Politique de confidentialité

La présente politique décrit comment [RAISON_SOCIALE] traite les données personnelles des utilisateurs du service ReviewMaster, conformément au règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées sur le service est [RAISON_SOCIALE], dont le siège social est situé [ADRESSE], [CP] [VILLE], France.

Contact : [EMAIL_LEGAL].

2. Délégué à la protection des données

Délégué à la protection des données (DPO) ou référent RGPD : [DPO_NOM_OU_NA].

Pour toute question relative au traitement de vos données, contactez : [EMAIL_DPO].

3. Données collectées

Nous collectons les catégories de données suivantes :

• Données de compte : adresse email, identifiant, mot de passe (chiffré via Argon2id, jamais stocké en clair), préférences de notification, langue, fuseau horaire, photo de profil le cas échéant.
• Contenu utilisateur : vidéos uploadées ou importées, commentaires, annotations, sondages, réactions, tags temporels, métadonnées associées.
• Données d'équipe : nom de l'équipe, rôle et appartenance des membres, invitations envoyées ou reçues.
• Données techniques : adresse IP, user agent, identifiants de session JWT, journaux de connexion, logs d'événements applicatifs.
• Données de facturation (le cas échéant) : nom, adresse de facturation, identifiant client chez notre prestataire de paiement. Aucune coordonnée bancaire n'est stockée par [RAISON_SOCIALE].
• Preuves de consentement : horodatage d'acceptation des CGU, de la politique et de l'attestation d'âge, version du document acceptée.

4. Finalités et bases légales

Les données sont traitées pour les finalités et bases légales suivantes :

• Fourniture du service et exécution du contrat (RGPD art. 6-1-b) : création et gestion du compte, hébergement et lecture des contenus, collaboration en équipe, partage.
• Sécurité du service (intérêt légitime, art. 6-1-f) : détection des fraudes et abus, journalisation technique, lutte contre les violations des CGU.
• Obligations légales (art. 6-1-c) : conservation des logs de connexion (LCEN art. 6-II, 1 an), conservation des factures (Code de commerce, 10 ans).
• Communication opérationnelle (intérêt légitime) : emails de service (vérification, réinitialisation de mot de passe, notification d'invitation, alerte de sécurité).
• Amélioration du service et statistiques d'usage (intérêt légitime), uniquement sur des données agrégées ou pseudonymisées.
• Communication commerciale (consentement explicite, art. 6-1-a), exclusivement si l'utilisateur a coché la case correspondante dans ses préférences.

5. Destinataires et sous-traitants

Les données sont accessibles uniquement aux personnels habilités de [RAISON_SOCIALE] et à ses sous-traitants techniques agissant sur instruction documentée :

• Hébergeur : [HEBERGEUR_NOM] ([HEBERGEUR_ADRESSE]) pour le stockage et la diffusion.
• Prestataire d'envoi d'emails transactionnels (placeholder, à documenter au moment du choix).
• Prestataire de paiement (Stripe, le cas échéant) pour le traitement des abonnements.
• Service de supervision d'erreurs (Sentry, le cas échéant) avec données pseudonymisées.

Chaque sous-traitant fait l'objet d'un contrat de sous-traitance (DPA) conforme à l'article 28 du RGPD. La liste actualisée est disponible sur demande à [EMAIL_DPO].

6. Durées de conservation

• Compte actif : pendant toute la durée d'utilisation du service.
• Compte supprimé : anonymisation puis suppression définitive sous 30 jours, sous réserve des durées légales ci-dessous.
• Vidéos supprimées : conservées en corbeille 30 jours, puis purge définitive.
• Logs de connexion (IP, date, identifiant ou email tenté en cas d'échec) : 1 an, conformément à l'article 6-II de la LCEN. L'email tenté lors d'une connexion ratée est conservé sous le fondement de l'intérêt légitime (art. 6-1-f) pour détecter les tentatives de brute-force / credential stuffing même sur un compte inexistant.
• Factures et données de facturation : 10 ans, conformément à l'article L123-22 du Code de commerce.
• Données de prospection commerciale (le cas échéant, avec consentement) : 3 ans à compter du dernier contact.
• Cookies : voir politique cookies.

7. Transferts hors Union européenne

Les données sont prioritairement hébergées dans l'Union européenne. Tout transfert vers un pays hors UE n'ayant pas fait l'objet d'une décision d'adéquation de la Commission européenne est encadré par les clauses contractuelles types (CCT) ou par le Data Privacy Framework (DPF) lorsque applicable.

8. Cookies

Le service utilise uniquement des cookies techniques essentiels à son fonctionnement (authentification, préférences). Aucun cookie publicitaire ni de suivi tiers n'est déposé. La liste détaillée est disponible dans la politique cookies.

9. Sécurité

[RAISON_SOCIALE] met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité des données : chiffrement des mots de passe (Argon2id), séparation des environnements, restrictions d'accès, journalisation, sauvegardes, mises à jour de sécurité.

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des utilisateurs, [RAISON_SOCIALE] notifie la CNIL dans un délai de 72 heures et, le cas échéant, informe les utilisateurs concernés.

10. Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Droit d'accès et de copie de vos données ;
• Droit de rectification ;
• Droit à l'effacement (droit à l'oubli) ;
• Droit à la portabilité (export depuis votre espace personnel) ;
• Droit d'opposition au traitement ;
• Droit à la limitation du traitement ;
• Droit de définir des directives relatives au sort de vos données après décès.

Pour exercer ces droits, rendez-vous sur la page Mes données ou contactez le DPO : [EMAIL_DPO]. Vous obtiendrez une réponse dans un délai maximum d'un mois.

11. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :

• 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• https://www.cnil.fr

12. Mineurs

Le service est interdit aux moins de 15 ans, conformément au seuil d'âge fixé par la loi française pour le consentement au traitement de données personnelles. Une attestation est demandée lors de l'inscription. Tout compte dont la minorité serait portée à la connaissance de [RAISON_SOCIALE] sera désactivé et les données supprimées.

13. Modifications

La présente politique peut évoluer. Toute modification substantielle (nouvelles finalités, nouveaux destinataires, allongement notable des durées) fera l'objet d'une notification spécifique aux utilisateurs.