Cette notice fait partie intégrante des conditions générales d'utilisation du service VivAccess, acceptées par l'utilisateur lors de l'utilisation ou de la souscription au service.
Qu'est-ce que VivAccess ?
Le service VivAccess permet aux utilisateurs et utilisatrices d'accéder à des contenus, outils ou fonctionnalités liés à l'accessibilité, notamment dans le cadre d'événements, de formations ou de dispositifs d'accompagnement.
Rôles dans le traitement
VivAccess agit en qualité de responsable de traitement pour l'ensemble des données traitées via le service.
Les organisateurs utilisant VivAccess pour accueillir des participants sur leurs événements demeurent par ailleurs responsables de leurs propres obligations RGPD vis-à-vis de ces participants. VivAccess fournit les outils techniques et les mesures de sécurité nécessaires à cette conformité.
Finalités et bases légales
VivAccess traite les données à caractère personnel de l'utilisateur pour les finalités suivantes :
| Finalités | Base légale | Population concernée |
|---|---|---|
| Création et gestion du compte | Exécution du contrat (Art. 6.1.b) | Organisateur, staff |
| Authentification et accès au service | Exécution du contrat (Art. 6.1.b) | Organisateur, staff |
| Traitement des demandes d'assistance | Exécution du contrat (Art. 6.1.b) | Participant |
| Traitement des données d'accessibilité (santé) | Consentement explicite (Art. 9.2.a) | Participant |
| Monitoring erreurs et sécurité | Intérêt légitime (Art. 6.1.f) | Tous |
| Cookies non essentiels | Consentement (Art. 6.1.a) | Tous |
Données traitées par population
Organisateur
- Identification : nom, prénom, email, mot de passe (haché) ;
- Facturation : raison sociale, SIRET, adresse, moyen de paiement ;
- Connexion : logs de session, IP, user-agent.
Staff
- Identification : nom, prénom, email ;
- Fonctionnement : rôle, événement assigné, token de session.
Participant
- Aucun compte créé — identifiant technique UUID anonyme ;
- Données fournies volontairement dans la demande d'assistance (description du besoin, localisation dans l'événement) ;
- Données d'accessibilité (Art. 9 RGPD) si déclarées avec consentement explicite ;
- Échanges écrits avec le staff dans le cadre de la demande.
Qui a accès aux données ?
| Sous-traitant | Service | Région | Garanties |
|---|---|---|---|
| Supabase | Base de données + Realtime | UE (Francfort) | DPA + clauses types |
| LiveKit | WebRTC audio/vidéo | France (OVH Bare Metal) | DPA OVH |
| Sentry | Monitoring erreurs | UE | DPA |
| Better-Auth | Authentification (auto-hébergée) | UE | n/a |
| Resend | Envoi emails transactionnels | US | DPF + CCT |
| Vercel | Hébergement edge | France (Paris) | DPF + CCT |
Les données collectées sont accessibles uniquement aux personnes habilitées, dans la limite de leurs missions : les équipes internes de VivAccess ; les prestataires techniques listés ci-dessus ; le cas échéant, les autorités compétentes dans le cadre d'une obligation légale.
Durées de conservation
| Catégorie de données | Durée active | Archivage / suppression |
|---|---|---|
| Compte organisateur actif | Durée du contrat | — |
| Compte organisateur inactif | — | Suppression après 3 ans d'inactivité |
| Données de facturation | Durée du contrat | 10 ans (L.123-22 Code commerce) |
| Données événement clôturé | 13 mois | Anonymisation |
| Demandes d'assistance participant | Durée événement + 30 jours | Anonymisation |
| Données d'accessibilité (Art. 9) | Durée événement | Suppression immédiate post-événement sauf consentement explicite |
| Logs techniques / monitoring Sentry | 90 jours | Suppression |
| Cookies de session | Durée session | — |
| Autres cookies | 13 mois max (CNIL) | — |
| Emails support | Durée échange | Suppression 3 ans après dernier contact |
Hébergement et transferts
VivAccess privilégie un hébergement européen pour les données les plus sensibles : LiveKit (flux audio/vidéo temps réel) en France sur infrastructure OVH Bare Metal ; Supabase (base de données et Realtime) en région UE (Francfort) ; Sentry (monitoring) en région UE ; Better-Auth (sessions) auto-hébergé en UE.
Certains prestataires impliquent un transfert de données vers les États-Unis : Resend (emails transactionnels), Vercel (hébergement edge — données au repos US) et Deepgram (transcription vocale). Ces transferts sont encadrés par l'adhésion au Data Privacy Framework (DPF) pour les prestataires certifiés et par les clauses contractuelles types de la Commission européenne (CCT 2021/914).
Les données relevant de l'article 9 du RGPD (besoins d'accessibilité, assimilables à des données de santé) ne sont jamais transmises hors de l'Union européenne.
Pour les traitements fondés sur l'intérêt légitime, VivAccess a évalué que cet intérêt ne porte pas atteinte disproportionnée aux droits des utilisateurs : données minimisées, agrégées lorsque possible, durée de conservation limitée, droit d'opposition garanti à tout moment via rgpd@vivaccess.com.
Cookies
Cookies strictement nécessaires (pas de consentement requis) :
| Cookie | Finalité | Durée |
|---|---|---|
| session Better-Auth | Authentification utilisateur | Durée session |
| staff-session-token | Authentification staff | Durée événement |
| NEXT_LOCALE | Langue de l'interface | 1 an |
Outils de monitoring (intérêt légitime, pas de cookies de tracking) : Sentry collecte une session technique en cas d'erreur uniquement — tous les champs de saisie sont masqués, les médias bloqués avant collecte. Aucun cookie analytique tiers (Google Analytics, Mixpanel, etc.) n'est utilisé.
Notification de violation
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des utilisateurs, VivAccess notifie la CNIL dans un délai de 72 heures à compter de la prise de connaissance de l'incident (article 33 RGPD). Lorsque la violation est susceptible d'engendrer un risque élevé, VivAccess en informe directement les utilisateurs concernés dans les meilleurs délais (article 34 RGPD).
Vos droits
Conformément à la réglementation applicable, l'utilisateur dispose des droits suivants : accès, rectification, effacement, limitation du traitement, opposition, portabilité (lorsque applicable), et retrait du consentement à tout moment lorsque le traitement repose sur celui-ci. L'utilisateur peut également définir des directives relatives au sort de ses données après son décès.
Pour exercer ses droits, l'utilisateur peut contacter VivAccess à rgpd@vivaccess.com. Une preuve d'identité pourra être demandée. VivAccess répond dans un délai d'un mois, prorogeable de deux mois en cas de demande complexe (article 12.3 RGPD).
Coordonnées CNIL
L'utilisateur dispose du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés :
CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr/plaintes. VivAccess invite toutefois l'utilisateur à la contacter en priorité à rgpd@vivaccess.com afin de rechercher une solution amiable.
Délégué à la protection des données
VivAccess n'a pas désigné de Délégué à la protection des données, l'activité ne répondant pas aux critères de désignation obligatoire de l'article 37 du RGPD. Pour toute question : rgpd@vivaccess.com ou par voie postale : VivAccess, 140 rue Yves Montand, 29820 Guilers.
Modifications
La présente politique peut évoluer afin de tenir compte des modifications du service, de la réglementation ou des pratiques de VivAccess.
Historique des versions — V1.0 · 21/05/2026 · Publication initiale.