Politique de Confidentialité — Lyw
Version 1.0 Date de dernière mise à jour : [À COMPLÉTER avant publication]
Préambule
La société Lyw (ci-après « Lyw », « nous ») accorde une importance primordiale à la protection des données personnelles de ses Utilisateurs. La présente Politique de Confidentialité (la « Politique ») a pour objet d'informer les Utilisateurs sur la manière dont leurs données personnelles sont collectées, utilisées, conservées et protégées dans le cadre de l'utilisation de la plateforme Lyw (ci-après la « Plateforme »).
La Politique s'inscrit dans le respect du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».
1. Identité du responsable de traitement
Le responsable du traitement des données personnelles est :
Raison sociale : LYW, SAS au capital de 2 000 € Siège social : 61 rue Rossini, 06000 Nice RCS / SIRET : RCS Nice 105 173 504 / SIRET 105 173 504 00017 Email de contact RGPD : dpo@lyw.studio
2. Données collectées
Nous collectons et traitons les catégories de données suivantes :
2.1 Données déclarées par l'Utilisateur
Tous Utilisateurs :
- Nom, prénom, adresse email, mot de passe (chiffré) ;
- Date d'inscription ;
- Préférences d'usage (favoris, masqués, etc.).
Talents :
- Date de naissance ;
- Caractéristiques physiques déclaratives (taille, genre, couleurs cheveux et yeux, carnation, apparence ethnique, taille de vêtements, tatouages visibles, etc.) ;
- Photographies déposées ;
- Adresse de résidence (ville, pays) ;
- Coordonnées bancaires (via Stripe Connect — non stockées par Lyw).
Créateurs :
- Raison sociale ou nom commercial ;
- Type d'activité ;
- Adresse postale et siège ;
- SIRET / n° TVA intra ;
- Coordonnées bancaires (via Stripe Connect — non stockées par Lyw).
2.2 Données collectées automatiquement
- Adresse IP, type de navigateur, identifiants techniques de session, collectés et conservés par les sous-traitants techniques (Supabase, Vercel) selon leurs propres politiques de rétention ;
- Cookies strictement nécessaires (cf. Politique Cookies).
2.3 Données issues de tiers
- Stripe : statut de vérification d'identité (KYC pour Talent, KYB pour Créateur), nom légal, pays, statut du compte Connect. Les pièces justificatives d'identité ne sont pas transmises à Lyw : elles sont conservées par Stripe.
- Resend : statut de délivrance des emails transactionnels (envoyé, ouvert, rebond) — non rattaché à l'analyse comportementale.
2.4 Données sensibles
Certaines données collectées (apparence ethnique, photographies) peuvent être qualifiées de données à caractère particulier au sens de l'article 9 du RGPD.
3. Finalités et bases légales
| Finalité du traitement | Base légale (RGPD) | Durée de conservation |
|---|---|---|
| Création et gestion du Compte Utilisateur | Exécution du contrat (art. 6-1-b) | Durée d'inscription du Compte |
| Mise en relation Talent ↔ Créateur | Exécution du contrat (art. 6-1-b) | Durée d'inscription |
| Conclusion et conservation des Contrats de Cession | Obligation légale (art. 6-1-c) | 10 ans à compter de la formation du contrat (preuve contractuelle) |
| Sécurisation du paiement via Stripe | Exécution du contrat (art. 6-1-b) | 10 ans (obligation comptable) |
| Facturation et obligations comptables | Obligation légale (art. 6-1-c) | 10 ans |
| Procédure KYC / KYB | Obligation légale (art. 6-1-c — LCB-FT) | 5 ans après la clôture du Compte (conservée par Stripe) |
| Envoi d'emails transactionnels (campagnes, contrats) | Exécution du contrat (art. 6-1-b) | Durée d'inscription |
| Traitement des signalements | Intérêt légitime (art. 6-1-f) | Durée nécessaire au traitement et au suivi du signalement |
| Sécurité de la Plateforme et prévention de la fraude | Intérêt légitime (art. 6-1-f) | Durée fixée par les sous-traitants techniques |
| Traitement de données sensibles (photos, apparence) | Consentement explicite (art. 9-2-a) | Durée d'inscription, suppression sur retrait du consentement |
Au-delà des durées indiquées ci-dessus, ou sur demande de l'Utilisateur dans les conditions prévues à l'article 6, les données sont supprimées ou anonymisées, sous réserve des obligations légales de conservation applicables (notamment comptables et fiscales).
3.1 Suppression du Compte à l'initiative de l'Utilisateur
L'Utilisateur peut demander à tout moment la suppression de son Compte depuis les paramètres (rubrique « Zone sensible »). Cette suppression prend effet immédiatement et entraîne le traitement suivant des données :
Données effacées immédiatement (dans tous les cas) :
L'effacement est total et sans condition : aucune donnée personnelle de l'Utilisateur n'est conservée dans les systèmes actifs de la Plateforme. Sont notamment effacés :
- Nom, prénom, date de naissance, nationalité, adresse postale ;
- Photographies et vidéos déposées sur la Plateforme (suppression base de données et stockage cloud) ;
- Caractéristiques physiques renseignées (taille, couleur des cheveux et des yeux, carnation, apparence ethnique, taille de vêtements, présence de tatouages) ;
- Genre, numéro de téléphone ;
- Pour le Créateur : raison sociale, forme juridique, numéro SIREN, numéro de TVA intracommunautaire, adresse de siège, description, liens réseaux sociaux et coordonnées de contact ;
- Brouillons de contrats non signés ;
- Candidatures à des campagnes n'ayant pas abouti à un Contrat de Cession effectivement payé ;
- Contrats à l'état de proposition non finalisée (statuts soumis, en attente de paiement, refusés, expirés, annulés) ;
- Identifiants d'authentification (adresse email anonymisée, mot de passe et métadonnées de session écrasés, compte bloqué de manière permanente).
Contrats de Cession conclus — copie archivée :
Lorsqu'un Contrat de Cession a été effectivement payé, il constitue une pièce justificative comptable au sens de l'article L123-22 du Code de commerce. À sa conclusion, Lyw en scelle une copie immuable (document figé au jour du contrat), conservée pendant la durée légale de dix (10) ans. Cette copie contient les éléments d'identification des parties figurant à l'Annexe A :
- pour le Talent : nom et prénom, date de naissance, adresse postale, identifiant Lyw et identifiant du compte Stripe Connect ;
- pour le Créateur : raison sociale ou identité (selon que le Créateur agit en personne morale ou en auto-entrepreneur), forme juridique, numéro SIREN, numéro de TVA intracommunautaire, adresse de siège, identifiant Lyw et identifiant du compte Stripe Connect.
Ces données sont conservées exclusivement au sein de ce document contractuel archivé — les profils actifs étant, eux, intégralement effacés (voir ci-dessus). Cette conservation est expressément justifiée par l'article 17.3.b du RGPD (exception au droit à l'effacement pour le respect d'une obligation légale) et par les obligations comptables précitées. Au terme du délai de dix (10) ans, l'archive est supprimée automatiquement.
À défaut de Contrat de Cession effectivement payé, aucune donnée personnelle de l'Utilisateur n'est conservée.
Données partagées avec un tiers (échanges entre Utilisateurs) :
Les messages que l'Utilisateur a échangés avec d'autres Utilisateurs de la Plateforme ne sont pas effacés à la suppression de son Compte. Ces messages constituent des co-données partagées dont l'autre partie à l'échange est également destinataire et dispose d'un intérêt légitime à les conserver (article 6.1.f du RGPD), notamment pour documenter la relation commerciale ou contractuelle. L'Utilisateur dont le Compte est supprimé apparaîtra, dans les conversations qu'il avait engagées, sous une mention indiquant la fermeture du Compte.
Compte Stripe Connect :
Le compte de paiement Stripe Connect associé à l'Utilisateur n'est pas clôturé à la suppression du Compte Lyw : il reste actif chez Stripe pour permettre l'aboutissement d'éventuels paiements en cours et le respect des obligations Stripe (notamment la conservation des données KYC pendant cinq ans). L'Utilisateur peut, s'il le souhaite, demander la clôture de ce compte directement auprès de Stripe.
3.2 Mécanisme automatisé de purge
Lyw met en œuvre un mécanisme automatisé qui supprime quotidiennement, sans intervention humaine, les données dont la durée de conservation est expirée : brouillons de contrats expirés, signalements traités depuis plus de douze mois, journaux d'audit de plus de dix ans. Ce mécanisme assure le respect effectif des durées de conservation indiquées au tableau de l'article 3.
4. Destinataires et sous-traitants
Les données personnelles peuvent être communiquées aux destinataires suivants :
4.1 Au sein de Lyw
Les seules personnes physiques habilitées par Lyw, dans la limite stricte de leurs missions.
4.2 Sous-traitants
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données, stockage fichiers, authentification | Singapour | CCT + chiffrement |
| Vercel Inc. | Hébergement applicatif | États-Unis | CCT + EU-US DPF |
| Stripe Payments Europe | Paiement, KYC/KYB, comptes Connect | Irlande (UE) | RGPD applicable |
| Resend Inc. | Envoi d'emails transactionnels | États-Unis | CCT + EU-US DPF |
| SASU PDFShift | Génération de documents PDF | France (UE) | RGPD applicable |
4.3 Autorités publiques
Les données peuvent être communiquées à toute autorité administrative ou judiciaire compétente, sur demande légalement fondée.
5. Transferts hors UE
Comme indiqué ci-dessus, certaines données sont hébergées ou traitées en dehors de l'Union européenne :
- Supabase : serveurs principaux à Singapour (zone d'adéquation partielle reconnue par la Commission européenne).
- Vercel et Resend : hébergement et serveurs aux États-Unis.
Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) ou par l'adhésion au EU-US Data Privacy Framework (anciennement Privacy Shield) signés avec les sous-traitants concernés. Lyw s'appuie sur les garanties techniques et organisationnelles mises en œuvre par ses sous-traitants pour la protection des données transférées.
6. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir confirmation que des données vous concernant sont traitées et en recevoir une copie ;
- Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes ;
- Droit à l'effacement ou « droit à l'oubli » (art. 17) : demander la suppression de vos données dans les conditions prévues par la loi ;
- Droit à la limitation (art. 18) : suspendre temporairement le traitement de certaines données ;
- Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré lisible par machine ;
- Droit d'opposition (art. 21) : vous opposer au traitement de vos données fondé sur l'intérêt légitime ;
- Droit de retirer votre consentement à tout moment, pour les traitements fondés sur ce consentement ;
- Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi Informatique et Libertés).
Modalités d'exercice
Ces droits peuvent être exercés à tout moment :
- via les paramètres de votre Compte (rubrique « Zone sensible » pour la suppression de Compte) ;
- par email à dpo@lyw.studio ;
- par courrier à l'adresse du siège (cf. Mentions légales).
Lyw répondra dans un délai d'un (1) mois à compter de la réception de la demande, éventuellement prolongé de deux (2) mois pour les demandes complexes, conformément à l'article 12-3 du RGPD.
Réclamation auprès de la CNIL
Vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle française :
Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy — TSA 80715 75334 Paris Cedex 07 Téléphone : 01 53 73 22 22 Site : https://www.cnil.fr
7. Sécurité
Lyw met en œuvre des mesures techniques et organisationnelles raisonnables pour assurer un niveau de sécurité adapté au risque :
- Chiffrement des données en transit (TLS) sur l'intégralité de la Plateforme ;
- Chiffrement au repos assuré par les sous-traitants techniques (Supabase, Vercel) ;
- Hachage des mots de passe conformément aux standards de l'industrie, opéré par Supabase Auth ;
- Contrôles d'accès au niveau base de données via le mécanisme Row Level Security de Supabase, restreignant l'accès aux données à leurs seuls propriétaires légitimes ;
- Sauvegardes régulières opérées par les sous-traitants techniques.
8. Mineurs
La Plateforme est strictement réservée aux personnes majeures (18 ans et plus). Lyw ne collecte volontairement aucune donnée concernant des mineurs. Si vous constatez qu'un mineur a créé un Compte en contournant cette restriction, merci de nous le signaler immédiatement à dpo@lyw.studio : le Compte sera supprimé et les données effacées.
9. Modification de la Politique
Lyw se réserve le droit de modifier la présente Politique. Les Utilisateurs inscrits seront notifiés par email et par mention apparente sur la Plateforme au moins trente (30) jours avant l'entrée en vigueur des modifications substantielles.
10. Contact
Pour toute question relative à la présente Politique ou à l'exercice de vos droits, vous pouvez nous contacter :
- Par email : dpo@lyw.studio
- Par courrier : LYW — 61 rue Rossini, 06000 Nice
Fin de la Politique de Confidentialité — Version 1.0
Document à relire et valider par un avocat ou DPO externe avant publication.