Politique de confidentialité

Dernière mise à jour : 19 mai 2026

Version 3.0

1. Responsable du traitement

Wholeding Ltd, 11 Triq Giovanni Ricasoli, KKR106 Kalkara, Malte est le responsable du traitement de vos données personnelles. Pour toute question relative à la confidentialité, contactez-nous à l'adresse privacy@wholeding.eu.

2. Données personnelles que nous collectons

Nous collectons les catégories suivantes de données personnelles :

Données du compte : nom complet, adresse e-mail, date de naissance (pour la vérification de l'âge), langue préférée et fuseau horaire.

Données professionnelles du thérapeute : biographie professionnelle, spécialisations, langues parlées, années d'expérience, photo de profil, tarif des séances, calendrier de disponibilité et qualifications professionnelles.

Données de réservation et de séance : date/heure de la séance, durée, format (par ex. individuel ou en couple), statut de la réservation, motifs d'annulation et historique des reprogrammations.

Données de paiement : montants des paiements, devise et références des transactions. Nous ne stockons pas les informations de votre carte — celles-ci sont traitées directement par Stripe et n'atteignent jamais nos serveurs.

Données de communication : soumissions de formulaires de contact et journaux de livraison d'e-mails pour les notifications transactionnelles (confirmations de réservation, rappels de séance).

Données du questionnaire d'appariement : vos réponses à notre questionnaire d'appariement avec un thérapeute sont collectées de manière anonyme. Nous ne pouvons pas relier les réponses au questionnaire à votre identité. Ces données sont utilisées uniquement pour vous mettre en relation avec un thérapeute approprié et pour améliorer l'expérience d'appariement.

Données techniques : jetons de session d'authentification, adresse IP (pour le suivi de la sécurité) et informations sur le navigateur (pour la protection contre les robots).

Données d'analyse et de publicité (avec consentement) : lorsque vous acceptez les cookies d'analyse et de publicité, nous collectons des événements d'interaction pseudonymes (pages visitées, clics sur des éléments clés d'appel à l'action, changements de langue, indicateurs de performance tels que les Core Web Vitals) et des données de conversion (quel clic sur Google Ads a conduit à une réservation). Pour les clients authentifiés, ces données sont associées à un identifiant interne d'utilisateur opaque ; les administrateurs et les thérapeutes sont exclus de ce suivi. Consultez notre Politique de cookies pour la liste complète des cookies et les détails de configuration.

Journaux administratifs et de sécurité : nous tenons des journaux d'audit internes consignant les actions des administrateurs (avec adresse IP et horodatage) et des journaux d'événements de sécurité (tentatives d'authentification, déclenchements de la limitation du débit et activités suspectes). Ces journaux protègent la plateforme et nous aident à enquêter sur les incidents.

Données de thérapeutes potentiels : si vous êtes invité à rejoindre la plateforme en tant que thérapeute, nous conservons temporairement votre nom, adresse e-mail et qualifications professionnelles jusqu'à 24 heures pour traiter l'invitation.

3. Comment et pourquoi nous utilisons vos données

Nous traitons vos données personnelles aux fins et sur les bases légales suivantes :

Fourniture du service (base légale : contrat, art. 6(1)(b)) : création et gestion de votre compte, mise en relation avec des thérapeutes, planification et gestion des réservations, traitement des paiements et fourniture des liens de séance.

Communication (base légale : contrat, art. 6(1)(b)) : envoi de confirmations de réservation, de rappels de séance et de notifications de compte. Il s'agit d'e-mails transactionnels nécessaires au service.

Vérification de l'âge (base légale : obligation légale, art. 6(1)(c)) : vérifier que vous remplissez l'exigence d'âge minimum pour utiliser la plateforme.

Tenue des registres financiers (base légale : obligation légale, art. 6(1)(c)) : conservation des registres de paiement conformément aux réglementations fiscales et financières.

Sécurité et prévention de la fraude (base légale : intérêt légitime, art. 6(1)(f)) : surveillance des activités suspectes, journalisation des actions administratives, enregistrement des événements de sécurité et utilisation d'une protection contre les robots sur les formulaires.

Analyse et mesure des conversions (base légale : consentement, art. 6(1)(a)) : mesurer comment les visiteurs découvrent et utilisent la plateforme, évaluer la performance des campagnes marketing et du parcours de réservation, et fonder les améliorations de l'expérience utilisateur. Ce traitement n'a lieu qu'après que vous avez donné votre consentement via la bannière de cookies ; vous pouvez retirer votre consentement à tout moment avec la même facilité.

Amélioration de la plateforme (base légale : intérêt légitime, art. 6(1)(f)) : analyse des données anonymes du questionnaire et des modèles d'utilisation agrégés afin d'améliorer l'algorithme d'appariement et l'expérience utilisateur.

4. Sous-traitants tiers

Nous partageons des données personnelles avec les sous-traitants tiers de confiance suivants, qui traitent chacun les données pour notre compte dans le cadre d'un accord de traitement des données :

Supabase (hébergement de la base de données et de l'authentification) — héberge toutes les données de la plateforme dans l'UE (Francfort). Reçoit : toutes les données de compte, les données de réservation et les identifiants d'authentification.

Stripe (traitement des paiements) — traite les paiements et les versements aux thérapeutes. Reçoit : adresse e-mail, montants des paiements et identifiants de référence des réservations. Les données de la carte sont gérées directement par le formulaire de paiement sécurisé de Stripe et n'atteignent jamais nos serveurs. Stripe conserve les données de transaction pendant au moins 7 ans, comme l'exige la réglementation financière — ces données ne peuvent pas être supprimées à la clôture du compte.

Google (Calendar et Meet) — lorsqu'un thérapeute connecte son Google Calendar, nous créons des événements de calendrier pour les séances réservées. Reçoit : date/heure de la séance, adresses e-mail des participants et une référence de réservation. Des liens Google Meet sont générés pour les séances vidéo. Cette intégration est facultative et nécessite le consentement explicite du thérapeute via l'écran de consentement OAuth de Google.

Google (Analytics et Ads) — avec votre consentement, nous utilisons Google Analytics 4 (G-N8J2V47W6K) et Google Ads (AW-18159589539) pour mesurer l'utilisation du site, la performance et l'efficacité des campagnes payantes. Reçoit : événements d'interaction pseudonymes, chemins de page, langue, taille d'écran, localisation approximative dérivée d'une IP anonymisée, un identifiant interne d'utilisateur opaque pour les clients authentifiés, et des données de conversion. Google Signals est désactivé, de sorte qu'aucun suivi multi-appareils ou démographique fondé sur les profils Google connectés n'est effectué. Consultez notre Politique de cookies pour tous les détails, y compris les cookies déposés et les durées de conservation.

Resend (livraison d'e-mails) — livre les e-mails transactionnels pour notre compte. Reçoit : adresse e-mail du destinataire, nom et contenu de l'e-mail (détails de réservation, horaires de séance). Resend ne conserve pas le contenu des e-mails après la livraison. Les journaux de livraison sont conservés pendant environ 30 jours.

Cloudflare (protection contre les robots) — fournit une protection CAPTCHA sur les formulaires d'inscription, de connexion et de contact via Cloudflare Turnstile. Il s'agit d'une alternative aux CAPTCHA traditionnels axée sur la confidentialité qui n'utilise pas de cookies de suivi. Cloudflare peut collecter l'adresse IP et des données d'interaction avec le navigateur pour vérifier que vous êtes un être humain.

Vercel (prévu : suivi de la performance web) — Actuellement inactif. Nous avons intégré l'infrastructure pour Vercel Analytics et Speed Insights, mais aucune donnée n'est actuellement envoyée à Vercel. Lorsque nous activerons ce service à l'avenir, il sera en opt-in via notre bannière de consentement aux cookies, et nous mettrons à jour cette Politique de confidentialité avant son activation.

Nous ne vendons pas vos données personnelles à des tiers. Les données ne sont partagées que comme décrit ci-dessus et uniquement dans la mesure nécessaire à la prestation de nos services.

5. Transferts internationaux de données

Vos données sont principalement stockées dans l'UE (Francfort) via Supabase. Certains de nos sous-traitants sont basés aux États-Unis :

  • Stripe — protégé par les Clauses contractuelles types (CCT) de l'UE et par le EU-US Data Privacy Framework
  • Google (Calendar, Meet, Analytics, Ads) — protégé par les CCT de l'UE et par le EU-US Data Privacy Framework
  • Resend — protégé par les CCT de l'UE
  • Cloudflare — protégé par les CCT de l'UE et par le EU-US Data Privacy Framework

Ces mécanismes garantissent que vos données bénéficient d'un niveau de protection adéquat conformément au chapitre V du RGPD.

6. Conservation des données

Nous conservons vos données personnelles pendant les durées suivantes :

  • Données de compte et de profil : conservées pendant toute la durée de vie de votre compte. Supprimées lorsque vous demandez la suppression du compte.
  • Données de réservation et de séance : conservées pendant toute la durée de vie de votre compte. Supprimées lorsque le compte de l'une des parties est supprimé.
  • Références de paiement : conservées jusqu'à 10 ans après la transaction, comme l'exigent les réglementations fiscales et financières. Cela s'applique même après la suppression du compte.
  • Journaux de livraison des e-mails : purgés automatiquement après 7 jours.
  • Journaux de sécurité et d'audit : conservés pendant 1 an dans nos systèmes opérationnels, puis archivés pendant 2 années supplémentaires avant suppression (3 ans au total).
  • Données d'événements webhook : privées de leur contenu détaillé après traitement et purgées automatiquement après 30 jours.
  • Invitations de thérapeutes : valables 24 heures, puis purgées automatiquement.
  • Données anonymes du questionnaire : conservées indéfiniment pour améliorer l'expérience d'appariement. Étant donné que ces données sont anonymes, elles ne peuvent pas être reliées à vous et ne sont pas affectées par la suppression du compte.
  • Données d'événements Google Analytics : conservées par Google pendant 14 mois, après quoi les données au niveau de l'événement sont automatiquement supprimées. Les rapports agrégés restent disponibles au-delà de cette période.
  • Données d'attribution Google Ads : les cookies _gcl_* expirent au bout de 90 jours, après quoi ils ne peuvent plus être utilisés pour attribuer une conversion à un clic.

Lorsque vous supprimez votre compte, toutes les données personnelles liées à votre compte sont définitivement supprimées de nos systèmes, sauf lorsque nous avons une obligation légale de les conserver (par ex. registres financiers) ou lorsqu'un sous-traitant tiers conserve les données de manière indépendante (par ex. registres de transactions Stripe).

7. Cookies et suivi

Nous utilisons les cookies et technologies de suivi suivants :

Strictement nécessaires (pas de consentement requis) :

  • Cookies de session d'authentification — gérés par Supabase pour vous maintenir connecté
  • Préférence de consentement aux cookies — enregistre si vous avez accepté ou refusé les cookies facultatifs

Protection contre les robots (intérêt légitime) :

  • Cloudflare Turnstile — un CAPTCHA axé sur la confidentialité qui ne dépose pas de cookies de suivi. Utilisé sur les formulaires d'inscription, de connexion et de contact pour prévenir les abus automatisés.

Analyse et publicité (avec consentement) :

  • Google Analytics 4 — mesure l'utilisation et la performance du site. Dépose les cookies _ga, _ga_N8J2V47W6K et (dans certaines configurations) _gid.
  • Google Ads — mesure l'efficacité des campagnes payantes. Dépose les cookies _gcl_au, _gcl_aw et _gcl_dc.

Un unique interrupteur de consentement dans la bannière de cookies couvre à la fois l'analyse et la publicité. Nous utilisons Google Consent Mode v2, de sorte qu'avant le consentement, ces balises se chargent dans un mode restreint et sans cookies et ne transmettent aucune donnée de mesure ou de publicité. Vous pouvez retirer votre consentement à tout moment. Tous les détails — y compris les durées d'expiration et la configuration des données — figurent dans notre Politique de cookies.

8. Vos droits en vertu du RGPD

En tant que personne concernée dans l'UE/EEE, vous disposez des droits suivants en vertu du RGPD :

  • Droit d'accès (art. 15) : demander une copie de toutes les données personnelles que nous détenons à votre sujet.
  • Droit de rectification (art. 16) : corriger des données personnelles inexactes. Vous pouvez mettre à jour les informations de votre profil directement dans les paramètres de votre compte.
  • Droit à l'effacement (art. 17) : demander la suppression de vos données personnelles. Notez que certaines données peuvent être conservées lorsque nous avons une obligation légale (par ex. registres financiers).
  • Droit à la limitation (art. 18) : demander que nous limitions le traitement de vos données dans certaines circonstances.
  • Droit à la portabilité des données (art. 20) : recevoir vos données personnelles dans un format structuré et lisible par machine.
  • Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime. Nous cesserons le traitement sauf si nous avons des motifs légitimes impérieux.
  • Droit de retirer votre consentement (art. 7(3)) : lorsque le traitement repose sur le consentement (comme pour les cookies d'analyse et de publicité), vous pouvez retirer votre consentement à tout moment, avec la même facilité que celle avec laquelle il a été donné, via le contrôle des préférences de cookies.

Comment exercer vos droits : envoyez votre demande à privacy@wholeding.eu. Nous répondrons dans un délai de 30 jours. Nous pouvons vous demander de vérifier votre identité avant de traiter votre demande.

Droit d'introduire une réclamation : si vous n'êtes pas satisfait de la manière dont nous traitons vos données, vous avez le droit d'introduire une réclamation auprès de votre autorité locale de protection des données. Pour Malte, il s'agit de l'Office of the Information and Data Protection Commissioner (IDPC) à l'adresse idpc.org.mt.

9. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles, notamment :

  • Toutes les données sont chiffrées en transit (HTTPS/TLS) et au repos
  • Les jetons sensibles (par ex. les jetons de rafraîchissement OAuth Google) sont chiffrés au niveau de l'application avant stockage
  • Des politiques de sécurité au niveau des lignes restreignent l'accès à la base de données aux seuls utilisateurs autorisés
  • Les actions administratives sont consignées dans une piste d'audit avec horodatages et adresses IP
  • L'authentification utilise le flux PKCE OAuth et le hachage des mots de passe avec bcrypt
  • La protection contre les robots prévient les abus automatisés des formulaires et de l'authentification

10. Décisions automatisées

Notre questionnaire d'appariement avec un thérapeute utilise vos réponses pour suggérer des thérapeutes appropriés. Cet appariement est effectué sur des données anonymes et produit une recommandation non contraignante — vous êtes libre de choisir n'importe quel thérapeute disponible. Aucune décision automatisée ayant des effets juridiques ou des effets similaires significatifs n'est prise à votre sujet.

11. Confidentialité des enfants

Wholeding n'est pas destiné aux personnes de moins de 18 ans. Nous collectons la date de naissance pour vérifier l'éligibilité par l'âge. Si nous apprenons que nous avons collecté des données personnelles d'une personne de moins de 18 ans, nous prendrons des mesures pour supprimer ces données rapidement.

12. Modifications de cette politique

Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. Lorsque nous apportons des modifications substantielles, nous vous en informerons en mettant à jour la date en haut de cette page et, le cas échéant, par e-mail. Nous vous encourageons à consulter cette page périodiquement.

13. Contact

Pour toute question concernant cette Politique de confidentialité ou pour exercer vos droits en matière de protection des données, contactez-nous à :

Wholeding Ltd
11 Triq Giovanni Ricasoli
KKR106 Kalkara, Malte

E-mail : privacy@wholeding.eu

Nous utilisons des cookies pour assurer le bon fonctionnement de notre plateforme. Vous pouvez choisir les cookies optionnels que vous souhaitez autoriser. Politique de confidentialité et Politique de cookies.