Politique de confidentialité
Cette politique décrit comment AI POP Displays (exploité par Bellot.ai, "nous") collecte, utilise, stocke et partage les données personnelles lorsque vous visitez aipopdisplays.com ou utilisez l'application.
Nous traitons les données personnelles en qualité de responsable du traitement au sens du Règlement (UE) 2016/679 (RGPD).
Avis. Ceci est le brouillon actuel de notre politique. Certains détails opérationnels (raison sociale, numéro fiscal, adresse) sont en cours de finalisation avant le lancement public et apparaîtront ici dans leur forme définitive avant l'ouverture des inscriptions.
1. Qui sommes-nous
- Opérateur : Bellot.ai
- Numéro fiscal (NIF / CIF) : à confirmer avant le lancement
- Adresse : à confirmer avant le lancement
- Contact vie privée : privacy@aipopdisplays.com
- Autorité de contrôle : Agencia Española de Protección de Datos (AEPD). Les utilisateurs de l'EEE peuvent également saisir leur autorité nationale (en France, la CNIL).
2. Ce que nous collectons et pourquoi
| Catégorie | Données | Finalité | Base légale |
|---|---|---|---|
| Compte | Email, mot de passe haché, nom affiché, langue | Création et authentification | Contrat (art. 6.1.b RGPD) |
| Facturation | ID client Stripe, statut d'abonnement, plan, crédits, 4 derniers chiffres de la carte (via Stripe), pays, devise | Traitement des abonnements et achats | Contrat |
| Entrées de génération | Briefing, sélections de secteur / type / matériau, images de référence et produit, historique de prompts | Générer les rendus demandés | Contrat |
| Sorties de génération | Images générées, métadonnées, journal de débit / remboursement de crédits | Livrer le service, déboguer, prévenir l'abus | Contrat ; intérêt légitime |
| Logs opérationnels | IP, user agent, chemins de requête, traces d'erreur, horodatage | Sécurité, lutte contre l'abus, débogage | Intérêt légitime (art. 6.1.f RGPD) |
| Analytique | Données de visite agrégées (page, référent, type d'appareil, pays) — avec consentement uniquement | Mesurer le trafic et l'usage | Consentement (art. 6.1.a RGPD) |
| Support | Messages que vous nous envoyez | Répondre à vos questions | Intérêt légitime |
Nous ne stockons pas de numéros de carte, ne vendons pas de données personnelles et ne prenons pas de décision automatisée à effet juridique (art. 22 RGPD).
3. Combien de temps
| Données | Durée |
|---|---|
| Compte, générations, facturation | Pendant la durée du compte, plus 30 jours après demande de suppression |
| Factures et registres fiscaux | 6 ans (obligation comptable espagnole) |
| Logs opérationnels | 90 jours |
| Sauvegardes | Jusqu'à 30 jours puis écrasées |
| Analytique | 14 mois (uniquement avec consentement) |
Vous pouvez demander la suppression à tout moment (voir §7). Les obligations légales de conservation prévalent sur la suppression.
4. Avec qui nous partageons (sous-traitants)
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement, edge functions | UE (Francfort) + edge global |
| Supabase Inc. | Base de données, authentification, stockage | UE (Francfort) |
| Stripe Payments Europe Ltd. | Facturation et traitement carte | UE + États-Unis (CCT) |
| Google Ireland Ltd. (Gemini API) | Génération d'images IA | UE + États-Unis (CCT) |
| Google Ireland Ltd. (Google Fonts) | Polices web | Edge global |
| Google Ireland Ltd. (Analytics 4) | Mesure de trafic — uniquement avec consentement | UE + États-Unis (CCT) |
| Resend, Inc. (le cas échéant) | Email transactionnel | UE + États-Unis (CCT) |
Les transferts hors EEE s'appuient sur les Clauses contractuelles types de la Commission (décision 2021/914) et, le cas échéant, sur des mesures techniques supplémentaires (chiffrement en transit et au repos).
5. Transferts internationaux
Notre région principale de traitement est l'Union européenne. Pour les traitements aux États-Unis (Google pour la génération IA, Stripe pour les réseaux carte), les transferts sont couverts par les CCT et, pour les fournisseurs certifiés, par le cadre EU–US Data Privacy Framework.
6. Sécurité
- TLS 1.2+ en transit, AES-256 au repos.
- Row-level security sur toutes les tables — l'ID utilisateur est dérivé de la session Supabase, jamais du client.
- Buckets de stockage privés ; téléchargements via URL signées de courte durée.
- Les données carte n'atteignent jamais nos serveurs — Stripe Checkout les collecte directement.
- Clés d'API IA uniquement côté serveur.
- Rate limiting et comptabilité atomique des crédits.
Aucun système n'est totalement sûr. Si vous découvrez une vulnérabilité, écrivez à abuse@aipopdisplays.com en nous laissant un délai raisonnable pour corriger avant divulgation publique.
7. Vos droits
Au titre du RGPD vous disposez des droits d'accès, rectification, effacement, limitation, portabilité, opposition, retrait du consentement (pour l'analytique, via le lien de préférences cookies en pied de page) et de réclamation auprès de la CNIL ou de votre autorité nationale.
Pour exercer ces droits, écrivez à privacy@aipopdisplays.com depuis l'adresse de votre compte. Réponse sous 30 jours (prolongeable de 60 jours pour les demandes complexes, art. 12.3 RGPD).
8. Cookies
Nous utilisons un minimum de cookies strictement nécessaires (authentification, CSRF, langue, état du consentement) et un ensemble optionnel de cookies analytiques (Google Analytics 4) chargés uniquement après votre consentement. Détails complets dans la politique cookies.
Pas de cookies publicitaires, pas de pistage inter-sites, pas de fingerprinting.
9. Mineurs
Le service n'est pas destiné aux moins de 16 ans et nous ne collectons pas leurs données sciemment. Si vous pensez qu'un mineur a créé un compte, écrivez à privacy@aipopdisplays.com.
10. Modifications
Lors d'une modification matérielle nous mettons à jour la date en haut de page et, pour les changements significatifs, envoyons un avis à l'email du compte. L'utilisation continue du service vaut acceptation.
11. Contact
- Vie privée : privacy@aipopdisplays.com
- Abus / sécurité : abuse@aipopdisplays.com
- Général : hello@aipopdisplays.com