Politique de Confidentialité

Version 1.0 — En vigueur au 10 mai 2025

Conformément au Règlement (UE) 2016/679 (RGPD) et à la Loi Informatique et Libertés modifiée

Responsable du traitement : Creatrix — contact@creatrix.fr

DPO : dpo@creatrix.fr

Autorité de contrôle : CNIL (Commission Nationale de l'Informatique et des Libertés)

1. Données collectées et finalités

1.1 Données collectées lors de l'inscription

Identité : Nom, prénom, date de naissance
Contact : Adresse e-mail, numéro de téléphone
Documents d'identité : Scan/photo de pièce d'identité, selfie avec document — finalité : vérification KYC uniquement, données strictement confidentielles
Profil : Pseudo, photo de profil, biographie (données publiques volontairement partagées)

1.2 Données collectées pour les Créatrices uniquement

Bancaires : IBAN/BIC pour les virements de revenus — chiffrées, jamais partagées
Fiscales : Informations nécessaires à l'IFU annuel

1.3 Données de navigation

Adresse IP, type de navigateur, système d'exploitation
Pages visitées, durée de visite, actions sur la plateforme
Données de logs de connexion

1.4 Données de transactions

Historique des abonnements et achats
Données de paiement traitées par Stripe — Creatrix ne stocke pas les données de carte complètes

2. Base légale des traitements

Exécution du contrat (Art. 6.1.b RGPD) : Données nécessaires à la fourniture du service
Obligation légale (Art. 6.1.c RGPD) : KYC (vérification d'âge), obligations fiscales
Intérêt légitime (Art. 6.1.f RGPD) : Sécurité, lutte contre la fraude, protection du contenu
Consentement (Art. 6.1.a RGPD) : Cookies non essentiels, communications marketing

3. Confidentialité des documents d'identité

Les documents d'identité collectés lors de la vérification KYC sont :

Chiffrés avec AES-256 dès leur réception
Stockés sur des serveurs sécurisés en France, isolés du reste de la plateforme
Accessibles uniquement à l'équipe de conformité sous accord de confidentialité
Jamais partagés, vendus ou transmis à des tiers (sauf obligation légale)
Supprimés dans les 30 jours suivant la validation du compte
Les numéros de pièce d'identité sont conservés chiffrés pendant 5 ans à des fins de conformité légale

4. Partage des données

Creatrix peut partager certaines données avec :

Prestataires de paiement (Stripe) : Pour le traitement des transactions
Hébergeur (Supabase/Railway) : Pour l'hébergement des données (serveurs en UE)
Autorités compétentes : En cas d'obligation légale (autorités judiciaires, fiscales, CNIL)

Creatrix ne vend jamais les données personnelles de ses utilisateurs à des tiers.

5. Durées de conservation

Données de compte actif : Pendant toute la durée de l'utilisation du service
Documents KYC : 30 jours après validation, puis suppression (numéro conservé 5 ans)
Données de transaction : 10 ans (obligation légale comptable)
Logs de sécurité : 1 an
Données après suppression de compte : 30 jours, puis suppression définitive

6. Vos droits (RGPD)

Droit d'accès (Art. 15) Obtenir une copie de vos données personnelles

Droit de rectification (Art. 16) Corriger vos données inexactes

Droit à l'effacement (Art. 17) Supprimer vos données (sous réserve des obligations légales)

Droit à la portabilité (Art. 20) Recevoir vos données dans un format structuré

Droit à la limitation (Art. 18) Limiter le traitement de vos données

Droit d'opposition (Art. 21) Vous opposer au traitement fondé sur l'intérêt légitime

Pour exercer vos droits : dpo@creatrix.fr — Réponse sous 30 jours.

En cas de réponse insatisfaisante, vous pouvez saisir la CNIL : www.cnil.fr

7. Cookies

7.1 Cookies essentiels (sans consentement requis)

Session d'authentification (JWT token)
Préférences de sécurité
Transactions en cours

7.2 Cookies soumis à consentement

Cookies analytiques (mesure d'audience anonymisée)
Cookies de performance

8. Sécurité des données

Chiffrement SSL/TLS de toutes les communications
Chiffrement AES-256 des données sensibles au repos
Authentification JWT sécurisée
Row Level Security (RLS) activé sur la base de données
Mots de passe hachés avec bcrypt
Politique d'accès aux données minimisée

9. Transferts hors UE

Creatrix s'engage à traiter vos données au sein de l'Union Européenne. En cas de transfert vers un pays tiers, celui-ci sera encadré par des garanties appropriées (clauses contractuelles types de la Commission européenne).

10. Notification des violations de données

En cas de violation de données à caractère personnel pouvant engendrer un risque pour vos droits et libertés, Creatrix s'engage à :

Notifier la CNIL dans les 72 heures
Vous informer dans les meilleurs délais si le risque est élevé

11. Contact DPO

Email DPO : dpo@creatrix.fr

Autorité de contrôle : CNIL — 3 Place de Fontenoy, 75007 Paris — www.cnil.fr