lightsandcolors.art
Sign InSign Up

Politique de Confidentialité – Lights & Colors

Ostatnia aktualizacja: 2025-08-18

Politique de Confidentialité – Lights & Colors

Dernière mise à jour : 2025-08-18
Domaine : lightsandcolors.art • Contact : kunsttherapieblog@gmail.com

1. Responsable du traitement

Le responsable du traitement est le propriétaire du service Lights & Colors, accessible à
https://www.lightsandcolors.art (ci-après : « le Service »).
Pour toute question relative à la protection des données, vous pouvez nous contacter à :
kunsttherapieblog@gmail.com.

2. Champ d’application

La présente politique décrit le traitement des données lié à l’utilisation du Service (application web / blog) et aux comptes utilisateurs.

3. Données que nous collectons

3.1. Inscription et connexion locale

  • adresse e-mail
  • nom d’affichage (si fourni)
  • mot de passe – stocké uniquement sous forme de hash avec Argon2 (aucun mot de passe en clair n’est conservé)

3.2. Connexion via Google (OAuth 2.0)

Périmètre des autorisations : email et profile (nom et avatar).

  • nous stockons : adresse e-mail, nom, URL de l’avatar
  • nous ne recevons ni ne stockons votre mot de passe Google
  • nous ne stockons pas de jetons Google long-terme (access/refresh) dans notre base de données

3.3. Données techniques et journaux

À des fins de sécurité et de maintenance, nous pouvons traiter : adresse IP (provenant des en-têtes X-Forwarded-*), horodatages, identifiants de requête, journaux d’erreurs basiques.

3.4. Contenus de l’utilisateur

Tout contenu ajouté au Service (ex. posts, images, commentaires) est traité afin de fournir le service de publication et de gestion de compte.

4. Origine des données

  • directement fournies par vous (inscription/connexion locale, édition du profil, ajout de contenu)
  • par Google – si vous vous connectez via OAuth Google dans le périmètre email et profile

5. Finalités et base légale du traitement

  • Authentification et gestion de compte – pour permettre la connexion et l’utilisation du Service (Art. 6(1)(b) RGPD)
  • Sécurité et maintenance (limitation de débit, journaux, modération) – notre intérêt légitime (Art. 6(1)(f) RGPD)

Nous ne réalisons pas de marketing comportemental ni de profilage.

6. Détection des abus et modération (OpenAI)

Afin de prévenir les abus (ex. spam, discours haineux, incitation à la violence) et de maintenir la qualité du Service, nous utilisons l’API OpenAI en tant que sous-traitant.

Nous ne transmettons que les données strictement nécessaires, principalement le contenu soumis par l’utilisateur à des fins de modération, ainsi que les métadonnées techniques requises pour la classification.

  • Les décisions ne sont pas entièrement automatisées – chaque cas signalé par le système est vérifié par un humain
  • Un modérateur peut également marquer manuellement un contenu comme contraire aux règles
  • Nous ne transmettons pas de données pour l’entraînement des modèles – les données sont utilisées exclusivement à des fins de classification/modération

Plus d’informations côté OpenAI : openai.com/policies

7. Destinataires et sous-traitants

  • Supabase – base de données (PostgreSQL), région AWS eu-north-1 (Stockholm, EEE)
  • Vercel / Railway – hébergement d’application
  • Upstash (Redis) – files de tâches (BullMQ) ; connexions chiffrées TLS
  • OpenAI – classification automatisée du contenu
  • Google – fournisseur d’identité (OAuth, responsable de traitement indépendant)

Nous ne vendons pas de données.

8. Transferts de données hors de l’EEE

Les données sont stockées dans l’EEE (Supabase eu-north-1).
En cas de transfert exceptionnel hors de l’EEE, des garanties appropriées sont appliquées (ex. Clauses Contractuelles Types).

9. Durée de conservation

  • compte (e-mail, nom, avatar) – jusqu’à la suppression du compte
  • journaux techniques – généralement 30 jours
  • files (Upstash) – temporairement

10. Mesures de sécurité (résumé)

  • en-têtes HTTP (helmet) : CSP, HSTS, X-Frame-Options, nosniff
  • CORS restrictif
  • validation des données (ValidationPipe)
  • authentification via JWT (en-tête Authorization, sans cookies)
  • mots de passe locaux stockés en hash Argon2
  • connexion OAuth Google limitée à (email, profile)
  • limitation de débit, TLS, IP prise en compte via proxy (X-Forwarded-*)

11. Vos droits

Vous disposez du droit d’accès, de rectification, d’effacement (« droit à l’oubli »), de limitation, de portabilité et d’opposition.

Nous pouvons refuser un effacement complet en cas d’abus (Art. 17(3) RGPD) – dans ce cas, nous conservons un jeu de données minimal (e-mail, IP, journaux).

Demandes : kunsttherapieblog@gmail.com.

12. Cookies

Nous utilisons des jetons JWT dans l’en-tête Authorization (et non dans des cookies).
Le Service peut utiliser uniquement des cookies nécessaires (ex. préférences UI).
Aucun cookie marketing.

13. Coopération avec les autorités

En cas de suspicion d’activité criminelle (ex. menaces, discours haineux, exploitation d’enfants, fraude), nous pouvons transmettre aux autorités compétentes toutes les données disponibles, y compris les adresses IP et les journaux – dans la mesure exigée par la loi.

14. Informations concernant la connexion Google

Vous pouvez révoquer à tout moment l’accès de notre application dans les paramètres de votre compte Google (« Sécurité » → « Accès des applications tierces »).
La révocation empêchera la connexion via Google jusqu’à ce que vous accordiez à nouveau votre consentement.

15. Modifications de la présente politique

La présente politique peut être mise à jour. La version en vigueur est toujours disponible à cette adresse.

© Lights & Colors — Politique de Confidentialité