Politique de confidentialité (RGPD)

Le responsable du traitement est [Nom de l’éditeur], dont les coordonnées figurent dans nos conditions d’utilisation.

Pour toute question relative à vos données personnelles, vous pouvez nous écrire à [Email du DPO].

Nous collectons et traitons les catégories de données suivantes :

• Données d’identification : adresse email, pseudonyme, mot de passe (stocké sous forme hachée), date d’inscription, date de vérification de l’email.
• Données de profil (facultatives) : avatar, bannière, biographie, pronoms, année de naissance, pays, liens vers réseaux sociaux.
• Contenus créés : œuvres publiées, chapitres, prompts envoyés à l’IA, brouillons, modèles personnalisés, bibliothèques de formes/stickers.
• Données d’usage : lectures, likes, commentaires, suivis, séries d’activité, historique de lecture, statistiques d’audience (vues de pages).
• Données techniques : adresse IP (utilisée pour la sécurité et la déduction du pays/ville via les en-têtes CDN), type de navigateur, appareil, identifiant de session.
• Données de paiement (auteurs) : IBAN, BIC, nom du bénéficiaire, uniquement si l’utilisateur sollicite un reversement.
• Notifications push : endpoint de souscription, clés VAPID, agent utilisateur de l’appareil ayant souscrit.

• Compte actif : tant que le compte n’est pas supprimé.
• Compte supprimé : suppression sous 30 jours, à l’exception des données conservées pour répondre à une obligation légale (comptabilité, lutte contre la fraude : jusqu’à 5 ans).
• Logs de connexion et de sécurité : 12 mois maximum.
• Données de paiement (auteurs) : durée légale en matière comptable (10 ans pour les pièces justificatives).

Vos données sont accessibles aux personnels habilités de l’éditeur ainsi qu’aux sous-traitants suivants, qui agissent sur instruction et dans le respect du RGPD :

• OpenAI (États-Unis) — modèles d’intelligence artificielle utilisés pour la génération de texte et d’images. Les prompts soumis sont transmis pour traitement. Transfert hors UE encadré par des clauses contractuelles types et/ou le Data Privacy Framework.
• Cloudflare (R2, Turnstile, edge) — hébergement des images publiques, protection anti-bot, déduction géographique à partir de l’IP.
• Cloudinary — hébergement d’images héritées en cours de migration vers R2.
• Resend — envoi des emails transactionnels (vérification, notifications, résumé hebdomadaire).
• Sentry — collecte d’erreurs techniques (logs, traces) pour la stabilité du Service.
• Vercel — hébergement de l’application web.
• Service de notifications push du navigateur (Google, Apple, Mozilla, selon votre appareil) — diffusion des notifications push si vous y avez consenti.

Aucune donnée personnelle n’est revendue à des tiers à des fins publicitaires.

Certaines opérations de traitement impliquent un transfert de données vers des pays situés hors de l’Union européenne, notamment les États-Unis (OpenAI, Sentry, Cloudflare, Cloudinary, Vercel). Ces transferts sont encadrés par les mécanismes prévus par le RGPD : clauses contractuelles types de la Commission européenne et, le cas échéant, certification au titre du Data Privacy Framework (DPF) lorsque le sous-traitant en est signataire.

Whatoon utilise uniquement des cookies strictement nécessaires au fonctionnement du Service (cookie de session pour l’authentification, préférences d’affichage). Ces cookies ne requièrent pas de consentement. Aucun cookie publicitaire ou de profilage tiers n’est déposé.

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d’accès : obtenir une copie des données que nous détenons sur vous.
• Droit de rectification : corriger des données inexactes ou incomplètes.
• Droit à l’effacement (« droit à l’oubli ») : demander la suppression de votre compte et des données associées.
• Droit à la limitation : restreindre temporairement le traitement de vos données.
• Droit d’opposition : vous opposer au traitement fondé sur l’intérêt légitime.
• Droit à la portabilité : récupérer vos données dans un format structuré et couramment utilisé.
• Droit de retirer votre consentement à tout moment pour les traitements qui en dépendent (newsletter, notifications push).
• Droit de définir des directives post-mortem sur le sort de vos données.

Pour exercer ces droits, contactez-nous à [Email du DPO]. Une pièce d’identité pourra vous être demandée en cas de doute raisonnable sur votre identité. Nous répondons dans un délai d’un mois.

Si vous estimez, après nous avoir contactés, que vos droits « Informatique et Libertés » ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL) : www.cnil.fr.

Le Service n’est pas destiné aux enfants de moins de 13 ans. Si nous apprenons qu’un compte a été créé par un enfant de moins de 13 ans sans autorisation parentale, nous procéderons à sa suppression.

Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables pour protéger vos données : chiffrement des communications (HTTPS), hachage des mots de passe, contrôle d’accès interne, isolation des environnements, sauvegardes régulières, journalisation des accès sensibles.

La présente politique peut être amenée à évoluer. Toute modification substantielle vous sera notifiée par email ou par une notification dans l’application.