Politique de confidentialité

Dernière mise à jour : 14 mars 2026

1. Responsable du traitement

Le responsable du traitement des données est :

DigiCom EI — Pierre BORDET
21200 Beaune — France
Contact : contact@evoa.gg

2. Données collectées

2.1 Créateurs non inscrits (fiches bootstrappées)

Evoa collecte automatiquement des données publiquement accessibles via l'API Twitch pour constituer son catalogue de créateurs gaming francophones :

  • Identifiant et nom d'affichage Twitch
  • URL de l'avatar Twitch
  • Nombre de followers et viewers moyens
  • Date du dernier stream et jeux couverts

Base légale : intérêt légitime (article 6.1.f du RGPD). Ces données sont publiquement accessibles et le traitement est proportionné à l'objectif de mise en relation professionnelle entre créateurs et studios de jeux.

2.2 Créateurs inscrits

En plus des données Twitch publiques, les créateurs inscrits fournissent volontairement :

  • Adresse email (via OAuth Twitch ou YouTube)
  • Bio, liens sociaux, genres préférés, style de contenu
  • Tarifs indicatifs
  • Informations de paiement (chiffrées AES-256-GCM en base de données)

Base légale : exécution du contrat (article 6.1.b du RGPD) pour les données nécessaires au service, consentement (article 6.1.a) pour les données optionnelles.

2.3 Studios et agences

  • Adresse email et mot de passe (hashé par Supabase)
  • Nom du studio ou de l'agence, site web
  • Données de paiement (gérées par Stripe, jamais stockées sur nos serveurs)

Base légale : exécution du contrat.

3. Finalités du traitement

  • Constitution et gestion du catalogue de créateurs gaming francophones
  • Mise en relation entre créateurs et studios de jeux vidéo
  • Gestion des campagnes d'influence (invitations, tracking, rapports)
  • Gestion des comptes utilisateurs et de l'authentification
  • Traitement des paiements (via Stripe)
  • Envoi d'emails transactionnels (invitations, confirmations, notifications)
  • Amélioration du service (analytics anonymisées via Vercel Analytics)

4. Sous-traitants et transferts de données

ServiceFonctionLocalisation
SupabaseAuth + base de donnéesAWS eu-west-1 (UE)
VercelHébergement + analyticsUSA (DPF certifié)
StripePaiementsUSA (DPF certifié)
UpstashCache RedisAWS eu-west-1 (UE)
ResendEmails transactionnelsUSA (DPF certifié)
Cloudflare R2Stockage PDFsEU (Europe de l'Ouest)

Les transferts vers les États-Unis sont encadrés par le Data Privacy Framework (DPF) UE-USA, conformément à la décision d'adéquation de la Commission européenne du 10 juillet 2023.

5. Durée de conservation

  • Données de compte : durée du compte + 30 jours après suppression
  • Fiches bootstrappées : jusqu'à exercice du droit d'opposition ou suppression
  • Données de paiement (Stripe) : 10 ans (obligation comptable française)
  • Logs de connexion : 12 mois (obligation LCEN)
  • Analytics : données anonymisées, conservées indéfiniment

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données personnelles
  • Droit de rectification : corriger des données inexactes
  • Droit à l'effacement : demander la suppression de vos données
  • Droit d'opposition : vous opposer au traitement de vos données (notamment pour les fiches bootstrappées)
  • Droit à la portabilité : recevoir vos données dans un format structuré
  • Droit à la limitation : restreindre le traitement dans certains cas

Pour exercer vos droits, contactez-nous à contact@evoa.gg ou utilisez le formulaire de demande RGPD. Nous répondrons dans un délai maximum de 30 jours.

En cas de différend, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr.

7. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :

  • Chiffrement des données sensibles (AES-256-GCM pour les infos de paiement)
  • Communication HTTPS (TLS 1.3)
  • Mots de passe hashés (bcrypt via Supabase Auth)
  • Accès restreint par rôle (créateur, studio, agence, admin)
  • Rate limiting sur les endpoints sensibles
  • Row Level Security (RLS) sur la base de données

8. Cookies

Evoa utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

  • sb-* : cookies de session Supabase Auth (authentification). Durée : session.

Aucun cookie publicitaire, de tracking ou analytique n'est déposé. Vercel Analytics fonctionne sans cookies ni données personnelles. Conformément à la directive ePrivacy, aucun bandeau cookie n'est nécessaire pour les cookies strictement nécessaires.

9. Modifications

Cette politique peut être mise à jour. En cas de modification substantielle, nous en informerons les utilisateurs inscrits par email. La date de dernière mise à jour est indiquée en haut de cette page.