stripe Connect│ Irlande (UE) ; Stripe │ │ Ltd │ Express, facturation │ Inc. (USA) via CCT │ │ Bunny Stream │ Hébergement et diffusion │ UE │ │ (BunnyWay d.o.o., SI) │ vidéo (VOD, replays) │ │ │ Brevo (Sendinblue SAS) │ Envoi emails + SMS │ France (UE) │ │ Resend Inc. (USA) │ Envoi emails (fallback) │ USA — CCT │ │ Cloudflare Inc. (USA) │ CDN, anti-DDoS, Turnstile│ USA — CCT │ │ Anthropic PBC (USA) │ Génération texte IA (sur │ USA — CCT, opt-in usage │ │ │ action utilisateur) │ │ │ Axonaut SAS (France) │ Émission factures de │ France (UE) │ │ │ commission B2B │ │ └──────────────────────────┴──────────────────────────┴──────────────────────────┘ La liste des sous-traitants est mise à jour en cas d'évolution et publiée sur cette page. Tout ajout substantiel d'un sous-traitant nouveau est notifié 30 jours avant son entrée en service aux Coachs. 5.4 — Autres destinataires. Vos données peuvent être communiquées : • aux autorités administratives ou judiciaires sur réquisition légale ; • à nos conseils (avocats, experts-comptables, commissaires aux comptes), sous obligation de confidentialité, dans le cadre strict de leur mission ; • à un acquéreur potentiel en cas de cession ou de restructuration (avec garanties contractuelles équivalentes). 5.5 — Pas de vente de données. Nous ne vendons ni ne louons jamais vos données personnelles à des tiers à des fins commerciales.
6. Transferts hors Union européenne
6.1 — Principe. Vos données sont en priorité hébergées au sein de l'Union européenne (Contabo en Allemagne, Bunny en Slovénie, Brevo en France, Axonaut en France). 6.2 — Transferts vers les États-Unis. Certains sous-traitants sont établis aux États-Unis (Stripe Inc., Resend Inc., Cloudflare Inc., Anthropic PBC). Ces transferts sont encadrés par : • les Clauses Contractuelles Types adoptées par la Commission européenne (décision n° 2021/914 du 4 juin 2021), incluses dans nos accords de sous-traitance ; • l'éventuelle adhésion du sous-traitant au cadre EU-US Data Privacy Framework certifié par le Department of Commerce, lorsque applicable ; • des mesures complémentaires techniques (chiffrement TLS en transit, chiffrement at-rest côté sous-traitant, pseudonymisation des données lorsque cela ne dégrade pas le service) ; • une analyse d'impact de transfert (Transfer Impact Assessment) pour chaque destinataire à risque. 6.3 — Vos droits. Vous pouvez demander à connaître les mesures précises encadrant un transfert spécifique en écrivant à [email protected].
7. Durées de conservation
Nous appliquons les durées de conservation suivantes, calibrées par catégorie de données et finalité : 7.1 — Compte actif. Les données d'un compte sont conservées pendant toute la durée d'utilisation du service et 3 ans suivant la dernière connexion (CNIL, recommandation prospection / compte dormant). Un email de pré-suppression est adressé à l'Utilisateur 60 jours avant échéance. 7.2 — Suppression de compte demandée. En cas de demande d'effacement (article 17 RGPD) : • les données d'identification et de profil sont anonymisées immédiatement (email haché, nom remplacé par « Utilisateur supprimé ») ; • les données comptables (Order, Subscription, factures de commission) sont conservées en archive isolée pendant 10 ans (article L. 123-22 du Code de commerce, article 102 B du LPF) ; • les engagements antérieurs (ChatMessage publiés, votes, achats) sont anonymisés tout en conservant les éléments nécessaires à la cohérence statistique et comptable. 7.3 — Données par catégorie. À titre indicatif : • Inscriptions / prospects sans achat : 3 ans à compter du dernier contact actif (CNIL) ; • Ventes, commandes, factures : 10 ans (Code commerce) ; • Cookies de mesure d'audience : 13 mois maximum (recommandation CNIL) ; • Journaux de connexion (logs IP / horodatages) : 1 an (R. 10-13 CPCE) ; • Audit log administrateur : 5 ans glissants ; • Codes de vérification email/SMS : 15 minutes (puis purgés) ; • Messages chat live supprimés (soft-delete) : 90 jours configurable par l'admin via /admin/features ; • Webhook coach (CoachWebhookLog) et webhook plateforme : 6 mois ; • Replays vidéo : tant que le Webinaire n'est pas archivé, puis 6 mois supplémentaires ; • Tokens HMAC (rétractation, reçu, identification email) : durée du contrat sous-jacent (jamais expirés mais inertes après suppression de l'Order). 7.4 — Conservation imposée par la loi. Lorsqu'une obligation légale impose un délai plus long que celui que nous avons fixé, c'est le délai légal qui prévaut, en archive isolée et à accès restreint.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants : 8.1 — Droit d'accès (art. 15). Obtenir la confirmation que vos données font ou ne font pas l'objet d'un traitement et, dans l'affirmative, en obtenir une copie ainsi que les informations sur ces traitements. 8.2 — Droit de rectification (art. 16). Faire rectifier les données inexactes ou compléter celles qui seraient incomplètes. La plupart des données peuvent être rectifiées directement depuis votre espace personnel. 8.3 — Droit à l'effacement / droit à l'oubli (art. 17). Obtenir la suppression de vos données, sous réserve des limites résultant de nos obligations légales (conservation comptable) ou d'un intérêt légitime impérieux. Effacement accessible depuis votre espace « Mon compte > Supprimer mon compte » ou par email à [email protected]. 8.4 — Droit à la limitation (art. 18). Obtenir la limitation du traitement dans les cas prévus, notamment en cas de contestation de l'exactitude ou de la licéité. 8.5 — Droit d'opposition (art. 21). Vous opposer à un traitement fondé sur un intérêt légitime, pour des raisons tenant à votre situation particulière. Pour les traitements à des fins de prospection commerciale, vous pouvez vous y opposer à tout moment et sans motivation. 8.6 — Droit à la portabilité (art. 20). Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement. Un export JSON complet est disponible depuis votre espace personnel. 8.7 — Droit de retirer son consentement (art. 7.3). À tout moment, sans que cela n'affecte la licéité du traitement antérieur. Le retrait se fait via les mêmes interfaces que celles utilisées pour donner le consentement. 8.8 — Décisions automatisées et profilage (art. 22). Aucune décision produisant des effets juridiques significatifs à votre égard n'est prise sur le fondement exclusif d'un traitement automatisé. Les outils de détection automatique (anti-fraude, anti-spam, modération automatique de toxicité, détection de doublons) génèrent des signaux, mais toute action significative (suspension, bannissement, retrait de contenu sur sujet sensible) fait l'objet d'une revue humaine. 8.9 — Directives post-mortem (art. 84 loi I&L). Vous pouvez définir des directives relatives au sort de vos données après votre décès, soit générales auprès d'un tiers certifié, soit particulières auprès de GOLIUP (à adresser à [email protected]). 8.10 — Modalités d'exercice. Pour exercer ces droits, contactez notre DPO à [email protected]. Nous pouvons être amenés à vous demander une pièce d'identité en cas de doute raisonnable sur votre identité. La réponse vous parvient dans un délai d'un mois, prolongeable de deux mois en cas de complexité (avec information de la prolongation). 8.11 — Réclamation auprès de la CNIL. Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés : CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07 — www.cnil.fr — Tél. : 01.53.73.22.22.
9. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données contre toute destruction, perte, altération, divulgation ou accès non autorisé : 9.1 — Mesures techniques : • chiffrement TLS 1.2+ pour tous les échanges réseau ; • chiffrement AES-256-GCM des secrets en base de données (clés API, tokens 2FA, hashs internes) ; • hachage des mots de passe via argon2id avec sel unique par utilisateur et paramètres conformes aux recommandations OWASP ; • authentification à deux facteurs (TOTP) disponible et recommandée ; • rate-limiting et protection anti-bruteforce (Cloudflare + Turnstile + throttling applicatif) ; • segmentation réseau, isolation des environnements (DEV / TEST / LIVE) ; • journalisation des accès administrateurs avec horodatage et adresse IP ; • sauvegardes chiffrées quotidiennes avec rétention 30 jours ; • tests d'intrusion réguliers sur les composants sensibles ; • revue de code obligatoire pour toute modification touchant aux données personnelles. 9.2 — Mesures organisationnelles : • politique d'habilitation par rôle et principe du moindre privilège ; • engagements de confidentialité signés par les collaborateurs ; • formations RGPD et sécurité régulières ; • procédure documentée de gestion des violations de données (notification CNIL sous 72h, information des personnes concernées si risque élevé, conformément aux articles 33 et 34 RGPD) ; • registre des activités de traitement à jour ; • analyses d'impact (DPIA) pour les traitements présentant un risque élevé.
10. Cookies et traceurs
L'utilisation des cookies et traceurs sur le site fait l'objet d'une politique distincte accessible à https://webinup.com/legal/cookies. En résumé : • les cookies strictement nécessaires (session, sécurité, environnement) sont déposés sans consentement ; • les cookies de mesure d'audience et marketing sont déposés uniquement après votre consentement explicite via la bannière (refus aussi simple qu'acceptation) ; • votre choix est conservé 6 mois, après quoi la bannière s'affiche à nouveau ; • les pixels marketing tiers (Meta, Google, TikTok, LinkedIn, GTM, Clarity) ne sont activés sur les pages publiques d'inscription qu'après votre consentement explicite.
11. Mineurs
11.1 — Coachs. La création d'un Compte Coach et la vente de prestations sont strictement réservées aux personnes physiques majeures ou aux personnes morales représentées par un majeur capable. 11.2 — Participants. La participation gratuite à un Webinaire est ouverte aux personnes âgées de quinze (15) ans au minimum, conformément aux recommandations de la CNIL pour les services de la société de l'information (article 7-1 loi I&L). Pour les mineurs entre 13 et 15 ans, le consentement conjoint du titulaire de la responsabilité parentale est requis. Pour les mineurs de moins de 13 ans, le service n'est pas accessible. 11.3 — Vérification. Nous ne procédons pas à une vérification d'âge systématique mais retirons promptement tout compte signalé comme appartenant à un mineur non autorisé.
12. Profilage et décisions automatisées
Aucune décision produisant des effets juridiques significatifs à votre égard ou vous affectant de manière significative ne repose sur un traitement exclusivement automatisé au sens de l'article 22 du RGPD. Les outils suivants génèrent des signaux automatisés mais font l'objet d'une revue humaine pour toute action significative : • filtre de toxicité du chat (score 0-1, blocage automatique au-delà de 0.8 et signalement au coach au-delà de 0.4) ; • détection automatique de fraude (multi-comptes, taux de chargeback) avec alerte aux admins ; • détection de spam dans les invitations en masse (seuil de bounce, plaintes) ; • recommandations de classement dans l'annuaire public (signaux de pertinence, jamais de critère commercial). Vous pouvez à tout moment demander une intervention humaine, exprimer votre point de vue ou contester une décision automatisée en écrivant à [email protected].
13. Évolution de la Politique
La présente Politique peut évoluer pour refléter les évolutions du service, du cadre légal ou de nos pratiques. Toute modification substantielle est notifiée par email aux Utilisateurs disposant d'un compte, au moins trente (30) jours avant son entrée en vigueur. La version en vigueur est celle accessible sur cette page.
14. Dernière mise à jour
Version en vigueur au 26/06/2026.
Document publié sur webinup.com. Pour toute question, voir nos coordonnées dans les mentions légales.