Retour au site

Politique de confidentialité

1. Responsable du traitement

Silvia Ahmed-Leuthold (personne physique)
Rue du Tunnel 22, 1227 Carouge, Genève, Suisse
contact@thumbstop.app
Suisse

2. Données collectées et finalités

2.1 Données de compte (authentification)

DonnéeSourceFinalitéBase légale
Adresse emailSaisie par l’utilisateurCréation de compte, vérification d’identité, réinitialisation de mot de passeExécution du contrat
Mot de passe (haché)Saisie par l’utilisateurAuthentificationExécution du contrat
Date de création du compteAutomatiqueAttribution des crédits hebdomadairesExécution du contrat
Token de session JWTAutomatique (Supabase Auth)Maintien de la session, accès aux fonctionnalitésExécution du contrat

Les mots de passe sont hachés par Supabase Auth avant stockage : nous n’avons jamais accès au mot de passe en clair.

2.2 Contenu généré

DonnéeSourceFinalitéBase légaleConservation
Sujet/accroche saisi par l’utilisateur (topic, hook)SaisieGénération du contenu vidéoExécution du contratDurée du compte
Contexte de raffinement (texte libre optionnel)SaisieAmélioration de l’accroche via IAExécution du contratDurée du compte
Type de voix choisi (homme/femme)SaisieGénération de la voix offExécution du contratDurée du compte
Texte original et version actuelle de chaque hook affinéAutomatiqueHistorique des hooks (fonctionnalité « Mes hooks affinés »)Exécution du contratDurée du compte ou suppression manuelle

2.3 Vidéos générées

Les vidéos (format MP4) sont générées côté serveur et stockées dans Supabase Storage. L’app mobile ne collecte ni n’envoie de fichiers vidéo.

DonnéeConservation
Fichier vidéo MP47 jours à partir de la génération (suppression automatique planifiée)
URL de téléchargement signéeValide 48 heures
Métadonnées (statut, coût en crédits, date)Durée du compte

2.4 Crédits et transactions

DonnéeFinalitéConservation
Solde de créditsContrôle des accès aux fonctionnalités payantesDurée du compte
Date du dernier bonus hebdomadaireAttribution des créditsDurée du compte
Coût de chaque générationHistorique de dépenseDurée du compte

2.5 Données techniques

DonnéeFinalitéBase légale
Adresse IPSécurité, prévention de la fraude (traitée par nos sous-traitants)Intérêt légitime
État de connectivité réseauAffichage d’une bannière hors ligne (traitement local, non envoyé)(traitement local uniquement)

Nous ne collectons pas : données de localisation, contacts, données biométriques, historique de navigation, identifiants publicitaires.

Calibration vocale (v1) : la fonctionnalité de clonage de voix n’est pas activée dans la version actuelle de l’application. Aucun enregistrement audio n’est réalisé.

3. Sous-traitants et partenaires

Nous faisons appel aux sous-traitants suivants pour le traitement des données :

Sous-traitantRôleLocalisationConformité
SupabaseAuthentification, base de données, stockage des vidéosÉtats-Unis (AWS US-East)SOC 2, RGPD
AnthropicGénération du texte des accroches (API Claude)États-UnisClauses contractuelles types (CCT)
ElevenLabsGénération de la voix offÉtats-UnisClauses contractuelles types (CCT)
HetznerHébergement du serveur de génération (backend)Allemagne (UE)ISO 27001

Les données envoyées à Anthropic et ElevenLabs transitent exclusivement par notre backend et ne sont jamais transmises directement depuis l’application mobile.

4. Durées de conservation

CatégorieDurée
Données de compte (email, crédits, historique)Durée du compte + 30 jours après suppression
Fichiers vidéo générés7 jours à partir de la génération
Logs serveur30 jours maximum
Données de session JWTJusqu’à déconnexion ou expiration (7 jours)

5. Transferts hors UE/Suisse

Supabase, Anthropic et ElevenLabs sont des entreprises américaines. Les transferts vers les États-Unis sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission Européenne et, pour la Suisse, par les garanties équivalentes prévues par la LPD.

6. Vos droits

Conformément au RGPD (UE 2016/679) et à la loi suisse sur la protection des données (LPD) :

  • Droit d’accès : obtenir une copie de vos données personnelles
  • Droit de rectification : corriger des données inexactes
  • Droit à l’effacement : demander la suppression de votre compte et de vos données (disponible directement dans l’app : Profil → Supprimer mon compte)
  • Droit à la portabilité : recevoir vos données dans un format lisible
  • Droit d’opposition : vous opposer à certains traitements fondés sur l’intérêt légitime
  • Droit de retrait du consentement : si un traitement est fondé sur votre consentement

Pour exercer ces droits : contact@thumbstop.app

Vous avez également le droit de déposer une réclamation auprès de l’autorité de protection des données compétente :

  • Pour la Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT), www.edoeb.admin.ch
  • Pour l’UE : autorité de contrôle de votre pays de résidence

7. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées :

  • Communications chiffrées (HTTPS/TLS)
  • Mots de passe hachés (bcrypt via Supabase Auth)
  • Accès aux données limité par Row Level Security (RLS) Supabase
  • URLs de téléchargement vidéo signées et temporaires (48 h)
  • Clés API exclusivement côté serveur (jamais dans l’application mobile)

8. Modifications

Toute modification significative de cette politique sera notifiée par email ou via l’application. La date de dernière mise à jour figure en tête de ce document.

Contact : contact@thumbstop.app

Back to site

Privacy Policy

1. Data controller

Silvia Ahmed-Leuthold (natural person)
Rue du Tunnel 22, 1227 Carouge, Geneva, Switzerland
contact@thumbstop.app
Switzerland

2. Data collected and purposes

2.1 Account data (authentication)

DataSourcePurposeLegal basis
Email addressEntered by the userAccount creation, identity verification, password resetPerformance of the contract
Password (hashed)Entered by the userAuthenticationPerformance of the contract
Account creation dateAutomaticAllocation of weekly creditsPerformance of the contract
JWT session tokenAutomatic (Supabase Auth)Session persistence, access to featuresPerformance of the contract

Passwords are hashed by Supabase Auth before storage: we never have access to your password in plain text.

2.2 Generated content

DataSourcePurposeLegal basisRetention
Topic/hook entered by the userUser inputVideo content generationPerformance of the contractLifetime of the account
Refinement context (optional free text)User inputImproving the hook via AIPerformance of the contractLifetime of the account
Chosen voice type (male/female)User inputVoiceover generationPerformance of the contractLifetime of the account
Original text and current version of each refined hookAutomaticHook history (“My refined hooks” feature)Performance of the contractLifetime of the account or manual deletion

2.3 Generated videos

Videos (MP4 format) are generated server-side and stored in Supabase Storage. The mobile app neither collects nor uploads video files.

DataRetention
MP4 video file7 days from generation (scheduled automatic deletion)
Signed download URLValid for 48 hours
Metadata (status, credit cost, date)Lifetime of the account

2.4 Credits and transactions

DataPurposeRetention
Credit balanceControlling access to paid featuresLifetime of the account
Date of last weekly bonusCredit allocationLifetime of the account
Cost of each generationSpending historyLifetime of the account

2.5 Technical data

DataPurposeLegal basis
IP addressSecurity, fraud prevention (processed by our subprocessors)Legitimate interest
Network connectivity statusDisplaying an offline banner (processed locally, never sent)(local processing only)

We do not collect: location data, contacts, biometric data, browsing history, advertising identifiers.

Voice calibration (v1): the voice cloning feature is not enabled in the current version of the application. No audio recording takes place.

3. Subprocessors and partners

We rely on the following subprocessors for data processing:

SubprocessorRoleLocationCompliance
SupabaseAuthentication, database, video storageUnited States (AWS US-East)SOC 2, GDPR
AnthropicHook text generation (Claude API)United StatesStandard Contractual Clauses (SCC)
ElevenLabsVoiceover generationUnited StatesStandard Contractual Clauses (SCC)
HetznerHosting of the generation server (backend)Germany (EU)ISO 27001

Data sent to Anthropic and ElevenLabs transits exclusively through our backend and is never transmitted directly from the mobile application.

4. Retention periods

CategoryDuration
Account data (email, credits, history)Lifetime of the account + 30 days after deletion
Generated video files7 days from generation
Server logs30 days maximum
JWT session dataUntil logout or expiry (7 days)

5. Transfers outside the EU/Switzerland

Supabase, Anthropic and ElevenLabs are US companies. Transfers to the United States are governed by the European Commission’s Standard Contractual Clauses (SCC) and, for Switzerland, by the equivalent safeguards provided for by the Swiss Federal Act on Data Protection (FADP).

6. Your rights

In accordance with the GDPR (EU 2016/679) and the Swiss Federal Act on Data Protection (FADP):

  • Right of access: obtain a copy of your personal data
  • Right to rectification: correct inaccurate data
  • Right to erasure: request the deletion of your account and your data (available directly in the app: Profile → Delete my account)
  • Right to portability: receive your data in a readable format
  • Right to object: object to certain processing based on legitimate interest
  • Right to withdraw consent: where processing is based on your consent

To exercise these rights: contact@thumbstop.app

You also have the right to lodge a complaint with the competent data protection authority:

  • For Switzerland: Federal Data Protection and Information Commissioner (FDPIC), www.edoeb.admin.ch
  • For the EU: the supervisory authority of your country of residence

7. Security

We implement appropriate technical and organisational measures:

  • Encrypted communications (HTTPS/TLS)
  • Hashed passwords (bcrypt via Supabase Auth)
  • Data access restricted by Supabase Row Level Security (RLS)
  • Signed, temporary video download URLs (48 h)
  • API keys kept exclusively server-side (never in the mobile application)

8. Changes

Any significant change to this policy will be notified by email or through the application. The date of the last update appears at the top of this document.

Contact: contact@thumbstop.app