Ultiplace - Plateforme de salons professionnels
Aller au contenu principal
🛡️

Politique de confidentialité

Information transparente et complète sur le traitement de vos données personnelles, conformément aux articles 12, 13 et 14 du RGPD.

Dernière mise à jour : 19 mai 2026

À propos de cette politique

La présente politique décrit la manière dont REALITIM EURL, éditrice du site Ultiplace (ci-après « nous », « Ultiplace »), collecte et traite vos données personnelles lorsque vous utilisez nos services (site web, salons virtuels, espaces exposants et organisateurs, API publique, communications par email).

Nous nous engageons à respecter strictement le Règlement Général sur la Protection des Données (RGPD, UE 2016/679) et la loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés).

Responsable de traitement

Le responsable de traitement est :

REALITIM EURL

34 rue Joncours, 44100 Nantes, France

RCS Nantes 838 763 902

Contact général : contact@ultiplace.com

Contact protection des données : dpo@realitim.com

Lorsque Ultiplace traite des données pour le compte d'un organisateur ou d'un exposant (par exemple visiteurs d'un salon), Ultiplace agit comme sous-traitant au sens de l'article 28 du RGPD. Dans ce cas, c'est l'organisateur ou l'exposant qui est responsable de traitement. Les modalités de cette relation sont précisées dans notre accord de traitement (DPA).

Données que nous collectons

Selon votre usage de la plateforme, nous pouvons collecter les catégories de données suivantes :

Identité et contact
  • Nom, prénom, email, ville
  • Photo de profil (facultative)
  • Téléphone (facultatif, sur carte de visite)
  • Adresse postale (facultative)
Données professionnelles
  • Entreprise / société, fonction, secteur
  • Bio professionnelle, expériences
  • Profil LinkedIn (si connexion OAuth utilisée)
Contenus publiés (UGC)
  • Fiches exposants, stands virtuels, descriptions
  • Posts, commentaires, recommandations, follows
  • Messages échangés en chat ou messagerie privée
  • Documents et médias téléversés
Données de facturation (pro)
  • Email, nom, adresse de facturation
  • Identifiant client Stripe
  • Derniers chiffres de carte (jamais le numéro complet)
  • Historique des paiements et factures
Données techniques et de navigation
  • Adresse IP, type de navigateur, système d'exploitation
  • Pages consultées, durée des sessions
  • Identifiants de session, jetons d'authentification
  • Géolocalisation approximative (si autorisée)
Données d'usage des salons
  • Salons visités, stands consultés, documents téléchargés
  • Conférences suivies, durée de visionnage
  • Cartes de visite échangées, contacts ajoutés
  • Interactions IA dans les chats stands (offre AI Pro)

Nous ne collectons jamais de données sensibles au sens de l'article 9 du RGPD (origine raciale, opinions politiques, religion, données de santé, orientation sexuelle…) sauf si vous choisissez de les publier volontairement dans un contenu public (par exemple un post). Nous vous déconseillons fortement de publier de telles informations.

Finalités et bases légales

Chaque traitement repose sur une base légale identifiée :

Fournir et gérer votre compte
Base légale : Exécution du contrat (art. 6.1.b RGPD)
Exemples : Inscription, authentification, accès aux espaces personnalisés, support
Permettre l'usage de la plateforme
Base légale : Exécution du contrat (art. 6.1.b RGPD)
Exemples : Création de salons et de stands, mise en relation, messagerie, conférences live
Traiter les abonnements et facturer
Base légale : Exécution du contrat + obligation légale (art. 6.1.b et 6.1.c RGPD)
Exemples : Paiement Stripe, génération de factures, conservation comptable (10 ans)
Envoyer des emails transactionnels
Base légale : Exécution du contrat (art. 6.1.b RGPD)
Exemples : Confirmations, rappels, alertes, factures, notifications de sécurité
Améliorer le service et mesurer l'audience
Base légale : Consentement (art. 6.1.a RGPD) — cookies analytiques
Exemples : Google Analytics, Vercel Analytics, Microsoft Clarity
Communiquer commercialement
Base légale : Intérêt légitime ou consentement selon le cas (art. 6.1.f / 6.1.a RGPD)
Exemples : Newsletter, contenus marketing (vous pouvez vous désinscrire à tout moment)
Modérer les contenus et assurer la sécurité
Base légale : Obligation légale + intérêt légitime (art. 6.1.c et 6.1.f RGPD)
Exemples : Lutte contre les abus, signalements, conformité DSA, prévention de la fraude
Assistant IA exposant (offre AI Pro, optionnelle)
Base légale : Exécution du contrat AI Pro (art. 6.1.b RGPD)
Exemples : Génération de réponses automatiques, FAQ, traitement du contenu via OpenAI

Destinataires et sous-traitants

Vos données sont accessibles à nos équipes habilitées (support, technique, commercial, modération) et peuvent être transmises à des sous-traitants techniques sélectionnés pour leur niveau de sécurité et leur conformité RGPD. La liste exhaustive est tenue à jour ci-dessous.

Liste mise à jour le 2026-05-19. En cas d'ajout, les clients professionnels sont notifiés au moins 30 jours avant la mise en production.

Hébergement & infrastructure

Vercel Inc.
📍 États-Unis (compute hébergé en UE — Paris cdg1)
Finalité : Hébergement du site web, exécution des API, logs techniques
Données : Adresses IP, journaux de requêtes, en-têtes HTTP
Conservation : 30 jours (logs)
Base légale : Exécution du contrat (article 6.1.b RGPD)
🌍 Encadré par DPF EU-USPolitique de confidentialité →DPA →
Google Firebase (Google Cloud)
📍 Irlande (UE) / États-Unis
Finalité : Base de données Firestore, stockage de fichiers, Cloud Functions, Realtime Database
Données : Toutes les données de compte, profils, contenus publiés, messages, médias
Conservation : Jusqu'à la suppression du compte
Base légale : Exécution du contrat (article 6.1.b RGPD)
🌍 Encadré par DPF EU-USPolitique de confidentialité →DPA →

Authentification

Google Firebase Authentication
📍 Irlande (UE) / États-Unis
Finalité : Création de comptes, authentification email/mot de passe, OAuth Google
Données : Email, identifiant chiffré du mot de passe, identifiants OAuth, jetons de session
Conservation : Jusqu'à la suppression du compte
Base légale : Exécution du contrat (article 6.1.b RGPD)
🌍 Encadré par DPF EU-USPolitique de confidentialité →
LinkedIn (Microsoft)
📍 Irlande (UE) / États-Unis
Finalité : Connexion via LinkedIn (OAuth), import optionnel des informations professionnelles
Données : Identifiant LinkedIn, nom, photo de profil, intitulé de poste (avec consentement)
Conservation : Jusqu'à dissociation ou suppression du compte
Base légale : Consentement (article 6.1.a RGPD)
🌍 Encadré par DPF EU-USPolitique de confidentialité →

Paiement & facturation

Stripe Payments Europe Ltd.
📍 Irlande (UE) — transferts encadrés vers Stripe Inc. (USA)
Finalité : Paiement des abonnements, facturation, calcul automatique de la TVA (Stripe Tax)
Données : Email, nom, adresse, identifiant client, montants, derniers chiffres de carte, factures
Conservation : 10 ans (obligation comptable)
Base légale : Exécution du contrat et obligation légale (article 6.1.b et 6.1.c RGPD)
🌍 Encadré par CCT (SCC)Politique de confidentialité →DPA →

Communication & emails

Twilio SendGrid
📍 Irlande (UE) / États-Unis
Finalité : Envoi des emails transactionnels (confirmation, notifications, factures, désinscription)
Données : Email, prénom, nom, contenu de l'email, statut d'ouverture / clic
Conservation : 30 jours (logs d'envoi)
Base légale : Exécution du contrat (article 6.1.b RGPD)
🌍 Encadré par DPF EU-USPolitique de confidentialité →

Recherche

Algolia SAS
📍 France
Finalité : Moteur de recherche unifié (salons, exposants, profils, contenus publics)
Données : Données publiques indexées (titres, descriptions, slugs, secteurs, villes)
Conservation : Tant que l'élément est publié
Base légale : Intérêt légitime (article 6.1.f RGPD) — visibilité publique
🌍 Traitement intégral UEPolitique de confidentialité →

Mesure d'audience

Vercel Analytics
📍 États-Unis
Finalité : Mesure d'audience anonyme, performances Web Vitals
Données : Pages visitées, durée de session, performances techniques (pas d'identifiant utilisateur)
Conservation : 30 jours
Base légale : Consentement (article 6.1.a RGPD)
🌍 Encadré par DPF EU-USPolitique de confidentialité →
Google Analytics 4
📍 Irlande (UE) / États-Unis
Finalité : Statistiques de fréquentation et comportement de navigation
Données : Pages visitées, source de trafic, identifiant pseudonyme GA
Conservation : 14 mois
Base légale : Consentement (article 6.1.a RGPD)
🌍 Encadré par DPF EU-USPolitique de confidentialité →
Microsoft Clarity
📍 Irlande (UE) / États-Unis
Finalité : Heatmaps et enregistrement de sessions anonymisées pour améliorer l'expérience
Données : Interactions souris/clavier, scroll, parcours de pages (pas d'identifiant direct)
Conservation : 13 mois
Base légale : Consentement (article 6.1.a RGPD)
🌍 Encadré par DPF EU-USPolitique de confidentialité →

Marketing & publicité

Google Ads
📍 Irlande (UE) / États-Unis
Finalité : Suivi des conversions publicitaires, remarketing
Données : Identifiant publicitaire, conversions, intérêts présumés
Conservation : 13 mois
Base légale : Consentement (article 6.1.a RGPD)
🌍 Encadré par DPF EU-USPolitique de confidentialité →
Meta Facebook Pixel
📍 Irlande (UE) / États-Unis
Finalité : Suivi des conversions et audiences personnalisées (Facebook / Instagram)
Données : Identifiant publicitaire, événements de conversion
Conservation : 13 mois
Base légale : Consentement (article 6.1.a RGPD)
🌍 Encadré par DPF EU-USPolitique de confidentialité →

Vidéo & streaming

Amazon Web Services (IVS, S3, CloudWatch, MediaConvert)
📍 Luxembourg (UE) — datacenters Paris eu-west-3
Finalité : Diffusion en direct des conférences, stockage des replays vidéo, logs et métriques
Données : Flux vidéo / audio des conférences, replays, métadonnées techniques
Conservation : Selon configuration de l'organisateur du salon
Base légale : Exécution du contrat (article 6.1.b RGPD)
🌍 Traitement intégral UEPolitique de confidentialité →DPA →
VideoSDK Live, Inc.
📍 États-Unis / Inde
Finalité : Visioconférence 1-à-1 dans les stands exposants (chat vidéo)
Données : Flux audio / vidéo en temps réel (non enregistrés par défaut), identifiant de session
Conservation : Pas de stockage par défaut (transit temps réel)
Base légale : Exécution du contrat (article 6.1.b RGPD)
🌍 Encadré par CCT (SCC)Politique de confidentialité →

Intelligence artificielle

OpenAI Ireland Ltd.
📍 Irlande (UE) — traitements pouvant être effectués aux États-Unis
Finalité : Assistant IA exposant (offre AI Pro) : génération de réponses, modération, embeddings, FAQ
Données : Contenu des messages échangés avec l'assistant, descriptions et documents fournis par l'exposant
Conservation : 30 jours (logs OpenAI) — les contenus ne sont pas utilisés pour entraîner les modèles (API standard)
Base légale : Exécution du contrat lorsque l'exposant souscrit l'offre AI Pro (article 6.1.b RGPD)
🌍 Encadré par CCT (SCC)Politique de confidentialité →DPA →

Monitoring & support

Sentry (Functional Software, Inc.)
📍 États-Unis
Finalité : Détection des erreurs techniques pour assurer la disponibilité du service
Données : Pile d'appel JavaScript, identifiant utilisateur (UID), URL, version du navigateur
Conservation : 90 jours
Base légale : Intérêt légitime (article 6.1.f RGPD) — sécurité et stabilité
🌍 Encadré par CCT (SCC)Politique de confidentialité →

Géolocalisation

Google Maps Platform (Places API)
📍 Irlande (UE) / États-Unis
Finalité : Auto-complétion d'adresses et de villes dans les formulaires
Données : Saisies de localisation, adresse IP
Conservation : Selon la politique Google
Base légale : Exécution du contrat (article 6.1.b RGPD)
🌍 Encadré par DPF EU-USPolitique de confidentialité →
Nominatim (OpenStreetMap Foundation)
📍 Allemagne (UE)
Finalité : Reverse geocoding (coordonnées GPS → ville) pour les profils visiteurs
Données : Coordonnées GPS approximatives, adresse IP de la requête serveur
Conservation : Selon la politique OSMF
Base légale : Consentement (article 6.1.a RGPD) — l'utilisateur autorise la géolocalisation
🌍 Traitement intégral UEPolitique de confidentialité →

En dehors de cette liste, vos données ne sont ni vendues, ni louées, ni communiquées à des tiers à des fins commerciales. Une transmission à une autorité publique n'a lieu que sur réquisition judiciaire ou obligation légale.

Transferts hors Union européenne

Lorsque vos données sont transférées vers un pays tiers (notamment les États-Unis pour certains sous-traitants), ces transferts sont strictement encadrés par l'un des mécanismes prévus par le chapitre V du RGPD.

Data Privacy Framework (DPF)
Pour les sous-traitants certifiés DPF (Google, Microsoft, Meta, Vercel…)
Clauses Contractuelles Types (CCT)
Pour les sous-traitants non certifiés DPF (Stripe Inc., OpenAI, Sentry…)

Le mécanisme appliqué à chaque sous-traitant est précisé dans la section 5 ci-dessus, sous forme d'étiquette colorée.

Durées de conservation

Nous appliquons les durées de conservation suivantes :

Compte utilisateur
Jusqu'à votre demande de suppression ou 3 ans d'inactivité totale.
3 ans max après inactivité
Données comptables et fiscales
Factures, justificatifs de paiement (obligation légale).
10 ans
Sessions de visite des salons
Sessions inactives purgées automatiquement.
7 jours
Historique de visite d'un salon
Pour les statistiques de l'organisateur.
30 jours
Logs d'envoi d'email
Statut de délivrabilité (SendGrid).
30 jours
Préférences de cookies
Cookie ultiplace_consent.
12 mois
Données analytiques (GA4, Clarity)
Pseudonymisées, à des fins de mesure d'audience.
13-14 mois
Logs d'erreurs techniques (Sentry)
Diagnostic et sécurité.
90 jours
Conversations IA (offre AI Pro)
Logs OpenAI conservés conformément à leur politique standard. Pas d'utilisation pour l'entraînement.
30 jours (OpenAI)

À l'issue de ces durées, les données sont supprimées ou anonymisées. Certaines données peuvent être archivées plus longtemps pour répondre à nos obligations légales ou prescriptions civiles (notamment 5 ans pour la preuve de l'exécution du contrat).

Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre la perte, l'altération ou l'accès non autorisé (article 32 RGPD) :

Chiffrement
HTTPS partout, TLS 1.2+, chiffrement au repos chez nos hébergeurs.
Authentification renforcée
Mots de passe stockés en hash, OAuth Google et LinkedIn, jetons de session signés.
Cloisonnement des accès
Règles de sécurité Firestore granulaires, accès admin limité et journalisé.
Monitoring continu
Détection des erreurs (Sentry), alertes en temps réel.
Sauvegardes
Sauvegardes automatiques quotidiennes effectuées par nos hébergeurs (Firebase, AWS).
Procédure en cas d'incident
En cas de violation susceptible d'engendrer un risque pour vos droits, notification à la CNIL sous 72 h et information des personnes concernées.

Traitements utilisant l'intelligence artificielle

Ultiplace utilise des modèles d'intelligence artificielle pour certaines fonctionnalités, principalement l'assistant IA exposant (offre AI Pro, optionnelle).

Lorsque vous échangez avec un exposant ayant activé l'offre AI Pro, tout ou partie de la conversation peut être transmise à OpenAI (sous-traitant de l'exposant) pour générer une réponse automatique.

Vous gardez le droit à tout moment de demander une intervention humaine (article 22 RGPD) en sollicitant l'équipe de l'exposant directement. Les conversations ne sont pas utilisées pour entraîner les modèles d'OpenAI (paramétrage API standard).

D'autres fonctionnalités IA peuvent être utilisées en interne pour enrichir l'annuaire (descriptions de salons générées) sans traitement de données personnelles d'utilisateurs identifiés.

Vos droits sur vos données

En tant que personne concernée, vous disposez des droits suivants :

Droit d'accès
Obtenir une copie de vos données (art. 15 RGPD)
Droit de rectification
Corriger des données inexactes (art. 16 RGPD)
Droit à l'effacement
Demander la suppression (art. 17 RGPD)
Droit à la limitation
Restreindre certains traitements (art. 18 RGPD)
Droit à la portabilité
Récupérer vos données dans un format réutilisable (art. 20 RGPD)
Droit d'opposition
Vous opposer à un traitement (art. 21 RGPD)
Décisions automatisées
Demander une intervention humaine (art. 22 RGPD)
Réclamation CNIL
Saisir l'autorité de contrôle (art. 77 RGPD)

Pour exercer vos droits, utilisez notre formulaire dédié (accès direct depuis votre espace personnel) ou écrivez à dpo@realitim.com.

Nous nous engageons à vous répondre dans un délai d'un mois à compter de la réception de votre demande, prolongeable de deux mois en cas de complexité.

Mineurs

Ultiplace est une plateforme à destination des professionnels et n'est pas conçue pour les mineurs de moins de 15 ans. Si vous constatez qu'un compte appartient à un mineur sans autorisation parentale, merci de nous contacter immédiatement à dpo@realitim.com afin que nous procédions à sa suppression.

Modifications de la présente politique

Nous pouvons faire évoluer cette politique pour refléter des changements techniques, légaux ou opérationnels. La date de dernière mise à jour est indiquée en haut de page. En cas de modification substantielle, nous vous en informerons par email ou par une notification visible sur le site avant l'entrée en vigueur. Vous pouvez à tout moment consulter l'historique des versions en nous écrivant.

Contact et réclamation

Une question sur vos données ?

Notre équipe vous répond rapidement.

Vous pouvez également introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris).