Costuméo

Informations légales

Politique de confidentialité

Dernière mise à jour : 4 juin 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est :

NOVACO
Entrepreneur individuel
19 rue de la petite Maine, 85250 La Rabatelière
SIRET : 949 831 846
Email : contact@costumeo.fr

NOVACO n'a pas désigné de Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD, cette désignation n'étant pas obligatoire au regard de la nature et du volume des traitements. Pour toute question relative à vos données personnelles, vous pouvez contacter : contact@costumeo.fr.

2. Données collectées

Costuméo est une plateforme de mise en relation pour la location de costumes, décors, matériel et accessoires entre associations et structures équivalentes. Nous sommes susceptibles de collecter les catégories de données suivantes :

  • Compte Organisation et Représentants : dénomination de la structure, adresse (siège ou lieu d'activité), numéro SIREN, RNA ou autres identifiants si vous les renseignez ; coordonnées des personnes habilitées (nom, prénom, email, fonction éventuelle) ; mot de passe (stocké sous forme dérivée / hashée).
  • Catalogue et annonces : textes, images, tarifs, disponibilités et toute information publiée pour décrire les articles proposés (costumes, décors, matériel, accessoires) ou les conditions de mise à disposition.
  • Demandes de location et messagerie : noms, emails, dates, références aux articles, messages échangés dans le cadre du service.
  • Formulaire de contact : nom, prénom, email, sujet et message.
  • Abonnement payant : identifiant client Stripe, historique et statut d'abonnement (les données bancaires sont traitées exclusivement par Stripe — voir section 5).
  • Données techniques : journaux (adresse IP, type de navigateur, horodatage, pages consultées) pour la sécurité, la maintenance et la preuve en cas d'incident.
  • Mesure d'audience : données anonymisées collectées par Umami (voir section 7).
  • Publicité en ligne (Google Ads) : identifiants de campagne, pages consultées, interactions avec le site (clics, parcours), données techniques (navigateur, appareil) transmises à Google dans le cadre du suivi des campagnes publicitaires (voir sections 5, 6 et 7).

3. Finalités et bases légales

Les données sont traitées pour :

  • Création et gestion des comptes, authentification et administration de la plateforme (exécution du contrat / mesures précontractuelles).
  • Mise en relation entre Organisations pour la location de costumes, décors, matériel et accessoires, affichage du catalogue et suivi des demandes (exécution du contrat).
  • Gestion des abonnements, encaissements et facturation (exécution du contrat ; obligations comptables et fiscales le cas échéant).
  • Réponse aux messages envoyés via le site (intérêt légitime ou exécution de mesures précontractuelles / consentement selon le canal).
  • Sécurité du service, lutte contre la fraude et respect de nos obligations légales (intérêt légitime et obligation légale).
  • Mesure d'audience anonymisée via Umami (intérêt légitime — aucune donnée personnelle identifiante n'est collectée).
  • Mesure de l'efficacité des campagnes publicitaires Google Ads et attribution des conversions (consentement, lorsque requis pour les traceurs publicitaires — voir section 7).

Lorsque la base légale est le consentement, vous pouvez le retirer à tout moment sans remettre en cause la licéité du traitement antérieur.

4. Durée de conservation

Les durées de conservation sont les suivantes :

  • Données de compte (identité, email, mot de passe hashé) : conservées pendant toute la durée de vie du compte, puis supprimées dans un délai de 30 jours après la demande de suppression du compte, sauf obligation légale contraire.
  • Données de facturation et d'abonnement : conservées pendant la durée du contrat, puis archivées pendant 10 ans conformément aux obligations comptables et fiscales (art. L. 123-22 du Code de commerce).
  • Messages et demandes de location : conservés pendant la durée de vie du compte, puis supprimés avec celui-ci.
  • Formulaire de contact : conservés le temps nécessaire au traitement de la demande, puis 12 mois maximum.
  • Journaux techniques (logs, adresses IP) : conservés 12 mois maximum.
  • Données de mesure d'audience (Umami) : anonymisées dès la collecte, conservées sans limite (aucune donnée personnelle identifiante).
  • Données liées à Google Ads : durées définies par Google (voir la politique de confidentialité Google). En pratique, les cookies publicitaires ont une durée limitée (souvent 90 jours pour la conversion, variable selon le traceur).

5. Destinataires et sous-traitants

Les données sont accessibles aux personnes autorisées au sein de Costuméo et, selon les besoins du service, aux sous-traitants suivants, liés par des clauses de confidentialité et de protection des données conformes au RGPD :

  • Hostinger International Ltd. (Chypre / Lituanie) — hébergement du site et de l'application.
  • Supabase, Inc. (États-Unis, région UE) — stockage des images et fichiers téléversés. Données hébergées dans la région UE (Francfort).
  • Stripe, Inc. / Stripe Payments Europe, Ltd. (États-Unis / Irlande) — traitement des paiements et gestion des abonnements. Les données bancaires sont traitées exclusivement par Stripe et ne transitent pas par nos serveurs.
  • Resend, Inc. (États-Unis) — envoi d'emails transactionnels (confirmation de compte, notifications de location, etc.).
  • Google Ireland Limited / Google LLC (Irlande / États-Unis) — balise Google Ads (gtag.js) pour mesurer les performances des campagnes publicitaires et, le cas échéant, les conversions sur le site.

Les informations que vous publiez sur la plateforme (fiches catalogue, messages visibles par d'autres utilisateurs) sont communiquées aux utilisateurs concernés dans le cadre du service ; veillez à ne pas y inclure de données personnelles inutiles ou sensibles.

6. Transferts hors UE

Certains sous-traitants sont établis aux États-Unis. Les transferts de données hors de l'Union européenne sont encadrés par :

  • Stripe : Stripe Payments Europe, Ltd. (Irlande) agit comme responsable conjoint pour les paiements en Europe. Les transferts vers Stripe, Inc. (US) sont couverts par le EU-US Data Privacy Framework (DPF) et les clauses contractuelles types (CCT) de la Commission européenne.
  • Supabase : les données sont hébergées dans la région UE (Francfort). En cas de transfert vers les États-Unis pour le support technique, les CCT de la Commission européenne s'appliquent.
  • Resend : les transferts sont encadrés par les CCT de la Commission européenne et le Data Processing Agreement de Resend.
  • Google : Google Ireland Limited est le responsable de traitement pour les services publicitaires en Europe. Les données peuvent être transférées vers Google LLC (États-Unis) dans le cadre du EU-US Data Privacy Framework et/ou des clauses contractuelles types de la Commission européenne.

7. Cookies et mesure d'audience

Costuméo utilise les cookies et traceurs suivants :

  • Cookies strictement nécessaires : session d'authentification, jeton JWT, sécurité CSRF. Ces cookies sont indispensables au fonctionnement du service et ne nécessitent pas de consentement.
  • Umami (mesure d'audience) : Costuméo utilise Umami, un outil de mesure d'audience respectueux de la vie privée. Umami ne dépose aucun cookie, ne collecte aucune donnée personnelle identifiante et ne suit pas les utilisateurs d'un site à l'autre. Conformément aux recommandations de la CNIL, cet outil est considéré comme exempté de consentement.
  • Google Ads (balise gtag.js) : lorsque vous visitez Costuméo, une balise fournie par Google peut déposer des cookies ou traceurs (par exemple _gcl_au, _gcl_aw) et envoyer des données à Google (pages vues, provenance de la campagne, conversions) afin de mesurer l'efficacité de nos publicités. Ces traceurs relèvent des cookies publicitaires au sens de la CNIL et nécessitent votre consentement préalable ; un bandeau de gestion des cookies sera déployé pour recueillir ce choix. En attendant, vous pouvez refuser ou limiter ces traceurs via les liens ci-dessous ou les paramètres de votre navigateur.

Vous pouvez à tout moment gérer ou refuser la publicité personnalisée via les paramètres Google : adssettings.google.com, et effacer les cookies via les paramètres de votre navigateur.

Pour en savoir plus sur les traceurs utilisés par Google : politique cookies Google.

8. Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir la confirmation du traitement de vos données et en recevoir une copie.
  • Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation.
  • Droit à la limitation (art. 18) : restreindre le traitement dans certains cas.
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
  • Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime.

Pour exercer ces droits, contactez-nous à : contact@costumeo.fr. Nous répondrons dans un délai d'un mois (prolongeable de deux mois en cas de demande complexe, conformément à l'art. 12 du RGPD).

Vous avez également le droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr.

Lorsque des données sont traitées pour le compte d'une Organisation, les demandes peuvent devoir être effectuées par un représentant habilité ou coordonnées avec celle-ci, conformément au droit applicable et à l'organisation interne du compte.

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées (contrôle des accès, protection des mots de passe par hashage, chiffrement en transit via HTTPS, sauvegardes, limitation des tentatives de connexion, etc.) pour protéger les données contre l'accès non autorisé, la perte ou l'altération.

10. Contact

Pour toute question sur cette politique ou sur vos données : contact@costumeo.fr. Voir aussi nos Mentions légales et notre page Contact.

Version du document : 4 juin 2026