Le Paradis du StreamerLe Paradis du Streamer

Le Paradis du Streamer Privacy Policy

Application : Le Paradis du Streamer — accessible sur app.leparadisdustreamer.fr

Dernière mise à jour : 15 mai 2026, Version 2.3 (consolidation brand unique « Le Paradis du Streamer » pour TikTok App Review compliance)

This Privacy Policy governs the Le Paradis du Streamer service (the « Service », the « Application », or « Le Paradis du Streamer »), an AI-powered video clipping platform operated by Fadi Blottiaux at app.leparadisdustreamer.fr. The full text below applies to all users of Le Paradis du Streamer. French version is the legal reference (RGPD).

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via le service Le Paradis du Streamer (ci-après « le Service », « l'Application », ou « Le Paradis du Streamer »), accessible sur app.leparadisdustreamer.fr, est :

  • Monsieur Fadi Blottiaux, entrepreneur individuel exerçant sous le nom commercial « Le Paradis du Streamer » — qui est également le nom de l'application
  • Adresse : 5 rue de Bellevue, 91290 Arpajon, France
  • SIREN : 878 513 134, SIRET : 878 513 134 00022
  • TVA intracommunautaire : FR41878513134
  • Contact : contact@leparadisdustreamer.fr

Aucun délégué à la protection des données (DPO) n'a été désigné, l'entreprise étant en-dessous des seuils du RGPD imposant cette désignation. Toute demande relative aux données personnelles peut être adressée directement au responsable de traitement à l'adresse ci-dessus.

2. Données collectées et finalités

Conformément à l'article 5 du RGPD (minimisation), le Service ne collecte que les données strictement nécessaires aux finalités suivantes :

Catégorie de donnéesFinalitéBase légaleDurée
Email, nom, mot de passe (hash)Création et gestion du compteExécution du contratVie du compte + 30 jours
Tokens OAuth réseaux sociaux (chiffrés)Publication automatique sur tes plateformesConsentement (révocable)Jusqu'à révocation par l'utilisateur
Contenus vidéo uploadésGénération des clipsExécution du contrat7 à 365 jours selon le plan
Transcriptions et clips générésFourniture du résultat à l'utilisateurExécution du contratSelon plan (jusqu'à 365 jours)
Données de paiementEncaissement des abonnements et top-upsExécution du contrat10 ans (obligation comptable)
Logs techniques (IP, user-agent)Sécurité, anti-fraudeIntérêt légitime90 jours max
Métriques d'usage anonymiséesAmélioration du ServiceIntérêt légitimeIndéfinie (anonymisées)

Important : les données bancaires complètes (numéro de carte, CVV) ne transitent jamais par nos serveurs. Elles sont collectées et stockées exclusivement par notre prestataire Stripe Inc. certifié PCI-DSS Level 1.

3. Hébergement et localisation des données

Vos données sont stockées chez les sous-traitants suivants :

  • Supabase Inc. (PostgreSQL + authentification), région eu-west-3 (Paris, France)
  • Cloudflare R2 (stockage des fichiers vidéo), région EU
  • Hetzner Online GmbH (serveurs API/workers), datacenters Allemagne / Finlande (UE)
  • Vercel Inc. (front-end), edge réseau mondial, mais aucune donnée personnelle n'y est stockée durablement (rendu uniquement)
  • Stripe Inc. (paiements), données collectées et stockées par Stripe selon ses propres conditions

4. Transferts hors UE

Certains traitements impliquent des sous-traitants américains :

  • OpenAI, L.L.C., transcription audio (Whisper) et analyse de viralité (GPT-4o-mini). Les contenus audio/textuels sont envoyés à OpenAI le temps du traitement, et OpenAI s'engage contractuellement à ne pas les utiliser pour entraîner ses modèles (politique « data not used for training » via API).
  • Stripe Inc., données de paiement.

Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne et, le cas échéant, par le Data Privacy Framework (DPF) UE-USA auquel ces sociétés ont adhéré. Les SCC et politiques de confidentialité de chaque prestataire sont disponibles sur leurs sites respectifs.

5. Sécurité des données

Nous mettons en œuvre les mesures de sécurité suivantes :

  • Chiffrement TLS 1.3 pour toutes les communications (HTTPS via Caddy + Let's Encrypt)
  • Chiffrement au repos des tokens OAuth des réseaux sociaux (AES-256-GCM)
  • Mots de passe stockés sous forme de hash bcrypt (jamais en clair)
  • Isolation logique multi-tenant par organizationId avec contrôles d'accès au niveau base de données
  • Logs structurés sans données sensibles, rotation automatique
  • Sauvegardes quotidiennes chiffrées de la base de données
  • Pare-feu (UFW), protection bruteforce SSH (Fail2ban), accès SSH par clé uniquement
  • Webhook Stripe avec signature HMAC vérifiée, idempotency au niveau du ledger pour empêcher tout double-traitement

6. Vos droits (articles 15 à 22 du RGPD)

Vous disposez à tout moment des droits suivants sur vos données :

  • Droit d'accès, obtenir une copie des données qui vous concernent
  • Droit de rectification, corriger des données inexactes
  • Droit à l'effacement (« droit à l'oubli »), demander la suppression de vos données, sauf obligation légale contraire
  • Droit à la limitation du traitement
  • Droit à la portabilité, récupérer vos données dans un format structuré et lisible (JSON)
  • Droit d'opposition au traitement fondé sur l'intérêt légitime
  • Droit de retirer votre consentement à tout moment pour les traitements fondés sur celui-ci (déconnexion des comptes OAuth notamment)
  • Droit de définir des directives post-mortem sur le sort de vos données après votre décès (art. 85 LIL)

Pour exercer ces droits, écrivez-nous à contact@leparadisdustreamer.fr en précisant votre demande. Nous répondons dans un délai maximum d'un mois.

Droit de réclamation : vous pouvez à tout moment introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

7. Cookies

Le Service utilise uniquement des cookies strictement nécessaires à son fonctionnement (authentification, gestion de la session). Ces cookies ne requièrent pas de consentement préalable au sens de la directive ePrivacy.

Aucun cookie de tracking ou publicitaire n'est déposé sans votre consentement explicite. Si nous activons des outils d'analytics (par exemple Plausible Analytics, qui ne dépose pas de cookie tiers et ne collecte pas de données personnelles), cela sera explicitement mentionné dans une mise à jour de cette politique.

8. Mineurs

Le Service est strictement réservé aux personnes majeures (18 ans révolus). Aucune donnée n'est sciemment collectée auprès de mineurs. Si vous constatez qu'un mineur a créé un compte, contactez-nous : nous procéderons à la suppression immédiate.

9. Données Google / YouTube (Google API Services User Data Policy)

Le Service propose une intégration optionnelle avec YouTube qui permet à l'utilisateur de publier automatiquement les clips générés sur sa propre chaîne YouTube. Cette section décrit l'accès, l'usage, le stockage et la suppression des données utilisateur Google, conformément à la Google API Services User Data Policy et à la politique Limited Use.

9.1 Données Google accédées (Data Accessed)

Lorsque l'utilisateur connecte son compte YouTube via OAuth 2.0, le Service demande les scopes Google suivants :

  • https://www.googleapis.com/auth/youtube.upload — pour uploader des vidéos (YouTube Shorts) sur la chaîne de l'utilisateur
  • https://www.googleapis.com/auth/youtube.readonly — pour récupérer le nom et l'identifiant de la chaîne afin de l'afficher dans le dashboard de l'utilisateur

Concrètement, les données Google collectées sont :

  • Identifiant unique de la chaîne YouTube (channel ID) et nom public de la chaîne
  • Tokens OAuth (access token + refresh token) générés par Google pour autoriser les appels API ultérieurs
  • Métadonnées des vidéos publiées par notre service (titre, description, ID vidéo retourné par YouTube après upload)

Ce que nous N'accédons PAS : nous ne lisons pas les vidéos existantes de la chaîne, nous ne lisons pas les commentaires, ni les statistiques d'audience, ni les playlists, ni les abonnés. Seul l'upload de nouvelles vidéos initiées par l'utilisateur est effectué.

9.2 Usage des données Google (Data Usage)

Les données Google sont utilisées exclusivement pour :

  • Publier les clips vidéo générés par l'utilisateur sur sa propre chaîne YouTube, à sa demande explicite (clic sur « Publier » ou via un planning configuré par l'utilisateur)
  • Afficher le nom de la chaîne connectée dans l'interface du dashboard pour que l'utilisateur puisse identifier le compte lié
  • Rafraîchir le token d'accès via le refresh token lorsque celui-ci expire

Conformité Limited Use : conformément à la politique Limited Use de Google, nous nous engageons à :

  • Ne pas utiliser les données Google pour entraîner ou améliorer des modèles d'intelligence artificielle, des modèles génériques ou des modèles spécialisés
  • Ne pas utiliser les données Google pour de la publicité ciblée ou du remarketing
  • Ne pas vendre les données Google à des tiers
  • Ne pas transférer les données Google à des tiers, sauf aux sous-traitants techniques strictement nécessaires à la fourniture du Service (cf. section 9.3)
  • Ne pas autoriser de personnes humaines à lire les données Google, sauf : (a) avec le consentement explicite et préalable de l'utilisateur, (b) pour des raisons de sécurité (ex : enquête sur un abus), (c) pour respecter une obligation légale, (d) pour des opérations internes (debug, support) avec des données agrégées et anonymisées

9.3 Partage des données Google (Data Sharing)

Les données Google ne sont partagées avec aucun tiers au sens commercial du terme. Elles transitent uniquement par les sous-traitants techniques indispensables au fonctionnement du Service :

  • Supabase Inc. (Paris, France) — stockage chiffré des tokens OAuth et métadonnées de chaîne dans notre base PostgreSQL
  • Hetzner Online GmbH (Allemagne / Finlande) — serveurs d'application qui orchestrent les appels API YouTube
  • Cloudflare R2 (UE) — stockage temporaire du fichier vidéo le temps de l'upload vers YouTube (suppression automatique après publication ou expiration de la rétention selon plan)

Aucune donnée Google n'est partagée avec OpenAI, Stripe, ni aucun autre prestataire au-delà de ceux listés ci-dessus.

9.4 Stockage et protection (Data Storage & Protection)

  • Les tokens OAuth (access + refresh) sont chiffrés au repos avec AES-256-GCM, une clé symétrique stockée dans un secret manager isolé du code applicatif. Ils ne sont jamais loggés ni exposés en réponse API
  • Toutes les communications avec les APIs Google passent par HTTPS / TLS 1.3 avec certificats Let's Encrypt
  • La base de données est isolée logiquement par organizationId : un utilisateur ne peut techniquement pas accéder aux tokens d'un autre
  • Sauvegardes quotidiennes chiffrées avec rotation automatique
  • Accès au serveur de production restreint au responsable de traitement par clé SSH (jamais par mot de passe), avec protection Fail2ban
  • Surveillance continue des logs pour détecter les tentatives d'accès non autorisé

9.5 Rétention et suppression (Data Retention & Deletion)

Les tokens et données Google sont conservés tant que l'utilisateur conserve la connexion active. Ils sont supprimés immédiatement et définitivement dans les cas suivants :

  • Déconnexion par l'utilisateur via la section Comptes connectés du dashboard (1 clic) — les tokens sont supprimés de notre base et l'autorisation est révoquée côté Google via un appel à https://oauth2.googleapis.com/revoke
  • Suppression du compte Le Paradis du Streamer par l'utilisateur — toutes les données liées (tokens, chaînes connectées, clips, métadonnées) sont supprimées dans un délai maximum de 30 jours
  • Révocation côté Google par l'utilisateur depuis myaccount.google.com/permissions — au prochain appel API échouant, nos tokens sont automatiquement purgés de notre base

Pour toute demande spécifique de suppression de données Google, écrivez à contact@leparadisdustreamer.fr — traitement sous un mois maximum (généralement sous 48h).

9.6 Section in English (for Google Verification reviewers)

Data Accessed: When users connect their YouTube account via OAuth 2.0, our Service requests two scopes: youtube.upload(to upload videos to the user's own channel) and youtube.readonly(to retrieve the channel name and ID for display in the dashboard). Specifically, we access: the YouTube channel ID and public name; OAuth access & refresh tokens; and metadata of videos uploaded by our Service (title, description, returned video ID). We do not access existing videos, comments, analytics, playlists, or subscribers.

Data Usage: Google user data is used exclusivelyto: (a) publish AI-generated clips on the user's own YouTube channel upon their explicit request, (b) display the connected channel name in the dashboard, and (c) refresh expired access tokens. Our use of information received from Google APIs adheres to the Google API Services User Data Policy, including the Limited Use requirements. We do not use Google user data to train AI/ML models, for advertising, retargeting, or any other purpose beyond the explicit user-facing features described above.

Data Sharing: Google user data is not sold or transferredto any third party for commercial purposes. It is processed only by our subprocessors strictly necessary for service delivery: Supabase (EU, encrypted token storage), Hetzner (EU, application servers), and Cloudflare R2 (EU, temporary video file storage during upload). No human reads Google user data except (a) with the user's explicit prior consent, (b) for security investigation, (c) to comply with applicable law, or (d) for aggregated anonymized internal operations.

Data Storage & Protection: OAuth tokens (access + refresh) are encrypted at rest using AES-256-GCM with keys stored in an isolated secret manager. All Google API communications use HTTPS / TLS 1.3. Multi-tenant logical isolation by organizationId at the database level prevents cross-account access. Daily encrypted backups with rotation. SSH access restricted to the data controller via key only.

Data Retention & Deletion:Google user data is retained as long as the user keeps the connection active. It is permanently deleted: (a) immediately when the user clicks "Disconnect" in the dashboard (we also call https://oauth2.googleapis.com/revoke), (b) within 30 days when the user deletes their Le Paradis du Streamer account, or (c) automatically when revoked via myaccount.google.com/permissions. Users can email contact@leparadisdustreamer.fr for ad-hoc deletion requests, processed within one month maximum.

10. Modifications

Cette politique peut évoluer. Les modifications substantielles vous seront notifiées par email au moins 30 jours avant leur entrée en vigueur. La version en vigueur fait foi à compter de la date indiquée en haut de cette page.

11. Contact

Pour toute question relative à vos données personnelles ou à cette politique :

← Retour à l'accueil