Politique de confidentialité
Dernière mise à jour : 3 juillet 2026
1. Responsable du traitement
Silvia Ahmed-Leuthold (personne physique)
Rue du Tunnel 22, 1227 Carouge, Genève, Suisse
contact@thumbstop.app
Suisse
2. Données collectées et finalités
2.1 Données de compte (authentification)
| Donnée | Source | Finalité | Base légale |
|---|---|---|---|
| Adresse email | Saisie par l’utilisateur | Création de compte, vérification d’identité, réinitialisation de mot de passe | Exécution du contrat |
| Mot de passe (haché) | Saisie par l’utilisateur | Authentification | Exécution du contrat |
| Date de création du compte | Automatique | Attribution des crédits hebdomadaires | Exécution du contrat |
| Token de session JWT | Automatique (Supabase Auth) | Maintien de la session, accès aux fonctionnalités | Exécution du contrat |
Les mots de passe sont hachés par Supabase Auth avant stockage : nous n’avons jamais accès au mot de passe en clair.
2.2 Contenu généré
| Donnée | Source | Finalité | Base légale | Conservation |
|---|---|---|---|---|
| Sujet/accroche saisi par l’utilisateur (topic, hook) | Saisie | Génération du contenu vidéo | Exécution du contrat | Durée du compte |
| Contexte de raffinement (texte libre optionnel) | Saisie | Amélioration de l’accroche via IA | Exécution du contrat | Durée du compte |
| Type de voix choisi (homme/femme) | Saisie | Génération de la voix off | Exécution du contrat | Durée du compte |
| Texte original et version actuelle de chaque hook affiné | Automatique | Historique des hooks (fonctionnalité « Mes hooks affinés ») | Exécution du contrat | Durée du compte ou suppression manuelle |
2.3 Vidéos générées
Les vidéos (format MP4) sont générées côté serveur et stockées dans Supabase Storage. L’app mobile ne collecte ni n’envoie de fichiers vidéo.
| Donnée | Conservation |
|---|---|
| Fichier vidéo MP4 | 7 jours à partir de la génération (suppression automatique planifiée) |
| URL de téléchargement signée | Valide 48 heures |
| Métadonnées (statut, coût en crédits, date) | Durée du compte |
2.4 Crédits et transactions
| Donnée | Finalité | Conservation |
|---|---|---|
| Solde de crédits | Contrôle des accès aux fonctionnalités payantes | Durée du compte |
| Date du dernier bonus hebdomadaire | Attribution des crédits | Durée du compte |
| Coût de chaque génération | Historique de dépense | Durée du compte |
2.5 Données techniques
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse IP | Sécurité, prévention de la fraude (traitée par nos sous-traitants) | Intérêt légitime |
| État de connectivité réseau | Affichage d’une bannière hors ligne (traitement local, non envoyé) | (traitement local uniquement) |
Nous ne collectons pas : données de localisation, contacts, données biométriques, historique de navigation, identifiants publicitaires.
Calibration vocale (v1) : la fonctionnalité de clonage de voix n’est pas activée dans la version actuelle de l’application. Aucun enregistrement audio n’est réalisé.
3. Sous-traitants et partenaires
Nous faisons appel aux sous-traitants suivants pour le traitement des données :
| Sous-traitant | Rôle | Localisation | Conformité |
|---|---|---|---|
| Supabase | Authentification, base de données, stockage des vidéos | États-Unis (AWS US-East) | SOC 2, RGPD |
| Anthropic | Génération du texte des accroches (API Claude) | États-Unis | Clauses contractuelles types (CCT) |
| ElevenLabs | Génération de la voix off | États-Unis | Clauses contractuelles types (CCT) |
| Hetzner | Hébergement du serveur de génération (backend) | Allemagne (UE) | ISO 27001 |
Les données envoyées à Anthropic et ElevenLabs transitent exclusivement par notre backend et ne sont jamais transmises directement depuis l’application mobile.
Note : Cloudflare R2 n’est pas utilisé dans la version actuelle. Si cette infrastructure évolue, cette politique sera mise à jour.
4. Durées de conservation
| Catégorie | Durée |
|---|---|
| Données de compte (email, crédits, historique) | Durée du compte + 30 jours après suppression |
| Fichiers vidéo générés | 7 jours à partir de la génération |
| Logs serveur | 30 jours maximum |
| Données de session JWT | Jusqu’à déconnexion ou expiration (7 jours) |
5. Transferts hors UE/Suisse
Supabase, Anthropic et ElevenLabs sont des entreprises américaines. Les transferts vers les États-Unis sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission Européenne et, pour la Suisse, par les garanties équivalentes prévues par la LPD.
6. Vos droits
Conformément au RGPD (UE 2016/679) et à la loi suisse sur la protection des données (LPD) :
- Droit d’accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes
- Droit à l’effacement : demander la suppression de votre compte et de vos données (disponible directement dans l’app : Profil → Supprimer mon compte)
- Droit à la portabilité : recevoir vos données dans un format lisible
- Droit d’opposition : vous opposer à certains traitements fondés sur l’intérêt légitime
- Droit de retrait du consentement : si un traitement est fondé sur votre consentement
Pour exercer ces droits : contact@thumbstop.app
Vous avez également le droit de déposer une réclamation auprès de l’autorité de protection des données compétente :
- Pour la Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT), www.edoeb.admin.ch
- Pour l’UE : autorité de contrôle de votre pays de résidence
7. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées :
- Communications chiffrées (HTTPS/TLS)
- Mots de passe hachés (bcrypt via Supabase Auth)
- Accès aux données limité par Row Level Security (RLS) Supabase
- URLs de téléchargement vidéo signées et temporaires (48 h)
- Clés API exclusivement côté serveur (jamais dans l’application mobile)
8. Modifications
Toute modification significative de cette politique sera notifiée par email ou via l’application. La date de dernière mise à jour figure en tête de ce document.
Contact : contact@thumbstop.app