senke/veza
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
veza/docs/PRIVACY_POLICY.md
senke d168bfd9e4 feat(v1.0.0-rc1): release candidate — GO/NO-GO audit, dark pattern fix, docs 
TASK-RC-001: GO/NO-GO checklist with evidence (16/21 GO, 5 staging-dependent)
TASK-RC-002: Dark pattern audit — removed public play/like/follower counts
  - TrackDetailPageCoverAndActions: stats visible only to creator
  - TrackList: removed public play count column
  - TrackSearchResults: removed play_count/like_count display
  - UserCard: removed public follower count
  - SearchPageResults: removed followers_count display
TASK-RC-003: Privacy policy (RGPD-compliant, docs/PRIVACY_POLICY.md)
TASK-RC-004: Discovery algorithm documentation (auditable, docs/DISCOVERY_ALGORITHM.md)
TASK-RC-005: Branch release ready (CI/CD validation pending)
TASK-RC-006: Re-pentest noted as optional/staging-dependent

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-03-13 16:23:18 +01:00

5.1 KiB
Raw Blame History

Politique de Confidentialité — Veza

Dernière mise à jour : 2026-03-13 Version : 1.0.0-rc1

1. Responsable du traitement

Veza est une plateforme de streaming musical éthique. Contact : support@veza.app

2. Données collectées

2.1 Données fournies par l'utilisateur

  • Compte : nom d'utilisateur, adresse email, mot de passe (hashé)
  • Profil : biographie, avatar, localisation (optionnelle)
  • Contenu : pistes audio, playlists, commentaires, messages chat
  • Paiements : coordonnées de paiement (traitées par Hyperswitch/Stripe, non stockées sur nos serveurs)

2.2 Données collectées automatiquement

  • Journaux serveur : adresse IP, user-agent, horodatage des requêtes (rétention : 90 jours)
  • Sessions : informations de session pour l'authentification

2.3 Données NON collectées

  • Aucune donnée comportementale : nous ne suivons pas vos habitudes d'écoute à des fins de profilage ou de recommandation
  • Aucun cookie tiers : pas de trackers publicitaires, pas de pixels de suivi
  • Aucune donnée biométrique
  • Aucune géolocalisation précise

3. Utilisation des données

Finalité Base légale Données concernées
Fournir le service Exécution du contrat Compte, contenu, sessions
Sécurité & prévention des abus Intérêt légitime Journaux serveur, IP
Paiements créateurs Exécution du contrat Données paiement (via Stripe)
Support Consentement Email, messages support

Nous ne revendons, ne partageons et ne louons JAMAIS vos données à des tiers.

4. Algorithme de découverte

Veza utilise un algorithme de découverte transparent et auditable :

  • Le flux (feed) est strictement chronologique (les contenus les plus récents apparaissent en premier)
  • La découverte se fait par genres et tags déclarés par les créateurs, et non par des signaux comportementaux
  • Aucune optimisation pour l'engagement : pas de tri par popularité, pas de collaborative filtering, pas de machine learning
  • Les métriques de popularité (écoutes, likes) sont privées — visibles uniquement par le créateur dans son tableau de bord analytics

Le code source de l'algorithme est documenté et testé (ethical_bias_test.go).

5. Droits des utilisateurs (RGPD)

5.1 Droit d'accès et d'export (Article 15 & 20)

  • Endpoint : POST /api/v1/gdpr/export
  • Vous pouvez demander une copie complète de vos données à tout moment
  • L'export est disponible sous 48 heures au format JSON
  • Limite : 3 exports par 24 heures
  • Lien de téléchargement valide 7 jours

5.2 Droit à la suppression (Article 17)

  • Accès : Paramètres → Supprimer mon compte
  • Processus : confirmation par mot de passe + saisie de "DELETE"
  • Anonymisation immédiate : email, nom d'utilisateur, données personnelles
  • Période de récupération : 30 jours (annulation possible)
  • Suppression définitive après 30 jours (hard delete)
  • Option de conserver les pistes publiques (attribuées à un compte anonymisé)

5.3 Droit de rectification (Article 16)

  • Modifiable à tout moment via Paramètres → Profil

5.4 Droit d'opposition (Article 21)

  • Vous pouvez désactiver les notifications à tout moment
  • Vous pouvez supprimer votre compte à tout moment

6. Sécurité des données

  • Chiffrement : HTTPS/TLS en transit, mots de passe hashés (bcrypt)
  • Authentification : JWT RS256, rotation automatique des tokens
  • Sessions : révocation possible, limitation par appareil
  • Rate limiting : protection contre les abus sur tous les endpoints sensibles
  • En-têtes de sécurité : HSTS, CSP, X-Frame-Options, COEP/COOP
  • Scan de vulnérabilités : Trivy (conteneurs), gitleaks (secrets), audit dépendances

7. Conservation des données

Type de données Durée de conservation
Compte actif Tant que le compte existe
Journaux serveur 90 jours
Exports GDPR 7 jours après génération
Compte supprimé Anonymisé immédiatement, hard delete après 30 jours
Données de paiement Selon obligations légales (gérées par Stripe)

8. Transferts de données

Les données sont traitées en Union Européenne. Les paiements sont traités par Stripe (conforme RGPD, certifié PCI DSS).

9. Cookies

Veza utilise uniquement des cookies techniques essentiels :

  • access_token : cookie httpOnly pour l'authentification (session)
  • refresh_token : cookie httpOnly pour le renouvellement de session

Aucun cookie publicitaire, analytique ou de suivi n'est utilisé.

10. Contact

Pour exercer vos droits ou poser une question :

  • Email : support@veza.app
  • Formulaire : /support (accessible depuis l'application)

11. Modifications

Cette politique peut être mise à jour. Les modifications significatives seront notifiées par email. La date de dernière mise à jour est indiquée en haut du document.

Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).