Politique de confidentialité

Dernière mise à jour : 11 juin 2026

1. Responsable du traitement

Le responsable du traitement des données est :

DigiCom EIPierre BORDET
21200 Beaune — France
Contact : contact@evoa.gg

2. Données collectées

2.1 Créateurs non inscrits (fiches bootstrappées)

Evoa collecte automatiquement des données publiquement accessibles via l'API Twitch pour constituer son catalogue de créateurs gaming francophones :

  • Identifiant et nom d'affichage Twitch
  • URL de l'avatar Twitch
  • Nombre de followers et viewers moyens
  • Date du dernier stream et jeux couverts

Base légale : Intérêt légitime (article 6.1.f du RGPD). Ces données sont publiquement accessibles et le traitement est proportionné à l'objectif de mise en relation professionnelle entre créateurs et studios de jeux.

2.2 Créateurs inscrits

En plus des données Twitch publiques, les créateurs inscrits fournissent volontairement :

  • Adresse email (via OAuth Twitch ou YouTube)
  • Bio, liens sociaux, genres préférés, style de contenu
  • Tarifs indicatifs
  • Informations de paiement (chiffrées AES-256-GCM en base de données)

Base légale : Exécution du contrat (article 6.1.b du RGPD) pour les données nécessaires au service, consentement (article 6.1.a) pour les données optionnelles.

2.3 Studios et agences

  • Adresse email et mot de passe (hashé par Supabase)
  • Nom du studio ou de l'agence, site web
  • Données de paiement (gérées par Stripe, jamais stockées sur nos serveurs)

Base légale : Exécution du contrat.

3. Finalités du traitement

  • Constitution et gestion du catalogue de créateurs gaming francophones
  • Mise en relation entre créateurs et studios de jeux vidéo
  • Gestion des campagnes d'influence (invitations, tracking, rapports)
  • Gestion des comptes utilisateurs et de l'authentification
  • Traitement des paiements (via Stripe)
  • Envoi d'emails transactionnels (invitations, confirmations, notifications)
  • Amélioration du service (analytics anonymisées via Vercel Analytics)

4. Sous-traitants et transferts de données

ServiceFonctionLocalisation
SupabaseAuth, base de données et stockage de fichiers (rapports PDF)AWS eu-west-3 (UE)
VercelHébergement + analyticsUSA (DPF certifié)
StripePaiementsUSA (DPF certifié)
UpstashCache RedisAWS eu-west-1 (UE)
ResendEmails transactionnelsUSA (DPF certifié)

Les transferts vers les États-Unis sont encadrés par le Data Privacy Framework (DPF) UE-USA, conformément à la décision d'adéquation de la Commission européenne du 10 juillet 2023.

5. Durée de conservation

  • Données de compte : durée du compte + 30 jours après suppression
  • Fiches bootstrappées : jusqu'à exercice du droit d'opposition ou suppression
  • Données de paiement (Stripe) : 10 ans (obligation comptable française)
  • Logs de connexion : 12 mois (obligation LCEN)
  • Analytics : données anonymisées, conservées indéfiniment

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données personnelles
  • Droit de rectification : corriger des données inexactes
  • Droit à l'effacement : demander la suppression de vos données
  • Droit d'opposition : vous opposer au traitement de vos données (notamment pour les fiches bootstrappées)
  • Droit à la portabilité : recevoir vos données dans un format structuré
  • Droit à la limitation : restreindre le traitement dans certains cas

Pour exercer vos droits, contactez-nous à contact@evoa.gg ou utilisez le formulaire de demande RGPD. Nous répondrons dans un délai maximum de 30 jours.

En cas de différend, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr.

7. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

  • Chiffrement des données sensibles (AES-256-GCM pour les infos de paiement)
  • Communication HTTPS (TLS 1.3)
  • Mots de passe hashés (bcrypt via Supabase Auth)
  • Accès restreint par rôle (créateur, studio, agence, admin)
  • Rate limiting sur les endpoints sensibles
  • Row Level Security (RLS) sur la base de données

8. Cookies

Evoa utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

  • sb-* : cookies de session Supabase Auth (authentification). Durée : session.

Aucun cookie publicitaire, de tracking ou analytique n'est déposé. Vercel Analytics fonctionne sans cookies ni données personnelles. Conformément à la directive ePrivacy, aucun bandeau cookie n'est nécessaire pour les cookies strictement nécessaires.

9. Modifications

Cette politique peut être mise à jour. En cas de modification substantielle, nous en informerons les utilisateurs inscrits par email. La date de dernière mise à jour est indiquée en haut de cette page.

Exercer vos droits

Conformément au RGPD, vous pouvez exercer vos droits d'accès, de rectification, de suppression et de portabilité de vos données personnelles.

Faire une demande