Politique de confidentialité
Dernière mise à jour : 12 mai 2026 · Version 2.0
1. Qui sommes-nous ?
La présente politique décrit comment STUDIOSAVORA, SASU au capital de 1 €, RCS Salon-de-Provence 992 127 019 (« Keep Pics »), collecte, utilise, stocke et protège vos données personnelles, en conformité avec le Règlement Général sur la Protection des Données (RGPD, UE 2016/679) et la Loi Informatique et Libertés modifiée (LIL n° 78-17).
- Responsable de traitement : STUDIOSAVORA, représentée par Baptiste Figuière
- Point de contact RGPD : contact@keeppics.com
- Téléphone : +33 7 69 61 74 24
2. Données collectées et finalités
2.1 Données d'identification (acheteurs)
- Numéro de téléphone (obligatoire) — notifications de mise à disposition des photos, contact transactionnel
- Adresse email (obligatoire pour achat) — reçu, lien de téléchargement HD, support
- Prénom (lors du contact gate) — personnalisation des communications
- Adresse postale (uniquement si achat de tirage physique) — livraison
- Photo selfie + empreinte biométrique (optionnel, sur consentement explicite) — matching IA des photos d'événement
2.2 Données biométriques — CATÉGORIE SPÉCIALE (article 9 RGPD)
Le selfie que vous téléversez est converti en un vecteur mathématique d'identification unique (« embedding biométrique »). Ce traitement relève de l'article 9 du RGPD (catégories particulières de données).
- Base légale : votre consentement explicite, libre, éclairé et spécifique (case à cocher distincte lors du téléversement du selfie)
- Caractéristiques techniques : l'empreinte est un vecteur irréversible ne permettant pas de reconstituer le visage d'origine
- Sécurité renforcée : stockage isolé, chiffrement au repos
- Aucune transmission à des tiers commerciaux ou à des fins publicitaires
Vos droits spécifiques sur ces données :
- Retrait du consentement à tout moment depuis votre espace ou par email
- Suppression définitive de l'empreinte en un clic — effet immédiat
- Si vous retirez votre consentement, vous restez maître de l'accès aux photos via les liens directs fournis par le Photographe
2.3 Données des Photographes (clients professionnels)
- Nom, prénom, email, téléphone
- Raison sociale, SIRET, numéro TVA
- Adresse postale professionnelle
- IBAN ou identifiant de compte Stripe Connect (versement des revenus)
2.4 Données techniques (tous utilisateurs)
- Adresse IP (hashée pour analyse)
- User-Agent du navigateur
- Logs de connexion (conservation 12 mois)
- Données d'usage de la Plateforme (sessions visitées, actions effectuées)
2.5 Données de transaction
- Montants, dates, références des achats
- Aucune donnée bancaire complète n'est conservée par Keep Pics — Stripe est seul détenteur
3. Finalités et bases légales (article 6 RGPD)
| Finalité | Base légale |
|---|---|
| Création et gestion de compte photographe | Exécution du contrat |
| Achat de photos numériques et de tirages physiques | Exécution du contrat |
| Face matching IA (selfie ↔ photos d'événement) | Consentement explicite (art. 9) |
| Notifications transactionnelles (SMS / Email) | Exécution du contrat |
| Communications marketing photographes | Intérêt légitime + opt-out |
| Lutte contre la fraude et la sécurité | Intérêt légitime |
| Obligations comptables et fiscales | Obligation légale |
| Statistiques d'usage anonymisées | Intérêt légitime |
4. Durées de conservation
- Empreinte biométrique : 12 mois après dernière activité, OU suppression immédiate sur demande
- Selfie photo brut : 7 jours après extraction de l'empreinte (puis supprimé)
- Photos publiées par les Photographes : tant que la Session est en ligne (le Photographe garde la main)
- Compte acheteur (lead) : 36 mois après dernière activité
- Compte photographe : tant que actif + 12 mois après clôture
- Données de facturation et comptables : 10 ans (article L123-22 Code de commerce)
- Logs techniques : 12 mois (recommandation CNIL)
- Données contractuelles : 5 ans après fin du contrat (article 2224 Code civil)
- Cookies : voir politique cookies
5. Destinataires et sous-traitants
Vos données peuvent être transmises aux sous-traitants suivants :
| Sous-traitant | Service | Localisation | Garantie |
|---|---|---|---|
| Stripe Payments Europe | Paiement, Connect | Irlande (UE) | DPA signé |
| Cloudflare R2 | Stockage photos | UE (région EU) | DPA + CCT |
| OVH SAS | Hébergement serveur applicatif | France | DPA signé |
| Resend | Email transactionnel | États-Unis | DPA + CCT UE-US + DPF |
| Twilio | SMS transactionnel | États-Unis | DPA + CCT UE-US |
| Gelato Group | Impression et expédition | UE / international | DPA + CCT |
| Prodigi Limited | Impression et expédition | Royaume-Uni | DPA + clauses adéquation |
| Sentry (Functional Software Inc.) | Monitoring erreurs | États-Unis | DPA + CCT UE-US |
5.1 Transferts hors UE
Certains sous-traitants traitent les données aux États-Unis ou hors UE. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision UE 2021/914) et, le cas échéant, par l'adhésion de nos sous-traitants au cadre EU-US Data Privacy Framework.
Nous ne transférons pas vos données à des tiers à des fins commerciales ou publicitaires.
6. Vos droits (articles 15 à 22 RGPD)
Vous disposez à tout moment des droits suivants :
- Droit d'accès — obtenir une copie de vos données traitées
- Droit de rectification — corriger une donnée erronée ou incomplète
- Droit à l'effacement (« droit à l'oubli ») — suppression définitive de votre compte et de vos données
- Droit à la portabilité — récupérer vos données dans un format structuré et lisible
- Droit à la limitation du traitement
- Droit d'opposition au traitement fondé sur un intérêt légitime
- Droit de retrait du consentement à tout moment (sans préjudice des traitements antérieurs)
- Droit de définir des directives post-mortem sur le sort de vos données (article 85 LIL)
- Droit de ne pas faire l'objet d'une décision automatisée produisant des effets juridiques
6.1 Comment exercer vos droits ?
Envoyez votre demande à : contact@keeppics.com — précisez votre identité et la nature de votre demande.
Nous répondons sous 1 mois maximum (extension à 2 mois possible pour les demandes complexes, avec notification motivée).
6.2 Réclamation auprès de la CNIL
En cas de désaccord, vous pouvez saisir la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Web : cnil.fr/plaintes
- Adresse : 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
7. Sécurité
Mesures techniques
- Chiffrement TLS 1.3 en transit (HTTPS forcé)
- Chiffrement AES-256 au repos (Cloudflare R2)
- Hashage des mots de passe avec bcrypt (cost ≥ 12)
- Empreintes biométriques sous forme de vecteurs irréversibles
- Authentification à deux facteurs disponible pour les comptes Photographes
- Audit logs des accès administrateurs (conservation 12 mois)
- Monitoring temps réel via Sentry pour détection d'incidents
Mesures organisationnelles
- Accès aux données strictement limité (principe du need-to-know)
- Sous-traitants liés par DPA conformes au RGPD
- Procédure documentée de notification de violation (CNIL sous 72h, personnes concernées si risque élevé)
- Sauvegardes chiffrées et testées périodiquement
- Revue annuelle des accès et permissions
8. Mineurs
La Plateforme n'est pas destinée aux mineurs de moins de 15 ans sans autorisation parentale, conformément à l'article 8 du RGPD (transposé à l'article 45 de la LIL).
8.1 Photographies d'événements représentant des mineurs
Un Photographe peut publier des photos sur lesquelles apparaissent des mineurs (mariage, fête de famille, anniversaire, événement scolaire). Dans ce cas :
- Le Photographe garantit avoir obtenu l'autorisation des parents ou tuteurs légaux pour la prise de vue et la publication
- Aucun matching biométrique d'un mineur de moins de 15 ans n'est autorisé sans consentement parental documenté
- Toute demande de retrait de photo d'un mineur est traitée prioritairement sous 24h ouvrées
8.bis Opt-out entraînement IA (article 4 §3 directive UE 2019/790)
Conformément à l'article 4 §3 de la directive (UE) 2019/790 et aux articles L122-5-3 et L211-3 du Code de la propriété intellectuelle, STUDIOSAVORA et les Photographes ayant publié des œuvres sur la Plateforme s'opposent expressément à toute fouille de textes et de données (Text and Data Mining) effectuée à des fins autres que la recherche scientifique publique.
Cet opt-out s'applique à toute utilisation des contenus de la Plateforme (photographies, métadonnées, empreintes biométriques) pour entraîner ou affiner un modèle d'intelligence artificielle. Voir notre Charte IA et anti-scraping.
8.ter Directives post-mortem
Conformément à l'article 85 de la Loi Informatique et Libertés, toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données après son décès.
Vous pouvez nous transmettre ces directives à tout moment par email à contact@keeppics.com. À défaut de directives, les héritiers peuvent demander la suppression ou l'accès au compte sur présentation d'un justificatif (acte de décès, certificat d'hérédité).
8.quater Cession d'activité de Keep Pics
En cas de cession totale ou partielle d'activité de STUDIOSAVORA (fusion, absorption, vente du fonds de commerce, cession de la Plateforme), les utilisateurs en sont informés au moins 30 jours avant le transfert effectif des données. Les utilisateurs disposent alors d'un droit d'opposition au transfert et peuvent demander la suppression de leurs données. Le cessionnaire est tenu de respecter les engagements pris par STUDIOSAVORA au titre de la présente politique.
9. Cookies
Voir notre Politique cookies dédiée.
10. Modifications de cette politique
Toute modification substantielle vous sera notifiée par email avec un préavis de 30 jours. Les modifications mineures (corrections, clarifications) sont publiées sans notification individuelle.
Voir aussi : Mentions légales · CGV · Cookies · Modération et droit à l'image