Politique de confidentialité.
Dernière mise à jour : 10 juillet 2026 · version 1.0
01Qui sommes-nous ?
Le service ROSTER (roster.ag et app.roster.ag) est édité par NYWAL, SAS au capital de 100 €, RCS Nanterre 990 053 654, 6 Square de l’Hippodrome, 92210 Saint-Cloud, France. Pour toute question relative aux données personnelles : [email protected].
La présente politique décrit les traitements de données personnelles réalisés dans le cadre du site vitrine et du service, ainsi que vos droits.
02Deux rôles distincts : responsable et sous-traitant
NYWAL est responsable du traitement pour les données qu’elle décide de traiter pour son propre compte : comptes utilisateurs, relation client et facturation, prospection (liste d’attente), support, sécurité et journaux techniques du service.
NYWAL est sous-traitant (article 28 RGPD) pour les données que chaque organisation cliente (agence ou artiste indépendant) importe et gère dans son espace : fiches artistes, contacts d’organisateurs et de producteurs, dates, contrats, factures, données financières et logistiques, documents. Pour ces données, le client est responsable du traitement : les personnes concernées sont invitées à exercer leurs droits d’abord auprès de l’organisation concernée ; nous relayons sans délai toute demande reçue directement.
03Données traitées en tant que responsable, finalités et bases légales
Aucune donnée n’est vendue. Aucune publicité ciblée ni profilage publicitaire n’est réalisé. Aucune décision produisant des effets juridiques n’est prise de manière exclusivement automatisée.
- Compte et authentification — identité (nom, prénom), email, mot de passe (haché), préférences (langue, thème), appareils et sessions, journaux de connexion (adresse IP, horodatage, agent utilisateur). Finalités : fourniture du service, sécurité des comptes, prévention de la fraude. Bases légales : exécution du contrat ; intérêt légitime (sécurité).
- Facturation et abonnement — identité de facturation, historique d’abonnement et de paiement (via Stripe ; nous ne stockons pas les numéros complets de carte). Finalités : facturation, comptabilité, obligations légales. Bases : exécution du contrat ; obligation légale.
- Liste d’attente et contact — email, rôle déclaré, langue, échanges de support. Finalités : information sur l’ouverture du service, réponse aux demandes. Bases : consentement (liste d’attente) ; intérêt légitime ou mesures précontractuelles (support).
- Journaux techniques — événements applicatifs et de sécurité. Finalité : continuité et sécurité du service. Base : intérêt légitime.
04Durées de conservation
- Données de compte : durée du contrat, puis suppression ou anonymisation dans les 30 jours suivant la fin effective du contrat (voir Conditions générales), hors obligations légales.
- Pièces comptables et factures : 10 ans (code de commerce).
- Journaux de connexion et de sécurité : 12 mois maximum.
- Liste d’attente : jusqu’au retrait du consentement ou 3 ans après le dernier contact.
- Sauvegardes chiffrées : cycle de rotation court ; les données supprimées disparaissent des sauvegardes à l’issue du cycle.
05Sous-traitants ultérieurs et destinataires
Nous faisons appel aux prestataires suivants, dans la limite des finalités indiquées. Cette liste est tenue à jour sur cette page ; tout ajout ou remplacement est annoncé au moins 30 jours à l’avance aux clients.
06Localisation et transferts hors UE
Les données applicatives sont hébergées en France (Union européenne). Certains prestataires (Cloudflare, Stripe, ScrapeCreators) peuvent impliquer des transferts vers des pays tiers, notamment les États-Unis ; ces transferts sont encadrés par une décision d’adéquation (EU-US Data Privacy Framework pour les entités certifiées) et/ou par les clauses contractuelles types de la Commission européenne, complétées le cas échéant de mesures additionnelles.
07Sécurité
Mesures principales mises en œuvre : isolation stricte des données par organisation appliquée jusqu’à la base de données (row-level security forcée) ; chiffrement TLS de toutes les connexions ; chiffrement au repos des secrets sensibles (IBAN, jetons d’intégration) avec clé dédiée et versionnée ; sauvegardes automatiques chiffrées conservées en UE ; authentification à deux facteurs et passkeys ; verrouillage d’application par code ; sessions révocables et historique de connexion ; journalisation en ajout seul des actions sensibles ; accès de production restreints selon le moindre privilège ; tests d’isolation automatisés bloquants à chaque mise en production.
Toute violation de données susceptible d’engendrer un risque est notifiée à la CNIL dans les 72 heures et aux clients concernés dans les meilleurs délais.
08Vos droits
Vous disposez des droits d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition, ainsi que du droit de définir des directives post-mortem. Pour les exercer : [email protected]. Nous répondons dans un délai d’un mois (prolongeable de deux mois pour les demandes complexes). Vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr).
Rappel : pour les données gérées par une organisation cliente dans son espace ROSTER (par exemple votre fiche dans le carnet d’une agence), adressez-vous d’abord à cette organisation, responsable du traitement.
Les clients disposent en outre, en libre-service dans l’application, de l’export complet de leurs données et de sauvegardes restaurables.
10Public concerné
Le service s’adresse exclusivement à des professionnels. Il n’est pas destiné aux mineurs de moins de 15 ans, et nous ne collectons pas sciemment de données les concernant.
11Évolution de la présente politique
La présente politique peut être mise à jour, notamment en cas d’évolution du service ou de la réglementation ; la date en tête de page fait foi. Les modifications substantielles sont notifiées aux clients. En cas de divergence entre versions linguistiques, la version française prévaut.