Politique de confidentialité

Nous ne collectons que ce qui est nécessaire. La collecte est progressive, étape par étape de l'onboarding :

• Inscription créateur (étape 1)Email (code de connexion à usage unique) ou jeton OAuth (Discord), pseudonyme public choisi par toi, langue préférée, acceptation des CGU avec horodatage et adresse IP. Objectif : ouvrir ton compte et t'authentifier. Aucun mot de passe n'est stocké ; aucune donnée fiscale ou bancaire à ce stade.
• Données fiscales et de facturation créateur (collectées progressivement au cours de l'onboarding)Collectées progressivement au cours de l'onboarding, et au plus tard avant ton premier versement : prénom, nom, date de naissance, pays de résidence fiscale, puis lieu de naissance, nationalité, adresse complète, téléphone, numéro d'identification fiscale (TIN / SIRET / équivalent étranger), numéro de TVA le cas échéant, et coordonnées bancaires (IBAN/BIC ou équivalent local). Objectif : déclaration fiscale DAC7 (directive 2021/514), émission de factures (article 242 nonies A de l'annexe II au Code général des impôts).
• Finalisation Stripe créateur (étape 3)Pièce d'identité (KYC collecté et conservé directement par Stripe, pas par Swiplay), selfie, adresse complète, statut fiscal. Objectif : ouvrir ton compte Stripe Connect Express pour pouvoir te payer.
• Onboarding studioRaison sociale, nom commercial, SIRET / numéro d'immatriculation / numéro de TVA, pays, adresse complète, email de facturation, représentant légal (nom, fonction, coordonnées professionnelles), informations pouvant être complétées par nos équipes à partir des registres publics officiels. Objectif : vérification de l'entreprise auprès des registres publics officiels, émission de factures.
• Données techniquesAdresse IP, user agent, logs de session, horodatages de consentement, événements de sécurité. Objectif : sécurité du compte, prévention de la fraude, preuve du consentement (article 7.1 RGPD).
• Statistiques plateformes sociales (créateurs)Lorsque tu relies un compte social, nous collectons le nom d'utilisateur que tu nous fournis, l'identifiant public du compte et ses statistiques publiques (abonnés, image de profil). Swiplay lit ensuite les statistiques publiques (vues, likes, commentaires) des vidéos que tu publies dans le cadre des campagnes, via les API publiques mises à disposition par les plateformes sociales ou via des outils internes de tracking. Aucune donnée privée du compte n'est consultée. Voir la section 4 pour le détail.
• Contenu de campagne soumisLes vidéos que tu soumets aux campagnes et leurs métadonnées (lien, titre, description, statistiques publiques) ainsi qu'une transcription texte dérivée de l'audio, générée par un outil interne afin de vérifier le respect du brief. La transcription est réalisée au sein de l'Union européenne. Le texte peut ensuite être traduit automatiquement via un service spécialisé de traduction (cf. section 4).

• Faire fonctionner la plateforme (compte, authentification, participation aux campagnes, calcul des gains) : exécution du contrat (article 6.1.b RGPD).
• Traitement des paiements et mandat d'auto-facturation : exécution du contrat et obligation légale (articles 6.1.b et 6.1.c RGPD ; article 242 nonies A de l'annexe II au Code général des impôts).
• Déclarations fiscales obligatoires (DAC7, DAS2 et déclarations de TVA associées) : obligation légale (directive UE 2021/514, articles 1649 ter A et 240 du Code général des impôts).
• Vérification d'identité des Créateurs (opérée par notre prestataire de paiement), vérification des studios partenaires et filtrage au regard des sanctions internationales : exécution du contrat, obligation légale (règlements de sanctions de l'UE) et intérêt légitime (articles 6.1.b, 6.1.c et 6.1.f RGPD).
• Prévention de la fraude et sécurité de la plateforme : intérêt légitime (article 6.1.f RGPD).
• Newsletters produit et emails marketing : consentement (article 6.1.a RGPD), opt-in uniquement, révocable à tout moment depuis tes paramètres.
• Vérification et traduction du contenu de campagne soumis (transcription et analyse des vidéos que tu soumets, pour contrôler le respect du brief) : exécution du contrat et intérêt légitime (articles 6.1.b et 6.1.f RGPD).

Les durées de conservation varient selon les catégories :

• Données fiscales / DAC75 ans à compter de l'année de référence de la déclaration (obligation DAC7), y compris après suppression du compte. Cette conservation prime sur le droit à l'effacement.
• Données comptables / facturation10 ans (article L123-22 du Code de commerce).
• Données marketingTa préférence marketing est un réglage opt-in de ton compte : en cas d'opt-out, les envois cessent immédiatement. Les événements d'acheminement des emails (délivré, ouvert, cliqué) sont conservés pour le suivi de délivrabilité pendant la durée du compte.
• Logs et événements de sécuritéLogs opérationnels : 90 jours. Événements de sécurité : 5 ans (reconstitution forensique). Événements financiers : 6 à 10 ans (obligations comptables et fiscales légales).
• Registre des consentementsConservé pendant la durée de la relation contractuelle, puis pendant la durée de prescription applicable, à titre de preuve du consentement (article 7.1 RGPD).

Nous ne partageons tes données qu'avec des sous-traitants soigneusement sélectionnés ou des autorités publiques :

• Stripe Technology Europe Limited (Irlande)Traitement des paiements, safeguarding, KYC, versements aux créateurs, et encaissement par virement bancaire des fonds de campagne des Studios. L'Irlande est un État membre de l'UE (le RGPD s'applique directement). Une partie de la vérification d'identité peut être traitée aux États-Unis par Stripe Inc. dans le cadre du Data Privacy Framework UE-US (DPF).
• Hébergement (UE)Hébergement de l'application et de la base de données dans l'UE. L'hébergeur est identifié sur la page des mentions légales.
• Stockage des fichiers (UE)Stockage des logos studios, des assets de campagnes, des documents de facturation (factures et auto-factures) et des archives d'export RGPD sur une infrastructure située dans l'UE et opérée par Swiplay. Aucun transfert hors UE.
• Envoi d'email (région UE)L'email transactionnel est géré par un prestataire spécialisé opérant en région UE.
• Discord Inc. (États-Unis) : authentification OAuth (créateurs)Connexion OAuth alternative pour les comptes créateurs ; lors d'une connexion via Discord, ton compte peut être ajouté automatiquement au serveur communautaire Swiplay. Des alertes opérationnelles internes (sans données bancaires ni documents d'identité) transitent également par les canaux Discord de l'équipe. États-Unis ; base de transfert : Data Privacy Framework UE-US complété, à titre subsidiaire, par les clauses contractuelles types.
• Récupération des statistiques publiques de vos vidéosSwiplay récupère automatiquement les statistiques publiques (vues, likes, commentaires) des vidéos que vous publiez dans le cadre des campagnes, via les API publiques mises à disposition par les plateformes sociales ou via des outils internes de tracking. Aucune donnée privée de votre compte n'est consultée.
• Monitoring des erreurs (États-Unis)Monitoring des erreurs (côté serveur et client) par un prestataire spécialisé. États-Unis ; base de transfert : Data Privacy Framework UE-US et clauses contractuelles types UE. Les données personnelles sont anonymisées avant tout envoi depuis le navigateur ; aucun cookie n'est déposé.
• Plateforme de comptabilité (France)Plateforme de comptabilité française utilisée pour les factures studios, les auto-factures (mandat « 2 du I de l'article 289 du CGI ») et les écritures comptables. Données transférées : raison sociale, SIREN, montants des factures, coordonnées bancaires partielles. La France est un État membre de l'UE : le RGPD s'applique directement.
• Outil de prise de rendez-vous (États-Unis)Outil de prise de rendez-vous utilisé pour l'onboarding studio. États-Unis ; base de transfert : Data Privacy Framework UE-US. Le prestataire ne reçoit de données que lorsque tu cliques pour accéder à son site.
• Service de traduction automatique (États-Unis)La transcription textuelle des vidéos soumises, ainsi que les textes dont tu demandes la traduction dans l'interface, peuvent être traduits automatiquement par un prestataire spécialisé de traduction. Aucun identifiant de compte ni donnée financière n'est transmis avec le texte. États-Unis ; base de transfert : Data Privacy Framework UE-US.
• TikTok Technology Limited (Irlande) : compte créateur connectéLorsque tu connectes ton compte TikTok par OAuth, TikTok fournit à Swiplay ton profil public (nom affiché, identifiant, avatar, nombre d'abonnés) et la liste de tes vidéos publiques avec leurs statistiques publiques (vues, likes, engagement), au titre des permissions user.info.basic, user.info.profile et video.list. Cette source de données sert uniquement à mesurer la performance de tes participations aux campagnes. L'Irlande est un État membre de l'UE (le RGPD s'applique directement) ; une partie du traitement peut avoir lieu aux États-Unis au titre des clauses contractuelles types de l'UE.
• Meta Platforms Ireland Ltd (Irlande) : compte Instagram connectéLorsque tu connectes ton compte Instagram professionnel ou créateur par OAuth, Meta fournit à Swiplay ton profil professionnel public et les insights publics de ton compte, au titre des permissions instagram_business_basic et instagram_business_manage_insights. Cette source de données sert uniquement à mesurer la performance de tes participations aux campagnes. L'Irlande est un État membre de l'UE (le RGPD s'applique directement) ; base de transfert pour tout traitement aux États-Unis : Data Privacy Framework UE-US complété, à titre subsidiaire, par les clauses contractuelles types.
• Google Ireland Ltd (Irlande) : chaîne YouTube connectéeLorsque tu connectes ta chaîne YouTube par OAuth, Google fournit à Swiplay les informations de ta chaîne et les statistiques d'analyse de ta propre chaîne, au titre des permissions youtube.readonly et yt-analytics.readonly. Cette source de données sert uniquement à mesurer la performance de tes participations aux campagnes. L'Irlande est un État membre de l'UE (le RGPD s'applique directement) ; base de transfert pour tout traitement aux États-Unis : Data Privacy Framework UE-US complété, à titre subsidiaire, par les clauses contractuelles types.
• Autorités publiques françaisesDéclaration DAC7 annuelle transmise à l'administration fiscale française. La validation du SIRET/SIREN lors de l'onboarding studio est effectuée auprès des registres publics officiels.

Transferts hors UE : lorsque nous transférons des données personnelles hors de l'UE, nous nous appuyons soit sur une décision d'adéquation (Data Privacy Framework UE-US) soit sur les clauses contractuelles types approuvées par la Commission européenne. La liste complète des sous-traitants avec leur base de transfert est disponible sur demande à contact@swiplay.com.

Sécurité de tes données (article 32 RGPD) : nous appliquons des mesures techniques et organisationnelles adaptées au risque, notamment le chiffrement TLS des données en transit, le chiffrement au repos des données les plus sensibles (en particulier tes coordonnées bancaires utilisées pour les versements), des contrôles d'accès stricts et un journal d'audit inaltérable des opérations sensibles.

Au titre du RGPD tu disposes des droits suivants, exerçables à contact@swiplay.com :

• Accès : obtenir une copie des données que nous détenons sur toi.
• Rectification : correction de données inexactes.
• Effacement : suppression de ton compte et des données encore détenues. Une demande de suppression est confirmée par un code à usage unique envoyé sur ton email, puis ouvre un délai de grâce de 14 jours pendant lequel tout solde restant est automatiquement versé (sous réserve d'un compte de paiement actif permettant le virement) avant la clôture du compte ; la demande peut être annulée pendant ce délai. L'effacement reste limité par les obligations de conservation DAC7 et comptables énoncées en section 3 (nous conservons le minimum légal pour la durée légale).
• Portabilité : export structuré des données que tu as fournies.
• Opposition : au traitement fondé sur notre intérêt légitime.
• Limitation : gel temporaire du traitement pendant le règlement d'un litige.
• Réclamation : tu peux introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de l'autorité de contrôle de ton pays de résidence.

Nous répondons aux demandes dans un délai d'un mois, prorogeable une fois de deux mois pour les demandes complexes (article 12.3 RGPD).

Le site n'utilise que les cookies strictement nécessaires au fonctionnement du service : cookie de session, protection CSRF, préférence de langue. Aucun cookie publicitaire, analytique ou de tracking n'est déposé.

Cookies et traceurs

Cookies essentiels (sans consentement requis) : session d'authentification, jeton CSRF, préférence de langue (swiplay-locale). Cookies du sélecteur multi-comptes : `swiplay_wallet` stocke la liste des comptes auxquels tu t'es déjà connecté sur ce navigateur pour basculer rapidement, et un cookie `sp_sess_<userId>` par compte conserve la session chiffrée correspondante (durée 7 jours, alignée sur la session). Si tu arrives via un lien d'invitation de campagne, un cookie `swiplay_campaign_invite` conserve la référence de l'invitation pendant 7 jours afin de l'appliquer automatiquement à ton compte lors de ta connexion. Ces cookies sont strictement nécessaires au fonctionnement du service et ne peuvent pas être désactivés.

Aucun cookie analytique ou de tracking n'est déposé. Le monitoring des erreurs (cf. section 4) fonctionne sur la base de l'intérêt légitime sans poser aucun cookie dans ton navigateur, aucune bannière de consentement n'est donc requise.

Aucune bannière de consentement n'est affichée car seuls des cookies strictement nécessaires sont déposés ; tu peux effacer ces cookies depuis ton navigateur à tout moment.

• Ce à quoi nous accédonsLorsque tu connectes un compte social par OAuth, Swiplay accède, avec ton consentement, à ton profil public (nom affiché, identifiant, avatar, nombre d'abonnés), à la liste des vidéos que tu as publiées et à leurs statistiques (vues, likes, engagement), ainsi qu'aux données démographiques agrégées et anonymisées que ta plateforme met à ta disposition sur ton propre compte et tes propres vidéos (tranches d'âge, genre et géographie de ton audience). Ces données démographiques sont des statistiques d'audience agrégées ; elles n'identifient jamais un spectateur individuel. Par plateforme : sur TikTok, ton profil de base, les détails de ton profil et la liste de tes vidéos publiques avec leurs statistiques publiques (permissions user.info.basic, user.info.profile, video.list) ; sur Instagram, ton profil professionnel ou créateur, ses insights et les données démographiques au niveau de ton compte (permissions instagram_business_basic, instagram_business_manage_insights) ; sur YouTube, les informations de ta chaîne et les analyses de ta chaîne et par vidéo incluant les données démographiques des spectateurs (permissions youtube.readonly, yt-analytics.readonly). Nous n'accédons jamais aux messages privés ni aux données privées du compte.
• Pourquoi nous y accédonsCes données servent uniquement à mesurer la performance de tes participations aux campagnes et à afficher tes statistiques. Elles ne sont jamais vendues, jamais utilisées à des fins publicitaires, et jamais partagées sauf avec le studio d'une campagne que tu as rejointe (performance agrégée uniquement) et avec nos sous-traitants énumérés en section 4.
• Base légaleExécution du contrat créateur (article 6.1.b RGPD) et ton consentement (article 6.1.a RGPD) : tu connectes explicitement chaque compte et peux le déconnecter à tout moment depuis tes paramètres.
• Conservation et suppressionLes jetons d'accès et les statistiques stockées sont conservés chiffrés uniquement tant que la connexion est active. Ils sont supprimés lorsque tu déconnectes la plateforme ou lorsque tu supprimes ton compte (cf. la procédure de suppression de compte décrite en section 5) ; pour la connexion elle-même, la suppression est immédiate. Pour Instagram et les autres produits Meta, tu peux également déclencher la suppression de tes données via le mécanisme de demande de suppression proposé par Meta, que Swiplay honore au moyen d'un callback de suppression de données dédié.
• Politique relative aux données utilisateur des API Google (utilisation limitée)L'utilisation et le transfert par Swiplay, vers toute autre application, des informations reçues des API Google respecteront la Google API Services User Data Policy, y compris les exigences d'utilisation limitée (Limited Use). En recourant aux services d'API YouTube, tu es également soumis aux conditions d'utilisation de YouTube (https://www.youtube.com/t/terms) et à la politique de confidentialité de Google (https://policies.google.com/privacy).

Nous pouvons mettre à jour la présente politique. Toute modification substantielle te sera notifiée et soumise à une nouvelle acceptation explicite avant la poursuite de l’utilisation du service.