Politique de confidentialité

1. Introduction

SOUNDIA SAS, société éditrice du service PlaySafe (« nous », « notre », « nos »), dont le siège social est situé au 20 rue Martin Vinay, 26000 Valence (SIREN : 987 946 308), s'engage à protéger la vie privée de ses utilisateurs. Cette politique explique comment nous collectons, utilisons et protégeons vos données personnelles lorsque vous utilisez notre service de diffusion musicale destiné aux professionnels.

Le responsable de traitement est SOUNDIA SAS, représentée par son Président Raphaël de Bernardis. Pour toute question relative à vos données, vous pouvez écrire à dpo@playsafe.fm.

2. Données collectées

Nous pouvons collecter les données suivantes :

• Informations de compte : adresse email, identifiant, mot de passe chiffré, photo de profil le cas échéant.
• Informations professionnelles : raison sociale, numéro SIRET, adresse professionnelle, date de contrat SACEM le cas échéant.
• Données de paiement : traitées par notre prestataire Stripe. Nous ne stockons jamais les numéros de carte. Nous conservons uniquement un identifiant de client Stripe et le statut de l'abonnement.
• Données d'utilisation : playlists, historiques de lecture, préférences musicales, votes et suggestions, statistiques agrégées d'écoute.
• Données techniques : type d'appareil, système d'exploitation, adresse IP, logs d'accès.
• Support : messages envoyés à notre équipe via le formulaire de contact ou la page support intégrée à l'application, ainsi que les conversations email subséquentes.
• Studio annonces (utilisateurs concernés) : textes que vous soumettez à notre éditeur d'annonces sonores, sélection de voix de synthèse, fichiers audio générés.

3. Utilisation des données

Les données sont utilisées pour :

• Fournir et exploiter le service PlaySafe (lecture musicale, gestion des playlists, génération d'annonces).
• Gérer les comptes utilisateurs et l'authentification.
• Traiter vos paiements et abonnements.
• Vous répondre lorsque vous nous contactez via le support.
• Améliorer l'expérience et la qualité du service.
• Répondre aux obligations légales applicables.
• Assurer la sécurité et prévenir les abus (rate-limiting, anti-bot Turnstile).

4. Base légale

Les traitements reposent sur :

• L'exécution du contrat (gestion du compte, fourniture du service, traitement des paiements).
• Les obligations légales applicables (facturation, comptabilité, conservation imposée par la loi).
• L'intérêt légitime (sécurité, amélioration du service, défense en justice).
• Le consentement, lorsque requis (cookies de mesure d'audience, communications marketing).

5. Sous-traitants et partage des données

PlaySafe ne vend jamais les données personnelles. Les données peuvent être traitées par les sous-traitants suivants, tous engagés par contrat à respecter le RGPD :

• Supabase (Singapour, données hébergées en Union européenne / Irlande) : base de données, authentification, stockage des fichiers audio. Sous-traitant principal.
• Vercel (États-Unis, edge nodes mondiaux) : hébergement du site et de l'application. Couvert par les clauses contractuelles types CE.
• Resend (États-Unis) : envoi des emails transactionnels (bienvenue, support, réinitialisation de mot de passe). Couvert par les clauses contractuelles types CE.
• Stripe (Irlande / États-Unis) : traitement des paiements. PCI-DSS niveau 1.
• ElevenLabs (États-Unis) : synthèse vocale pour le Studio annonces. Vos textes soumis sont envoyés à leur API pour générer l'audio. Couvert par les clauses contractuelles types CE. Utilisateurs concernés uniquement.
• Bunny CDN (Slovénie, Union européenne) : diffusion des fichiers audio.
• Cloudflare Turnstile (États-Unis) : protection anti-bot du formulaire de contact public. Aucune donnée personnelle transmise au-delà de l'IP et du contexte du challenge.
• Google (Analytics 4) et Microsoft (Clarity) : mesure d'audience, uniquement après consentement explicite (voir section 9).
• Les autorités compétentes, lorsque la loi l'exige (réquisition judiciaire, obligation comptable).

Pour les transferts hors Union européenne, nous nous appuyons sur les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) et, le cas échéant, sur des mesures supplémentaires (chiffrement en transit et au repos).

6. Sécurité

Nous mettons en œuvre des mesures adaptées :

• Chiffrement HTTPS/TLS sur l'ensemble des échanges.
• Mots de passe stockés sous forme chiffrée (algorithme bcrypt, géré par Supabase Auth).
• Politiques d'accès au niveau base de données (Row Level Security).
• Hébergement principal en Union européenne (Irlande).
• Rate-limiting et challenge anti-bot Turnstile sur les surfaces publiques sensibles.
• Logs d'audit sur les opérations d'authentification.

7. Durées de conservation

• Données de compte actif : tant que le compte est ouvert.
• Données de compte clos : supprimées dans un délai de 30 jours après la demande de suppression, à l'exception des données soumises à conservation légale.
• Données de facturation : 10 ans (article L123-22 du Code de commerce).
• Conversations support : 3 ans à compter du dernier échange, ou jusqu'à la suppression du compte si elle intervient avant.
• Logs techniques (accès, sécurité) : 12 mois maximum.
• Données du Studio annonces (textes et audios générés) : tant que le projet existe dans votre compte. Vous pouvez supprimer un projet à tout moment.
• Cookies de mesure d'audience : 14 mois (Google Analytics 4) et 90 jours (Microsoft Clarity).

8. Droits des utilisateurs

Conformément au RGPD, vous disposez des droits suivants :

• Accès à vos données.
• Rectification de données inexactes.
• Effacement (« droit à l'oubli »).
• Limitation du traitement.
• Opposition au traitement fondé sur l'intérêt légitime.
• Portabilité de vos données dans un format structuré.
• Retrait du consentement à tout moment, sans que cela n'affecte la licéité des traitements antérieurs.

Pour exercer ces droits, écrivez-nous à dpo@playsafe.fm ou via notre formulaire de contact. Nous répondons sous un mois maximum (article 12 RGPD).

9. Cookies et mesure d'audience

PlaySafe utilise deux catégories de cookies, chacune nécessitant votre consentement explicite sauf la première :

• Nécessaires (toujours actifs) : cookies techniques indispensables au fonctionnement du site, comme la session authentifiée, la mémorisation de vos préférences de consentement, la sécurité contre les attaques CSRF. Ils ne collectent aucune donnée à des fins marketing.
• Mesure d'audience (consentement requis) :
  • Google Analytics 4, avec IP anonymisée, pour mesurer la fréquentation du site et comprendre quelles pages intéressent nos visiteurs. Durée de conservation : 14 mois. Finalité : amélioration de l'expérience et du contenu.
  • Microsoft Clarity, pour identifier les frictions dans le parcours via des heatmaps et des enregistrements d'écran anonymisés (aucune saisie clavier enregistrée). Durée de conservation : 90 jours. Finalité : amélioration ergonomique.
  Ces deux outils reposent sur la base juridique du consentement (article 82 loi Informatique et Libertés). Aucune donnée n'est revendue à des tiers.
• Personnalisation (consentement requis) : mémorisation de vos préférences de navigation (ex. dernière ville consultée, type de commerce) pour vous proposer des contenus plus pertinents. Durée de conservation : 13 mois. Aucun profilage commercial.

Vous pouvez à tout moment modifier ou retirer votre consentement via le lien Gérer mes cookies présent en bas de chaque page. Le retrait est aussi simple que l'acceptation, conformément à la recommandation CNIL du 17 septembre 2020.

10. Système de support par email

Lorsque vous nous contactez via le formulaire de contact ou la page support intégrée :

• Votre adresse email et le contenu de votre message sont enregistrés dans notre base de données pour permettre le suivi du ticket.
• Une notification est envoyée à notre équipe via Resend avec votre email en « Reply-To », afin que la réponse arrive directement dans votre boîte mail.
• Les échanges suivants se font de boîte mail à boîte mail. Nous ne capturons que le premier message dans notre système ; les réponses ultérieures restent privées entre vous et notre équipe.
• Pour les visiteurs anonymes, le formulaire de contact est protégé par Cloudflare Turnstile, qui collecte uniquement les signaux nécessaires à la détection de bots.

11. Studio annonces (synthèse vocale)

Si vous utilisez la fonctionnalité Studio annonces pour générer des messages commerciaux à partir de texte :

• Le texte que vous soumettez est transmis à ElevenLabs (États-Unis) via leur API pour générer l'audio.
• Les fichiers audio générés sont stockés dans notre base de données sécurisée (Supabase Storage, Union européenne).
• Vous pouvez supprimer un projet à tout moment, ce qui supprime également les fichiers audio associés.
• ElevenLabs s'engage contractuellement à ne pas utiliser vos textes pour entraîner ses modèles.

12. Modifications

Cette politique peut être mise à jour. La date de mise à jour figure en haut de la page. Pour les modifications substantielles, nous notifierons les utilisateurs actifs par email.

13. Contact

• Support : https://playsafe.fm/contact ou directement support@playsafe.fm
• Données personnelles / DPO : dpo@playsafe.fm
• Adresse postale : Soundia SAS – 20 rue Martin Vinay, 26000 Valence, France
• Réclamation auprès de la CNIL : https://www.cnil.fr