Notice relative à la protection des données personnelles
Dernière mise à jour : avril 2026
1. Responsable du traitement
Le responsable du traitement de vos données personnelles est Hanna Consulting S.À R.L.-S, exploitant l'enseigne commerciale Framed, immatriculée au Registre de Commerce et des Sociétés du Luxembourg sous le numéro B283248, dont le siège social est situé au 177 rue du Luxembourg, L-8077 Bertrange, Luxembourg.
Pour toute question relative à la présente notice, contactez-nous à : contact@framed.lu ou par téléphone au +352 661 853 231.
2. Données collectées
Selon le traitement concerné, nous collectons les catégories de données suivantes :
- •Données d'identification et de contact — nom, adresse e-mail, numéro de téléphone. Collectées lors de la demande de réservation.
- •Données relatives à l'événement — date, adresse du lieu, horaires et informations pratiques nécessaires à l'exécution de la prestation.
- •Données professionnelles — raison sociale, numéro de TVA, nom du contact. Uniquement pour les réservations entreprise.
- •Données visuelles — photos prises lors de la prestation, remises au Client et supprimées dans un délai de 3 semaines.
- •Données techniques de sécurité — adresse IP sous forme de condensat SHA-256 (non réversible), utilisée exclusivement pour la prévention des abus, conservée 1 heure maximum.
3. Finalités et bases légales du traitement
Chaque traitement de données est fondé sur une base légale précise au sens du RGPD :
| Finalité | Base légale |
|---|---|
| Traitement de votre demande, établissement du devis, communication précontractuelle | Art. 6(1)(b) RGPD — mesures précontractuelles à votre demande |
| Gestion de la prestation (livraison, installation, assistance de l'event manager) | Art. 6(1)(b) RGPD — exécution du contrat |
| Facturation et archivage comptable | Art. 6(1)(c) RGPD — obligation légale (droit comptable luxembourgeois) |
| Recueil d'avis de satisfaction (Google Forms) | Art. 6(1)(f) RGPD — intérêt légitime (amélioration des services) |
| Prévention des abus et sécurité du site (rate limiting) | Art. 6(1)(f) RGPD — intérêt légitime (protection contre la fraude) |
Nous ne réalisons aucun profilage ni aucune prise de décision automatisée.
4. Relation contractuelle
Le contrat de prestation est formé lors de la confirmation de votre réservation par e-mail. Il est exécuté à la date de l'événement convenue. Aucun document contractuel séparé n'est requis : la demande de réservation, sa confirmation et l'exécution de la prestation constituent ensemble la relation contractuelle au sens de l'article 6(1)(b) du RGPD.
5. Durée de conservation
- •Données de réservation et de gestion de la prestation : conservées jusqu'à la fin de l'année civile au cours de laquelle la prestation a eu lieu, prorogée de 3 mois (soit au plus tard le 31 mars de l'année suivante), puis supprimées ou anonymisées.
- •Données de facturation et archives comptables : conservées pendant 10 ans conformément à la loi comptable luxembourgeoise du 19 décembre 2002.
- •Photos prises lors de la prestation : conservées 3 semaines maximum à compter de la date de l'événement, puis supprimées définitivement. Ce délai permet au Client de récupérer ses fichiers ; passé ce terme, aucune récupération n'est possible.
- •Réponses à l'enquête de satisfaction (Google Forms) : conservées 1 an à compter de la date de l'événement, puis supprimées. Vous pouvez exercer votre droit d'opposition à tout moment.
- •Adresse IP (condensat SHA-256, anti-abus) : conservée 1 heure maximum, puis supprimée automatiquement (fenêtre glissante Redis).
Au terme de ces délais, vos données sont définitivement supprimées ou rendues anonymes.
6. Sous-traitants et transferts internationaux
Vos données personnelles ne sont pas transmises à des tiers à des fins commerciales. Dans le cadre de l'exploitation du service, nous faisons appel aux sous-traitants techniques suivants, tous liés par un accord de traitement des données (DPA) :
| Prestataire | Pays | Garanties |
|---|---|---|
| Neon Inc. (base de données) | 🇩🇪 Allemagne (UE) | — |
| Vercel Inc. (hébergement) | 🇺🇸 États-Unis | SCC / DPF |
| Resend Inc. (emails) | 🇺🇸 États-Unis | SCC |
| Upstash Inc. (cache Redis) | 🇩🇪 Allemagne (UE) | — |
| GitHub Inc. / Microsoft (code) | 🇺🇸 États-Unis | SCC / DPF |
| Google LLC (Google Forms) | 🇺🇸 États-Unis | SCC / DPF |
| DSLRBooth (logiciel photobooth) | 🇺🇸 États-Unis | SCC |
Transferts hors Union européenne
Les prestataires établis aux États-Unis (Vercel, Resend, GitHub, Google, DSLRBooth) impliquent des transferts de données hors de l'Espace économique européen. Ces transferts sont encadrés par des clauses contractuelles types (SCC) approuvées par la Commission européenne et, le cas échéant, par l'adhésion au cadre EU-US Data Privacy Framework (DPF).
Sous-traitant ultérieur : Neon Inc. héberge ses données sur Amazon Web Services (AWS), région Europe (Frankfurt, Allemagne). AWS est lié à Neon par un DPA conforme au RGPD.
Les prestataires techniques strictement nécessaires à l'exploitation du photobooth sont liés par des obligations de confidentialité.
SCC = Clauses contractuelles types de la Commission européenne. DPF = EU-US Data Privacy Framework.
7. Vos droits
Conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679), vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l'effacement : demander la suppression de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime (art. 6(1)(f))
- Droit à la limitation : demander la suspension temporaire du traitement
Pour exercer ces droits, contactez-nous à contact@framed.lu. Nous nous engageons à répondre dans un délai d'un mois.
8. Cookies et mesure d'audience
Notre site utilise uniquement :
- Cookie de consentement RGPD (framed_consent) : mémorise votre choix pendant 13 mois. Fonctionnel uniquement — aucune donnée personnelle collectée.
- Cookie de session admin : uniquement pour l'authentification de notre équipe interne (httpOnly, non accessible via JavaScript, durée 8h).
Pour la mesure d'audience, nous utilisons Vercel Analytics, un outil sans cookie qui ne collecte aucune donnée personnelle identifiable. Il mesure uniquement des métriques agrégées et anonymisées (pages visitées, pays, type d'appareil). Aucun profil individuel n'est constitué.
Aucun cookie publicitaire, de traçage ou de réseaux sociaux tiers n'est utilisé.
9. Réclamation auprès de l'autorité de contrôle
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale pour la Protection des Données (CNPD) au Luxembourg : cnpd.public.lu.
10. Modifications
La présente notice peut être mise à jour à tout moment. La date de dernière modification est indiquée en haut de cette page. Nous vous encourageons à la consulter régulièrement.