Politique de confidentialité

Nous ne collectons que ce qui est nécessaire. La collecte est progressive, étape par étape de l'onboarding :

• Inscription créateur (étape 1)Email, mot de passe ou jeton OAuth (Discord), langue préférée, acceptation des CGU avec horodatage et adresse IP. Objectif : ouvrir ton compte et t'authentifier. Aucune donnée fiscale ou bancaire à ce stade.
• Données DAC7 créateur (étape 2, au premier gain)Prénom, nom, date de naissance, lieu de naissance, nationalité, pays de résidence fiscale, adresse complète, téléphone, numéro d'identification fiscale (TIN / SIRET / équivalent étranger), numéro de TVA le cas échéant, IBAN. Objectif : déclaration fiscale DAC7 (directive 2021/514), émission de factures (article 242 nonies A de l'annexe II au Code général des impôts).
• Finalisation Stripe créateur (étape 3)Pièce d'identité (KYC collecté et conservé directement par Stripe, pas par Swiplay), selfie, adresse complète, statut fiscal. Objectif : ouvrir ton compte Stripe Connect Express pour pouvoir te payer.
• Onboarding studioRaison sociale, nom commercial, SIRET / numéro d'immatriculation / numéro de TVA, pays, adresse complète, site web, représentant légal (nom, fonction, email, téléphone, LinkedIn). Objectif : vérification KYB via SIRENE et VIES, conformité à la directive anti-blanchiment (AMLD), émission de factures.
• Données techniquesAdresse IP, user agent, logs de session, horodatages de consentement, événements de sécurité. Objectif : sécurité du compte, prévention de la fraude, preuve du consentement (article 7.1 RGPD).
• Statistiques plateformes sociales (créateurs)Swiplay lit les statistiques publiques (vues, likes, commentaires) des vidéos que tu publies dans le cadre des campagnes, via les API publiques mises à disposition par les plateformes sociales ou via des outils internes de tracking. Aucune donnée privée du compte n'est consultée. Voir la section 4 pour le détail.

• Faire fonctionner la plateforme (compte, authentification, participation aux campagnes, calcul des gains) : exécution du contrat (article 6.1.b RGPD).
• Traitement des paiements et mandat d'auto-facturation : exécution du contrat et obligation légale (articles 6.1.b et 6.1.c RGPD ; article 242 nonies A de l'annexe II au Code général des impôts).
• Déclaration fiscale DAC7 : obligation légale (directive UE 2021/514, article 1649 ter A du Code général des impôts).
• Lutte contre le blanchiment (vérifications KYC / KYB, surveillance des transactions suspectes) : obligation légale (directive UE 2015/849 AMLD).
• Prévention de la fraude et sécurité de la plateforme : intérêt légitime (article 6.1.f RGPD).
• Newsletters produit et emails marketing : consentement (article 6.1.a RGPD), opt-in uniquement, révocable à tout moment depuis tes paramètres.

Les durées de conservation varient selon les catégories :

• Données fiscales / DAC75 ans à compter de l'année de référence de la déclaration (obligation DAC7), y compris après suppression du compte. Cette conservation prime sur le droit à l'effacement.
• Données comptables / facturation10 ans (article L123-22 du Code de commerce).
• Données marketing3 ans à compter de la dernière interaction (ouverture, clic, connexion) si tu as opté-in ; effacement immédiat en cas d'opt-out.
• Logs et événements de sécurité1 an.
• Registre des consentementsConservé pendant 3 ans après le dernier consentement, afin de démontrer la conformité à l'article 7.1 RGPD.

Nous ne partageons tes données qu'avec des sous-traitants soigneusement sélectionnés ou des autorités publiques :

• Stripe Technology Europe Limited (Irlande)Traitement des paiements, safeguarding, KYC. L'Irlande est un État membre de l'UE (le RGPD s'applique directement). Une partie de la vérification d'identité peut être traitée aux États-Unis par Stripe Inc. dans le cadre du Data Privacy Framework UE-US (DPF).
• Hébergement : Netcup GmbH (Allemagne)Hébergement de l'application et de la base de données dans l'UE.
• Stockage média : MinIO (auto-hébergé en Allemagne)Stockage objet (compatible S3) pour les logos studios, les assets de campagnes et les archives d'export RGPD. Allemagne (UE) ; auto-hébergé par Swiplay, aucun transfert hors UE.
• Envoi d'email : Resend (région UE) et Discord Inc. (États-Unis)Resend gère l'email transactionnel en région UE. Discord (OAuth) transfère des données vers les États-Unis dans le cadre du Data Privacy Framework UE-US.
• Discord Inc. (États-Unis) : authentification OAuth (créateurs, studios, admins)Connexion OAuth alternative pour tous les types de comptes. États-Unis ; base de transfert : Data Privacy Framework UE-US complété, à titre subsidiaire, par les clauses contractuelles types.
• Récupération des statistiques publiques de vos vidéosSwiplay récupère automatiquement les statistiques publiques (vues, likes, commentaires) des vidéos que vous publiez dans le cadre des campagnes, via les API publiques mises à disposition par les plateformes sociales ou via des outils internes de tracking. Aucune donnée privée de votre compte n'est consultée.
• Functional Software Inc. / Sentry (États-Unis) : monitoring des erreursMonitoring des erreurs (côté serveur et client). États-Unis ; base de transfert : Data Privacy Framework UE-US et clauses contractuelles types UE. Les données personnelles sont anonymisées avant tout envoi depuis le navigateur ; aucun cookie n'est déposé.
• Pennylane SAS (France) : comptabilitéPlateforme de comptabilité utilisée pour les factures studios, les auto-factures (mandat « 2 du I de l'article 289 du CGI ») et les écritures comptables. Données transférées : raison sociale, SIREN, montants des factures, coordonnées bancaires partielles. Base de transfert : la France est un État membre de l'UE : le RGPD s'applique directement. DPA : accord de sous-traitance article 28 RGPD signé.
• Calendly LLC (États-Unis) : outil de prise de rendez-vous (onboarding studio)Outil de prise de rendez-vous pour l'onboarding studio. États-Unis ; base de transfert : Data Privacy Framework UE-US. Calendly ne reçoit de données que lorsque tu cliques pour accéder à calendly.com.
• Autorités publiques françaisesDéclaration DAC7 annuelle transmise à impots.gouv.fr avant le 31 janvier de chaque année. La validation du SIRET/SIREN lors de l'onboarding studio est effectuée via l'API publique INSEE/SIRENE.

Transferts hors UE : lorsque nous transférons des données personnelles hors de l'UE, nous nous appuyons soit sur une décision d'adéquation (Data Privacy Framework UE-US) soit sur les clauses contractuelles types approuvées par la Commission européenne. La liste complète des sous-traitants avec leur base de transfert est disponible sur demande à contact@swiplay.com.

Au titre du RGPD tu disposes des droits suivants, exerçables à contact@swiplay.com :

• Accès : obtenir une copie des données que nous détenons sur toi.
• Rectification : correction de données inexactes.
• Effacement : suppression de ton compte et des données encore détenues ; limité par les obligations de conservation DAC7 et comptables énoncées en section 3 (nous conservons le minimum légal pour la durée légale).
• Portabilité : export structuré des données que tu as fournies.
• Opposition : au traitement fondé sur notre intérêt légitime.
• Limitation : gel temporaire du traitement pendant le règlement d'un litige.
• Réclamation : tu peux introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de l'autorité de contrôle de ton pays de résidence.

Nous répondons aux demandes dans un délai d'un mois, prorogeable une fois de deux mois pour les demandes complexes (article 12.3 RGPD).

Le site n'utilise que les cookies strictement nécessaires au fonctionnement du service : cookie de session (NextAuth), protection CSRF, préférence de langue. Aucun cookie publicitaire, analytique ou de tracking n'est déposé.

Cookies et traceurs

Cookies essentiels (sans consentement requis) : session d'authentification (NextAuth), jeton CSRF, préférence de langue (swiplay-locale). Cookies du sélecteur multi-comptes : `swiplay_wallet` stocke la liste des comptes auxquels tu t'es déjà connecté sur ce navigateur pour basculer rapidement, et un cookie `sp_sess_<userId>` par compte conserve la session NextAuth chiffrée correspondante (durée 24 h). Ces cookies sont strictement nécessaires au fonctionnement du service et ne peuvent pas être désactivés.

Aucun cookie analytique ou de tracking n'est déposé. Le monitoring des erreurs (Sentry, cf. section 4) fonctionne sur la base de l'intérêt légitime sans poser aucun cookie dans ton navigateur, aucune bannière de consentement n'est donc requise.

Aucune bannière de consentement n'est affichée car seuls des cookies strictement nécessaires sont déposés ; tu peux effacer ces cookies depuis ton navigateur à tout moment.

Nous pouvons mettre à jour la présente politique. Toute modification substantielle fait l'objet d'un email d'annonce et exige un nouveau consentement à ta prochaine connexion.