Légal
Politique de confidentialité
Dernière mise à jour : mars 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées sur OpenCreators est OpenCreators.
Pour toute question relative à vos données personnelles : contact@opencreators.io
OpenCreators n'a pas désigné de Délégué à la Protection des Données (DPO), la désignation n'étant pas requise au regard de la nature et du volume des traitements effectués.
Conformément à l'article 30 du RGPD, OpenCreators tient un registre de ses activités de traitement.
2. Données collectées
2.1 Données d'inscription
- Adresse email
- Mot de passe (stocké sous forme hachée, jamais en clair)
- Rôle sur la plateforme (Streamer ou Marque)
- Préférence linguistique (français ou anglais)
- Préférence de notification (activée ou désactivée)
2.2 Données de profil Streamer
- Pseudo (handle) de la chaîne principale
- Plateforme principale et plateformes secondaires (Twitch, YouTube, TikTok, Kick)
- Nombre de followers (vérifié par la plateforme)
- Zone de livraison acceptée
- Photo de profil (avatar)
- Identifiants techniques OAuth Twitch et/ou YouTube (ID utilisateur, tokens)
- Demandes de vérification de plateforme TikTok/Kick (pseudo revendiqué, code de vérification, statut de la demande)
2.3 Données de profil Marque
- Nom de la marque
- Site web
- Description
- Logo
2.4 Données liées aux cadeaux
- Adresse postale de livraison (fournie par le Streamer lors de l'acceptation d'un cadeau)
- Informations de suivi de colis (transporteur, numéro de suivi optionnel, URL de tracking)
- Preuves de promotion (fichiers images ou vidéos uploadés par le Streamer)
- Messages échangés entre Marques et Streamers dans le cadre d'un cadeau
- Notes (1 à 5 étoiles) attribuées par les Marques aux promotions et par les Streamers aux cadeaux reçus
- Signalements de non-livraison (motif fourni par le Streamer, décision administrative)
2.5 Données de navigation et données techniques
Nous collectons des données techniques standard via les journaux serveur (adresse IP, navigateur, pages visitées) à des fins de sécurité et de bon fonctionnement de la plateforme.
- Service de protection anti-bots : données de navigateur et d'interaction pour la détection de bots.
- Service de suivi d'erreurs : traces d'erreurs, type de navigateur et données de performance en production.
- Service de mesure de performance : pages visitées et vitesse de chargement. Aucun cookie publicitaire n'est utilisé.
2.6 Données collectées via l'API YouTube (Google)
Si vous connectez votre compte YouTube via OAuth, nous accédons aux données suivantes via l'API YouTube (scope youtube.readonly) :
- Identifiant de votre chaîne YouTube (channel ID)
- Nom de votre chaîne
- Nombre d'abonnés
- Photo de profil de la chaîne (avatar)
Finalité :ces données sont utilisées exclusivement pour afficher votre profil sur la plateforme et vérifier votre nombre d'abonnés. Nous n'accédons à aucune vidéo, commentaire, playlist, ou donnée analytique de votre chaîne.
Stockage :les tokens d'accès et de rafraîchissement YouTube sont stockés de manière sécurisée en base de données (jamais exposés côté client) et sont utilisés uniquement pour actualiser votre nombre d'abonnés. Ils sont supprimés lors de la déconnexion de votre compte YouTube ou de la suppression de votre compte.
L'utilisation des données reçues via les API Google est conforme à la Politique relative aux données utilisateur des services API Google, y compris les exigences d'utilisation limitée (Limited Use).
2.7 Données d'administration
Les actions d'administration effectuées sur la plateforme (approbation ou rejet d'une marque, vérification d'une promotion, suspension ou réactivation d'un compte, traitement des signalements) sont enregistrées dans un journal d'audit comprenant la date, le type d'action et l'identifiant du compte concerné.
L'historique des modifications de profil des Marques (nom, site web, description) est conservé à des fins de prévention des abus.
3. Finalités et bases légales du traitement
| Finalité | Base légale |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat |
| Mise en relation Marques / Streamers | Exécution du contrat |
| Transmission de l'adresse de livraison à la Marque | Exécution du contrat |
| Envoi d'emails transactionnels (notifications de cadeau, livraison, promotion) | Exécution du contrat |
| Synchronisation automatique du nombre de followers via les API Twitch / YouTube | Consentement (OAuth) |
| Affichage du profil du Streamer aux Marques approuvées et aux administrateurs | Intérêt légitime |
| Sécurité, prévention de la fraude et détection de bots | Intérêt légitime |
| Modération et administration des comptes (journal d'audit) | Intérêt légitime |
| Détection automatisée des comportements suspects | Intérêt légitime |
| Suivi des erreurs techniques et mesure de performance | Intérêt légitime |
| Collecte et conservation des journaux serveur (adresse IP, données techniques) | Intérêt légitime (sécurité, prévention des abus) |
| Respect des obligations légales | Obligation légale |
Lorsque le traitement repose sur notre intérêt légitime, celui-ci consiste à assurer la sécurité de la plateforme, prévenir les abus et permettre la mise en relation entre Marques et Streamers, tout en respectant vos droits et libertés fondamentales.
4. Partage des données avec des tiers
Nous ne vendons jamais vos données personnelles. Nous les partageons uniquement dans les cas suivants :
- Avec la Marque concernée: l'adresse de livraison du Streamer lui est communiquée uniquement lorsque ce dernier accepte un cadeau. La Marque s'engage à ne l'utiliser qu'aux fins d'expédition. La Marque agit en qualité de responsable de traitement distinct pour les données personnelles qu'elle reçoit et s'engage à les traiter conformément au RGPD.
- Supabase(hébergement base de données et stockage de fichiers) — serveurs hébergés dans l'Union Européenne (France et Allemagne), conforme au RGPD.
- Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) — hébergement du site et mesure de performance (Vercel Analytics).
- Resend(envoi d'emails transactionnels) — utilisé uniquement pour les notifications liées à l'activité sur la plateforme (confirmations, alertes de livraison, etc.).
- Cloudflare (DNS et captcha Turnstile) — utilisé pour la résolution DNS et la protection contre les bots. Données de navigateur transmises lors des défis captcha.
- Sentry(Functional Software Inc., États-Unis) — suivi des erreurs techniques. Traces d'erreurs et données de performance transmises en production.
- Twitch (API OAuth) — lecture seule du nombre de followers et des informations de profil, avec votre consentement explicite lors de la connexion.
- YouTube / Google (API YouTube, scope
youtube.readonly) — lecture seule du nombre d'abonnés, nom de chaîne et avatar, avec votre consentement explicite lors de la connexion OAuth. Aucune vidéo, commentaire ou donnée analytique n'est accédée. Voir section 2.6 pour le détail des données collectées. - Autorités légales : si requis par la loi ou une décision de justice.
Certains de nos sous-traitants sont situés hors de l'Union Européenne. Les transferts sont encadrés comme suit :
| Sous-traitant | Pays | Mécanisme de transfert |
|---|---|---|
| Supabase | France / Allemagne (UE) | Pas de transfert hors UE |
| Vercel | États-Unis | EU-US Data Privacy Framework |
| Resend | États-Unis | Clauses contractuelles types (CCT) |
| Cloudflare | États-Unis | EU-US Data Privacy Framework |
| Sentry | États-Unis | Clauses contractuelles types (CCT) |
| Twitch (Amazon) | États-Unis | EU-US Data Privacy Framework |
| YouTube / Google | États-Unis | EU-US Data Privacy Framework |
Nous avons conclu avec chacun de nos sous-traitants un accord de traitement des données (DPA) conforme à l'article 28 du RGPD. Vous pouvez obtenir des informations complémentaires et une copie des garanties applicables sur demande à contact@opencreators.io.
5. Durée de conservation
- Données de compte et données liées aux cadeaux : conservées pendant toute la durée d'activité du compte, puis supprimées dans les 30 jours suivant la fermeture. Les enregistrements de cadeaux et de promotions sont conservés de manière anonymisée.
- Adresses de livraison : 30 jours après la confirmation de livraison.
- Notifications in-app : automatiquement supprimées après 90 jours.
- Journal d'audit : 24 mois maximum.
- Logs techniques : 12 mois maximum.
- Tokens OAuth (Twitch / YouTube) : jusqu'à la déconnexion de la plateforme ou la suppression du compte.
6. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles.
- Droit de rectification : corriger des données inexactes ou incomplètes.
- Droit à l'effacement : demander la suppression de vos données (« droit à l'oubli »). Vous pouvez supprimer votre compte directement depuis vos paramètres.
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine. Vous pouvez exporter vos données (cadeaux, promotions) au format CSV depuis vos paramètres.
- Droit d'opposition : vous opposer à certains traitements basés sur l'intérêt légitime.
- Droit à la limitation : demander la suspension temporaire d'un traitement.
- Droit de retirer votre consentement : notamment pour la connexion OAuth Twitch / YouTube, à tout moment depuis vos paramètres.
L'exercice de ces droits est gratuit. Pour exercer vos droits, contactez-nous à contact@opencreators.io. Nous répondons dans un délai maximum d'1 mois, prolongeable de deux mois supplémentaires en cas de demande complexe (auquel cas vous en serez informé).
Révoquer l'accès YouTube / Google
Vous pouvez révoquer l'accès d'OpenCreators à vos données YouTube à tout moment :
- Depuis OpenCreators : dans vos paramètres, déconnectez votre compte YouTube. Vos tokens seront immédiatement supprimés de notre base de données.
- Depuis Google : rendez-vous sur myaccount.google.com/permissions et retirez l'accès d'OpenCreators.
Conformément à l'article 85 de la loi Informatique et Libertés, vous pouvez définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès en nous contactant à contact@opencreators.io.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) ou de toute autre autorité de contrôle compétente de l'Union européenne.
7. Décisions automatisées et profilage
Le nombre de followers vérifiés (récupéré automatiquement via les API Twitch et YouTube, ou saisi par un administrateur après vérification manuelle pour TikTok et Kick) est utilisé pour déterminer la visibilité de votre profil auprès des Marques. Un seuil minimum de 30 000 followers vérifiés est requis pour apparaître dans la liste de recherche des Marques.
Ce critère est appliqué de manière automatique, transparente et identique pour tous les Streamers. Il ne produit pas d'effet juridique : les Streamers sous ce seuil conservent leur compte, leur dashboard et toutes les fonctionnalités de la plateforme. Seule leur visibilité dans la liste de recherche est impactée. Vous pouvez à tout moment actualiser votre nombre de followers depuis vos paramètres.
OpenCreators utilise également des indicateurs automatisés pour détecter les comportements suspects. Ces indicateurs sont uniquement présentés à l'équipe de modération et ne produisent aucune action automatique. Tout compte signalé est examiné manuellement avant toute décision.
Ces traitements ne constituent pas des décisions automatisées au sens de l'article 22 du RGPD (ils ne produisent pas d'effet juridique ni d'effet significatif similaire). Néanmoins, pour toute question, vous pouvez nous contacter à contact@opencreators.io.
8. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données contre tout accès non autorisé, perte ou divulgation :
- Chiffrement des communications (HTTPS/TLS)
- Mots de passe stockés sous forme hachée via des algorithmes conformes aux standards de l'industrie
- Contrôle d'accès granulaire aux données en base
- Tokens OAuth stockés de façon sécurisée, jamais exposés côté client
- Accès administrateur restreint au personnel autorisé
- Protection anti-bots sur les formulaires sensibles
9. Cookies
OpenCreators utilise uniquement des cookies strictement nécessaires au fonctionnement de la plateforme. Nous n'utilisons pas de cookies publicitaires ou de suivi comportemental.
| Cookie | Finalité | Durée |
|---|---|---|
sb-*-auth-token | Session d'authentification (Supabase) | Session / 7 jours |
NEXT_LOCALE | Mémoriser votre choix de langue (FR/EN) | 1 an |
Vercel Analytics collecte des données de performance sans utiliser de cookies.
Ces cookies étant strictement nécessaires au fonctionnement du service, aucun consentement préalable n'est requis conformément à la directive ePrivacy.
10. Notification en cas de violation de données
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :
- Notifier l'autorité de contrôle compétente (CNIL) dans les 72 heures suivant la découverte de la violation.
- Vous informer dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, par email ou notification in-app.
- Documenter toute violation conformément à l'article 33-5 du RGPD.
11. Mineurs
L'utilisation de la plateforme est réservée aux personnes âgées d'au moins 16 ans. Ce seuil constitue un choix interne supérieur au minimum légal français de 15 ans prévu par l'article 45 de la loi Informatique et Libertés (et conforme à l'article 8 du RGPD). En créant un compte, l'utilisateur déclare avoir au moins 16 ans.
Si nous constatons qu'un utilisateur est âgé de moins de 16 ans, son compte sera supprimé et ses données personnelles effacées dans les meilleurs délais.
12. Modifications de cette politique
Nous nous réservons le droit de modifier cette politique à tout moment. En cas de modification substantielle, vous serez informé par email à l'adresse associée à votre compte au moins 15 jours avant l'entrée en vigueur des changements.