Politique de confidentialité

Nous ne collectons que ce qui est nécessaire. La collecte est progressive, étape par étape de l'onboarding :

• Inscription créateur (étape 1)Email, mot de passe ou jeton OAuth (Discord), langue préférée, acceptation des CGU avec horodatage et adresse IP. Objectif : ouvrir ton compte et t'authentifier. Aucune donnée fiscale ou bancaire à ce stade.
• Données DAC7 créateur (étape 2, au premier gain)Prénom, nom, date de naissance, lieu de naissance, nationalité, pays de résidence fiscale, adresse complète, téléphone, numéro d'identification fiscale (TIN / SIRET / équivalent étranger), numéro de TVA le cas échéant, IBAN. Objectif : déclaration fiscale DAC7 (directive 2021/514), émission de factures (article 242 nonies A de l'annexe II au Code général des impôts).
• Finalisation Stripe créateur (étape 3)Pièce d'identité (KYC collecté et conservé directement par Stripe, pas par Swiplay), selfie, adresse complète, statut fiscal. Objectif : ouvrir ton compte Stripe Connect Express pour pouvoir te payer.
• Onboarding studioRaison sociale, nom commercial, SIRET / numéro d'immatriculation / numéro de TVA, pays, adresse complète, site web, représentant légal (nom, fonction, email, téléphone, LinkedIn). Objectif : vérification KYB via SIRENE et VIES, conformité à la directive anti-blanchiment (AMLD), émission de factures.
• Données techniquesAdresse IP, user agent, logs de session, horodatages de consentement, événements de sécurité. Objectif : sécurité du compte, prévention de la fraude, preuve du consentement (article 7.1 RGPD).
• Statistiques plateformes sociales (créateurs)Swiplay lit les statistiques publiques (vues, likes, commentaires) des vidéos que tu publies dans le cadre des campagnes, via les API publiques mises à disposition par les plateformes sociales ou via des outils internes de tracking. Aucune donnée privée du compte n'est consultée. Voir la section 4 pour le détail.

• Faire fonctionner la plateforme (compte, authentification, participation aux campagnes, calcul des gains) : exécution du contrat (article 6.1.b RGPD).
• Traitement des paiements et mandat d'auto-facturation : exécution du contrat et obligation légale (articles 6.1.b et 6.1.c RGPD ; article 242 nonies A de l'annexe II au Code général des impôts).
• Déclaration fiscale DAC7 : obligation légale (directive UE 2021/514, article 1649 ter A du Code général des impôts).
• Lutte contre le blanchiment (vérifications KYC / KYB, surveillance des transactions suspectes) : obligation légale (directive UE 2015/849 AMLD).
• Prévention de la fraude et sécurité de la plateforme : intérêt légitime (article 6.1.f RGPD).
• Newsletters produit et emails marketing : consentement (article 6.1.a RGPD), opt-in uniquement, révocable à tout moment depuis tes paramètres.

Les durées de conservation varient selon les catégories :

• Données fiscales / DAC75 ans à compter de l'année de référence de la déclaration (obligation DAC7), y compris après suppression du compte. Cette conservation prime sur le droit à l'effacement.
• Données comptables / facturation10 ans (article L123-22 du Code de commerce).
• Données marketing3 ans à compter de la dernière interaction (ouverture, clic, connexion) si tu as opté-in ; effacement immédiat en cas d'opt-out.
• Logs et événements de sécurité1 an.
• Registre des consentementsConservé pendant 3 ans après le dernier consentement, afin de démontrer la conformité à l'article 7.1 RGPD.

Nous ne partageons tes données qu'avec des sous-traitants soigneusement sélectionnés ou des autorités publiques :

• Stripe Technology Europe Limited (Irlande)Traitement des paiements, safeguarding, KYC. L'Irlande est un État membre de l'UE (le RGPD s'applique directement). Une partie de la vérification d'identité peut être traitée aux États-Unis par Stripe Inc. dans le cadre du Data Privacy Framework UE-US (DPF).
• Hébergement : Netcup GmbH (Allemagne)Hébergement de l'application et de la base de données dans l'UE.
• Stockage média : MinIO (auto-hébergé en Allemagne)Stockage objet (compatible S3) pour les logos studios, les assets de campagnes, les captures vidéo et les archives d'export RGPD. Auto-hébergé sur l'infrastructure Netcup GmbH (Allemagne). Aucun transfert hors UE ; pas de sous-traitant tiers : exploitation interne par Swiplay.
• Envoi d'email : Resend (région UE) et Discord Inc. (États-Unis)Resend gère l'email transactionnel en région UE. Discord (OAuth) transfère des données vers les États-Unis dans le cadre du Data Privacy Framework UE-US.
• Discord Inc. (États-Unis) : authentification OAuth (créateurs, studios, admins)L'OAuth Discord est proposé comme méthode de connexion alternative pour tous les types de comptes (créateurs, studios, admins). Données transférées : identifiant Discord, adresse e-mail, URL d'avatar, drapeau email vérifié. Base de transfert : Data Privacy Framework UE-US (DPF) complété, à titre subsidiaire, par les clauses contractuelles types (décision d'exécution 2021/914 de la Commission du 4 juin 2021). DPA : conditions de service Discord Developer.
• Récupération des statistiques publiques de vos vidéosSwiplay récupère automatiquement les statistiques publiques (vues, likes, commentaires) des vidéos que vous publiez dans le cadre des campagnes, via les API publiques mises à disposition par les plateformes sociales ou via des outils internes de tracking. Aucune donnée privée de votre compte n'est consultée.
• Functional Software Inc. / Sentry (États-Unis) : monitoring des erreursMonitoring des erreurs navigateur (opt-in uniquement via la bannière de consentement). La surveillance côté serveur fonctionne sur la base de l'intérêt légitime (art. 6.1.f RGPD). Peut capturer des traces et des données d'environnement navigateur ; l'anonymisation des données personnelles est activée. Base de transfert : clauses contractuelles types (UE 2021/914) + mesures complémentaires. DPA : sentry.io/legal.
• Pennylane SAS (France) : comptabilitéPlateforme de comptabilité utilisée pour les factures studios, les auto-factures (mandat « 2 du I de l'article 289 du CGI ») et les écritures comptables. Données transférées : raison sociale, SIREN, montants des factures, coordonnées bancaires partielles. Base de transfert : la France est un État membre de l'UE : le RGPD s'applique directement. DPA : accord de sous-traitance article 28 RGPD signé.
• Calendly LLC (États-Unis) : outil de prise de rendez-vous (onboarding studio)Le widget Calendly est intégré sur la page d'attente studio (/studio/pending) pour permettre aux studios en attente de réserver un appel d'onboarding. L'adresse e-mail du studio est pré-remplie dans le widget. Données transférées : adresse e-mail, créneau de rendez-vous, métadonnées navigateur/fuseau horaire. Base de transfert : Data Privacy Framework UE-US (DPF) : Calendly est certifié. DPA : disponible sur calendly.com/pages/dpa : doit être signé avant la mise en production.
• Autorités publiques françaisesDéclaration DAC7 annuelle au format XML (DPI) transmise à impots.gouv.fr avant le 31 janvier de chaque année. La validation du SIRET/SIREN lors de l'onboarding studio est effectuée via l'API publique INSEE/SIRENE (recherche-entreprises.api.gouv.fr) : il s'agit d'une API gouvernementale publique ; aucun DPA art. 28 n'est requis, mais le SIRET constitue une donnée personnelle pour les auto-entrepreneurs.

Transferts hors UE : lorsque nous transférons des données personnelles hors de l'UE, nous nous appuyons soit sur une décision d'adéquation (Data Privacy Framework UE-US) soit sur les clauses contractuelles types approuvées par la Commission européenne. La liste complète des sous-traitants avec leur base de transfert est disponible sur demande à contact@swiplay.com.

Au titre du RGPD tu disposes des droits suivants, exerçables à contact@swiplay.com :

• Accès : obtenir une copie des données que nous détenons sur toi.
• Rectification : correction de données inexactes.
• Effacement : suppression de ton compte et des données encore détenues ; limité par les obligations de conservation DAC7 et comptables énoncées en section 3 (nous conservons le minimum légal pour la durée légale).
• Portabilité : export structuré des données que tu as fournies.
• Opposition : au traitement fondé sur notre intérêt légitime.
• Limitation : gel temporaire du traitement pendant le règlement d'un litige.
• Réclamation : tu peux introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de l'autorité de contrôle de ton pays de résidence.

Nous répondons aux demandes dans un délai d'un mois, prorogeable une fois de deux mois pour les demandes complexes (article 12.3 RGPD).

Le site n'utilise que les cookies strictement nécessaires au fonctionnement du service : cookie de session (NextAuth), protection CSRF, préférence de langue. Aucun cookie publicitaire, analytique ou de tracking n'est déposé.

Cookies et traceurs

Cookies essentiels (sans consentement requis) : session d'authentification, jeton CSRF, préférence de langue. Ces cookies sont nécessaires au fonctionnement du service et ne peuvent pas être désactivés.

Cookies analytiques (Sentry, opt-in) : lorsque tu acceptes via la bannière de consentement, Sentry capture les erreurs navigateur non gérées afin que nous corrigions les bugs plus vite. La surveillance des erreurs côté serveur fonctionne en permanence sur la base de l'intérêt légitime (art. 6.1.f RGPD) car elle surveille la plateforme, pas le visiteur.

Tu peux modifier ta décision à tout moment en effaçant le cookie swiplay-cookie-consent ou en contactant contact@swiplay.com.

Nous pouvons mettre à jour la présente politique. Toute modification substantielle fait l'objet d'un email d'annonce et exige un nouveau consentement à ta prochaine connexion.