Politique de confidentialité

Document provisoire — à mettre à jour après immatriculation définitive de Sprokk SAS.

1. Responsable du traitement et référent vie privée

Responsable du traitement : Sprokk SAS, société en cours d'immatriculation, 91 rue d'Elbeuf, 80000 Amiens, France.

Référent vie privée : Mallaury Soutif. Contact : privacy@sprokk.com (à défaut : contact@sprokk.com).

Sprokk n'est pas tenue de désigner un DPO au sens de l'article 37 du RGPD, son activité ne relevant ni d'un traitement à grande échelle de catégories particulières de données, ni d'un suivi régulier et systématique à grande échelle.

2. Données collectées

Dans le cadre de l'utilisation du Service, les données suivantes sont traitées :

• Données d'identification: adresse e-mail, nom d'affichage et photo de profil, fournis via Google OAuth (mode d'authentification unique au MVP).
• Données de contenu: vidéos uploadées, transcriptions audio, captures visuelles temporaires, publications générées par l'IA.
• Données d'usage: historique des traitements, solde de crédits, statut d'abonnement, comportement de navigation collecté via PostHog Cloud EU sous réserve du consentement de l'Utilisateur.
• Données techniques et logs: adresse IP, type de navigateur, système d'exploitation, logs de connexion (Vercel), logs applicatifs (Supabase), traces d'audit des actions sensibles (table audit_log).
• Données de connexion OAuth: jetons d'accès aux plateformes sociales, chiffrés via Supabase Vault (pgsodium) et jamais exposés côté client.
• Données de facturation: identifiant client Stripe, statut d'abonnement, historique des transactions. Aucune donnée bancaire n'est stockée par Sprokk.

3. Finalités et bases légales

4. Destinataires des données (sous-traitants)

Les données sont traitées par les sous-traitants suivants, liés à Sprokk par des accords conformes à l'article 28 du RGPD :

• Vercel Inc.— hébergement de l'application Next.js, infrastructure edge avec serveurs régionaux en Europe (Francfort). Certifié Data Privacy Framework.
• Supabase Inc. — base de données PostgreSQL, stockage des fichiers vidéo et coffre de jetons OAuth. Données hébergées en région EU-Frankfurt (AWS eu-central-1, Allemagne).
• Stripe Payments Europe Ltd. — traitement sécurisé des paiements et gestion de la TVA (Stripe Tax). Certifié PCI-DSS niveau 1 et Data Privacy Framework.
• Anthropic PBC— analyse multimodale et génération des publications via l'API Claude (modèle Sonnet). Politique Zero Data Retention contractuelle. Certifié Data Privacy Framework.
• Deepgram Inc.— transcription audio des vidéos via l'API Deepgram (modèle Nova-3). Politique Zero Data Retention contractuelle. Certifié Data Privacy Framework.
• Google LLC— authentification OAuth et publication sur YouTube Shorts (sur autorisation explicite de l'Utilisateur). Certifié Data Privacy Framework.
• Meta Platforms Ireland Ltd.— publication sur Instagram Reels (sur autorisation explicite de l'Utilisateur).
• ByteDance Ltd. (TikTok)— publication sur TikTok (sur autorisation explicite de l'Utilisateur).
• PostHog Inc.— mesure d'audience via l'instance PostHog Cloud EU (données hébergées en Europe). Activé uniquement après consentement de l'Utilisateur.
• Resend Inc.— envoi des e-mails transactionnels (confirmation d'inscription, notifications de publication).
• OVHcloud SAS — enregistrement et gestion du nom de domaine sprokk.com. Siège social en France.

5. Durée de conservation

• Vidéos uploadées et captures visuelles : supprimées définitivement 24 heures après publication réussie ou 24 heures après suppression du compte.
• Transcriptions et publications générées : conservées jusqu'à la suppression du compte, puis supprimées sous 24 heures.
• Données de compte (profil, préférences) : pendant toute la durée de la relation contractuelle, puis archivées 3 ans maximum pour la défense d'éventuelles réclamations contentieuses.
• Données de facturation : 10 ans conformément aux obligations comptables françaises (article L123-22 du Code de commerce).
• Jetons OAuth chiffrés : conservés tant que la connexion sociale est active, révoqués à la déconnexion ou à la suppression du compte.
• Logs applicatifs (Vercel, Supabase) : 30 jours glissants maximum.
• Traces d'audit des actions sensibles : 12 mois glissants.
• Données analytiques (PostHog) : 12 mois glissants après la dernière activité.

6. Droits des personnes concernées (RGPD)

Conformément au Règlement (UE) 2016/679 (RGPD), vous disposez des droits suivants :

• Droit d'accès à vos données personnelles.
• Droit de rectification des données inexactes.
• Droit à l'effacement (droit à l'oubli).
• Droit à la portabilité de vos données.
• Droit d'opposition au traitement fondé sur l'intérêt légitime.
• Droit à la limitation du traitement.
• Droit de retirer votre consentement à tout moment, sans effet rétroactif.

Ces droits s'exercent depuis les paramètres de votre compte ou par e-mail à contact@sprokk.com. Sprokk s'engage à répondre dans un délai maximum de 30 jours. En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).

7. Cookies

Sprokk utilise deux catégories de cookies :

• Cookies strictement nécessaires: indispensables au fonctionnement du Service et à la sécurisation des sessions d'authentification. Déposés sans consentement préalable, conformément à l'article 82 de la loi Informatique et Libertés.
• Cookies de mesure d'audience (PostHog Cloud EU): utilisés pour comprendre l'usage du Service. Déposés uniquement après recueil du consentement explicite via le bandeau de consentement affiché à la première visite.

Aucun cookie publicitaire, de traçage cross-site ou de profilage tiers n'est déposé par Sprokk. Le retrait du consentement n'a aucune incidence sur l'accès aux fonctionnalités du Service.

8. Transferts hors Union européenne

Certains sous-traitants (Vercel, Anthropic, Deepgram, Google, PostHog, ByteDance) sont établis aux États-Unis ou hors Union européenne. Stripe est traité via son entité européenne (Stripe Payments Europe Ltd., Irlande). Les transferts hors UE sont encadrés par :

• Les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne, conformément à l'article 46 du RGPD ;
• Le Data Privacy Framework (DPF) UE-États-Unis, validé par la Commission européenne en juillet 2023, pour les sous-traitants américains certifiés ;
• Des mesures techniques complémentaires (chiffrement au repos et en transit, minimisation des données transférées, contrats Zero Data Retention pour les fournisseurs IA).

9. Sécurité

Sprokk met en œuvre les mesures suivantes pour protéger vos données :

• Chiffrement au repos des jetons OAuth via Supabase Vault (pgsodium) — jamais exposés côté client.
• Contrôle d'accès strict par Row-Level Security (RLS) : un Utilisateur ne peut accéder qu'à ses propres données.
• Connexions chiffrées TLS 1.2+ entre le client, les serveurs Sprokk et l'ensemble des sous-traitants.
• Suppression automatique des vidéos sources 24 heures après publication.
• Idempotence garantie sur tous les événements entrants (webhooks de paiement, callbacks de plateforme).
• Aucune donnée de carte bancaire stockée sur les serveurs de Sprokk (traitement exclusif par Stripe, certifié PCI-DSS niveau 1).

En cas de violation de données à caractère personnel, Sprokk s'engage à notifier la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD, et à informer les Utilisateurs concernés sans délai injustifié.

10. Support client

Le support client est assuré par e-mail à contact@sprokk.com. Les données échangées dans le cadre du support sont traitées uniquement aux fins de répondre aux demandes des utilisateurs et sont conservées 2 ans.

11. Modifications de la politique de confidentialité

Sprokk se réserve le droit de modifier la présente politique à tout moment. L'Utilisateur sera informé de toute modification substantielle (ajout d'un sous-traitant, nouvelle finalité, modification des durées de conservation) par e-mail avec un préavis minimum de 15 jours. La version en vigueur est toujours accessible à l'adresse : https://www.sprokk.com/legal/privacy.