Politique de confidentialité

La présente politique décrit la manière dont SASU KARUMAZING collecte, utilise et protège les données personnelles des utilisateurs et clients du site karumazing.com, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

1. Responsable du traitement et point de contact

Le responsable du traitement des données personnelles collectées sur le site karumazing.com est SASU KARUMAZING (SIRET 990 014 052 00015), dont le siège social est situé au Guadeloupe Pôle Caraïbes, Zone Sud, Morne Mamiel Providence, 97139 Les Abymes.

Point de contact RGPD— Karumazing n'est pas soumise à l'obligation de désigner un Délégué à la protection des données (DPO) au sens de l'article 37 du RGPD. Pour toute question relative à vos données personnelles ou pour exercer vos droits, vous pouvez écrire à : contact@karumazing.com.

2. Données collectées, finalités et bases légales

Karumazing collecte uniquement les données strictement nécessaires aux finalités suivantes, dans le respect du principe de minimisation (RGPD article 5-1-c) :

• Réservation en ligne : nom, prénom, adresse email, numéro de téléphone, date souhaitée, nombre de voyageurs, langue préférée. Base légale : exécution du contrat (RGPD art. 6-1-b).
• Paiement : géré intégralement par Stripe. Karumazing ne stocke aucune donnée bancaire(n° de carte, cryptogramme, date d'expiration). Base légale : exécution du contrat (RGPD art. 6-1-b).
• Formulaire de contact : nom, email, sujet, message. Base légale : intérêt légitime — répondre à la demande (RGPD art. 6-1-f).
• Emails transactionnels (confirmation, rappel J-1, message de bienvenue après la course) : email, prénom, données de la réservation. Base légale : exécution du contrat (RGPD art. 6-1-b).
• Obligations comptables et fiscales : conservation des justificatifs de transaction. Base légale : obligation légale (RGPD art. 6-1-c), notamment article L.123-22 du Code de commerce.
• Statistiques de fréquentation anonymes :pages consultées, pays d'origine, type d'appareil. Aucun identifiant personnel n'est exploité. Base légale : intérêt légitime — amélioration du service (RGPD art. 6-1-f).

Marketing et prospection :Karumazing n'envoie actuellement aucun email marketing ni newsletter. Si cette pratique venait à être mise en place à l'avenir, elle serait soumise au recueil préalable du consentement explicite du Client (RGPD art. 6-1-a), avec possibilité de retrait à tout moment.

3. Destinataires et sous-traitants

Vos données sont uniquement accessibles aux personnels autorisés de Karumazing et aux sous-traitants suivants, sélectionnés pour leurs garanties contractuelles de sécurité et de conformité au RGPD (article 28) :

• Stripe Payments Europe Ltd (Irlande, UE) — traitement des paiements. Aucun numéro de carte ne nous est communiqué. Stripe est par ailleurs adhérent au EU-US Data Privacy Framework pour ses traitements depuis les États-Unis. Politique Stripe.
• Supabase Inc. — hébergement de la base de réservations sur des serveurs localisés à Paris (région eu-west-3, Union européenne). Politique Supabase.
• Resend Inc. (États-Unis) — envoi des emails transactionnels. Adhérent au EU-US Data Privacy Framework. Politique Resend.
• Vercel Inc. (États-Unis) — hébergement et distribution du site. Adhérent au EU-US Data Privacy Framework. Politique Vercel.
• Mapbox Inc.(États-Unis) — affichage des cartes interactives des circuits. Aucune donnée de réservation n'est transmise. Seule l'adresse IP est traitée à des fins de délivrance technique de la carte.
• SAMARYL 21(Guadeloupe, France) — société sous-traitante de transport. Reçoit le strict minimum des informations nécessaires à l'opération du service le jour J (prénom, nombre de passagers).

Aucune donnée n'est vendue à des tiers à des fins publicitaires ou marketing.

4. Transferts hors Union européenne

Certains sous-traitants (Resend, Vercel, Mapbox, ainsi que Stripe sur une partie de ses opérations) peuvent traiter les données aux États-Unis. Ces transferts sont encadrés par les mécanismes prévus par les chapitres V du RGPD :

• Décision d'adéquation du 10 juillet 2023 de la Commission européenne au titre du EU-US Data Privacy Framework pour les sous-traitants américains adhérents (Stripe, Vercel, Resend) ;
• Clauses contractuelles types approuvées par la Commission européenne (décision 2021/914) pour les transferts non couverts par le DPF (notamment Mapbox).

5. Durées de conservation

• Données de réservation et facturation :10 ans à compter de la prestation, conformément à l'obligation comptable et fiscale (article L.123-22 du Code de commerce).
• Emails entrants via le formulaire de contact : 3 ans à compter du dernier échange.
• Inscriptions à la liste d'attente Blue Tour : jusqu'au lancement du circuit, puis 1 an maximum après.
• Statistiques de fréquentation anonymes : 13 mois maximum (durée recommandée par la CNIL).
• Cookies strictement nécessaires : durée de la session utilisateur.

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accèset d'obtention d'une copie des données vous concernant ;
• Droit de rectificationen cas d'inexactitude ou de données incomplètes ;
• Droit à l'effacement(« droit à l'oubli ») dans les conditions prévues par la loi ;
• Droit à la limitation du traitement ;
• Droit à la portabilité de vos données vers un tiers, dans un format structuré et lisible par machine ;
• Droit d'opposition, notamment pour les traitements fondés sur l'intérêt légitime ;
• Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi Informatique et Libertés) ;
• Droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur cette base légale.

Pour exercer ces droits, écrivez à contact@karumazing.comen joignant si nécessaire un justificatif d'identité (en cas de doute raisonnable sur votre identité, RGPD art. 12-6). Réponse sous un mois maximum, prolongeable de deux mois en cas de demande complexe ou nombreuse.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL :

• En ligne : cnil.fr/plaintes
• Par courrier : CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Par téléphone : +33 1 53 73 22 22

7. Cookies et traceurs

Le site karumazing.com utilise un nombre limité de cookies et traceurs, conformément à la délibération n° 2020-091 de la CNIL :

Aucun cookie publicitaire, aucun cookie de tracking cross-site et aucun cookie tiers à finalité marketing n'est déposé. En conséquence, conformément à la recommandation CNIL, aucun bandeau de consentement aux cookies n'est requis ni affiché.

8. Mineurs

Le site et le service Karumazing ne sont pas destinés aux personnes de moins de 16 ans. Conformément à l'article 8 du RGPD et à l'article 45 de la loi Informatique et Libertés (qui fixe l'âge du consentement numérique à 15 ans en France), Karumazing ne collecte pas sciemment de données personnelles d'enfants âgés de moins de 15 ans. Toute réservation impliquant des enfants est effectuée par un adulte responsable agissant en qualité de représentant légal.

Si vous avez connaissance qu'un mineur de moins de 15 ans nous a transmis ses données personnelles sans accord parental, merci de nous écrire à contact@karumazing.com — les données seront supprimées sans délai.

9. Mesures de sécurité

Karumazing met en œuvre les mesures techniques et organisationnelles appropriées au regard de l'article 32 du RGPD :

• Chiffrement en transit de toutes les communications (HTTPS / TLS 1.3) ;
• Chiffrement au repos par les sous-traitants pour la base de données (Supabase) et les emails (Resend) ;
• Authentification forte(MFA) sur tous les comptes d'administration Karumazing et accès aux sous-traitants critiques ;
• Accès restreint à la base de données par clé de service uniquement, jamais exposée côté client ;
• Sauvegardes automatiques quotidiennes de la base réservations (rétention 7 jours minimum) ;
• Cloisonnement des environnements (production isolée du développement) ;
• Sélection de sous-traitants conformes RGPD (article 28) avec contrats de sous-traitance (DPA).

10. Violations de données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, Karumazing s'engage à :

• notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation ;
• vous informer dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés.

11. Registre des traitements

Karumazing tient à jour un registre des activités de traitement conformément à l'article 30 du RGPD. Ce registre peut être communiqué à la CNIL ou à toute personne concernée sur demande motivée à contact@karumazing.com.

12. Décisions automatisées

Karumazing ne prend aucune décision produisant des effets juridiquesà votre égard sur la seule base d'un traitement automatisé, y compris le profilage (RGPD article 22).

13. Source des données

L'intégralité des données personnelles traitées par Karumazing provient directement de la personne concernée, via les formulaires de réservation, de contact et d'inscription à la liste d'attente. Aucune donnée n'est acquise auprès de tiers ou de courtiers en données.

14. Évolutions de la présente politique

Cette politique peut être mise à jour à tout moment pour refléter les évolutions législatives, réglementaires ou des pratiques de Karumazing. La date de dernière mise à jour figure en haut du document. Toute modification substantielle sera signalée aux Clients disposant d'une réservation en cours par email.