Préambule
La présente Politique de confidentialité (ci-après « Politique ») décrit les modalités selon lesquelles vos données personnelles sont collectées, utilisées, conservées et protégées dans le cadre de l'utilisation de la plateforme reveels.me (ci-après « la Plateforme » ou « le Service »).
Cette Politique est conforme :
- Au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (« RGPD »)
- À la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« Loi Informatique et Libertés » ou « LIL »)
- Aux recommandations et lignes directrices de la Commission Nationale de l'Informatique et des Libertés (CNIL)
- Au règlement (UE) 2024/1689 du 13 juin 2024 sur l'intelligence artificielle (« AI Act ») pour les aspects relatifs aux contenus générés par IA
Article 1 — Responsable du traitement
Le responsable du traitement de vos données personnelles est l'éditeur de la Plateforme, entrepreneur individuel immatriculé au Registre National des Entreprises (RNE) sous le SIREN 929 860 732.
- Email de contact : contact@reveels.me
- Identité complète et adresse postale : voir Mentions légales
Compte tenu de la nature et de l'échelle des traitements (absence de traitement à grande échelle de données sensibles, absence de profilage systématique), aucun Délégué à la Protection des Données (DPO) n'est désigné, conformément à l'article 37 du RGPD.
Toute question relative au traitement de vos données personnelles peut être adressée directement à contact@reveels.me.
Article 2 — Données personnelles collectées
2.1 Données fournies directement par vous
| Catégorie | Données | Caractère |
|---|---|---|
| Identification | Adresse email | Obligatoire pour créer un compte |
| Profil Google (si OAuth) | Nom d'affichage, email, photo de profil, identifiant Google | Fourni par Google si vous choisissez cette authentification |
| Communications | Contenu des emails échangés avec le support | Si vous nous contactez |
| Messages avec personas | Texte des messages que vous envoyez aux personnages IA | Persistés pour vous permettre de retrouver l'historique |
2.2 Données collectées automatiquement
| Catégorie | Données | Finalité |
|---|---|---|
| Preuve de consentement | Hash IP (pseudonymisé), user-agent, horodatage | Preuve légale de l'acceptation des CGU/CGV et de la majorité |
| Données techniques | Adresse IP (lors de chaque session, non persistée au-delà), navigateur, OS, type d'appareil, langue | Sécurité, prévention de fraude, support technique |
| Session | Identifiant de session, horodatage des connexions | Maintien de l'authentification |
| Données comportementales internes | Contenus consultés, achats effectués, durée de visualisation, interactions chat | Fonctionnement et amélioration du Service |
2.3 Données transactionnelles
| Catégorie | Données | Stockage |
|---|---|---|
| Historique d'achats | Produits, dates, montants, statut de paiement | Par Reveels (référence + statut uniquement) |
| Données de facturation | Informations de carte bancaire, IBAN | Exclusivement par le prestataire de paiement (Stripe ou équivalent), certifié PCI-DSS. Reveels ne stocke jamais les données bancaires complètes. |
| Factures émises | PDF de facture, numéro de facture, mentions légales obligatoires | Par Reveels, conformément aux obligations comptables et fiscales |
2.4 Données NON collectées
Reveels ne collecte JAMAIS :
- ❌ Données bancaires complètes (carte bancaire, IBAN) — gérées exclusivement par le prestataire de paiement PCI-DSS
- ❌ Mots de passe (authentification passwordless)
- ❌ Données biométriques
- ❌ Données de santé
- ❌ Origine ethnique ou raciale
- ❌ Opinions politiques, religieuses, philosophiques, syndicales
- ❌ Localisation GPS précise
- ❌ Données issues de réseaux sociaux (autres que Google si OAuth choisi)
- ❌ Données issues de cookies tiers ou de pixels publicitaires (aucun déployé sur la Plateforme)
Article 3 — Finalités du traitement et bases légales
Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale clairement identifiée :
| Finalité | Base légale RGPD | Article RGPD |
|---|---|---|
| Création et gestion du compte | Exécution du contrat | Art. 6.1.b |
| Fourniture du Service (accès aux contenus, chat, achats) | Exécution du contrat | Art. 6.1.b |
| Traitement des paiements | Exécution du contrat | Art. 6.1.b |
| Génération et envoi des factures | Obligation légale (comptable et fiscale) | Art. 6.1.c |
| Conservation des factures (10 ans) | Obligation légale (article L123-22 du Code de commerce) | Art. 6.1.c |
| Preuve du consentement à la majorité et aux CGU/CGV | Obligation légale | Art. 6.1.c |
| Communications transactionnelles (confirmation, facture, alertes) | Exécution du contrat | Art. 6.1.b |
| Détection et prévention de la fraude | Intérêt légitime | Art. 6.1.f |
| Sécurité informatique et lutte contre les abus | Intérêt légitime | Art. 6.1.f |
| Amélioration du Service (analyses internes anonymisées) | Intérêt légitime | Art. 6.1.f |
| Modération et application des CGU | Intérêt légitime | Art. 6.1.f |
| Réponse aux demandes légales et judiciaires | Obligation légale | Art. 6.1.c |
Aucun traitement n'est effectué à des fins de marketing tiers, de publicité comportementale, de profilage commercial ou de revente.
Article 4 — Destinataires des données
4.1 Personnel autorisé chez Reveels
Vos données ne sont accessibles qu'aux personnes habilitées (à ce jour, l'éditeur seul) et dans la stricte mesure nécessaire à l'accomplissement de leurs missions.
4.2 Sous-traitants (article 28 RGPD)
Les sous-traitants suivants peuvent traiter vos données, exclusivement pour les besoins du Service et sous contrat de sous-traitance conforme à l'article 28 du RGPD :
| Sous-traitant | Rôle | Localisation des traitements | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage de fichiers | Région EU (Frankfurt, Allemagne) | UE — RGPD natif, DPA disponible |
| Vercel Inc. | Hébergement applicatif, CDN | Régions EU activées (notamment Paris) ; siège US | Data Processing Addendum + Clauses Contractuelles Types (CCT) UE |
| Mux Inc. | Streaming vidéo sécurisé | États-Unis | DPA + CCT UE + chiffrement en transit et au repos |
| Google LLC | Authentification OAuth (uniquement si vous choisissez « Continuer avec Google ») | États-Unis | DPA + Cadre de protection des données UE-US (Data Privacy Framework) |
| Prestataire de paiement (ex. Stripe ou équivalent) | Traitement des paiements | Irlande / États-Unis | PCI-DSS Niveau 1, RGPD, CCT UE |
| Prestataire d'envoi d'emails (ex. Resend ou équivalent) | Emails transactionnels (confirmation, facture) | États-Unis | DPA + CCT UE |
La liste des sous-traitants peut évoluer. Toute modification substantielle sera notifiée préalablement à l'Utilisateur via la mise à jour de la présente Politique.
4.3 Autorités et tiers légaux
Vos données peuvent être communiquées aux autorités judiciaires ou administratives sur réquisition légale (réquisition judiciaire, demande d'autorité de contrôle, ordre de tribunal) et conformément à la loi.
4.4 Aucune vente ni partage commercial
Reveels ne vend, ne loue, ni ne partage jamais vos données à des tiers à des fins commerciales, publicitaires ou de prospection.
4.5 Cession d'activité
En cas de cession partielle ou totale de l'activité Reveels (vente, fusion, apport, transmission), les données pourront être transférées au cessionnaire, dans la mesure nécessaire à la poursuite du Service. L'Utilisateur sera informé préalablement par email et disposera d'un droit de suppression de son compte avant la cession effective.
Article 5 — Transferts hors Union européenne
Certains sous-traitants étant établis aux États-Unis (Vercel, Mux, Google, Stripe, Resend), des transferts de données hors UE peuvent avoir lieu.
Ces transferts sont encadrés par les garanties suivantes :
- Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914 du 4 juin 2021)
- Data Processing Addendums signés avec chaque sous-traitant
- Cadre de protection des données UE-États-Unis (Data Privacy Framework / décision d'adéquation 2023/1795 du 10 juillet 2023) pour les sous-traitants certifiés
- Chiffrement en transit (TLS 1.3) et au repos pour toutes les données transférées
Vous pouvez demander copie de ces garanties à contact@reveels.me.
Article 6 — Durées de conservation
Conformément au principe de limitation de la conservation (article 5.1.e RGPD), les durées de conservation sont les suivantes :
| Catégorie de données | Durée | Justification |
|---|---|---|
| Données de compte actif | Pendant toute la durée d'utilisation du Service | Exécution du contrat |
| Données après suppression du compte | 30 jours puis effacement définitif | Délai de grâce en cas d'erreur ou réactivation |
| Hash IP de consentement | 3 ans | Preuve légale du consentement (recommandation CNIL) |
| User-agent de consentement | 3 ans | Idem |
| Historique d'achats et factures | 10 ans | Obligation légale comptable (article L123-22 du Code de commerce) |
| Logs de connexion (IP, horodatage) | 12 mois | Obligation légale (article L34-1 du Code des postes et communications électroniques) |
| Messages avec les personas | Durée d'activité du compte + 30 jours après suppression | Exécution du contrat |
| Communications avec le support | 3 ans à compter du dernier échange | Suivi qualité et défense d'éventuelles réclamations |
| Données de paiement (références, statuts) | 13 mois pour les références de transactions + obligations comptables | Conformité PSD2 et obligations comptables |
Au terme de ces durées, les données sont définitivement supprimées ou anonymisées de manière irréversible.
Article 7 — Vos droits
Conformément aux articles 12 à 23 du RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants :
7.1 Liste des droits
- Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie complète
- Droit de rectification (art. 16 RGPD) : faire corriger les données inexactes ou incomplètes
- Droit à l'effacement (« droit à l'oubli ») (art. 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales de conservation (factures, logs)
- Droit à la limitation du traitement (art. 18 RGPD) : restreindre temporairement le traitement (notamment en cas de contestation de l'exactitude)
- Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV)
- Droit d'opposition (art. 21 RGPD) : vous opposer au traitement fondé sur l'intérêt légitime (pour des raisons tenant à votre situation particulière)
- Droit de retirer votre consentement à tout moment (art. 7.3 RGPD), lorsque le traitement est fondé sur celui-ci
- Droit de définir des directives post-mortem (article 85 LIL) sur le sort de vos données après votre décès
- Droit de ne pas faire l'objet d'une décision automatisée ayant des effets juridiques (art. 22 RGPD) — Reveels ne pratique aucune décision automatisée significative
7.2 Modalités d'exercice
Pour exercer vos droits, adressez votre demande à contact@reveels.me en précisant :
- Vos nom, prénom et adresse email du compte concerné
- Le ou les droits que vous souhaitez exercer
- Toute précision utile au traitement de la demande
Justificatif d'identité : Reveels ne demandera pas systématiquement de justificatif d'identité. Un justificatif ne sera demandé qu'en cas de doute légitime sur votre identité, et de manière proportionnée (par exemple, une simple confirmation depuis l'email du compte concerné peut suffire), conformément aux recommandations CNIL.
7.3 Délai de réponse
Reveels s'engage à répondre dans un délai d'un (1) mois à compter de la réception de la demande, prorogeable de deux (2) mois supplémentaires en cas de complexité particulière, avec information préalable du demandeur dans le délai initial.
La réponse à votre demande est gratuite, sauf en cas de demandes manifestement infondées ou excessives, où des frais raisonnables pourront être facturés ou la réponse refusée.
7.4 Droit de réclamation
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site web : https://www.cnil.fr/fr/plaintes
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
Vous disposez également du droit à un recours juridictionnel effectif devant les tribunaux compétents (article 79 RGPD).
Article 8 — Cookies et traceurs
L'utilisation des cookies est régie par notre Politique Cookies accessible à reveels.me/legal/cookies, qui fait partie intégrante de la présente Politique.
En résumé :
- ✅ Cookies strictement nécessaires (authentification, session, préférence de thème, mémorisation du consentement âge/CGU) : déposés sans consentement préalable, conformément à l'article 82 de la Loi Informatique et Libertés
- ❌ Cookies de mesure d'audience : aucun déployé actuellement
- ❌ Cookies publicitaires : aucun
- ❌ Trackers tiers : aucun (pas de Google Analytics, Meta Pixel, TikTok Pixel, ni équivalent)
Article 9 — Sécurité des données
Reveels met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données (article 32 RGPD), notamment :
9.1 Mesures techniques
- Chiffrement en transit : HTTPS / TLS 1.3 pour tous les transferts de données
- Chiffrement au repos : données stockées chiffrées chez nos sous-traitants
- Authentification passwordless : aucun mot de passe stocké, magic link ou OAuth
- Contrôle d'accès : Row Level Security (RLS) au niveau base de données
- URLs signées : accès aux médias premium via URLs temporaires signées
- Journalisation : logs d'accès aux données sensibles
- Sauvegardes : sauvegardes automatiques quotidiennes chiffrées
9.2 Mesures organisationnelles
- Accès restreint aux personnes habilitées uniquement
- Sensibilisation aux bonnes pratiques RGPD et sécurité
- Politique de mots de passe forts pour les outils internes (gestionnaire de secrets)
- Audits réguliers des sous-traitants et de la sécurité applicative
9.3 Notification de violation
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Reveels :
- Notifiera la CNIL dans les 72 heures suivant la prise de connaissance de la violation (article 33 RGPD)
- Vous informera dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés (article 34 RGPD), avec les recommandations utiles pour limiter les conséquences éventuelles
Article 10 — Mineurs
Le Service est strictement interdit aux mineurs (cf. Article 3 des CGU).
Aucune donnée personnelle de mineur n'est volontairement collectée.
Si nous apprenons qu'un mineur a créé un compte malgré nos contrôles, celui-ci sera supprimé immédiatement, ainsi que l'ensemble des données collectées le concernant.
Si vous êtes parent ou tuteur et constatez qu'un mineur a fourni des données à Reveels, contactez-nous immédiatement à contact@reveels.me pour suppression dans les meilleurs délais.
Article 11 — Décisions automatisées et profilage
Reveels n'effectue aucune décision entièrement automatisée produisant des effets juridiques sur les Utilisateurs ou les affectant de manière significative au sens de l'article 22 du RGPD.
Les contenus présentés sur la Plateforme sont identiques pour tous les Utilisateurs ; aucun profilage commercial ou publicitaire n'est pratiqué.
Article 12 — Modification de la Politique
La présente Politique peut être modifiée à tout moment pour refléter :
- Une évolution du Service
- Une évolution législative ou réglementaire
- Une modification des sous-traitants
Toute modification substantielle vous sera notifiée par email et/ou par notification sur la Plateforme au moins trente (30) jours calendaires avant son entrée en vigueur.
L'historique des versions est consultable sur demande à contact@reveels.me.
Article 13 — Contact
Pour toute question, réclamation ou exercice de vos droits :
Email : contact@reveels.me Adresse postale : voir Mentions légales.
Version 2.0 — 13 mai 2026 — Cette politique remplace toute version antérieure.