Politique de Confidentialité

1. Introduction

La présente Politique de Confidentialité décrit comment CreatorShorts ("nous", "notre") collecte, utilise et protège vos données personnelles lorsque vous utilisez notre générateur de scripts vidéo (le "Service").

Nous nous engageons à respecter votre vie privée et à protéger vos données conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

2. Données personnelles collectées

Conformément à l'Article 13 du RGPD, nous vous informons de manière transparente de toutes les données personnelles que nous collectons lorsque vous utilisez CreatorShorts.

2.1 Données d'identité et de compte

Lorsque vous créez un compte sur CreatorShorts, nous collectons :

• Adresse email : Identifiant unique de votre compte, utilisée pour la connexion, les emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe) et les emails marketing si vous avez donné votre consentement.Base légale : Exécution du contrat (Art. 6.1.b RGPD)
• Mot de passe : Stocké sous forme hachée (crypté) par Supabase Auth. Nous ne pouvons jamais voir votre mot de passe en clair.Base légale : Exécution du contrat (Art. 6.1.b RGPD)
• Identifiant unique (UUID) : Généré automatiquement lors de la création de votre compte, utilisé pour lier vos scripts et quotas à votre profil.Base légale : Intérêt légitime (Art. 6.1.f RGPD) - Gestion technique du service
• Formule d'abonnement (Tier) : Votre niveau d'accès (FREE, RANK1, RANK2) détermine vos quotas et fonctionnalités disponibles.Base légale : Exécution du contrat (Art. 6.1.b RGPD)
• Date de création du compte : Timestamp de votre inscription, utilisé pour calculer l'ancienneté et appliquer les politiques de rétention des données.Base légale : Intérêt légitime (Art. 6.1.f RGPD) - Gestion des comptes
• Date de dernière modification : Timestamp de la dernière mise à jour de votre profil (changement de mot de passe, mise à jour de formule, etc.).Base légale : Intérêt légitime (Art. 6.1.f RGPD) - Traçabilité

2.2 Consentement marketing (emails et newsletters)

Pour gérer votre consentement aux communications marketing (voir Section 6.3 pour les détails), nous enregistrons :

• Statut du consentement : Booléen (Oui/Non) indiquant si vous acceptez de recevoir des emails marketing.Base légale : Consentement (Art. 6.1.a RGPD) - Preuve du consentement
• Date du consentement : Timestamp exact du moment où vous avez coché la case lors de l'inscription ou dans vos paramètres.Base légale : Consentement (Art. 6.1.a RGPD) - Traçabilité du consentement (Art. 7.1 RGPD)
• Date de désinscription : Si vous vous désabonnez, nous enregistrons la date et l'heure pour respecter votre choix et prouver sa prise en compte.Base légale : Consentement (Art. 6.1.a RGPD) - Retrait du consentement (Art. 7.3 RGPD)

2.3 Scripts générés et contenu créé

Chaque script que vous générez via l'intelligence artificielle est enregistré dans votre historique personnel (accessible dans votre dashboard). Les données suivantes sont collectées :

• Votre prompt (sujet) : Le texte que vous saisissez dans le formulaire de génération (ex: "Faire une vidéo sur les astuces productivité").Base légale : Exécution du contrat (Art. 6.1.b RGPD) - Nécessaire pour générer le script
• Plateforme cible : Votre choix de plateforme (TikTok, Instagram Reels, YouTube Shorts). Permet d'optimiser le script pour la plateforme choisie.Base légale : Exécution du contrat (Art. 6.1.b RGPD)
• Format de script (Variation) : Le type de script sélectionné (Standard, Listicle, Tutorial, Storytelling, Product Review, Before/After).Base légale : Exécution du contrat (Art. 6.1.b RGPD)
• Script généré par l'IA : Le contenu complet généré, qui peut inclure : Hook (Accroche), Scènes, CTA (Call-to-Action), Hashtags, et contenu spécifique aux variations.Base légale : Exécution du contrat (Art. 6.1.b RGPD) - Fourniture du service
• Date et heure de génération : Timestamp précis de création du script.Base légale : Intérêt légitime (Art. 6.1.f RGPD) - Organisation de votre historique
• Feedback (optionnel) : Si vous cliquez sur les boutons "👍 Bon script" ou "👎 À améliorer", votre avis est enregistré pour améliorer l'IA.Base légale : Intérêt légitime (Art. 6.1.f RGPD) - Amélioration du service

2.4 Quotas d'utilisation et statistiques

Pour appliquer les quotas de votre formule (2 scripts/jour pour FREE, 100/mois pour RANK1, 400/mois pour RANK2), nous enregistrons :

• Date d'utilisation : Jour où vous avez généré des scripts (format YYYY-MM-DD).Base légale : Exécution du contrat (Art. 6.1.b RGPD) - Application des quotas
• Nombre de scripts générés : Compteur du nombre de nouveaux scripts créés ce jour-là.Base légale : Exécution du contrat (Art. 6.1.b RGPD)
• Nombre de régénérations : Compteur du nombre de fois où vous avez cliqué sur "Régénérer" (fonctionnalité Premium uniquement).Base légale : Exécution du contrat (Art. 6.1.b RGPD)

2.5 Données techniques et de sécurité

Pour protéger le service contre les abus, détecter les bugs et assurer la sécurité, nous collectons :

A. Identifiants d'appareil

• Device ID (Identifiant d'appareil) : UUID généré localement dans votre navigateur, utilisé pour gérer les quotas des utilisateurs anonymes (non connectés).Base légale : Intérêt légitime (Art. 6.1.f RGPD) - Protection anti-abus

B. Adresse IP et User-Agent

• Adresse IP : Collectée temporairement (en mémoire uniquement) pour le rate limiting (15 requêtes/minute). Jamais stockée en base de données, supprimée automatiquement après 5-10 minutes.Base légale : Intérêt légitime (Art. 6.1.f RGPD) - Protection anti-abus et sécurité
• User-Agent (Type de navigateur) : Informations sur votre navigateur (Chrome, Firefox, Safari) et système d'exploitation.Base légale : Intérêt légitime (Art. 6.1.f RGPD) - Amélioration technique

C. Logs d'authentification et de sécurité

Pour protéger votre compte contre les accès non autorisés et détecter les activités suspectes, nous enregistrons :

• Tentatives de connexion : Date, heure, email utilisé, succès ou échec, IP masquée, User-Agent.Base légale : Intérêt légitime (Art. 6.1.f RGPD) - Sécurité de votre compte
• Dépassements de rate limit : Si vous dépassez les limites de requêtes, l'événement est enregistré avec l'IP masquée.Base légale : Intérêt légitime (Art. 6.1.f RGPD) - Protection de l'infrastructure

2.6 Télémétrie et analytics (amélioration du service)

Pour améliorer CreatorShorts, corriger les bugs et comprendre comment le service est utilisé, nous collectons des données d'usage anonymisées :

• Événements d'utilisation : Actions effectuées sur le site (génération de script, régénération, dépassement de quota, erreurs rencontrées, etc.).Base légale : Intérêt légitime (Art. 6.1.f RGPD) - Amélioration du service

2.7 Cookies et stockage local (localStorage)

Pour faire fonctionner le service et mémoriser vos préférences, nous utilisons des cookies et le stockage local de votre navigateur :

A. Cookies HTTPOnly (côté serveur)

B. localStorage (côté client)

Pour en savoir plus :

• Section 3 : Bases légales détaillées (Art. 6 RGPD)
• Section 4 : Finalités du traitement
• Section 5 : Partage avec les sous-traitants
• Section 7 : Vos droits RGPD
• Section 8 : Durée de conservation de chaque catégorie de données

3. Bases légales du traitement (RGPD)

Conformément à l'article 6 du Règlement Général sur la Protection des Données (RGPD), nous traitons vos données personnelles sur les bases légales suivantes :

• Exécution du contrat (Art. 6.1.b RGPD) :
  • Fourniture du service de génération de scripts via IA
  • Gestion de votre compte utilisateur
  • Application des quotas et limitations selon votre formule
  • Emails transactionnels (confirmation d'inscription, réinitialisation de mot de passe, notifications importantes liées au service)
• Intérêt légitime (Art. 6.1.f RGPD) :
  • Sécurité et prévention des abus (rate limiting, détection de fraude)
  • Amélioration du service (analytics, logs techniques, correction de bugs)
  • Protection de notre infrastructure contre les attaques
• Consentement (Art. 6.1.a RGPD) :
  • Cookies non essentiels (si applicable à l'avenir)
  • Emails marketing et newsletters (uniquement si vous avez coché la case à l'inscription ou dans vos paramètres)

4. Finalités du traitement

Vos données sont traitées pour les raisons suivantes :

• Fourniture du Service : Génération de scripts via l'intelligence artificielle.
• Gestion des comptes : Authentification, gestion des abonnements et des quotas (gratuits et payants).
• Amélioration du Service : Analyse des erreurs et des performances pour optimiser l'expérience utilisateur.
• Sécurité et Protection Anti-Abus :
  • Rate limiting (limitation du nombre de requêtes) pour prévenir les abus et les attaques automatisées
  • Détection des comportements suspects ou malveillants
  • Protection de l'infrastructure et des ressources du service

Note importante : Les adresses IP sont collectées uniquement à des fins de rate limiting et ne sont jamais stockées de manière permanente. Elles sont conservées en mémoire temporaire (quelques minutes maximum) puis automatiquement supprimées.

5. Partage des données (Sous-traitants)

Nous ne vendons jamais vos données. Elles peuvent être partagées avec nos prestataires techniques de confiance :

• Supabase (Base de données & Auth) : Hébergement des données utilisateurs et gestion de l'authentification. Localisation : UE (Irlande).
• OpenAI (Intelligence Artificielle) : Traitement des prompts pour générer les scripts. Localisation : États-Unis.Note : OpenAI n'utilise pas vos données envoyées via notre API pour entraîner ses modèles (engagement contractuel).
• Vercel (Hébergement) : Hébergement de l'application web et logs serveurs. Localisation : États-Unis et UE.
• Google (Authentification) : Si vous choisissez de vous connecter via Google OAuth. Localisation : États-Unis et UE.

5.1 Transferts internationaux de données

Certains de nos sous-traitants traitent vos données en dehors de l'Union Européenne, notamment aux États-Unis :

• OpenAI (États-Unis) :
  • Garanties : Clauses Contractuelles Types (SCC) de la Commission Européenne + engagement contractuel de non-utilisation des données pour l'entraînement de modèles
  • Finalité : Traitement des prompts pour génération de scripts uniquement
• Vercel (États-Unis) :
  • Garanties : Participation au EU-US Data Privacy Framework (DPF)
  • Finalité : Hébergement de l'application et logs techniques
• Google (États-Unis) :
  • Garanties : Participation au EU-US Data Privacy Framework (DPF) + Clauses Contractuelles Types
  • Finalité : Authentification OAuth uniquement

Vous disposez du droit d'obtenir une copie des garanties appropriées mises en place pour ces transferts en contactant support@creatorshorts.fr

6. Cookies et Stockage Local

Nous utilisons des cookies et le stockage local (localStorage) pour :

• Maintenir votre session active (Supabase Auth).
• Gérer vos préférences (Thème sombre/clair).
• Suivre votre quota d'utilisation si vous n'êtes pas connecté.

6.1 Bannière d'information cookies (CNIL)

Lors de votre première visite, une bannière d'information vous présente les cookies utilisés sur le site. Cette bannière est purement informative car tous les cookies déployés sont strictement nécessaires (exemptés de consentement selon l'article 82).

• Cookies essentiels : sb-auth-token (auth Supabase), deviceId (quotas), sid (session), _GRECAPTCHA (sécurité anti-spam)
• Bouton "J'ai compris" : Enregistre votre prise de connaissance de cette information

Note : La bannière ne demande PAS de consentement (car tous cookies essentiels). Elle informe simplement de leur utilisation conformément à l'obligation de transparence de la CNIL.

6.2 Google reCAPTCHA v3

Finalité et fonctionnement

Pour protéger notre service contre les bots, les abus automatisés et les activités malveillantes, nous utilisons Google reCAPTCHA v3 sur les formulaires de génération de scripts.

Base légale : Intérêt légitime - Sécurité (Art. 6.1.f RGPD)

reCAPTCHA v3 est un cookie strictement nécessaire à la sécurité du service et est exempt de consentement selon l'article 82 de la loi Informatique et Libertés.

• Utilisateurs anonymes : reCAPTCHA est actif pour protéger contre les abus massifs
• Utilisateurs inscrits : Exemptés de reCAPTCHA (authentification = preuve d'humanité)

Données collectées par Google reCAPTCHA

Lorsque reCAPTCHA est actif, Google collecte :

• Adresse IP : Pour détecter les comportements suspects
• Cookies reCAPTCHA : Pour suivre les interactions et calculer le score de confiance
• Données de navigation : User-agent, résolution d'écran, plugins installés, mouvements de souris, clics
• Informations sur la page : URL visitée, timestamp, durée de visite

Responsable du traitement : Google LLC (États-Unis)

Politique de confidentialité Google : https://policies.google.com/privacy

Conditions d'utilisation reCAPTCHA : https://policies.google.com/terms

Transfert de données vers les États-Unis

Les données collectées par reCAPTCHA sont transférées et traitées par Google aux États-Unis.

• Garanties : Google participe au EU-US Data Privacy Framework (DPF) et applique les Clauses Contractuelles Types (SCC) de la Commission Européenne
• Certification DPF : https://www.dataprivacyframework.gov

Durée de conservation

Les cookies reCAPTCHA sont conservés par Google pendant une durée variable (généralement quelques mois). Consultez la politique de confidentialité de Google pour plus de détails.

Gestion de reCAPTCHA

reCAPTCHA étant un cookie essentiel pour la sécurité, il ne peut pas être désactivé pour les utilisateurs anonymes. Cependant, vous pouvez :

• Créer un compte gratuit : Les utilisateurs inscrits sont automatiquement exemptés de reCAPTCHA
• Bloquer les cookies tiers : Notez que cela peut empêcher l'utilisation du service en tant qu'anonyme
• Consulter la politique Google : Pour gérer vos paramètres reCAPTCHA directement auprès de Google

6.3 Emails marketing et newsletters

Objet et contenu des emails

Si vous avez donné votre consentement, nous pouvons vous envoyer des emails concernant :

• Nouveautés du service : Annonces de nouvelles fonctionnalités, améliorations du générateur de scripts
• Conseils et contenus éducatifs : Astuces pour créer du contenu vidéo performant, bonnes pratiques pour TikTok/Reels/Shorts
• Offres promotionnelles : Réductions, offres spéciales relatives à CreatorShorts (lorsque les formules payantes seront disponibles)

Base légale : Consentement

L'envoi d'emails marketing repose sur votre consentement explicite (Art. 6.1.a RGPD), que vous pouvez retirer à tout moment.

Comment donner ou retirer votre consentement

• À l'inscription : Une case à cocher (non cochée par défaut) vous permet d'accepter ou de refuser de recevoir des emails marketing
• Dans chaque email : Un lien de désinscription est présent en bas de chaque email marketing pour vous permettre de vous désabonner en un clic.
  URL de désinscription : https://creatorshorts.fr/unsubscribe?email=votre@email.com
• Par email : Vous pouvez demander la suppression de vos données marketing à support@creatorshorts.fr

Distinction emails transactionnels vs marketing

Note MVP : L'envoi d'emails marketing n'est pas encore actif. Cette section prépare le cadre légal pour une mise en place future conforme au RGPD.

7. Vos Droits RGPD

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la Loi Informatique et Libertés, vous disposez de droits étendus sur vos données personnelles. Cette section vous explique comment les exercer.

7.1 Droit d'accès à vos données (Art. 15 RGPD)

Vous avez le droit d'obtenir la confirmation que nous traitons vos données et d'accéder à l'ensemble des informations que nous détenons sur vous.

Comment exercer ce droit : Envoyez un email à support@creatorshorts.fr avec l'objet : Demande d'accès RGPD

7.2 Droit de rectification (Art. 16 RGPD)

Vous avez le droit de corriger ou mettre à jour vos données personnelles si elles sont inexactes ou incomplètes.

7.3 Droit à l'effacement / "Droit à l'oubli" (Art. 17 RGPD)

Vous avez le droit de demander la suppression de vos données personnelles.

Méthode alternative : Vous pouvez également envoyer un email à support@creatorshorts.fr avec l'objet : Demande de suppression RGPD

7.4 Droit à la portabilité des données (Art. 20 RGPD)

Vous avez le droit de récupérer vos données dans un format structuré, couramment utilisé et lisible par machine (JSON).

Comment exercer ce droit : Envoyez un email à support@creatorshorts.fr avec l'objet : Export de données RGPD

7.5 Droit de limitation du traitement (Art. 18 RGPD)

Vous pouvez demander de "geler" vos données (les conserver sans les utiliser).

7.6 Droit d'opposition (Art. 21 RGPD)

Vous pouvez vous opposer à tout moment au traitement de vos données personnelles lorsque ce traitement repose sur notre intérêt légitime.

7.7 Droit de retirer votre consentement (Art. 7.3 RGPD)

Pour les traitements reposant sur votre consentement, vous pouvez retirer ce consentement à tout moment.

7.8 Droit de réclamation auprès de la CNIL (Art. 77 RGPD)

Si vous estimez que nous ne respectons pas vos droits ou le RGPD, vous pouvez déposer une réclamation auprès de l'autorité de contrôle française :

8. Durée de conservation des données

Conformément au principe de limitation de la conservation (Art. 5.1.e RGPD), nous ne conservons vos données personnelles que pendant la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées.

8.1 Données de compte utilisateur

8.2 Scripts générés et contenu utilisateur

8.3 Données techniques et de sécurité

9. Sécurité

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte ou altération. Les mots de passe sont hachés et sécurisés par Supabase.

Mesures de protection contre les abus :

• Rate limiting par IP (15 requêtes/minute) pour prévenir les attaques par force brute
• Limitation quotidienne par appareil (2 scripts/jour pour utilisateurs anonymes)
• Cooldowns progressifs en cas de dépassement (30 secondes de pause)
• Aucun ban permanent : seuls des blocages temporaires sont appliqués

9bis. Protection des mineurs

Conformément à l'Article 8 du RGPD et à la législation française, nous prenons très au sérieux la protection des données personnelles des mineurs.

Âge minimum requis

Consentement parental pour les mineurs de moins de 15 ans

Si vous avez moins de 15 ans, le traitement de vos données personnelles nécessite le consentement de votre représentant légal (parent ou tuteur).

Droits renforcés pour les mineurs

Les mineurs (et leurs représentants légaux) bénéficient de droits renforcés :

• Droit à l'effacement prioritaire : Les demandes de suppression de compte émanant de mineurs ou de leurs représentants sont traitées en priorité (sous 7 jours au lieu d'1 mois)
• Contact : support@creatorshorts.fr avec l'objet : Protection des mineurs

10. Violations de données personnelles (Data Breaches)

Conformément aux Articles 33 et 34 du RGPD, nous avons mis en place des procédures strictes pour gérer les éventuelles violations de données personnelles.

Engagement de notification

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :

• Notifier la CNIL dans un délai de 72 heures maximum après avoir pris connaissance de la violation (Art. 33 RGPD)
• Vous informer directement par email si la violation présente un risque élevé pour vous (Art. 34 RGPD)
• Documenter l'incident : nature de la violation, données concernées, mesures correctives prises

11. Modifications de la Politique de Confidentialité

Nous nous réservons le droit de modifier la présente Politique de Confidentialité à tout moment pour refléter les évolutions de nos pratiques, de la législation ou de nos services.

Comment vous serez informé

En cas de modification substantielle, nous vous en informerons par email au moins 30 jours avant l'entrée en vigueur des modifications.

Historique des versions

12. Droit Applicable et Juridiction

La présente Politique de Confidentialité est régie par le droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux français.