Privacy Policy

Last Updated: September 26, 2025

1. Introduction

La présente Politique de confidentialité décrit la manière dont NABOO GROUP et ses sociétés affiliées NABOO ESP, S.L. et NABOO CA Événements, Inc. (collectivement « Naboo », « nous », « nos/notre ») collectent, utilisent, protègent et partagent les données à caractère personnel liées à votre utilisation de notre plateforme accessible à l'adresse https://www.naboo.app (la « Plateforme ») et des services associés (les « Services »).

This policy applies to all personal data collected by Naboo in the context of providing its Services, whether through the Platform, by telephone, by email, or by any other means of communication.

Terms used in this policy, such as "Personal Data", "Processing", and "Controller", as well as references to legal bases (e.g., "Legitimate Interest", "Performance of Contract") shall be interpreted in accordance with the data protection laws applicable to your place of residence (including, but not limited to, the GDPR for Europe, the FADP for Switzerland, Law 25 for Quebec/Canada, the LFPDPPP for Mexico, or the CCPA/CPRA for California).

Please review our General Terms of Use for the definitions of capitalized terms. For more information regarding the use of cookies and similar technologies, please consult our Cookie Policy.

2. Data Controller Identification and Contact Details

2.1. NABOO GROUP as Data Controller

For all personal data that you provide to us directly or that we collect in the context of your use of the Platform, NABOO GROUP, a simplified joint-stock company registered with the Paris Trade and Companies Register under number 904 443 462, with its registered office located at 10 rue de Penthièvre, 75008 Paris, France, acts as the data controller within the meaning of the applicable data protection regulations, depending on your location.

In this capacity, we determine the purposes and means of the processing of your personal data, specifically for:

  • The management and execution of your reservation requests and the organization of your professional events;
  • The operation, maintenance, and continuous improvement of our Platform and Services;
  • Compliance with our legal, regulatory, and contractual obligations;
  • The management of our commercial relationship and the maintenance of our business records.

2.2. Service Providers as Separate Data Controllers

Dans le cadre de la fourniture des Services, nous sommes amenés à communiquer certaines de vos données à caractère personnel aux prestataires tiers qui réalisent les prestations que vous avez sélectionnées, notamment les établissements hôteliers, les lieux de séminaire, les sociétés de transport, les traiteurs et les prestataires d'activités (ci-après les « Prestataires »).

These Service Providers act as separate data controllers for the data they collect and process in the context of performing their own services. They autonomously determine the purposes and means of such processing, specifically for participant registration, compliance with security requirements, invoicing of their services, or managing their own client relationships.

Each controller is required to ensure their compliance with applicable provisions regarding personal data protection and to provide data subjects with transparent information about their own processing. We recommend that you review the privacy policies of the Service Providers selected for your reservation.

3. Categories of Personal Data Collected

3.1. Data Collected Automatically

When you navigate the Platform, we automatically collect:

  • Données de connexion et de navigation : adresse IP, type et version du navigateur, système d'exploitation, pages consultées, durée de consultation, actions effectuées, source du trafic, mots-clés de recherche utilisés ;
  • Données de localisation : localisation géographique approximative déduite de votre adresse IP ;
  • Données relatives aux terminaux : identifiants uniques d'appareil, caractéristiques techniques de votre terminal.

3.2. Data You Provide to Us Directly

In the context of using our Services, you provide us with the following data:

  • Données d'identification : civilité, nom, prénom, fonction, nom de votre employeur ;
  • Données de contact : adresse email professionnelle, numéro de téléphone professionnel ;
  • Données de connexion au compte : identifiant, mot de passe crypté ;
  • Données transactionnelles : historique des réservations, détails des événements organisés, préférences en matière d'organisation d'événements ;
  • Données de paiement : informations relatives aux moyens de paiement (traitées de manière sécurisée par notre prestataire de services de paiement certifié PCI-DSS) ;
  • Données de communication : contenu des échanges avec notre service client, notre équipe commerciale ou notre support technique ;
  • Données relatives aux participants : nombre de participants, besoins spécifiques en matière d'accessibilité ou de régimes alimentaires (collectées de manière non nominative).

3.3. Data Collected via Social Media Login

If you choose to log in via Google or Microsoft Azure:

  • Données d'authentification : nom, prénom, adresse email, selon les autorisations que vous accordez.

3.4. Data from Recordings

Subject to your prior consent:

  • Enregistrements d'appels téléphoniques : conversations avec nos équipes commerciales ou notre service client à des fins de formation et d'amélioration de nos services ;
  • Transcriptions de conversations : échanges via notre messagerie instantanée de support.

3.5. Data Obtained from Third Parties

  • Données d'enrichissement : informations professionnelles publiques obtenues via des bases de données B2B légitimes pour compléter votre profil professionnel.

4. Purposes and Legal Bases for Processing

We process your personal data on the following legal bases:

Purpose of ProcessingLegal BasisRetention Period
Creation and management of your user accountPerformance of contract (art. 6.1.b GDPR)3 years after last active use
Processing your reservation requests and organizing eventsPerformance of contract (art. 6.1.b GDPR)3 years after the date of the last event
Providing customer support and handling claimsPerformance of contract and legitimate interest (art. 6.1.b and f GDPR)3 years after resolution of the last exchange
Sending marketing communications related to our ServicesConsent (art. 6.1.a GDPR) or legitimate interest for existing clients (art. 6.1.f GDPR)3 years after last contact or withdrawal of consent
B2B commercial prospectingLegitimate interest (art. 6.1.f GDPR)3 years after last exchange
Improvement of our Services and statistical analysisLegitimate interest (art. 6.1.f GDPR)3 years, then irreversible anonymization
Audience measurement and analyticsLegitimate interest (art. 6.1.f GDPR)13 months maximum
Management of accessibility and specific needsLegitimate interest and legal obligations (art. 6.1.c and f GDPR)6 months after the event
Call recording for training and evidentiary purposesLegitimate interest (art. 6.1.f GDPR)12 months
Fraud prevention and Platform securityLegitimate interest (art. 6.1.f GDPR)Duration necessary for the purpose
Management of disputes and pre-litigationLegitimate interest (art. 6.1.f GDPR)5 years after the end of the dispute
Compliance with accounting and tax obligationsLegal obligation (art. 6.1.c GDPR)10 years (French Commercial Code)
Response to requests to exercise GDPR rightsLegal obligation (art. 6.1.c GDPR)5 years after processing the request

Where processing is based on our legitimate interest, we have conducted a balancing test to ensure that our legitimate interests, rights, and freedoms do not override your interests or fundamental rights and freedoms.

5. Recipients of Personal Data

5.1. Types of Recipients

Your personal data is likely to be shared with the following types of recipients:

Au sein de NABOO GROUP :

  • Authorized members of our teams (sales, customer support, technical, legal, finance) within the limits of their respective duties on a need-to-know basis;
  • Our affiliated companies, in compliance with the purposes described in this policy.

Sous-traitants techniques : Nous faisons appel à des prestataires de services soigneusement sélectionnés, liés par des clauses contractuelles strictes de protection des données :

  • Infrastructure et hébergement : Amazon Web Services (datacenter Europe - région Paris)
  • Services d'authentification : Google Cloud Platform, Microsoft Azure (connexion SSO)
  • Services de paiement : Stripe (certifié PCI-DSS niveau 1)
  • Gestion de la relation client : HubSpot
  • Communications : Prestataires d'emailing et de messagerie
  • Analytics et mesure de performance : Solutions d'analyse d'audience

Prestataires de services événementiels : Les Prestataires que vous sélectionnez pour votre événement reçoivent uniquement les informations nécessaires à l'exécution de leurs prestations.

Autorités et organismes publics : Nous pouvons être amenés à divulguer vos données aux autorités administratives ou judiciaires lorsque leur divulgation est nécessaire à l'identification, l'interpellation ou la poursuite en justice de tout individu susceptible de porter préjudice à nos droits, ou lorsque la loi l'exige.

5.2. Guarantees Required from Recipients of Your Data

All of our sub-processors are bound by data processing agreements compliant with Article 28 of the GDPR, ensuring in particular:

  • Processing of data according to our documented instructions;
  • Confidentiality of data;
  • Implementation of appropriate security measures;
  • Compliance with conditions for subsequent sub-processing;
  • Assistance in compliance with our GDPR obligations;
  • Deletion or return of data at the end of the service.

6. Data Transfers Outside of the EU

Your personal data is primarily stored within the European Union.

However, some of our sub-processors may process your data outside the European Economic Area, particularly in the United States. In this case, we ensure the implementation of appropriate safeguards in accordance with GDPR requirements:

  • Standard Contractual Clauses adopted by the European Commission (2021/914);
  • Certification under the data privacy framework where applicable;
  • Additional technical measures (encryption, pseudonymization) where necessary.

You may obtain a copy of these safeguards by contacting our Data Protection Officer.

7. Data Retention Period

We retain your personal data as long as necessary for the purposes for which it was collected, in compliance with legal and regulatory limitation periods.

Data retention architecture:

  • Base de données active : Données immédiatement accessibles à des fins opérationnelles.
  • Archivage intermédiaire : Accès restreint pour les obligations légales ou la gestion des litiges.
  • Suppression définitive ou anonymisation irréversible.

Specific durations are detailed in the table in Section 4. At the end of these periods, your data is either securely deleted or irreversibly anonymized.

8. Your Rights

8.1. Rights under the GDPR

In accordance with the provisions of the GDPR, you have the following rights:

  • Droit d'accès : Obtenir la confirmation que des données vous concernant sont traitées et accéder à ces données ;
  • Droit de rectification : Obtenir la rectification de données inexactes ou incomplètes ;
  • Droit à l'effacement : Obtenir l'effacement de vos données dans les cas prévus par la réglementation ;
  • Droit à la limitation : Obtenir la limitation du traitement dans les cas prévus par la réglementation ;
  • Droit d'opposition : Vous opposer au traitement de vos données, notamment à des fins de prospection ;
  • Droit à la portabilité : Recevoir vos données dans un format structuré et les transmettre à un autre responsable de traitement ;
  • Droit de retirer votre consentement : Lorsque le traitement est fondé sur votre consentement ;
  • Droit de définir des directives post-mortem (France uniquement) : Définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès.

8.2. How to Exercise Your Rights

You may exercise your rights via the following means:

  • Email : dpo@naboo.app
  • Courrier postal : NABOO GROUP - À l'attention du DPO - 10 rue de Penthièvre, 75008 Paris
  • Interface de la Plateforme : Pour la mise à jour de vos informations et la gestion de vos préférences

We will respond to your request within a maximum of one month from the date of receipt. This period may be extended by two additional months depending on the complexity and number of requests.

8.3. Right to Lodge a Complaint

You have the right to lodge a complaint with the competent supervisory authority (see list in Section 14).

9. Data Security

9.1. Security Measures

We implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk, including the following:

  • Encryption of sensitive data in transit (TLS 1.3) and at rest (AES-256);
  • Strict role-based access control and the principle of least privilege;
  • Multi-factor authentication for access to critical systems;
  • Logging and monitoring of access and activities;
  • Regular security tests and compliance audits;
  • Continuous training and awareness-raising for personnel;
  • Business continuity plan and backup procedures.

9.2. Notification in Case of Breach

In the event of a data breach likely to result in a risk to your rights and freedoms, we will:

  • Notify CNIL of the incident within 72 hours;
  • Inform you as soon as possible if the risk is high;
  • Take all necessary measures to remedy the breach and limit its impacts.

10. Cookies and Similar Technologies

Our Platform uses cookies and similar technologies. For detailed information on their use, their purposes, and your configuration options, please read our Cookie Policy.

11. Minors

Our Platform and Services are intended exclusively for professional use and are not intended for persons under the age of 18. We do not knowingly collect personal data from minors. If we become aware that we have inadvertently collected data regarding a minor, we will proceed to delete such data as soon as possible.

12. Changes to this Policy

We reserve the right to modify this privacy policy at any time to adapt it to legislative, regulatory, jurisprudential, and technical developments.

You will be notified of material changes via the Platform or by email. Your continued use of our Services after such notification constitutes acceptance of these changes.

The date of the last update is indicated at the top of the document.

13. Data Protection Officer

For any questions regarding the protection of your personal data or the exercise of your rights, you may contact our Data Protection Officer at:

Email : dpo@naboo.app

Courrier :
NABOO GROUP
À l'attention du Délégué à la Protection des Données
10 rue de Penthièvre
75008 Paris, France

14. Specific Provisions by Jurisdiction

Depending on your place of residence, the specific provisions below may apply and supplement this policy.

14.1. Switzerland

For users located in Switzerland, references to the GDPR in this document should be read as references to the Federal Act on Data Protection (FADP).

The Swiss Federal Council recognizes the European Union as having adequate legislation. Transfers to the United States are governed by the Swiss-U.S. Data Privacy Framework.

14.2. United Kingdom

For users located in the United Kingdom, references to the "GDPR" should be read as the UK GDPR and the Data Protection Act 2018.

Data transfers from the United Kingdom to our servers in the European Union are authorized. Transfers to the United States are governed by the UK Extension to the EU-U.S. Data Privacy Framework.

14.3. Canada (Québec)

This section applies to residents of Quebec and supplements the information in this Privacy Policy, in accordance with the Act to modernize legislative provisions as regards the protection of personal information (Law 25).

  • Data Controller: Defined in Article 5 let. j FADP.
  • Legal Bases (Section 4): References to Art. 6 GDPR correspond to those in Art. 31 FADP (Grounds for justification).

Vos droits en vertu de la Loi 25. En plus des droits énoncés à la section 8, vous disposez des droits suivants :

  • Droit à la portabilité renforcée : Vous pouvez demander à recevoir vos renseignements personnels dans un format technologique structuré et couramment utilisé, ou demander leur transfert à un autre organisme ;
  • Droit à la désindexation : Vous pouvez demander que cesse la diffusion de vos renseignements personnels ou que soit désactivé le lien permettant d'accéder à ces renseignements, lorsque cette diffusion contrevient à la loi ou à une ordonnance judiciaire ;
  • Droit d'être informé des décisions automatisées : Lorsqu'une décision fondée exclusivement sur un traitement automatisé vous concerne, vous avez le droit d'en être informé et de demander qu'une personne physique révise cette décision.

Consentement. Conformément à la Loi 25, nous nous engageons à :

  • Obtain your consent in a manifest, free, and informed manner for the collection and use of our personal information;
  • Clearly inform you of the purposes for which your information is collected;
  • Not use your information for purposes other than those for which it was collected without obtaining your prior consent;
  • Allow you to withdraw your consent.

Responsable de la protection des renseignements personnels. Conformément à la Loi 25, nous avons désigné un responsable de la protection des renseignements personnels. Pour toute question ou demande, vous pouvez le contacter à : dpo@naboo.app

14.4. Mexico

This section applies to residents of Mexico and supplements the information in this Privacy Policy, in accordance with the Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) and its Regulations.

Vos droits en vertu de la LFPDPPP. Conformément à la LFPDPPP, vous disposez des droits suivants :

  • Accès : Connaître les données personnelles que nous détenons à votre sujet, les finalités pour lesquelles nous les utilisons et les conditions de l'usage que nous en faisons ;
  • Rectification : Demander la correction de vos données personnelles si celles-ci sont inexactes ou incomplètes ;
  • Suppression : Demander que vos données soient supprimées de nos registres ou bases de données lorsque vous considérez qu'elles ne sont pas utilisées conformément aux principes, devoirs et obligations prévus par la réglementation ;
  • Opposition : Vous opposer à l'utilisation de vos données personnelles pour des finalités spécifiques.

Comment exercer vos droits ARCO. Pour exercer vos droits ARCO, vous pouvez envoyer une demande à dpo@naboo.app contenant :

  • Your full name and address, or any other contact information where we can reach you with our response;
  • Documents proving your identity or, if applicable, that of your legal representative;
  • A clear and precise description of the personal data for which you wish to exercise your right;
  • Any other information or document that may help to identify your personal data.

We will respond to your request within 20 business days from the date of receipt. This period may be extended under the conditions provided by law.

Limitations de l'utilisation des données personnelles. Vous pouvez limiter l'utilisation ou la divulgation de vos données personnelles, ou révoquer le consentement que vous nous avez accordé pour leur traitement, en envoyant une demande à dpo@naboo.app.

Transferts de données. Vos données personnelles peuvent être transférées et traitées à l'intérieur et à l'extérieur du pays, par des personnes autres que cette entreprise. À cet égard, vos informations peuvent être partagées avec les catégories de destinataires décrites à la Section 5 de la présente Politique. Nous nous engageons à ne pas transférer vos informations personnelles à des tiers sans votre consentement, sauf dans le cadre des exceptions prévues à l'article 37 de la LFPDPPP.

14.5. USA (California)

This section applies to residents of California and supplements the information in this Privacy Policy, in accordance with the California Consumer Privacy Act of 2018 (CCPA), as amended by the California Privacy Rights Act of 2022 (CPRA).

Pour tous les résidents des États-Unis. Si vous résidez aux États-Unis et estimez que nous n'avons pas répondu de manière adéquate à vos préoccupations en matière de confidentialité, vous pouvez contacter la division de protection des consommateurs du bureau du Procureur Général (Attorney General) de votre État. Vous pouvez localiser le Procureur Général de votre État here.

Pour les résidents de Californie. Outre ce qui précède, les résidents de Californie ont le droit de déposer une plainte concernant nos pratiques de protection des données auprès de l'Agence de Protection de la Vie Privée de Californie (California Privacy Protection Agency - CPPA).

Catégories de données personnelles collectées. Au cours des 12 derniers mois, nous avons collecté les catégories de données personnelles suivantes :

CategoryExamples
IdentificationName, email address, IP address, account name
Personal Data (Cal. Civ. Code § 1798.80(e))Name, address, phone number, employment, payment information
Commercial InformationReservation history, purchased services
Internet or Network ActivityBrowsing history, interactions with the Platform
Geolocation DataApproximate location via IP address
Professional or employment-related informationJob title, employer name
InferencesPreferences inferred from your activity

Utilisation des Données Personnelles. Nous utilisons ces données personnelles pour les finalités commerciales décrites à la Section 4 de la présente Politique de Confidentialité.

Divulgation des Données Personnelles. Nous pouvons divulguer des données personnelles aux catégories de destinataires décrites à la Section 5 à des fins commerciales.

Nous ne vendons pas de données personnelles. Nous ne partageons pas de données personnelles à des fins de publicité comportementale contextuelle croisée (cross-context behavioral advertising).

Vos droits en matière de confidentialité en Californie. En tant que résident de Californie, vous disposez des droits suivants :

  • Droit de savoir : Vous pouvez demander que nous vous communiquions les catégories et les éléments spécifiques de données personnelles que nous avons collectés à votre sujet, les catégories de sources, les finalités commerciales de la collecte et les catégories de tiers avec lesquels nous les partageons.
  • Droit de suppression : Vous pouvez demander la suppression des données personnelles que nous avons collectées auprès de vous, sous réserve de certaines exceptions.
  • Droit de rectification : Vous pouvez demander la correction des données personnelles inexactes que nous conservons à votre sujet.
  • Droit d'exclusion : Vous avez le droit de refuser la vente ou le partage de vos données personnelles. Comme indiqué ci-dessus, nous ne vendons ni ne partageons de données personnelles.
  • Droit de limiter l'utilisation des données personnelles sensibles : Le cas échéant, vous pouvez limiter l'utilisation de vos données personnelles sensibles aux fins nécessaires pour fournir les services que vous avez demandés.
  • Droit à la non-discrimination : Nous ne ferons preuve d'aucune discrimination à votre égard pour avoir exercé l'un de ces droits.

Comment soumettre une demande. Pour exercer vos droits, vous pouvez nous contacter par :

  • E-mail : dpo@naboo.app
  • Courrier : NABOO GROUP - À l'attention du DPO - 10 rue de Penthièvre, 75008 Paris, France

We will verify your identity before processing your request. You may designate an authorized representative to submit your request on your behalf by providing written authorization.

We will respond to verified requests within 45 days. If we require additional time, we will inform you of the reason and the period of extension (up to 45 additional days).

Contact pour les demandes relatives à la confidentialité en Californie. Pour toute question spécifique à vos droits en matière de confidentialité en Californie, contactez-nous à l'adresse dpo@naboo.app.

15. Supervisory Authorities

If you reside in the European Economic Area, your lead supervisory authority is the CNIL (France).

However, you may also contact your local authority:

CountrySupervisory AuthorityWebsite
FranceCommission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, 75007 Paris		www.cnil.fr
BelgiumAutorité de la protection des données (APD)
Rue de la Presse 35, 1000 Bruxelles		www.autoriteprotectiondonnees.be
LuxembourgCommission Nationale pour la Protection des Données (CNPD)
15 Boulevard du Jazz, L-4370 Belvaux		www.cnpd.lu
GermanyDie Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)
Graurheindorfer Str. 153, 53117 Bonn		www.bfdi.bund.de
AustriaÖsterreichische Datenschutzbehörde (DSB)
Barichgasse 40-42, 1030 Wien		www.dsb.gv.at
SpainAgencia Española de Protección de Datos (AEPD)
C/Jorge Juan 6, 28001 Madrid		www.aepd.es
ItalyGarante per la protezione dei dati personali
Piazza Venezia 11, 00187 Roma		www.garanteprivacy.it
The NetherlandsAutoriteit Persoonsgegevens
Hoge Nieuwstraat 8, P.O. Box 93374 2509 AJ Den Haag		https://autoriteitpersoonsgegevens.nl/
SwitzerlandPréposé fédéral à la protection des données et à la transparence (PFPDT)
Feldeggweg 1, CH - 3003 Berne		www.edoeb.admin.ch
United KingdomInformation Commissioner's Office (ICO)
Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF		www.ico.org.uk
CanadaCommission d'accès à l'information du Québec (CAI)
525, boulevard René-Lévesque Est, bureau 2.36, Québec (Québec) G1R 5S9		www.cai.gouv.qc.ca
MexicoInstituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)
Insurgentes Sur 3211, Col. Insurgentes Cuicuilco Alcaldía Coyoacán, C.P. 04530 Ciudad de México		www.inai.org.mx
California (USA)California Privacy Protection Agency (CPPA)
400 R Street, Suite 350, Sacramento, CA 95811		www.cppa.ca.gov

NABOO GROUP | Simplified joint-stock company with a capital of 40 714 € | Registered office: 10 rue de Penthièvre, 75008 Paris, France

RCS PARIS 904 443 462 | VAT FR32 904 443 462 | NABOO GROUP is registered under number IM075240016 in the register of travel and holiday operators with Atout France, whose registered office is located at 200/216 rue Raymond Losserand, CS 60043, 75680 PARIS Cedex 14