Politique de Confidentialité
Dernière mise à jour : 20/04/2026
1. Introduction
La présente Politique de Confidentialité (ci-après la « Politique ») a pour objet d’informer les utilisateurs de l’application mobile Welcome RDV et du site internet associé https://welcome-app.com (ci-après la « Plateforme ») sur la collecte, le traitement, la conservation et la protection de leurs données personnelles.
La Politique est conforme :
- au règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (« RGPD ») ;
- à la loi n° 78-17 du 6 janvier 1978 modifiée (« loi Informatique et Libertés ») ;
- pour les utilisateurs résidant en Suisse, à la Loi fédérale sur la protection des données révisée du 1er septembre 2023 (« nLPD ») ;
- aux exigences de l’App Store (Apple) et du Google Play Store ;
au règlement (UE) 2022/2065 (« Digital Services Act » ou « DSA »).
2. Responsable du traitement
Le responsable du traitement des données personnelles est :
- Dénomination sociale : WELCOME
- Forme juridique : Société par actions simplifiée (SAS)
- Capital social : 1 000,00 €
- Siège social : 2 Impasse de la Sauge, 11200 Saint-André-de-Roquelongue, France
- RCS : Narbonne 942 626 037
- Président : Monsieur Nicolas JULIAN
- Email de contact : [email protected]
Délégué à la protection des données (DPO) : non désigné à ce jour, les traitements ne relevant pas d’une obligation de désignation au sens de l’article 37 du RGPD. Les demandes relatives aux données personnelles peuvent être adressées à [email protected].
3. Rôles respectifs de Welcome et des professionnels
- Pour les données des Clients et des Professionnels collectées à l’occasion de leur inscription et de l’utilisation de la Plateforme, Welcome agit en qualité de responsable de traitement.
- Pour les données des Clients dont le Professionnel prend connaissance à l’occasion de l’exécution de prestations (historique client propre au Professionnel, notes, fichier client), Welcome et le Professionnel agissent en qualité de responsables de traitement indépendants pour leurs finalités respectives.
Chaque Professionnel est tenu, en sa qualité de responsable de traitement autonome pour ses propres finalités commerciales, de respecter l’ensemble de ses obligations au titre du RGPD et, le cas échéant, de la nLPD.
4. Données collectées
4.1 Données d'identification et de contact
- nom, prénom ;
- adresse e-mail ;
- numéro de téléphone ;
- adresse postale ;
- mot de passe (stocké sous forme chiffrée via Firebase Authentication) ;
- photo de profil (facultative).
4.2 Données spécifiques aux Professionnels
- numéro SIRET / BCE / IDE ;
- numéro de TVA intracommunautaire le cas échéant ;
- statut au regard de la TVA (assujetti / non assujetti) ;
- diplômes, certifications, justificatifs d’exercice ;
- RIB ou IBAN (transmis exclusivement à Stripe dans le cadre de l’ouverture du compte Stripe Connect Express) ;
- pièces justificatives KYC exigées par Stripe.
4.2 Données spécifiques aux Professionnels
- numéro SIRET / BCE / IDE ;
- numéro de TVA intracommunautaire le cas échéant ;
- statut au regard de la TVA (assujetti / non assujetti) ;
- diplômes, certifications, justificatifs d’exercice ;
- RIB ou IBAN (transmis exclusivement à Stripe dans le cadre de l’ouverture du compte Stripe Connect Express) ;
- pièces justificatives KYC exigées par Stripe.
4.3 Données relatives aux rendez-vous et prestations
- historique des rendez-vous (date, heure, prestation, adresse) ;
- statut (confirmé, annulé, réalisé) ;
- montants facturés.
4.4 Données de paiement
Les données bancaires complètes des Clients (numéro de carte, CVV, etc.) ne sont jamais collectées ni stockées par Welcome. Elles sont exclusivement traitées par :
- Stripe Payments Europe Limited (prestataire de services de paiement), pour l’ensemble des paiements en ligne, y compris les paiements Client vers Professionnel via Stripe Connect Express ainsi que les abonnements professionnels souscrits hors iOS ;
- Apple (via l’App Store, Apple Pay et les achats intégrés In-App Purchase), pour les abonnements professionnels souscrits sur iOS.
Welcome reçoit uniquement des informations limitées et non bancaires nécessaires à la gestion des transactions et des abonnements : identifiant de transaction, type d’abonnement, statut, dates, montant, devise.
4.5 Données de localisation
- emplacement précis : collecté, avec consentement préalable de l’utilisateur, pour optimiser la mise en relation avec les Professionnels géographiquement proches ;
emplacement approximatif : utilisé à des fins d’analyse statistique agrégée.
4.6 Données de communication
- messages échangés via la messagerie in-app (demandes de rendez-vous, support client) ;
- historique des e-mails et SMS envoyés, lorsque l’utilisateur a accepté d’être contacté.
4.7 Contenus publiés
- photographies et vidéos publiées par les Professionnels (profil, réalisations) ;
- textes descriptifs, catalogue de prestations.
4.8 Données techniques et de diagnostic
- identifiants de l’appareil (IDFA sous iOS sous réserve de l’accord ATT, identifiant publicitaire Android sous réserve du consentement, identifiant d’installation Firebase) ;
- version de l’application, version du système d’exploitation, modèle de l’appareil ;
- journaux d’erreurs, rapports de plantage ;
- données analytiques (Firebase Analytics, Algolia).
4.9 Microphone et contacts
- le microphone est uniquement activé lors de l’enregistrement de vidéos via la caméra, avec consentement utilisateur ;
- l’accès aux contacts peut être demandé, avec consentement, pour faciliter la gestion des rendez-vous. Ces données ne sont ni stockées sur les serveurs de Welcome ni partagées avec des tiers.
4.10 Intégration au calendrier Google (Google Agenda) — Professionnels uniquement
Le Professionnel peut, de manière facultative et à son initiative, connecter son compte Google afin de synchroniser son agenda Welcome vers son propre Google Agenda. Accès demandé : Welcome sollicite l’autorisation Google https://www.googleapis.com/auth/calendar.events (création et gestion d’événements d’agenda) ainsi que l’adresse e-mail du compte Google connecté (userinfo.email), à seule fin d’afficher au Professionnel le compte lié. Nature de la synchronisation : elle est unidirectionnelle (Welcome → Google Agenda). Welcome crée, met à jour et supprime exclusivement les événements qu’elle a elle-même générés (rendez-vous et indisponibilités issus de la Plateforme, identifiés par des marqueurs techniques propres à Welcome). Welcome ne lit pas, ne consulte pas et ne modifie pas les autres événements de l’agenda du Professionnel. Données inscrites dans le Google Agenda du Professionnel : intitulé du rendez-vous, prénom et nom du Client, numéro de téléphone du Client, prestation, adresse et date/heure du rendez-vous, ainsi que les créneaux d’indisponibilité. Ces informations sont inscrites dans l’agenda Google personnel du Professionnel, lequel agit à cet égard en qualité de responsable de traitement indépendant (cf. article 3). Données conservées par Welcome pour ce service : un jeton d’autorisation (refresh token) Google, stocké de manière sécurisée côté serveur et inaccessible depuis l’application, l’adresse e-mail du compte connecté, ainsi qu’une table de correspondance entre les rendez-vous Welcome et les identifiants d’événements Google. Durée et révocation : ces données sont conservées tant que la connexion reste active. Le Professionnel peut déconnecter son agenda à tout moment depuis l’application (le jeton est alors révoqué auprès de Google et supprimé), ou révoquer l’accès depuis https://myaccount.google.com/permissions. La déconnexion ou la suppression du compte entraîne la suppression du jeton et de la table de correspondance.
Utilisation limitée (Limited Use) : l’utilisation et le transfert par Welcome des informations reçues des API Google respectent la « Google API Services User Data Policy », y compris ses exigences d’utilisation limitée (« Limited Use »).
5. Bases légales et finalités des traitements
Finalité | Base légale (RGPD art. 6) |
Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) |
Mise en relation Client / Professionnel | Exécution du contrat (art. 6.1.b) |
Gestion des rendez-vous et messagerie | Exécution du contrat (art. 6.1.b) |
Gestion des paiements et abonnements | Exécution du contrat (art. 6.1.b) et obligation légale (art. 6.1.c) |
Émission de reçus et documents de facturation | Obligation légale (art. 6.1.c) |
Prévention de la fraude et sécurité | Intérêt légitime (art. 6.1.f) |
Modération des contenus et obligations DSA | Obligation légale (art. 6.1.c) |
Rappels SMS / e-mail de rendez-vous | Exécution du contrat (art. 6.1.b) |
Communication marketing (newsletters, promotions) | Consentement (art. 6.1.a) |
Analyse et amélioration du service | Intérêt légitime (art. 6.1.f), avec consentement pour les traceurs non essentiels |
Géolocalisation précise | Consentement (art. 6.1.a) |
Suivi publicitaire (ATT iOS, ID Android) | Consentement (art. 6.1.a) |
6. Partage des données – Sous-traitants et des destinataires
Les données personnelles ne sont jamais vendues. Elles peuvent être partagées avec les catégories de destinataires suivantes, dans la stricte mesure nécessaire :
6.1 Sous-traitants techniques
- Google Ireland Limited / Firebase (authentification, base de données Firestore, Cloud Functions, hébergement, Analytics) — région d’hébergement principale : europe-west1 (Belgique) ;
- Stripe Payments Europe Limited (gestion des paiements, abonnements hors iOS, Stripe Connect Express) ;
- Apple Distribution International Limited (distribution iOS, abonnements iOS via In-App Purchase, Apple Pay) ;
- Google Ireland Limited (distribution Android via Google Play) ;
- RevenueCat, Inc. (gestion technique des abonnements mobiles iOS) ;
- Algolia (moteur de recherche) ;
- Brevo (envoi d’e-mails transactionnels et SMS) ;
- Sweego (envoi d’e-mails et SMS, le cas échéant) ;
- Meta Platforms Ireland Limited (mesure et optimisation des campagnes publicitaires, sous réserve du consentement de l’utilisateur) ;
- tout sous-traitant ultérieurement intégré, qui ferait l’objet d’une mise à jour de la présente Politique.
- Google Ireland Limited — API Google Calendar (synchronisation de l’agenda des Professionnels ayant activé la fonctionnalité, sur autorisation de leur part)
Welcome conclut avec chacun de ses sous-traitants un contrat de sous-traitance conforme à l’article 28 du RGPD.
6.2 Autorités
Les données peuvent être communiquées aux autorités administratives et judiciaires dans le strict cadre de leurs réquisitions légales.
6.3 Acquéreurs éventuels
En cas de restructuration, fusion, cession d’activité ou opération similaire, les données peuvent être transférées au repreneur, sous réserve du respect des droits des personnes concernées.
7. Transferts de données hors UE
Les données sont principalement hébergées au sein de l’Espace économique européen (EEE) (région Google Cloud europe-west1, Belgique).
Toutefois, certains sous-traitants peuvent accéder à des données depuis des pays tiers (notamment États-Unis pour Stripe, Meta, Apple et certaines sous-composantes de Google). Ces transferts sont encadrés par :
- le Data Privacy Framework (décision d’adéquation UE–États-Unis du 10 juillet 2023) lorsque le sous-traitant y est certifié ;
- à défaut, les clauses contractuelles types (CCT) adoptées par la Commission européenne et, le cas échéant, des mesures supplémentaires (chiffrement, pseudonymisation).
8. Sécurité des données
Welcome met en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données :
- stockage sécurisé sur l’infrastructure Google Cloud / Firebase ;
- chiffrement en transit (TLS) et au repos ;
- authentification forte via Firebase Authentication ;
- règles de sécurité Firestore limitant strictement les accès ;
- gestion des paiements via Stripe, certifié PCI-DSS niveau 1 ;
- paiements via Apple Pay / In-App Purchase traités selon les standards Apple (tokenisation, chiffrement) ;
- journalisation et surveillance des accès sensibles ;
- formation et sensibilisation du personnel habilité.
En cas de violation de données présentant un risque pour les droits et libertés des personnes, Welcome notifie la CNIL (ou l’autorité compétente) dans les 72 heures et informe les personnes concernées lorsque la loi l’impose.
9. Durées de conservation
Catégorie | Durée de conservation |
Compte utilisateur actif (Client ou Professionnel) | Tant que le compte est actif |
Données après suppression de compte | Suppression immédiate, sauf obligations légales ci-dessous |
Documents de facturation et comptables | 10 ans (articles L.123-22 du Code de commerce et 102 B du Livre des procédures fiscales) |
Données relatives aux rendez-vous réalisés | 3 ans à compter de la réalisation (preuve, gestion de litiges) |
Données de prospection commerciale | 3 ans à compter du dernier contact |
Journaux techniques | 12 mois maximum |
Pièces KYC transmises à Stripe | Durée fixée par Stripe conformément à la réglementation LCB-FT |
Cookies et traceurs soumis à consentement
Jeton d’autorisation Google Agenda et table de correspondance (Professionnels) | 13 mois maximum
Jusqu’à la déconnexion par le Professionnel ou la suppression du compte |
10. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD et, le cas échéant, à la nLPD suisse, toute personne concernée dispose des droits suivants :
- droit d’accès : obtenir la confirmation du traitement et une copie des données ;
- droit de rectification : corriger des données inexactes ou incomplètes ;
- droit à l’effacement (« droit à l’oubli ») : demander la suppression des données, dans les limites prévues par la loi ;
- droit à la limitation du traitement ;
- droit d’opposition au traitement, notamment à des fins de prospection commerciale ;
- droit à la portabilité des données fournies, dans un format structuré et lisible ;
- droit de retirer son consentement à tout moment, sans remise en cause de la licéité des traitements antérieurs ;
- droit de définir des directives relatives au sort des données après le décès ;
- droit d’introduire une réclamation auprès d’une autorité de contrôle.
10.1 Exercice des droits
Toute demande peut être adressée par e-mail à [email protected], avec toute pièce permettant de justifier de l’identité du demandeur. Welcome répond dans un délai d’un (1) mois à compter de la réception de la demande, prorogeable de deux (2) mois en cas de complexité.
10.2 Autorités de contrôle
- France : Commission Nationale de l’Informatique et des Libertés (CNIL), 3 Place de Fontenoy, 75007 Paris — www.cnil.fr
- Belgique : Autorité de Protection des Données (APD-GBA), Rue de la Presse 35, 1000 Bruxelles — www.autoriteprotectiondonnees.be
- Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne — www.edoeb.admin.ch
11. Mineurs
La Plateforme est réservée aux personnes majeures. Welcome ne collecte pas sciemment de données relatives à des mineurs de moins de 15 ans (16 ans en Belgique, seuil applicable selon nLPD en Suisse). Si un parent ou tuteur constate qu’un mineur a fourni des données personnelles, il peut en solliciter la suppression à [email protected]
12. Cookies et traceurs
12.1 Site web https://welcome-app.com
Le site utilise des traceurs soumis à consentement (mesure d’audience non exemptée, traceurs marketing). Un bandeau permet à l’utilisateur d’accepter, de refuser ou de paramétrer les traceurs, conformément aux lignes directrices de la CNIL et à la directive « ePrivacy ».
12.2 Application mobile
Dans l’application, les SDK analytiques et marketing (Firebase Analytics, Meta SDK) ne collectent d’identifiants persistants qu’après consentement explicite de l’utilisateur, notamment via le mécanisme App Tracking Transparency (ATT) sous iOS.
13. App tracking transparency (ATT) – iOS
L’application peut solliciter l’autorisation d’utiliser l’identifiant publicitaire (IDFA) via le cadre App Tracking Transparency d’Apple, afin de mesurer l’efficacité des campagnes marketing.
- En cas de refus, l’application fonctionne normalement et aucune donnée de mesure publicitaire n’est collectée ;
L’utilisateur peut modifier son choix à tout moment via Réglages iOS > Confidentialité et sécurité > Suivi.
14. Décisions automatisées et profilage
Welcome ne met en œuvre aucune décision entièrement automatisée produisant des effets juridiques ou significatifs pour les utilisateurs au sens de l’article 22 du RGPD.
15. Modifications de la politique
Welcome peut modifier la présente Politique à tout moment. Les modifications substantielles sont notifiées aux utilisateurs par e-mail ou notification in-app.
16. Contact
Pour toute question relative à la présente Politique ou au traitement de vos données : [email protected]
