Politique de Confidentialité

Notre Délégué à la Protection des Données peut être contacté à : • Email : dpo@retreatandbe.com • Adresse postale : DPO - Retreat And Be SAS, 123 Rue du Bien-être, 75001 Paris • Formulaire en ligne : www.retreatandbe.com/gdpr/contact • Téléphone : +33 1 23 45 67 89

• Nom, prénom, pseudonyme • Adresse email • Numéro de téléphone • Photographie de profil • Date de naissance • Adresse postale (pour les livraisons) • Identifiants de connexion (nom d'utilisateur, mot de passe crypté)

⚠️ DONNÉES SENSIBLES (Article 9 RGPD) Avec votre consentement explicite, nous pouvons collecter : • Préférences alimentaires et restrictions (allergies, régimes) • Niveau de forme physique déclaré • Objectifs de bien-être personnels • Informations de santé partagées volontairement pour personnaliser les retraites Ces données sont traitées uniquement sur la base de votre consentement explicite et sont soumises à des mesures de sécurité renforcées. Vous pouvez retirer ce consentement à tout moment.

• Informations de paiement (traitées par notre prestataire Stripe) • Historique des achats et abonnements • Factures et justificatifs de paiement • Informations d'affiliation et de parrainage Note : Nous ne stockons jamais vos numéros de carte bancaire complets. Ces données sont traitées exclusivement par Stripe (certifié PCI-DSS).

• Adresse IP et données de géolocalisation approximative • Type d'appareil, navigateur et système d'exploitation • Pages visitées et temps passé sur la Plateforme • Cours suivis et progression • Interactions avec le contenu (likes, commentaires, partages) • Préférences de langue et paramètres

• Messages échangés via la messagerie de la Plateforme • Demandes de support et réclamations • Avis et commentaires laissés • Participation aux sondages et enquêtes

• Création et gestion de votre compte utilisateur • Fourniture des services de la Plateforme (cours, retraites, marketplace) • Traitement de vos commandes et paiements • Service client et assistance technique • Gestion de votre abonnement

• Traitement des données sensibles (santé/bien-être) • Communications marketing et newsletters • Cookies non essentiels (analytics, publicité) • Personnalisation avancée du contenu • Profilage à des fins commerciales Vous pouvez retirer votre consentement à tout moment via vos paramètres de compte ou en nous contactant.

• Amélioration de nos services et de l'expérience utilisateur • Prévention de la fraude et sécurité de la Plateforme • Statistiques agrégées et anonymisées • Exercice et défense de nos droits légaux Notre intérêt légitime ne prévaut pas sur vos droits fondamentaux. Vous pouvez vous opposer à ces traitements (voir Section 7).

• Conservation des données de facturation (10 ans - Code de commerce) • Réponse aux réquisitions des autorités • Obligations fiscales et comptables • Lutte contre le blanchiment d'argent

| Catégorie de données | Durée de conservation | |---------------------|----------------------| | Données de compte actif | Durée de la relation contractuelle | | Données de compte inactif | 3 ans après dernière activité | | Données de facturation | 10 ans (obligation légale) | | Données de navigation (logs) | 13 mois maximum | | Cookies analytics | 13 mois maximum | | Messages de support | 3 ans après clôture du ticket | | Données sensibles (santé) | Durée du consentement + 1 an | | Données de paiement (Stripe) | Selon politique Stripe | À l'expiration de ces délais, vos données sont supprimées ou anonymisées de manière irréversible.

Nos sous-traitants agissent uniquement sur nos instructions et sont liés par des accords de traitement de données (DPA) conformes à l'article 28 du RGPD : • **Stripe** (Irlande/USA) - Paiements - Clauses contractuelles types (SCC) • **Amazon Web Services** (Irlande) - Hébergement cloud • **SendGrid/Twilio** (USA) - Emails transactionnels - SCC • **CookieYes** (UE) - Gestion du consentement cookies • **Google Analytics** (USA) - Analytics - SCC + configuration privacy-first Liste complète disponible sur demande auprès du DPO.

Certains de nos sous-traitants sont situés hors de l'Espace Économique Européen. Ces transferts sont encadrés par : • Clauses Contractuelles Types (SCC) approuvées par la Commission européenne • Décisions d'adéquation (le cas échéant) • Mesures techniques supplémentaires (chiffrement, pseudonymisation) Vous pouvez obtenir une copie des garanties appropriées en contactant notre DPO.

Nous pouvons divulguer vos données si requis par : • Décision de justice ou réquisition administrative • Protection de nos droits légaux • Prévention d'une fraude ou d'un préjudice imminent • Sécurité nationale ou ordre public

• Chiffrement TLS 1.3 pour toutes les transmissions • Chiffrement AES-256 pour les données au repos • Authentification multi-facteurs (MFA) disponible • Hachage sécurisé des mots de passe (bcrypt) • Pare-feu applicatif (WAF) et protection DDoS • Tests de pénétration réguliers • Journalisation et monitoring des accès

• Accès aux données limité au strict nécessaire (principe du moindre privilège) • Formation régulière du personnel à la protection des données • Politique de sécurité de l'information documentée • Procédure de gestion des incidents de sécurité • Évaluation régulière des sous-traitants

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés : • Nous notifierons la CNIL dans les 72 heures • Nous vous informerons dans les meilleurs délais si le risque est élevé • Nous documenterons l'incident et les mesures correctives Pour signaler une faille de sécurité : security@retreatandbe.com

Vous pouvez obtenir la confirmation que vos données sont traitées et accéder à une copie de celles-ci, ainsi qu'aux informations sur leur traitement.

Vous pouvez faire corriger toute donnée inexacte ou compléter des données incomplètes.

Vous pouvez demander la suppression de vos données dans certains cas (retrait du consentement, données non nécessaires, opposition, traitement illicite).

Vous pouvez demander la limitation du traitement de vos données dans certaines circonstances.

Vous pouvez recevoir vos données dans un format structuré et les transmettre à un autre responsable de traitement.

Vous pouvez vous opposer au traitement de vos données, notamment à des fins de marketing direct ou de profilage.

Vous pouvez ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques.

Pour exercer vos droits : • **En ligne** : Espace Mon Compte > Confidentialité > Mes Droits RGPD • **Email** : dpo@retreatandbe.com • **Courrier** : DPO - Retreat And Be SAS, 123 Rue du Bien-être, 75001 Paris Nous répondrons dans un délai d'un mois (prolongeable de deux mois en cas de complexité). En cas de non-satisfaction, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07