Politique de Confidentialité

Version 1.0 · Dernière mise à jour : 27 avril 2026

RADIO GAGA respecte votre vie privée. Cette politique détaille les données que nous collectons, comment nous les utilisons, et vos droits — conformément au RGPD (UE 2016/679), au CCPA (Californie), et à la Loi 09-08 (Maroc, CNDP).

1. Responsable du traitement

GTI Conseil SARL (Maroc) et GENIUS STAR LLC(USA), co-responsables conjoints du traitement au sens de l'article 26 RGPD.

Délégué à la Protection des Données (DPO) : [email protected]

2. Données collectées

2.1 Lors de l'inscription

Adresse email
Mot de passe (haché avec bcrypt, jamais stocké en clair)
Pseudo (optionnel)
Locale et fuseau horaire (détection automatique du navigateur)

2.2 Pendant l'utilisation du Service

Historique d'écoute karaoké et radio
Playlists personnalisées
Scores vocaux et performances enregistrées (UGC)
Logs techniques anonymisés (IP, user-agent) pour sécurité et débogage

2.3 Données de paiement

Les données de carte bancaire ne transitent JAMAIS par nos serveurs. Elles sont traitées directement par Stripe Inc. et PayPal Holdings, Inc.(PCI-DSS Level 1). Nous ne stockons que l'identifiant client Stripe/PayPal et le statut de l'abonnement.

3. Finalités et bases légales

Finalité	Base légale (RGPD art. 6)
Fourniture du Service karaoké	Exécution du contrat (b)
Facturation et paiement	Obligation légale (c)
Sécurité et anti-fraude	Intérêt légitime (f)
Newsletter et communications	Consentement (a) — opt-out à tout moment
Statistiques agrégées anonymisées	Intérêt légitime (f)

4. Destinataires des données

Les données sont accessibles à :

Le personnel autorisé de GTI Conseil SARL et GENIUS STAR LLC
Nos sous-traitants techniques sous contrat de confidentialité :

Hetzner Online GmbH (Allemagne) — hébergement infrastructure
Stripe Inc. (USA, EU/EEA SCCs) — paiements
PayPal Holdings, Inc. (USA) — paiements alternatifs
Google LLC (USA, EU/EEA SCCs) — Gemini API pour génération paroles karaoké
Cloudflare Inc. (USA) — CDN et anti-DDoS

5. Transferts hors UE

Les transferts de données vers les États-Unis sont encadrés par les Clauses Contractuelles Types de la Commission Européenne (Décision 2021/914) et / ou la certification au Data Privacy Framework.

6. Durée de conservation

Compte utilisateur : durée de l'abonnement + 3 ans après résiliation
Logs techniques : 12 mois maximum
Données de facturation : 10 ans (obligation comptable)
Cookies : voir section 9

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Accès à vos données (article 15)
Rectification de données inexactes (article 16)
Effacement(« droit à l'oubli », article 17) — automatique via la suppression du compte
Limitation du traitement (article 18)
Portabilité de vos données au format JSON (article 20)
Opposition au traitement basé sur l'intérêt légitime (article 21)
Réclamation auprès de la CNIL (France) ou de la CNDP (Maroc)

Pour exercer vos droits : [email protected]. Réponse sous 30 jours.

8. Sécurité

Nous mettons en œuvre les mesures de sécurité de l'état de l'art :

Chiffrement TLS 1.3 obligatoire (HTTPS) sur tous les échanges
Mots de passe hachés avec bcrypt (cost factor 12)
Tokens JWT signés HS256, expiration 24h
Sauvegarde quotidienne PostgreSQL chiffrée AES-256
Pas de stockage de données de carte bancaire (delegate à Stripe/PayPal)
Audit pen-test annuel

9. Cookies

Nous utilisons uniquement des cookies strictement nécessaires :

access_token / refresh_token — authentification (durée : session + 30 jours)
NEXT_LOCALE — préférence de langue (durée : 1 an)

Aucun cookie publicitaire ni tiers de tracking. Pas de Google Analytics. Pas de Facebook Pixel. Notre conformité « privacy-by-default » élimine le besoin de bannière de consentement cookies.

10. Mineurs

Le Service est ouvert aux personnes de plus de 13 ans. Pour les mineurs entre 13 et 16 ans, le consentement parental est requis (article 8 RGPD).

11. Modifications

Toute modification substantielle est notifiée par email avec préavis de 30 jours.

Voir aussi nos Conditions Générales d'Utilisation et notre Politique Copyright.