Politique de confidentialité

La présente politique de confidentialité décrit la manière dont Curato Collective SAS (société en cours de constitution), ci-après « Curato », collecte, utilise, conserve et protège les données personnelles des utilisateurs du site curatocollective.com et de ses services associés.

Curato est un écosystème choisi à la main qui met en relation des créateurs de contenu et des maisons d'exception à Paris (restaurants, sanctuaires de beauté, retraites de bien-être, hôtels boutique). Les créateurs reçoivent un crédit mensuel en euros pour découvrir ces lieux ; les maisons accueillent des visiteurs qui les ont sincèrement choisis et reçoivent en retour un contenu éditorial publié sur les réseaux sociaux des créateurs, accompagné de 90 jours de droits d'utilisation exclusifs.

Cette politique s'applique à toute personne qui visite le site, soumet une candidature, s'inscrit à un évènement, crée un compte (créateur ou maison) ou interagit avec le service de quelque manière que ce soit.

En utilisant le service, vous reconnaissez avoir pris connaissance de la présente politique. Le consentement explicite à certains traitements (notamment les réponses au questionnaire d'onboarding) est recueilli séparément via une case à cocher dédiée.

Le responsable de traitement au sens du Règlement Général sur la Protection des Données (RGPD) est :

• Dénomination sociale : Curato Collective SAS (société en cours de constitution)
• Forme juridique : Société par actions simplifiée (SAS)
• Siège social : [Adresse de domiciliation commerciale — à compléter]
• SIRET : [SIRET — à compléter après immatriculation]
• RCS : [RCS Paris — à compléter après immatriculation]
• Directrice de la publication : Natalia Fernandez Casasfranco
• Contact (toutes demandes RGPD) : hello@curatocollective.com

Curato n'est pas tenue, à ce jour, de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Toute demande relative à vos données personnelles peut être adressée à l'adresse électronique indiquée ci-dessus.

Hébergeur du site : Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, États-Unis.

Curato collecte uniquement les données strictement nécessaires aux finalités décrites à la section 4. La nature des données collectées varie selon le point de contact :

• Candidature (créateur ou maison) : nom, adresse électronique, identifiant Instagram, site internet (facultatif), motivation libre.
• Inscription à l'évènement de lancement : nom complet, adresse électronique, numéro WhatsApp, profil déclaré, identifiant Instagram (facultatif).
• Questionnaire d'onboarding : réponses aux questions de préférences (centres d'intérêt, sensibilités, type de contenu produit). Le consentement est recueilli explicitement avant soumission.
• Compte utilisateur : adresse électronique et mot de passe (stocké sous forme hachée par notre prestataire d'authentification).
• Profil créateur : nombre d'abonnés, crédit mensuel alloué, historique des visites.
• Contenu de visite : photos et vidéos téléversées par les créateurs comme preuve de visite ; ces contenus sont visibles par la maison concernée et par l'équipe Curato.
• Données techniques : journaux de connexion, identifiants de session, adresse IP, type de navigateur, dates et heures d'accès, à des fins de sécurité et de bon fonctionnement du service.

Curato ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (origine, opinions, santé, orientation sexuelle, etc.). Aucune donnée bancaire n'est collectée ni stockée : le crédit mensuel est pré-alloué par Curato et ne donne pas lieu à un paiement par l'utilisateur.

Chaque traitement de données personnelles repose sur une base légale conforme à l'article 6 du RGPD :

• Gestion de la candidature et du compte utilisateur — exécution du contrat (art. 6.1.b).
• Mise en relation entre créateurs et maisons (matching) — exécution du contrat (art. 6.1.b).
• Recommandations personnalisées à partir du questionnaire d'onboarding — consentement explicite (art. 6.1.a), recueilli via case à cocher dédiée.
• Envoi d'emails transactionnels (confirmation, bienvenue, réinitialisation de mot de passe) — exécution du contrat (art. 6.1.b).
• Réponses aux messages adressés à hello@curatocollective.com — intérêt légitime (art. 6.1.f).
• Inscription et confirmation à l'évènement de lancement — consentement (art. 6.1.a).
• Vérification automatique des publications de visite via notre prestataire d'analyse de réseaux sociaux — exécution du contrat (art. 6.1.b), précédée d'un consentement explicite lors de la connexion du compte Instagram.
• Sécurité du service et prévention des abus — intérêt légitime (art. 6.1.f).
• Respect des obligations légales (comptabilité, demandes des autorités) — obligation légale (art. 6.1.c).

Vous pouvez à tout moment retirer votre consentement aux traitements qui en dépendent, sans que cela n'affecte la licéité des traitements antérieurs. Le retrait du consentement au questionnaire d'onboarding peut entraîner l'impossibilité de recevoir des recommandations personnalisées.

Vos données ne sont jamais vendues. Elles sont accessibles uniquement aux personnes habilitées au sein de Curato et aux prestataires techniques (sous-traitants au sens de l'article 28 du RGPD) listés ci-dessous, dont l'intervention est strictement nécessaire au fonctionnement du service :

• Supabase (Supabase Inc.) — hébergement de la base de données et service d'authentification. Données traitées : toutes les données utilisateur. Région de traitement : Union européenne.
• Vercel (Vercel Inc.) — hébergement du site et des fonctions serveur. Données traitées : journaux techniques, requêtes HTTP. Localisation : États-Unis et Union européenne (selon la région d'exécution).
• Resend (Resend Inc.) — envoi des emails transactionnels. Données traitées : adresse électronique, nom, contenu de l'email. Localisation : États-Unis.
• Phyllo (Phyllo Inc.) — analyse des publications publiques sur Instagram pour vérifier automatiquement la réalité d'une visite et associer le contenu publié à la maison concernée. Données traitées : identifiant Instagram, identifiant interne créateur, métadonnées des publications publiques. Localisation : États-Unis. Ce traitement n'est activé que pour les créateurs qui connectent volontairement leur compte Instagram, après consentement explicite.

Chaque sous-traitant est lié à Curato par un contrat (Data Processing Agreement) imposant des garanties équivalentes à celles de la présente politique. La liste des sous-traitants peut évoluer ; toute modification substantielle sera reflétée dans cette politique.

Le modèle de Curato repose sur la transparence des relations entre créateurs et maisons. Cette section précise ce qui est visible par qui :

• Une maison voit, pour chaque visite : le nom du créateur, son identifiant Instagram (avec lien public), son nombre d'abonnés, son adresse électronique de contact, et le contenu (photos et vidéos) qu'il téléverse à l'issue de la visite.
• Un créateur voit, pour chaque offre : le nom de la maison, son adresse, sa catégorie et la valeur du crédit accordé. Les coordonnées privées de la maison (adresse électronique du contact, numéro privé) ne sont pas exposées.
• Les réponses au questionnaire d'onboarding ne sont jamais partagées avec les maisons. Elles servent uniquement à l'algorithme interne de matching et à l'équipe Curato.
• L'équipe Curato (administrateurs) a accès à l'ensemble des données aux seules fins de fonctionnement et de support du service.

Vos données sont conservées pour la durée strictement nécessaire à la finalité du traitement :

• Comptes actifs : pendant toute la durée de la relation, puis 12 mois après la clôture du compte.
• Candidatures non retenues : 12 mois à compter de la décision (pour permettre une éventuelle re-candidature).
• Inscriptions à l'évènement de lancement : jusqu'à 6 mois après la tenue de l'évènement.
• Contenu de visite (photos, vidéos) : tant que le compte du créateur est actif ; la maison bénéficie en parallèle de 90 jours de droits d'utilisation exclusifs à compter de la date de visite, conformément aux conditions générales.
• Journaux techniques et données d'authentification : 12 mois.
• Documents comptables et de facturation (le cas échéant) : 10 ans, conformément à l'article L. 123-22 du Code de commerce.

À l'issue de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

Conformément au RGPD et à la loi française « Informatique et Libertés », vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès : obtenir confirmation que vos données sont traitées et en recevoir copie (art. 15).
• Droit de rectification : corriger des données inexactes ou incomplètes (art. 16).
• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données dans les conditions prévues (art. 17).
• Droit à la limitation du traitement (art. 18).
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine (art. 20).
• Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime (art. 21).
• Droit de retirer votre consentement à tout moment, pour les traitements qui en dépendent (art. 7.3).
• Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 de la loi Informatique et Libertés).

Pour exercer ces droits, adressez votre demande à hello@curatocollective.com en précisant l'objet de votre demande. Une réponse vous sera apportée dans un délai d'un mois, pouvant être prolongé de deux mois en cas de complexité, conformément à l'article 12 du RGPD.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, www.cnil.fr.

Curato met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre toute destruction, perte, altération, divulgation ou accès non autorisés.

• Chiffrement des communications via HTTPS (TLS).
• Mots de passe stockés sous forme hachée par notre prestataire d'authentification (jamais en clair).
• Contrôle d'accès à la base de données par règles de sécurité au niveau ligne (Row Level Security).
• Accès administratif restreint aux seules personnes habilitées au sein de l'équipe Curato.
• Sélection rigoureuse des sous-traitants et conclusion de contrats de traitement.

Aucun système n'est infaillible. En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Curato notifiera la CNIL dans un délai de 72 heures et, le cas échéant, les personnes concernées, conformément aux articles 33 et 34 du RGPD.

Le site curatocollective.com n'utilise pas de cookies à des fins de mesure d'audience, de publicité ou de profilage. Seuls les éléments suivants sont déposés :

• Cookies de session (strictement nécessaires) : déposés par notre prestataire d'authentification Supabase pour vous maintenir connecté. Leur dépôt ne requiert pas votre consentement préalable (art. 82 de la loi Informatique et Libertés).
• Stockage local (localStorage) : utilisé pour mémoriser votre préférence de langue (FR / EN / ES). Aucune donnée personnelle n'y est inscrite.

Si Curato venait à intégrer ultérieurement des outils de mesure d'audience ou de tracking, un bandeau de consentement conforme aux recommandations de la CNIL serait mis en place et la présente politique mise à jour.

Le service Curato est strictement réservé aux personnes majeures (18 ans révolus). La création d'un compte ou la soumission d'une candidature suppose que vous attestez avoir atteint cet âge.

Si nous apprenions qu'un compte appartient à une personne mineure, ce compte serait clôturé et les données associées supprimées dans les meilleurs délais.

Certains de nos sous-traitants (Vercel, Resend, Phyllo) sont établis aux États-Unis. Les transferts de données hors UE sont encadrés par les garanties prévues par le RGPD :

• Adhésion au cadre Data Privacy Framework (DPF) lorsque le prestataire y est certifié, ou
• Conclusion des clauses contractuelles types adoptées par la Commission européenne (décision 2021/914).

Une copie des garanties applicables peut être obtenue sur demande à l'adresse indiquée à la section 2.

Curato peut modifier la présente politique pour refléter une évolution du service, des sous-traitants ou de la réglementation applicable. La date de dernière mise à jour figure en haut du document.

En cas de modification substantielle (nouvelle finalité, nouveau sous-traitant impactant vos droits), vous serez informé par email ou par un message visible lors de votre prochaine connexion.

La présente politique est régie par le droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence des tribunaux du ressort de la Cour d'appel de Paris, sous réserve des règles impératives de protection des consommateurs.

En cas de divergence entre la version française et toute traduction (anglais, espagnol), la version française fait foi.