Aller au contenu principal
VidiaFlow
ConnexionEssai gratuit
Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 13 mai 2026

1. Préambule

VidiaFlow s'engage à protéger la vie privée de ses utilisateurs conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

2. Responsable du traitement

Billel ABBAS — contact@vidiaflow.com

3. Données collectées

Nous collectons les données suivantes :

  • Données de compte : email, nom, photo de profil (via Google OAuth ou inscription email)
  • Données d'utilisation : URLs YouTube analysées, contenus générés, thumbnails créées
  • Données de facturation : via Stripe (nous ne stockons pas vos données bancaires directement)
  • Données techniques: adresse IP, navigateur, logs d'accès

4. Finalités du traitement

Vos données sont utilisées pour :

  • Fournir et améliorer le service
  • Gérer votre compte et vos abonnements
  • Vous envoyer des notifications (quotas, alertes, support)
  • Assurer la sécurité du service
  • Respecter nos obligations légales

5. Base légale

Le traitement est fondé sur l'exécution du contrat (CGU), votre consentement (pour les communications marketing), et nos intérêts légitimes (amélioration du service, sécurité).

6. Destinataires des données (sous-traitants)

Conformément à l'article 13(1)(e) du RGPD, voici la liste exhaustive de nos sous-traitants. Tous sont engagés par un DPA (Data Processing Agreement) et, pour ceux établis hors UE, par des Clauses Contractuelles Types (SCC) couvrant le transfert international (DPF EU-US lorsque applicable).

  • Supabase (PostgreSQL + Storage + Auth) — UE (Frankfurt, eu-central-1)
  • Vercel (hébergement applicatif + CDN) — US, SCC en place
  • Stripe (paiements et facturation) — US, SCC + DPF
  • Anthropic (modèles Claude Sonnet 4.6 / Haiku 4.5) — US, SCC + DPF
  • OpenAI (modèle GPT-5 mini) — US, SCC + DPF
  • Google Cloud (modèle Gemini 3.1 + YouTube Data API v3) — US, SCC + DPF
  • Groq (transcription Whisper pour ClipFlow) — US, SCC + DPF
  • Supadata (proxy transcript YouTube) — UE
  • Resend (emails transactionnels) — US, SCC + DPF
  • Sentry(suivi d'erreurs anonymisé) — US, SCC + DPF — pas de PII applicative (IP hashée)
  • PostHog (analytics produit + feature flags) — UE (eu.posthog.com) — lazy-loaded, no-op tant queNEXT_PUBLIC_POSTHOG_KEYn'est pas configuré

Cette liste est aussi disponible au format machine-readable sur /api/legal/subprocessors. Toute évolution de la liste est notifiée par email aux titulaires de compte sous 30 jours.

7. Durée de conservation

Conformément à l'article 5(1)(e) du RGPD (limitation de la conservation), nous appliquons les durées suivantes. Lorsque vous exercez votre droit à l'effacement (article 17), vos données sont supprimées immédiatement— y compris la majorité des données ci-dessous — à l'exception des éléments soumis à une obligation légale de conservation.

  • Compte, vidéos, génér­ations, thumbnails : pendant toute la durée de votre abonnement, puis effacement immédiat sur demande RGPD art. 17 (cascade complète documentée dans le code source).
  • Données de facturation : 10 ans (obligation légale française, code de commerce art. L123-22).
  • Audit IA Act art. 50 : 5 ans (obligation légale, règlement UE 2024/1689).
  • Logs LLM (analytics coût) : 90 jours, élagués quotidiennement via une tâche planifiée.
  • Logs API publique : 30 jours, élagués quotidiennement.
  • Notifications emails échouées : 60 jours pour forensique anti-spam, 730 jours pour les suppressions opt-out (CAN-SPAM + RGPD).
  • Historique de plan + transactions de crédits : 7 ans (audit comptable).

Détail table par table sur /legal/data-retention.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès à vos données
  • Droit de rectification
  • Droit à l'effacement (« droit à l'oubli »)
  • Droit à la limitation du traitement
  • Droit à la portabilité des données
  • Droit d'opposition

Plusieurs droits peuvent être exercés directement depuis votre compte :

  • Accès (art. 15) : page /dashboard/privacy/my-data résume vos données stockées.
  • Portabilité (art. 20) : bouton « Télécharger mes données » dans /settings#account — export ZIP complet (toutes les tables, signé SHA-256).
  • Effacement (art. 17) : bouton « Supprimer mon compte » dans /settings#account — cascade immédiate.
  • Opposition (art. 21): toggle « Désactiver l'analyse de coût » dans /dashboard/privacy/my-data.
  • Rectification (art. 16) : email + nom complet + LLM préféré + locale sont modifiables depuis /settings. Pour rectifier d'autres champs (UTM, génér­ations passées), contactez contact@vidiaflow.com — délai de réponse 7 jours.

Pour toute autre demande, contactez contact@vidiaflow.com. Délai de réponse 30 jours maximum (art. 12(3)). En cas de litige, vous pouvez saisir la CNIL (cnil.fr).

9. Cookies

VidiaFlow utilise uniquement des cookies techniques nécessaires au fonctionnement du service (session d'authentification, préférences de thème). Aucun cookie publicitaire ou de tracking tiers n'est déposé.

10. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement HTTPS, mots de passe hashés, Row Level Security Supabase, accès restreints.

11. Modifications

La présente politique peut être modifiée. Les utilisateurs seront informés par email en cas de changement substantiel.