Confidentialité.
Information relative au traitement des données à caractère personnel dans le cadre du service FanClaw, en application du règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »). La présente politique complète les Mentions légales et CGU.
Identité et contact.
Le responsable du traitement, au sens de l'article 4(7) du RGPD, est Thomas Berthou, exerçant sous le nom commercial « FanClaw », immatriculé au répertoire SIRENE sous le numéro SIRET 938 157 062 00010 (le « Responsable »).
Le service FanClaw repose sur une architecture locale : les contenus, conversations et données d'audience traités par l'utilisateur dans le cadre de son activité sont conservés dans un stockage chiffré sur l'appareil de l'utilisateur. Ces éléments ne sont pas hébergés par le Responsable. Les traitements décrits dans la présente politique portent uniquement sur les données dont le Responsable a la maîtrise.
Délégué à la protection des données. Le Responsable n'a pas désigné de délégué à la protection des données, considérant ne pas se trouver dans un cas de désignation obligatoire au sens de l'article 37 du RGPD. Toute demande relative aux données personnelles peut être adressée à legal@fanclaw.ai.
Qualification au regard de l'article 28 du RGPD. Lorsque l'utilisateur, en sa qualité de professionnel, fait usage du service pour traiter des données personnelles relatives à sa propre audience ou à ses propres clients, il agit en qualité de responsable de traitement au sens de l'article 4(7) du RGPD. Dans cette hypothèse, dans la mesure où le service exécute, sur le poste de l'utilisateur, des opérations de traitement pour son compte, le Responsable intervient en qualité de sous-traitant au sens de l'article 4(8) du RGPD. La relation de sous-traitance est régie par les présentes, qui valent accord au sens de l'article 28, paragraphe 3, du RGPD, lesquelles définissent l'objet, la durée, la nature et la finalité du traitement, les catégories de personnes concernées, les types de données et les obligations du Responsable. Un avenant spécifique de sous-traitance peut être conclu sur demande pour les besoins d'une offre dédiée (par exemple une offre destinée aux agences exploitant des comptes de créateurs tiers).
Protection des données dès la conception (article 25 RGPD). L'architecture locale du service, qui limite les transferts à ce qui est strictement nécessaire et conserve les contenus dans un stockage chiffré sur l'appareil de l'utilisateur, constitue une mesure de protection des données dès la conception et par défaut au sens de l'article 25 du RGPD. Les mesures de sécurité associées sont résumées à l'article 10 et détaillées dans les Engagements de sécurité.
Cadre. La présente politique satisfait à l'obligation d'information posée aux articles 12 à 14 du RGPD. Elle s'applique à toute personne dont les données personnelles sont traitées par le Responsable dans le cadre du service.
Qui est concerné par les traitements.
La présente politique vise les catégories de personnes physiques suivantes.
Utilisateurs. Personnes physiques titulaires d'un compte au service ou agissant au nom d'une personne morale titulaire d'un compte.
Prospects et candidats. Personnes physiques entrant en relation commerciale ou contractuelle avec le Responsable, en particulier au travers des formulaires de contact, de candidature ou d'inscription à des communications.
Visiteurs. Personnes physiques accédant au site fanclaw.ai sans être titulaires d'un compte.
Personnes en lien avec un sous-traitant ou un partenaire. Personnes physiques interlocutrices des sous-traitants, partenaires ou fournisseurs du Responsable.
Audience de l'utilisateur (hors champ). Les personnes physiques composant l'audience de l'utilisateur sur les plateformes tierces, ainsi que les contenus que ce dernier traite via le service, ne font pas l'objet d'un traitement par le Responsable. Ces traitements relèvent de la responsabilité de l'utilisateur lui-même, en sa qualité de responsable de traitement vis-à-vis de son audience.
Le strict nécessaire. Rien d'autre.Article 3 · Minimisation
Catégories de données collectées.
Conformément au principe de minimisation, seules les données nécessaires aux finalités exposées à l'article 4 sont collectées.
Compte. Adresse électronique, mot de passe (sous forme empreinte), identifiant de licence, identifiants techniques des appareils autorisés. Ces données sont obligatoires : à défaut, le compte ne peut être créé.
Facturation. Nom et adresse de facturation, identifiants de paiement tokenisés délivrés par le prestataire de paiement, historique des transactions, numéro de TVA le cas échéant, factures. Ces données sont obligatoires : à défaut, l'abonnement ne peut être souscrit.
Données techniques. Adresse IP au moment des requêtes au serveur de licences, version de l'application, identifiant de système d'exploitation, signatures anonymes d'événements de fonctionnement. Ces données sont collectées de manière automatique pour les besoins du service.
Télémétrie facultative. Lorsque l'utilisateur l'a expressément autorisée, des indicateurs d'usage agrégés et pseudonymisés, structurés pour exclure les contenus de l'utilisateur et toute information directement identifiante. Le terme « pseudonymisée » est employé au sens de l'article 4(5) du RGPD. La collecte est facultative ; le refus n'a pas d'incidence sur l'accès au service.
Communications. Contenu des échanges adressés au support ou au service commercial. Ces données sont fournies à l'initiative de la personne concernée.
Données de visite du site. Identifiants techniques strictement nécessaires au fonctionnement du site et, lorsque le consentement est recueilli, données de mesure d'audience (voir article 5).
Source des données. Les données sont, en règle générale, collectées directement auprès de la personne concernée. Les données techniques sont collectées automatiquement lors de l'utilisation du service. Aucune donnée n'est acquise auprès de courtiers de données.
Données non collectées. Les contenus traités par l'utilisateur via le service, les conversations échangées sur les plateformes tierces, les médias et les données d'audience ne sont pas transmis au Responsable. Les identifiants des plateformes tierces ne sont pas non plus transmis au Responsable.
Pourquoi et sur quel fondement.
Chaque traitement repose sur une base juridique au sens de l'article 6 du RGPD.
Exécution du contrat (art. 6.1.b). Création et gestion du compte, activation et vérification de la licence, facturation et encaissement, support utilisateur, envoi de communications transactionnelles liées au service.
Intérêts légitimes du Responsable (art. 6.1.f). Prévention de la fraude et des abus, sécurité du service et du serveur de licences, suivi anonyme de la stabilité et de la qualité du service, gestion interne, défense de droits en justice. L'utilisateur peut s'opposer à un traitement fondé sur l'intérêt légitime pour des raisons tenant à sa situation particulière dans les conditions de l'article 21 du RGPD.
Obligation légale (art. 6.1.c). Tenue de la comptabilité et conservation des pièces afférentes, déclarations fiscales et sociales, réponse aux demandes des autorités compétentes dans le cadre légal.
Consentement (art. 6.1.a). Télémétrie facultative, dépôt de traceurs non strictement nécessaires sur le site, envoi de communications de prospection le cas échéant. Le consentement peut être retiré à tout moment ; ce retrait n'affecte pas la licéité des traitements effectués avant le retrait.
Absence de catégories particulières. Le Responsable ne collecte pas, en connaissance de cause, de données entrant dans les catégories particulières mentionnées à l'article 9 du RGPD. L'utilisateur s'interdit de transmettre, via le service, de telles données en l'absence d'une base juridique appropriée.
Absence de décision automatisée au sens de l'article 22 RGPD. Le service met en œuvre des traitements algorithmiques (priorisation de tâches, recommandations de stratégie, suggestions tarifaires, scoring d'audience, classification de contenus). Ces traitements ne produisent par eux-mêmes aucun effet juridique ni significatif sur la personne concernée : toute action externe résultant de ces traitements est subordonnée à la décision et à la validation préalables de l'utilisateur en sa qualité de responsable du traitement de son audience. Le Responsable ne soumet en conséquence aucune personne concernée à une décision fondée exclusivement sur un traitement automatisé au sens de l'article 22 du RGPD. L'utilisateur, en sa qualité de responsable du traitement de son audience, est seul responsable de la mise en œuvre des garanties prévues à l'article 22 lorsque la configuration qu'il retient conduirait à automatiser intégralement une décision sans intervention humaine effective.
Traceurs déposés sur le site.
Le site fanclaw.ai recourt à des traceurs au sens de l'article 82 de la Loi Informatique et Libertés et des lignes directrices de la CNIL.
Traceurs strictement nécessaires. Sont déposés sans consentement préalable les traceurs strictement nécessaires au fonctionnement du site, notamment la session, l'authentification, la mémorisation des préférences de présentation et la sécurité.
Traceurs soumis à consentement. Sont déposés après recueil du consentement libre, éclairé, spécifique et univoque de la personne concernée, en particulier les traceurs de mesure d'audience hors champ d'exemption, les traceurs de personnalisation non essentielle et, le cas échéant, les traceurs de mesure de la performance d'une campagne d'information.
Mesure d'audience. Lorsque la mesure d'audience est mise en œuvre dans les conditions d'exemption fixées par la CNIL, elle peut être déposée sans consentement. Dans le cas contraire, elle est subordonnée au recueil préalable du consentement.
Refus. Le refus des traceurs soumis à consentement n'a pas d'incidence sur la disponibilité du site ni sur l'accès au service. Le retrait du consentement est aussi aisé que son recueil et peut intervenir à tout moment depuis le bandeau de gestion des préférences.
Information détaillée. Le détail des traceurs déposés, leur finalité, leur durée et leurs émetteurs sont accessibles dans le panneau de gestion des préférences accessible depuis le site. Toute demande complémentaire peut être adressée à legal@fanclaw.ai.
Recueil et conservation des choix. Le recueil du consentement, la mémorisation des choix de l'utilisateur et leur durée de conservation sont mis en œuvre conformément aux lignes directrices et recommandations en vigueur de la CNIL, en particulier sa délibération n° 2020-091 et sa recommandation du 17 septembre 2020. Conformément à cette recommandation, le consentement aux traceurs est conservé pendant une durée maximale de treize (13) mois et le refus pendant une durée maximale de six (6) mois, à compter de leur expression. Les choix peuvent être modifiés à tout moment depuis le panneau de gestion des préférences.
Pas de traitement de données de mineurs.
Le service est destiné aux personnes majeures.
Principe. Le service n'est pas conçu pour, et n'est pas susceptible d'être utilisé par, des personnes mineures. Le Responsable ne collecte pas, en connaissance de cause, de données personnelles relatives à des mineurs.
Constat d'une collecte. Si le Responsable constate qu'une donnée personnelle relative à un mineur lui a été transmise sans base juridique appropriée, il procède sans délai à son effacement.
Obligations de l'utilisateur. L'utilisateur s'interdit de traiter, via le service, des données personnelles relatives à des mineurs dans leur juridiction. Cette interdiction est rappelée à la Charte d'utilisation.
Prestataires techniques.
Le Responsable s'appuie, pour les besoins techniques du service, sur les sous-traitants suivants, chacun encadré par un accord conforme à l'article 28 du RGPD.
Paiement. Stripe Payments Europe Ltd. (Irlande), pour le traitement des paiements d'abonnement.
Emails transactionnels. Resend Inc. (États-Unis), pour la délivrance d'emails techniques liés au compte.
Hébergement du site et du serveur de licences. Vercel Inc. (États-Unis), pour l'hébergement du site fanclaw.ai et l'exploitation du serveur de licences.
Inférence en cloud. OpenRouter LLC (États-Unis), pour le routage des requêtes d'inférence émises par l'application à la demande de l'utilisateur.
Télémétrie facultative. PostHog Inc. (États-Unis), lorsque la télémétrie est activée par l'utilisateur.
Sous-traitants ultérieurs (article 28, paragraphe 4, du RGPD). Certains sous-traitants recourent à des sous-traitants ultérieurs pour les besoins de leur prestation. En particulier, pour l'inférence en cloud, OpenRouter LLC peut, à la demande émise par l'application sur instruction de l'utilisateur, transmettre la requête à un prestataire de modèles d'intelligence artificielle tiers, notamment Anthropic Inc., OpenAI Inc., Mistral AI SAS, Google LLC ou tout prestataire équivalent. La liste précise applicable à la date considérée peut être obtenue sur demande à legal@fanclaw.ai. Les requêtes d'inférence sont régies par les conditions du sous-traitant concerné, en particulier ses engagements de non-conservation et de non-réutilisation à des fins d'entraînement.
Droit d'objection à un nouveau sous-traitant (article 28, paragraphe 2, du RGPD). Le Responsable informe l'utilisateur de toute modification substantielle de la liste de ses sous-traitants par voie électronique, avec un préavis de trente (30) jours avant l'entrée en vigueur de la modification. Pendant ce délai, l'utilisateur peut s'opposer au changement en demandant la résiliation du contrat dans les conditions de l'article 9 des CGU.
Évolution. La version applicable de la liste des sous-traitants est celle publiée à l'adresse de la présente page. L'utilisateur peut, sur demande, obtenir le détail de la répartition des responsabilités à legal@fanclaw.ai.
Droits reconnus par le RGPD.
La personne concernée peut exercer les droits prévus aux articles 15 à 22 du RGPD.
Droit d'accès. Obtenir la confirmation que des données la concernant sont traitées et, le cas échéant, l'accès à ces données ainsi qu'aux informations relatives au traitement.
Droit de rectification. Obtenir la correction des données inexactes ou incomplètes.
Droit à l'effacement. Obtenir l'effacement des données dans les cas prévus à l'article 17 du RGPD, sous réserve des obligations légales de conservation incombant au Responsable.
Droit à la limitation. Obtenir la limitation du traitement dans les conditions de l'article 18 du RGPD.
Droit à la portabilité. Recevoir les données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable, dans les conditions de l'article 20 du RGPD.
Droit d'opposition. S'opposer, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l'intérêt légitime, et s'opposer à tout moment à un traitement de prospection.
Retrait du consentement. Retirer son consentement à tout moment pour les traitements fondés sur celui-ci, sans que ce retrait n'affecte la licéité des traitements antérieurs.
Directives post-mortem. Conformément à l'article 85 de la Loi Informatique et Libertés, définir des directives relatives au sort de ses données après son décès.
Exercice. Les demandes sont adressées à legal@fanclaw.ai. Le Responsable répond dans le délai d'un mois prévu à l'article 12 du RGPD, susceptible de prolongation dans les conditions prévues par ce même article. Une preuve d'identité peut être sollicitée en cas de doute raisonnable.
Réclamation. La personne concernée peut introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou par voie électronique via www.cnil.fr. La personne concernée peut également introduire une réclamation auprès de l'autorité de contrôle de son État membre de résidence habituelle.
Droit à indemnisation (article 82 du RGPD). La personne qui subit un dommage matériel ou moral du fait d'une violation du RGPD a le droit d'obtenir du Responsable, le cas échéant solidairement avec d'autres responsables ou sous-traitants impliqués dans le traitement, la réparation du préjudice subi, dans les conditions prévues à l'article 82 du RGPD.
Durées proportionnées aux finalités.
Les données sont conservées pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées, sous réserve des durées de prescription et d'archivage légal.
Compte. Conservé pendant la durée de la relation contractuelle, puis supprimé dans un délai raisonnable après la résiliation, sauf obligation légale de conservation ou nécessité de défense de droits.
Pièces comptables et fiscales. Conservées pendant les durées prévues par la législation française applicable, notamment l'article L. 123-22 du code de commerce et le livre des procédures fiscales.
Données techniques et journaux de sécurité. Conservés pendant la durée nécessaire aux besoins de sécurité et de traçabilité, conformément à la réglementation applicable.
Télémétrie facultative. Conservée sous forme agrégée et pseudonymisée au sens de l'article 4(5) du RGPD. L'association à une personne identifiable est techniquement empêchée à la collecte.
Prospection. Conservées jusqu'à l'exercice du droit d'opposition ou à expiration du délai de prospection applicable.
Communications avec le support. Conservées pour la durée de gestion de la demande, puis archivées dans la limite des durées de prescription applicables.
Archivage intermédiaire. À l'issue de la durée d'utilité administrative, les données sont, le cas échéant, archivées pendant la durée des prescriptions légales applicables, dans un dispositif d'accès restreint et pour les seuls besoins de défense de droits ou de réponse à obligation légale.
Encadrement des transferts hors UE.
Les transferts hors Union européenne sont encadrés par les mécanismes prévus aux articles 44 et suivants du RGPD.
Cadre des transferts. Lorsqu'un transfert hors UE est nécessaire à la fourniture du service, il est mis en œuvre sur la base : (i) d'une décision d'adéquation de la Commission européenne lorsqu'elle existe, en particulier la décision d'exécution (UE) 2023/1795 du 10 juillet 2023 relative au niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE-États-Unis (Data Privacy Framework, « DPF »), pour les sous-traitants certifiés au DPF ; (ii) à défaut, des clauses contractuelles types adoptées par la Commission européenne, complétées le cas échéant de mesures techniques et organisationnelles supplémentaires conformes aux recommandations du Comité européen de la protection des données ; (iii) ou de tout autre mécanisme de garanties appropriées reconnu par le RGPD.
Sous-traitants concernés. À la date des présentes, Stripe Payments Europe Ltd. est établie dans l'Union européenne et n'opère pas, à ce titre, de transfert hors UE. Les sous-traitants Resend Inc., Vercel Inc., OpenRouter LLC et PostHog Inc. sont établis aux États-Unis ; le transfert correspondant est encadré, selon la situation effective du sous-traitant à la date considérée, soit par sa certification au DPF, soit par les clauses contractuelles types complétées de mesures supplémentaires.
Information. Une copie des garanties applicables à un transfert peut être obtenue, sous réserve des éléments couverts par la confidentialité, sur demande à legal@fanclaw.ai.
Modification de la présente politique. La présente politique peut être modifiée pour tenir compte d'évolutions législatives, réglementaires, jurisprudentielles ou techniques. La version applicable est celle publiée à l'adresse de la présente page. Les modifications substantielles font l'objet d'une information préalable de l'utilisateur par voie électronique, dans un délai raisonnable avant leur entrée en vigueur.
Sécurité (article 32 du RGPD). Le Responsable met en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD, en particulier : chiffrement en transit (TLS dans une version récente), chiffrement au repos (AES-256 dans un coffre contrôlé par l'utilisateur), signature des binaires, authentification et durée limitée des jetons d'accès, cloisonnement des composants, minimisation des données et des durées de conservation. Les mesures détaillées et la posture globale sont décrites dans les Engagements de sécurité.
Fin du document.
Voir la charte d'utilisation.
Toute demande relative aux données peut être adressée à legal@fanclaw.ai.