Politique de Confidentialité (RGPD)
1. Responsable du traitement
- JD_Shop – Micro-entreprise
- 3 impasse de Bourgogne, 37000 Tours
- contact : contact@creatikk.io
2. Données collectées
Creatikk collecte uniquement les données nécessaires au fonctionnement du service :
- email, prénom, identifiants
- données de connexion (IP abrégée, logs)
- vidéos importées, contenus générés
- données analytiques (cookies avec consentement)
- si vous connectez un compte Google : informations de profil de base (email, nom) et données YouTube décrites à la section 5
3. Finalités
- fournir et améliorer le service
- prévenir les abus
- gestion de compte et facturation
- communication produit (si consentement)
4. Partage, transfert et divulgation des données
Creatikk ne vend, ne loue et n'échange aucune donnée personnelle. Vos données ne sont partagées qu'avec les sous-traitants strictement nécessaires au fonctionnement du service, qui agissent sur nos instructions et sont liés par des accords de traitement des données :
- Hébergement de l'application : Vercel (USA)
- Base de données et stockage des médias : Supabase (PostgreSQL)
- Paiement : Stripe (le cas échéant)
- Analytics : si accepté (ex : Google Analytics)
Vos vidéos ou contenus ne sont publiés sur une plateforme tierce (YouTube, TikTok, Instagram…) que lorsque vous en faites explicitement la demande.
Nous pouvons divulguer des données si la loi l'exige (demande d'une autorité judiciaire ou administrative compétente). En cas de fusion ou d'acquisition, les utilisateurs seraient informés avant tout transfert de leurs données.
5. Données utilisateur Google (API Google / YouTube)
Si vous vous connectez avec Google ou liez votre chaîne YouTube, Creatikk accède aux données suivantes via les API Google :
- informations de profil de base : adresse email et nom
- informations de votre chaîne YouTube en lecture seule (nom de la chaîne, statut, vidéos publiées) — pour afficher votre compte connecté et l'état de vos publications
- publication de vidéos sur votre chaîne YouTube — uniquement à votre demande explicite
Ces données ne sont jamais vendues, ne sont pas utilisées à des fins publicitaires et ne sont partagées avec aucun tiers, à l'exception de nos sous-traitants d'hébergement listés à la section 4 (stockage technique uniquement) et des cas de divulgation exigés par la loi. Aucun humain ne lit ces données, sauf avec votre consentement explicite, pour des raisons de sécurité, ou pour se conformer à la loi.
L'utilisation par Creatikk des informations reçues des API Google est conforme à la Google API Services User Data Policy, y compris les exigences de « Limited Use » (utilisation limitée).
Vous pouvez révoquer l'accès de Creatikk à vos données Google à tout moment en déconnectant votre compte depuis le tableau de bord (les jetons sont alors révoqués auprès de Google et supprimés) ou via les paramètres de sécurité de votre compte Google.
6. Sous-traitants
- Hébergement : Vercel (USA) — clauses contractuelles protectrices
- Base de données et stockage média : Supabase
- Paiement : Stripe (le cas échéant)
- Analytics : si accepté (ex : Google Analytics)
7. Durée de conservation
- Données de compte : tant que le compte est actif
- Vidéos uploadées : durée nécessaire au service / suppression sur demande
- Jetons d'accès Google/YouTube : tant que le compte est connecté ; supprimés et révoqués dès la déconnexion du compte
- Cookies : selon durée standard des outils utilisés
8. Droits des utilisateurs
- ☑️ Droit d'accès
- ☑️ Droit de rectification
- ☑️ Droit à l'effacement
- ☑️ Retrait du consentement marketing
- ☑️ Révocation de l'accès aux comptes connectés (Google, etc.)
contact : contact@creatikk.io
9. Sécurité et protection des données sensibles
Creatikk met en œuvre les mécanismes suivants pour protéger vos données, en particulier les données sensibles telles que les jetons d'accès aux API Google :
- Chiffrement en transit : toutes les communications utilisent HTTPS/TLS
- Chiffrement au repos : les jetons OAuth (Google/YouTube et autres plateformes) sont chiffrés avec l'algorithme AES-256-GCM avant tout stockage en base de données
- Contrôle d'accès strict : les données sont cloisonnées par utilisateur (row-level security) et ne sont accessibles qu'aux personnes autorisées, selon le principe du moindre privilège
- Clés et secrets stockés dans des variables d'environnement sécurisées, jamais dans le code source
- Révocation et suppression des jetons d'accès dès la déconnexion d'un compte connecté
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL et les utilisateurs concernés conformément au RGPD.
10. Transfert hors UE
Certains traitements peuvent être effectués aux États-Unis par Vercel ou Stripe.
Ces transferts sont encadrés juridiquement (clauses contractuelles types).