Politique de confidentialité
Dernière mise à jour : 11 juin 2026
1. Responsable du traitement
Le responsable du traitement des données est :
DigiCom EI — Pierre BORDET
21200 Beaune — France
Contact : contact@evoa.gg
2. Données collectées
2.1 Créateurs non inscrits (fiches bootstrappées)
Evoa collecte automatiquement des données publiquement accessibles via l'API Twitch pour constituer son catalogue de créateurs gaming francophones :
- Identifiant et nom d'affichage Twitch
- URL de l'avatar Twitch
- Nombre de followers et viewers moyens
- Date du dernier stream et jeux couverts
Base légale : Intérêt légitime (article 6.1.f du RGPD). Ces données sont publiquement accessibles et le traitement est proportionné à l'objectif de mise en relation professionnelle entre créateurs et studios de jeux.
2.2 Créateurs inscrits
En plus des données Twitch publiques, les créateurs inscrits fournissent volontairement :
- Adresse email (via OAuth Twitch ou YouTube)
- Bio, liens sociaux, genres préférés, style de contenu
- Tarifs indicatifs
- Informations de paiement (chiffrées AES-256-GCM en base de données)
Base légale : Exécution du contrat (article 6.1.b du RGPD) pour les données nécessaires au service, consentement (article 6.1.a) pour les données optionnelles.
2.3 Studios et agences
- Adresse email et mot de passe (hashé par Supabase)
- Nom du studio ou de l'agence, site web
- Données de paiement (gérées par Stripe, jamais stockées sur nos serveurs)
Base légale : Exécution du contrat.
3. Finalités du traitement
- Constitution et gestion du catalogue de créateurs gaming francophones
- Mise en relation entre créateurs et studios de jeux vidéo
- Gestion des campagnes d'influence (invitations, tracking, rapports)
- Gestion des comptes utilisateurs et de l'authentification
- Traitement des paiements (via Stripe)
- Envoi d'emails transactionnels (invitations, confirmations, notifications)
- Amélioration du service (analytics anonymisées via Vercel Analytics)
4. Sous-traitants et transferts de données
| Service | Fonction | Localisation |
|---|---|---|
| Supabase | Auth, base de données et stockage de fichiers (rapports PDF) | AWS eu-west-3 (UE) |
| Vercel | Hébergement + analytics | USA (DPF certifié) |
| Stripe | Paiements | USA (DPF certifié) |
| Upstash | Cache Redis | AWS eu-west-1 (UE) |
| Resend | Emails transactionnels | USA (DPF certifié) |
Les transferts vers les États-Unis sont encadrés par le Data Privacy Framework (DPF) UE-USA, conformément à la décision d'adéquation de la Commission européenne du 10 juillet 2023.
5. Durée de conservation
- Données de compte : durée du compte + 30 jours après suppression
- Fiches bootstrappées : jusqu'à exercice du droit d'opposition ou suppression
- Données de paiement (Stripe) : 10 ans (obligation comptable française)
- Logs de connexion : 12 mois (obligation LCEN)
- Analytics : données anonymisées, conservées indéfiniment
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : demander la suppression de vos données
- Droit d'opposition : vous opposer au traitement de vos données (notamment pour les fiches bootstrappées)
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit à la limitation : restreindre le traitement dans certains cas
Pour exercer vos droits, contactez-nous à contact@evoa.gg ou utilisez le formulaire de demande RGPD. Nous répondrons dans un délai maximum de 30 jours.
En cas de différend, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr.
7. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement des données sensibles (AES-256-GCM pour les infos de paiement)
- Communication HTTPS (TLS 1.3)
- Mots de passe hashés (bcrypt via Supabase Auth)
- Accès restreint par rôle (créateur, studio, agence, admin)
- Rate limiting sur les endpoints sensibles
- Row Level Security (RLS) sur la base de données
8. Cookies
Evoa utilise uniquement des cookies strictement nécessaires au fonctionnement du service :
- sb-* : cookies de session Supabase Auth (authentification). Durée : session.
Aucun cookie publicitaire, de tracking ou analytique n'est déposé. Vercel Analytics fonctionne sans cookies ni données personnelles. Conformément à la directive ePrivacy, aucun bandeau cookie n'est nécessaire pour les cookies strictement nécessaires.
9. Modifications
Cette politique peut être mise à jour. En cas de modification substantielle, nous en informerons les utilisateurs inscrits par email. La date de dernière mise à jour est indiquée en haut de cette page.
Exercer vos droits
Conformément au RGPD, vous pouvez exercer vos droits d'accès, de rectification, de suppression et de portabilité de vos données personnelles.
Faire une demande