Cette notice fait partie intégrante des conditions générales d'utilisation du service VivAccess, acceptées par l'utilisateur lors de l'utilisation ou de la souscription au service.

Qu'est-ce que VivAccess ?

Le service VivAccess permet aux utilisateurs et utilisatrices d'accéder à des contenus, outils ou fonctionnalités liés à l'accessibilité, notamment dans le cadre d'événements, de formations ou de dispositifs d'accompagnement.

Rôles dans le traitement

VivAccess agit en qualité de responsable de traitement pour l'ensemble des données traitées via le service.

Les organisateurs utilisant VivAccess pour accueillir des participants sur leurs événements demeurent par ailleurs responsables de leurs propres obligations RGPD vis-à-vis de ces participants. VivAccess fournit les outils techniques et les mesures de sécurité nécessaires à cette conformité.

Finalités et bases légales

VivAccess traite les données à caractère personnel de l'utilisateur pour les finalités suivantes :

FinalitésBase légalePopulation concernée
Création et gestion du compteExécution du contrat (Art. 6.1.b)Organisateur, staff
Authentification et accès au serviceExécution du contrat (Art. 6.1.b)Organisateur, staff
Traitement des demandes d'assistanceExécution du contrat (Art. 6.1.b)Participant
Traitement des données d'accessibilité (santé)Consentement explicite (Art. 9.2.a)Participant
Monitoring erreurs et sécuritéIntérêt légitime (Art. 6.1.f)Tous
Cookies non essentielsConsentement (Art. 6.1.a)Tous

Données traitées par population

Organisateur

  • Identification : nom, prénom, email, mot de passe (haché) ;
  • Facturation : raison sociale, SIRET, adresse, moyen de paiement ;
  • Connexion : logs de session, IP, user-agent.

Staff

  • Identification : nom, prénom, email ;
  • Fonctionnement : rôle, événement assigné, token de session.

Participant

  • Aucun compte créé — identifiant technique UUID anonyme ;
  • Données fournies volontairement dans la demande d'assistance (description du besoin, localisation dans l'événement) ;
  • Données d'accessibilité (Art. 9 RGPD) si déclarées avec consentement explicite ;
  • Échanges écrits avec le staff dans le cadre de la demande.

Qui a accès aux données ?

Sous-traitantServiceRégionGaranties
SupabaseBase de données + RealtimeUE (Francfort)DPA + clauses types
LiveKitWebRTC audio/vidéoFrance (OVH Bare Metal)DPA OVH
SentryMonitoring erreursUEDPA
Better-AuthAuthentification (auto-hébergée)UEn/a
ResendEnvoi emails transactionnelsUSDPF + CCT
VercelHébergement edgeFrance (Paris)DPF + CCT

Les données collectées sont accessibles uniquement aux personnes habilitées, dans la limite de leurs missions : les équipes internes de VivAccess ; les prestataires techniques listés ci-dessus ; le cas échéant, les autorités compétentes dans le cadre d'une obligation légale.

Durées de conservation

Catégorie de donnéesDurée activeArchivage / suppression
Compte organisateur actifDurée du contrat
Compte organisateur inactifSuppression après 3 ans d'inactivité
Données de facturationDurée du contrat10 ans (L.123-22 Code commerce)
Données événement clôturé13 moisAnonymisation
Demandes d'assistance participantDurée événement + 30 joursAnonymisation
Données d'accessibilité (Art. 9)Durée événementSuppression immédiate post-événement sauf consentement explicite
Logs techniques / monitoring Sentry90 joursSuppression
Cookies de sessionDurée session
Autres cookies13 mois max (CNIL)
Emails supportDurée échangeSuppression 3 ans après dernier contact

Hébergement et transferts

VivAccess privilégie un hébergement européen pour les données les plus sensibles : LiveKit (flux audio/vidéo temps réel) en France sur infrastructure OVH Bare Metal ; Supabase (base de données et Realtime) en région UE (Francfort) ; Sentry (monitoring) en région UE ; Better-Auth (sessions) auto-hébergé en UE.

Certains prestataires impliquent un transfert de données vers les États-Unis : Resend (emails transactionnels), Vercel (hébergement edge — données au repos US) et Deepgram (transcription vocale). Ces transferts sont encadrés par l'adhésion au Data Privacy Framework (DPF) pour les prestataires certifiés et par les clauses contractuelles types de la Commission européenne (CCT 2021/914).

Les données relevant de l'article 9 du RGPD (besoins d'accessibilité, assimilables à des données de santé) ne sont jamais transmises hors de l'Union européenne.

Pour les traitements fondés sur l'intérêt légitime, VivAccess a évalué que cet intérêt ne porte pas atteinte disproportionnée aux droits des utilisateurs : données minimisées, agrégées lorsque possible, durée de conservation limitée, droit d'opposition garanti à tout moment via rgpd@vivaccess.com.

Cookies

Cookies strictement nécessaires (pas de consentement requis) :

CookieFinalitéDurée
session Better-AuthAuthentification utilisateurDurée session
staff-session-tokenAuthentification staffDurée événement
NEXT_LOCALELangue de l'interface1 an

Outils de monitoring (intérêt légitime, pas de cookies de tracking) : Sentry collecte une session technique en cas d'erreur uniquement — tous les champs de saisie sont masqués, les médias bloqués avant collecte. Aucun cookie analytique tiers (Google Analytics, Mixpanel, etc.) n'est utilisé.

Notification de violation

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des utilisateurs, VivAccess notifie la CNIL dans un délai de 72 heures à compter de la prise de connaissance de l'incident (article 33 RGPD). Lorsque la violation est susceptible d'engendrer un risque élevé, VivAccess en informe directement les utilisateurs concernés dans les meilleurs délais (article 34 RGPD).

Vos droits

Conformément à la réglementation applicable, l'utilisateur dispose des droits suivants : accès, rectification, effacement, limitation du traitement, opposition, portabilité (lorsque applicable), et retrait du consentement à tout moment lorsque le traitement repose sur celui-ci. L'utilisateur peut également définir des directives relatives au sort de ses données après son décès.

Pour exercer ses droits, l'utilisateur peut contacter VivAccess à rgpd@vivaccess.com. Une preuve d'identité pourra être demandée. VivAccess répond dans un délai d'un mois, prorogeable de deux mois en cas de demande complexe (article 12.3 RGPD).

Coordonnées CNIL

L'utilisateur dispose du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés :

CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr/plaintes. VivAccess invite toutefois l'utilisateur à la contacter en priorité à rgpd@vivaccess.com afin de rechercher une solution amiable.

Délégué à la protection des données

VivAccess n'a pas désigné de Délégué à la protection des données, l'activité ne répondant pas aux critères de désignation obligatoire de l'article 37 du RGPD. Pour toute question : rgpd@vivaccess.com ou par voie postale : VivAccess, 140 rue Yves Montand, 29820 Guilers.

Modifications

La présente politique peut évoluer afin de tenir compte des modifications du service, de la réglementation ou des pratiques de VivAccess.

Historique des versions — V1.0 · 21/05/2026 · Publication initiale.