# Politique de Confidentialité — Veza **Dernière mise à jour** : 2026-03-13 **Version** : 1.0.0-rc1 --- ## 1. Responsable du traitement Veza est une plateforme de streaming musical éthique. Contact : support@veza.app --- ## 2. Données collectées ### 2.1 Données fournies par l'utilisateur - **Compte** : nom d'utilisateur, adresse email, mot de passe (hashé) - **Profil** : biographie, avatar, localisation (optionnelle) - **Contenu** : pistes audio, playlists, commentaires, messages chat - **Paiements** : coordonnées de paiement (traitées par Hyperswitch/Stripe, non stockées sur nos serveurs) ### 2.2 Données collectées automatiquement - **Journaux serveur** : adresse IP, user-agent, horodatage des requêtes (rétention : 90 jours) - **Sessions** : informations de session pour l'authentification ### 2.3 Données NON collectées - **Aucune donnée comportementale** : nous ne suivons pas vos habitudes d'écoute à des fins de profilage ou de recommandation - **Aucun cookie tiers** : pas de trackers publicitaires, pas de pixels de suivi - **Aucune donnée biométrique** - **Aucune géolocalisation précise** --- ## 3. Utilisation des données | Finalité | Base légale | Données concernées | |----------|-------------|-------------------| | Fournir le service | Exécution du contrat | Compte, contenu, sessions | | Sécurité & prévention des abus | Intérêt légitime | Journaux serveur, IP | | Paiements créateurs | Exécution du contrat | Données paiement (via Stripe) | | Support | Consentement | Email, messages support | **Nous ne revendons, ne partageons et ne louons JAMAIS vos données à des tiers.** --- ## 4. Algorithme de découverte Veza utilise un algorithme de découverte **transparent et auditable** : - **Le flux (feed)** est **strictement chronologique** (les contenus les plus récents apparaissent en premier) - **La découverte** se fait par **genres et tags déclarés par les créateurs**, et non par des signaux comportementaux - **Aucune optimisation pour l'engagement** : pas de tri par popularité, pas de collaborative filtering, pas de machine learning - **Les métriques de popularité** (écoutes, likes) sont **privées** — visibles uniquement par le créateur dans son tableau de bord analytics Le code source de l'algorithme est documenté et testé (`ethical_bias_test.go`). --- ## 5. Droits des utilisateurs (RGPD) ### 5.1 Droit d'accès et d'export (Article 15 & 20) - **Endpoint** : `POST /api/v1/gdpr/export` - Vous pouvez demander une copie complète de vos données à tout moment - L'export est disponible sous 48 heures au format JSON - Limite : 3 exports par 24 heures - Lien de téléchargement valide 7 jours ### 5.2 Droit à la suppression (Article 17) - **Accès** : Paramètres → Supprimer mon compte - Processus : confirmation par mot de passe + saisie de "DELETE" - Anonymisation immédiate : email, nom d'utilisateur, données personnelles - Période de récupération : 30 jours (annulation possible) - Suppression définitive après 30 jours (hard delete) - Option de conserver les pistes publiques (attribuées à un compte anonymisé) ### 5.3 Droit de rectification (Article 16) - Modifiable à tout moment via Paramètres → Profil ### 5.4 Droit d'opposition (Article 21) - Vous pouvez désactiver les notifications à tout moment - Vous pouvez supprimer votre compte à tout moment --- ## 6. Sécurité des données - **Chiffrement** : HTTPS/TLS en transit, mots de passe hashés (bcrypt) - **Authentification** : JWT RS256, rotation automatique des tokens - **Sessions** : révocation possible, limitation par appareil - **Rate limiting** : protection contre les abus sur tous les endpoints sensibles - **En-têtes de sécurité** : HSTS, CSP, X-Frame-Options, COEP/COOP - **Scan de vulnérabilités** : Trivy (conteneurs), gitleaks (secrets), audit dépendances --- ## 7. Conservation des données | Type de données | Durée de conservation | |----------------|----------------------| | Compte actif | Tant que le compte existe | | Journaux serveur | 90 jours | | Exports GDPR | 7 jours après génération | | Compte supprimé | Anonymisé immédiatement, hard delete après 30 jours | | Données de paiement | Selon obligations légales (gérées par Stripe) | --- ## 8. Transferts de données Les données sont traitées en Union Européenne. Les paiements sont traités par Stripe (conforme RGPD, certifié PCI DSS). --- ## 9. Cookies Veza utilise uniquement des **cookies techniques essentiels** : - `access_token` : cookie httpOnly pour l'authentification (session) - `refresh_token` : cookie httpOnly pour le renouvellement de session **Aucun cookie publicitaire, analytique ou de suivi n'est utilisé.** --- ## 10. Contact Pour exercer vos droits ou poser une question : - **Email** : support@veza.app - **Formulaire** : /support (accessible depuis l'application) --- ## 11. Modifications Cette politique peut être mise à jour. Les modifications significatives seront notifiées par email. La date de dernière mise à jour est indiquée en haut du document. --- *Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).*