Document légal
Politique de Confidentialité
Cette politique décrit comment The SaaS Factory, en tant que responsable de traitement, collecte et utilise vos données personnelles dans le cadre du service Pillow Stories. Elle est rédigée conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi française n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
1. Responsable de traitement
| Responsable | The SaaS Factory (SASU) |
|---|---|
| SIREN | 102 221 306 |
| Adresse | 18 rue Milton, 75009 Paris, France |
| Représentant | Nicolas Ducere, Président |
| Contact RGPD | [email protected] |
Compte tenu de sa taille, la société n'est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Le Président est l'interlocuteur unique pour toute demande relative à la protection des données.
2. Données collectées
Nous collectons les catégories suivantes de données :
2.1 Données fournies directement par vous
- Compte : adresse email, mot de passe (haché, jamais stocké en clair).
- Contenus créés : prompts, fiches personnages, paramètres d'histoire, chapitres, conversations textuelles. Ces contenus sont par nature parfois personnels, fictionnels ou intimes — nous les traitons comme des contenus utilisateurs sensibles, à votre seul usage privé sauf publication expresse de votre part dans la zone communautaire.
- Préférences : langue, paramètres d'affichage, options du compte.
- Souscription : données de facturation collectées et hébergées par Stripe (voir section 4) ; nous ne stockons que des identifiants techniques et l'historique de plan.
2.2 Données collectées automatiquement
- Logs techniques : adresse IP, user-agent, dates/heures de connexion, pages consultées, en vue de la sécurité et du diagnostic d'erreurs.
- Cookies strictement nécessaires : session d'authentification et protection CSRF (voir section 8).
- Erreurs applicatives : remontées via Sentry, sans données personnelles identifiantes par défaut (paramètre send_default_pii=false).
2.3 Données non collectées
Nous ne collectons pas de données de localisation précise, de données biométriques, de cookies publicitaires ou de mesure d'audience, ni de profilage marketing.
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion de votre compte ; authentification. | Exécution du contrat (art. 6.1.b RGPD). |
| Fourniture du service de génération de contenus, stockage et restitution de vos œuvres. | Exécution du contrat. |
| Traitement des paiements, gestion des abonnements et de la facturation. | Exécution du contrat ; obligations légales (Code de commerce, fiscal). |
| Sécurité, prévention de la fraude, journalisation des incidents. | Intérêt légitime (art. 6.1.f RGPD). |
| Amélioration du service (analyse des erreurs techniques agrégées). | Intérêt légitime. |
| Communications de service (confirmations, alertes, ré-acceptation des CGU). | Exécution du contrat ; obligation légale. |
| Réponses à vos demandes RGPD et obligations de conformité. | Obligation légale. |
Nous n'effectuons à ce jour aucun envoi marketing ni profilage. Si nous souhaitons un jour vous adresser une newsletter, nous solliciterons préalablement votre consentement exprès.
4. Destinataires et sous-traitants
Vos données peuvent être communiquées aux destinataires suivants, dans la stricte limite de ce qui est nécessaire à la fourniture du service. Tous nos sous-traitants au sens de l'article 28 du RGPD sont liés par un contrat de traitement (DPA / clauses contractuelles).
4.1 Sous-traitants traitant les données utilisateurs
| Prestataire | Rôle | Localisation | Cadre transfert |
|---|---|---|---|
| xAI Corp. | Génération de contenus par modèles d'IA (Grok). Vos prompts et le contexte nécessaire à la génération sont transmis à xAI le temps de la requête. | États-Unis | Clauses Contractuelles Types (CCT) UE et/ou EU-US Data Privacy Framework |
| Stripe, Inc. | Traitement des paiements et gestion des abonnements ; collecte des données de carte directement par Stripe. | Irlande / États-Unis | CCT et certification Stripe au Data Privacy Framework |
| Brevo (ex-Sendinblue) | Envoi des emails transactionnels (confirmation, vérification, réinitialisation du mot de passe). | France / UE | Hébergement UE |
| Sentry, Inc. | Supervision des erreurs applicatives. Configuration sans PII par défaut. | États-Unis / Allemagne | CCT |
| Cloudflare, Inc. | Tunnel sécurisé, terminaison TLS, distribution des contenus statiques. Cloudflare voit l'adresse IP et le user-agent au moment des requêtes ; il ne conserve pas de profil utilisateur applicatif. | Réseau mondial / siège États-Unis | CCT et certification Data Privacy Framework |
4.2 Outils internes (pouvant accessoirement traiter des données)
Pour ses opérations internes, l'éditeur s'appuie également sur les services suivants. Ces outils ne reçoivent normalement pas vos contenus, mais peuvent en traiter occasionnellement à des fins de support, de débogage ou de documentation interne :
| Notion Labs, Inc. | Documentation interne, suivi des tâches. | États-Unis | CCT |
| Microsoft Corporation | Outils bureautiques internes, prises de notes. | UE / États-Unis | CCT |
| GitHub, Inc. | Hébergement du code source du service. | États-Unis | CCT |
| Anthropic, PBC | Assistant de développement (« Claude Code ») utilisé en interne par l'équipe d'ingénierie. Aucun contenu utilisateur de production ne lui est transmis dans le cadre nominal. | États-Unis | CCT |
4.3 Autorités
Vos données peuvent être communiquées à des autorités publiques (police, justice, administration fiscale) sur réquisition légale.
5. Transferts hors UE
Certains de nos sous-traitants (xAI, Stripe, Sentry, Cloudflare, Notion, Microsoft, GitHub, Anthropic) sont établis en dehors de l'Union européenne, principalement aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne, et le cas échéant par la certification au Data Privacy Framework pour les transferts vers des entreprises adhérentes.
6. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte actif et contenus associés | Tant que le compte est actif. |
| Compte supprimé sur demande | Suppression effective sous 30 jours après confirmation. |
| Données de facturation et factures | 10 ans (obligation comptable, art. L.123-22 Code de commerce). |
| Logs techniques et de sécurité | 12 mois maximum. |
| Preuve de consentement (acceptation des CGU/CGV) | Durée de la relation contractuelle + 5 ans. |
| Tickets de support | 3 ans après dernier échange. |
7. Vos droits
Vous disposez des droits suivants sur vos données personnelles :
- Accès et portabilité (art. 15 et 20 RGPD) : obtenir une copie de vos données dans un format lisible.
- Rectification (art. 16) : modifier des données inexactes depuis votre profil ou sur demande.
- Effacement (art. 17) : demander la suppression de votre compte et des données associées, sous réserve des obligations de conservation légale (facturation, logs de consentement).
- Limitation et opposition (art. 18 et 21) : restreindre certains traitements ou s'opposer à un traitement fondé sur l'intérêt légitime.
- Décision automatisée (art. 22) : nous ne mettons en œuvre aucune décision entièrement automatisée produisant des effets juridiques sur vous.
- Directives post-mortem : vous pouvez nous communiquer des directives sur le sort de vos données après votre décès.
Pour exercer ces droits, écrivez-nous à [email protected]. Nous pourrons vous demander un justificatif d'identité en cas de doute raisonnable. Une réponse vous sera apportée dans un délai d'un mois (prolongeable de deux mois en cas de demande complexe).
Bientôt en self-service. Nous mettons en place des outils accessibles depuis votre compte pour exporter vos données et supprimer votre compte sans intervention humaine. En attendant, contactez-nous par email — nous traitons les demandes en quelques jours ouvrés.
8. Cookies
Nous utilisons exclusivement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie de publicité, de mesure d'audience ou de profilage n'est déposé.
| Cookie | Finalité | Durée |
|---|---|---|
pillow_stories_sessionid | Authentification de session. | Session navigateur. |
csrftoken | Protection contre les attaques CSRF (Django). | 1 an. |
Ces cookies, étant strictement nécessaires au fonctionnement du service, ne nécessitent pas de consentement préalable au sens de l'article 82 de la loi Informatique et Libertés. Si nous intégrons un jour des outils tiers (analytics, etc.), une bannière de consentement sera mise en place avant leur activation.
9. Sécurité
Nous prenons des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement TLS en transit (Cloudflare), chiffrement des sauvegardes, mots de passe stockés sous forme hachée, contrôle d'accès strict, journalisation des actions sensibles, mise à jour régulière des dépendances, séparation environnement développement / production.
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans un délai de 72 heures et vous informerons individuellement si nécessaire, conformément aux articles 33 et 34 du RGPD.
10. Mineurs
Le service est strictement réservé aux personnes majeures (18 ans révolus). Nous ne collectons pas sciemment de données concernant des mineurs. Si vous estimez qu'un mineur a créé un compte, signalez-le sans délai à [email protected] ; nous procéderons à la suppression du compte et des données associées.
11. Réclamations CNIL
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
- Site web : www.cnil.fr
Nous vous invitons toutefois à nous contacter en premier lieu pour tenter de résoudre toute difficulté de manière amiable.
12. Modifications
Cette politique peut évoluer pour refléter des changements légaux, techniques ou organisationnels. La date de dernière mise à jour figure en haut de cette page. En cas de modification substantielle, vous serez informé par email et/ou par notification dans le service.
13. Contact
Pour toute question relative à vos données personnelles ou à cette politique : [email protected].