senke/veza
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
veza/docs/PRIVACY_POLICY.md
senke d168bfd9e4 feat(v1.0.0-rc1): release candidate — GO/NO-GO audit, dark pattern fix, docs 
TASK-RC-001: GO/NO-GO checklist with evidence (16/21 GO, 5 staging-dependent)
TASK-RC-002: Dark pattern audit — removed public play/like/follower counts
  - TrackDetailPageCoverAndActions: stats visible only to creator
  - TrackList: removed public play count column
  - TrackSearchResults: removed play_count/like_count display
  - UserCard: removed public follower count
  - SearchPageResults: removed followers_count display
TASK-RC-003: Privacy policy (RGPD-compliant, docs/PRIVACY_POLICY.md)
TASK-RC-004: Discovery algorithm documentation (auditable, docs/DISCOVERY_ALGORITHM.md)
TASK-RC-005: Branch release ready (CI/CD validation pending)
TASK-RC-006: Re-pentest noted as optional/staging-dependent

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
2026-03-13 16:23:18 +01:00

142 lines
5.1 KiB
Markdown
Raw Blame History

# Politique de Confidentialité — Veza
**Dernière mise à jour** : 2026-03-13
**Version** : 1.0.0-rc1
---
## 1. Responsable du traitement
Veza est une plateforme de streaming musical éthique.
Contact : support@veza.app
---
## 2. Données collectées
### 2.1 Données fournies par l'utilisateur
- **Compte** : nom d'utilisateur, adresse email, mot de passe (hashé)
- **Profil** : biographie, avatar, localisation (optionnelle)
- **Contenu** : pistes audio, playlists, commentaires, messages chat
- **Paiements** : coordonnées de paiement (traitées par Hyperswitch/Stripe, non stockées sur nos serveurs)
### 2.2 Données collectées automatiquement
- **Journaux serveur** : adresse IP, user-agent, horodatage des requêtes (rétention : 90 jours)
- **Sessions** : informations de session pour l'authentification
### 2.3 Données NON collectées
- **Aucune donnée comportementale** : nous ne suivons pas vos habitudes d'écoute à des fins de profilage ou de recommandation
- **Aucun cookie tiers** : pas de trackers publicitaires, pas de pixels de suivi
- **Aucune donnée biométrique**
- **Aucune géolocalisation précise**
---
## 3. Utilisation des données
| Finalité | Base légale | Données concernées |
|----------|-------------|-------------------|
| Fournir le service | Exécution du contrat | Compte, contenu, sessions |
| Sécurité & prévention des abus | Intérêt légitime | Journaux serveur, IP |
| Paiements créateurs | Exécution du contrat | Données paiement (via Stripe) |
| Support | Consentement | Email, messages support |
**Nous ne revendons, ne partageons et ne louons JAMAIS vos données à des tiers.**
---
## 4. Algorithme de découverte
Veza utilise un algorithme de découverte **transparent et auditable** :
- **Le flux (feed)** est **strictement chronologique** (les contenus les plus récents apparaissent en premier)
- **La découverte** se fait par **genres et tags déclarés par les créateurs**, et non par des signaux comportementaux
- **Aucune optimisation pour l'engagement** : pas de tri par popularité, pas de collaborative filtering, pas de machine learning
- **Les métriques de popularité** (écoutes, likes) sont **privées** — visibles uniquement par le créateur dans son tableau de bord analytics
Le code source de l'algorithme est documenté et testé (`ethical_bias_test.go`).
---
## 5. Droits des utilisateurs (RGPD)
### 5.1 Droit d'accès et d'export (Article 15 & 20)
- **Endpoint** : `POST /api/v1/gdpr/export`
- Vous pouvez demander une copie complète de vos données à tout moment
- L'export est disponible sous 48 heures au format JSON
- Limite : 3 exports par 24 heures
- Lien de téléchargement valide 7 jours
### 5.2 Droit à la suppression (Article 17)
- **Accès** : Paramètres → Supprimer mon compte
- Processus : confirmation par mot de passe + saisie de "DELETE"
- Anonymisation immédiate : email, nom d'utilisateur, données personnelles
- Période de récupération : 30 jours (annulation possible)
- Suppression définitive après 30 jours (hard delete)
- Option de conserver les pistes publiques (attribuées à un compte anonymisé)
### 5.3 Droit de rectification (Article 16)
- Modifiable à tout moment via Paramètres → Profil
### 5.4 Droit d'opposition (Article 21)
- Vous pouvez désactiver les notifications à tout moment
- Vous pouvez supprimer votre compte à tout moment
---
## 6. Sécurité des données
- **Chiffrement** : HTTPS/TLS en transit, mots de passe hashés (bcrypt)
- **Authentification** : JWT RS256, rotation automatique des tokens
- **Sessions** : révocation possible, limitation par appareil
- **Rate limiting** : protection contre les abus sur tous les endpoints sensibles
- **En-têtes de sécurité** : HSTS, CSP, X-Frame-Options, COEP/COOP
- **Scan de vulnérabilités** : Trivy (conteneurs), gitleaks (secrets), audit dépendances
---
## 7. Conservation des données
| Type de données | Durée de conservation |
|----------------|----------------------|
| Compte actif | Tant que le compte existe |
| Journaux serveur | 90 jours |
| Exports GDPR | 7 jours après génération |
| Compte supprimé | Anonymisé immédiatement, hard delete après 30 jours |
| Données de paiement | Selon obligations légales (gérées par Stripe) |
---
## 8. Transferts de données
Les données sont traitées en Union Européenne.
Les paiements sont traités par Stripe (conforme RGPD, certifié PCI DSS).
---
## 9. Cookies
Veza utilise uniquement des **cookies techniques essentiels** :
- `access_token` : cookie httpOnly pour l'authentification (session)
- `refresh_token` : cookie httpOnly pour le renouvellement de session
**Aucun cookie publicitaire, analytique ou de suivi n'est utilisé.**
---
## 10. Contact
Pour exercer vos droits ou poser une question :
- **Email** : support@veza.app
- **Formulaire** : /support (accessible depuis l'application)
---
## 11. Modifications
Cette politique peut être mise à jour. Les modifications significatives seront notifiées par email.
La date de dernière mise à jour est indiquée en haut du document.
---
*Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).*
Reference in a new issue View git blame Copy permalink