Données personnelles

Politique de confidentialité

Cette politique décrit les données traitées par Souvenya, leurs finalités, leurs durées de conservation, les sous-traitants mobilisés et vos droits RGPD.

Dernière mise à jour : 15 mai 2026

1. Responsable de traitement

Le responsable de traitement est Joshua Crozet, éditeur du service Souvenya. Adresse légale : 4 avenue du général de Gaulle, 92360 Meudon. Contact pour toute question relative aux données personnelles : privacy@souvenya.fr.

Aucun Délégué à la Protection des Données n'est désigné, la désignation n'étant pas obligatoire pour Souvenya au regard des seuils de l'article 37 RGPD.

2. Données traitées et finalités

2.1 Comptes créateurs

  • Données : email, mot de passe hashé, prénom, nom, date d'inscription.
  • Finalité : gestion du compte utilisateur et fourniture du service.
  • Base légale : exécution du contrat, Art. 6.1.b RGPD.
  • Durée de conservation : durée de vie du compte, puis suppression sur demande sauf obligation légale liée à une commande.

2.2 Albums et photos

  • Données : photos JPEG ou HEIC converties, métadonnées d'album, textes et anecdotes.
  • Finalité : fourniture du service album-livre et génération du PDF print-ready.
  • Base légale : exécution du contrat pour le Créateur ; intérêt légitime pour les personnes photographiées, équilibré par le consentement explicite recueilli à l'upload.
  • Durée de conservation : 6 mois après livraison du livre, 12 mois sans activité ou suppression immédiate sur demande du Créateur.

2.3 Contributions sans compte

  • Données : token d'invitation aléatoire dans l'URL, photos téléversées, textes, et optionnellement email d'invitation.
  • Finalité : permettre la contribution familiale sans création de compte.
  • Base légale : consentement explicite du Contributeur, Art. 6.1.a RGPD, et intérêt légitime du Créateur.
  • Durée de conservation : liée à l'album associé ; suppression si l'album est supprimé ou si le Contributeur exerce son droit à l'effacement.

2.4 Commandes Gelato

  • Données : identifiants Stripe, montants, adresse de livraison, statut de commande et identifiants Gelato.
  • Finalité : traitement, impression et livraison des commandes.
  • Base légale : exécution du contrat et obligation légale comptable.
  • Durée de conservation : 10 ans, Code de commerce art. L123-22.

2.5 Consentement cookies

  • Données : cookie tarteaucitron, état du consentement et date.
  • Finalité : recueillir et conserver la preuve du consentement aux cookies.
  • Base légale : obligation légale, Art. 6.1.c RGPD.
  • Durée de conservation : 13 mois maximum, recommandation CNIL.

3. Engagement de non-utilisation pour l'IA

Conformément à l'engagement détaillé dans nos CGU §4.3, les photos et textes téléversés ne servent pas à entraîner des modèles d'intelligence artificielle, qu'ils soient développés par Souvenya ou par des tiers.

4. Destinataires et sous-traitants

Les données sont accessibles uniquement au responsable de traitement et transmises aux sous-traitants suivants pour les besoins du service :

  • Supabase Inc. — Postgres, Storage et Auth, région UE.
  • Vercel Inc. — hébergement applicatif, région UE.
  • Stripe Payments Europe Ltd — paiement, Irlande.
  • Gelato AB — impression et expédition, Suède, EEE.
  • Resend — emails transactionnels.
  • Zoho Mail — boîte privacy@souvenya.fr.

5. Transferts hors UE/EEE

Aucun transfert de données vers un pays tiers hors UE/EEE n'est effectué.

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir la liste et copie de vos données.
  • Droit de rectification : corriger des données inexactes.
  • Droit à l'effacement : suppression de vos données.
  • Droit à la limitation du traitement.
  • Droit à la portabilité : export structuré.
  • Droit d'opposition.

Pour exercer ces droits, écrivez à privacy@souvenya.fr. Conformément à l'article 12 du RGPD, nous répondons sous 30 jours calendaires.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

7. Identification d'un contributeur sans compte

Un Contributeur sans compte est identifié par le token d'invitation présent dans l'URL du lien reçu. Pour exercer ses droits, le Contributeur transmet ce token à privacy@souvenya.fr.

8. Sécurité

  • HTTPS obligatoire sur tout le service.
  • Mots de passe hashés par Supabase Auth.
  • Buckets de stockage privés ; accès uniquement via URLs signées à durée limitée.
  • Cloisonnement applicatif via Row Level Security Postgres.

9. Cookies

Souvenya n'utilise que des cookies fonctionnels strictement nécessaires au service. Aucun cookie publicitaire ou de mesure d'audience n'est déposé en v1. Un bandeau de consentement CNIL est affiché lors de la première visite.

10. Décisions automatisées

Aucune décision automatisée produisant des effets juridiques significatifs n'est effectuée par Souvenya.

11. Modifications

La présente politique peut évoluer. Les utilisateurs actifs sont informés par email au moins 30 jours avant toute modification substantielle.

12. Contact

privacy@souvenya.fr