Zenclip

Politique de confidentialité

Dernière mise à jour : 5 mai 2026

1. Préambule

La présente politique de confidentialité décrit la manière dont "HEKLA 7" LTD(ci-après « Zenclip » ou « nous »), société de droit bulgare immatriculée sous le numéro EIK 207563892, dont le siège social est situé bul./ul. Tsar Asen n° 11, Triaditsa district, 1000 Sofia, Bulgarie, collecte, utilise, conserve, partage et protège les données personnelles des utilisateurs de son service en ligne Zenclip(ci-après « le Service »).

En utilisant le Service, vous reconnaissez avoir pris connaissance de la présente politique et acceptez les traitements de données qui y sont décrits, dans les conditions et pour les finalités énoncées ci-après.

Cette politique s'applique à toute personne créant un compte sur le Service, téléchargeant des fichiers vidéo (ci-après les « Rushs ») ou visitant le site zenclip.app.

2. Données que nous collectons

2.1 Données d'inscription et de compte

  • Adresse e-mail — utilisée comme identifiant de connexion et pour les communications transactionnelles.
  • Mot de passe— stocké de manière hachée et salée par notre fournisseur d'authentification Supabase. Nous n'y avons jamais accès en clair.
  • Prénom— utilisé pour personnaliser l'expérience utilisateur dans le tableau de bord.
  • Préférences d'interface (avatar emoji optionnel, etc.).

2.2 Données liées aux Rushs téléchargés

  • Fichiers vidéo (Rushs) — stockés temporairement le temps du traitement et de la livraison.
  • Métadonnées techniques des fichiers — nom de fichier, taille, durée, codec, résolution, date de création.
  • Transcriptions audio — texte extrait de la bande son par notre sous-traitant AssemblyAI.
  • Analyses visuelles automatisées — descriptions textuelles, scores qualitatifs (luminosité, cadrage, esthétique) générés par notre sous-traitant Google LLC (Gemini API).
  • Embeddings vectoriels — représentations numériques des transcriptions utilisées pour le clustering sémantique, générées par notre sous-traitant OpenAI.
  • Brief du projet— description textuelle et image éventuelle communiquées par l'Utilisateur.
  • Statut des Rushs— résultat du tri (retenu, alternative, exclu) et éventuels ajustements manuels de l'Utilisateur.

⚠️ Les Rushs peuvent contenir l'image, la voix et des données d'identification de tiers. L'Utilisateur garantit, aux termes des Conditions Générales d'Utilisation, avoir obtenu toutes les autorisations nécessaires de la part de ces tiers.

2.3 Données techniques de connexion

  • Adresse IP— collectée à des fins de sécurité (détection d'abus, journalisation des accès).
  • User agent— type de navigateur et de système d'exploitation, à des fins de compatibilité technique et de diagnostic.
  • Logs serveurs— horodatage et nature des requêtes (sans contenu personnel détaillé), à des fins de sécurité, d'observabilité et de débogage.

2.4 Données de paiement

Lorsque la fonctionnalité de paiement sera activée, celle-ci sera intégralement gérée par Stripe. Nous ne stockons aucune donnée de carte bancaire sur nos serveurs. Nous conservons uniquement les références techniques nécessaires à la facturation (identifiant client Stripe, identifiants de transaction) et les données de facturation requises par la loi (nom, adresse de facturation, montant, date).

3. Finalités du traitement

Vos données personnelles sont traitées exclusivement pour les finalités suivantes :

  • Fourniture du Service— création et gestion du compte, traitement des Rushs, livraison de l'archive ZIP, partage via lien temporaire.
  • Amélioration du Service— analyses agrégées et anonymisées d'usage, sans identification individuelle des utilisateurs.
  • Sécurité et lutte contre la fraude— détection d'abus, prévention des intrusions, journalisation des accès.
  • Communications transactionnelles— confirmation d'inscription, notifications relatives à vos projets, alertes de sécurité.
  • Respect des obligations légales — facturation, comptabilité, réponse aux demandes des autorités compétentes.

4. Base légale du traitement

Conformément à l'article 6 du Règlement (UE) 2016/679 (RGPD), nos traitements sont fondés sur les bases légales suivantes :

  • Exécution du contrat (article 6.1.b) — pour la création et la gestion du compte, le traitement des Rushs et la livraison du Service.
  • Intérêt légitime (article 6.1.f) — pour la sécurité du Service, la prévention de la fraude et l'amélioration produit (analyses agrégées anonymisées).
  • Obligation légale (article 6.1.c) — pour la conservation des documents comptables et fiscaux requise par la réglementation applicable.
  • Consentement (article 6.1.a) — lorsque cela est requis, par exemple pour l'activation de fonctionnalités optionnelles ou de communications non transactionnelles.

5. Sous-traitants et destinataires des données

Pour fournir le Service, nous faisons appel à des sous-traitants techniques sélectionnés pour leur niveau de sécurité et leur conformité aux obligations du RGPD. Tous nos sous-traitants sont liés par un contrat de sous-traitance conforme à l'article 28 du RGPD.

5.1 Liste des sous-traitants

  • Supabase, Inc. (États-Unis) — Authentification, base de données et stockage des métadonnées. Politique de confidentialité Supabase.
  • Cloudflare, Inc. (États-Unis) — Stockage des fichiers vidéo (Rushs et archives ZIP de livraison) via le service Cloudflare R2. Politique de confidentialité Cloudflare.
  • Anthropic, PBC(États-Unis) — Analyse par intelligence artificielle des Rushs (classification narrative, scoring qualitatif) via l'API Claude (sous-traitant secondaire, utilisé en fallback). Conformément aux conditions d'usage de l'API d'Anthropic, vos vidéos ne sont pas utilisées pour entraîner les modèles d'IA d'Anthropic. Politique de confidentialité Anthropic.
  • Google LLC(États-Unis) — Analyse par intelligence artificielle des Rushs vidéo (description du contenu visuel et audio, scoring qualitatif, correspondance avec le brief utilisateur) via l'API Gemini. Conformément aux conditions d'usage de l'API Gemini, vos données ne sont pas utilisées pour entraîner les modèles d'IA de Google. Politique de confidentialité Google.
  • AssemblyAI, Inc. (États-Unis) — Transcription automatique de la bande son des Rushs. Politique de confidentialité AssemblyAI.
  • OpenAI, L.L.C.(États-Unis) — Génération d'embeddings vectoriels à partir des transcriptions pour le clustering sémantique des Rushs. Conformément aux conditions d'usage de l'API d'OpenAI, vos données ne sont pas utilisées pour entraîner les modèles d'OpenAI. Politique de confidentialité OpenAI.
  • Inngest, Inc. (États-Unis) — Orchestration des tâches asynchrones du Service (pipeline de traitement, cron de rétention). Politique de confidentialité Inngest.
  • Railway Corp. (États-Unis) — Hébergement applicatif du Service. Politique de confidentialité Railway.

5.2 Communication des données à des tiers

En dehors des sous-traitants listés ci-dessus, vos données ne sont en aucun cas vendues, louées ou cédées à des tiers à des fins commerciales ou publicitaires. Une communication à un tiers ne peut intervenir que dans les cas suivants :

  • réquisition par une autorité judiciaire ou administrative compétente, dans les conditions prévues par la loi ;
  • dans le cadre d'une opération de fusion, acquisition ou cession d'activité, sous réserve d'information préalable des utilisateurs concernés ;
  • avec votre consentement explicite préalable.

5.3 Traitement par intelligence artificielle

Vos Rushs vidéo sont analysés automatiquement par l'IA Gemini (Google LLC) afin de :

  • Décrire le contenu visuel et audio de chaque Rush.
  • Évaluer la qualité technique (lumière, cadrage, son, énergie).
  • Faire correspondre les Rushs avec votre brief pour recommander une sélection optimale.
  • Regrouper les Rushs par fonction narrative (hook, présentation, CTA, etc.).

Ces analyses sont effectuées de manière éphémère : conformément aux conditions d'utilisation de l'API Gemini, Google ne conserve pas le contenu vidéo après traitement et ne l'utilise pas pour entraîner ses modèles d'IA.

Le résultat de l'analyse (description textuelle, scores, verdict de tri) est stocké dans notre base de données et associé à votre projet, jusqu'à la suppression automatique du projet (14 jours) ou la suppression de votre compte.

6. Transferts de données hors Union européenne

Plusieurs de nos sous-traitants sont établis aux États-Unis (Supabase, Cloudflare, Google LLC, Anthropic, AssemblyAI, OpenAI, Inngest, Railway) ce qui implique des transferts de données personnelles en dehors de l'Espace économique européen.

Lorsque cela est applicable, ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne et/ou par l'adhésion du sous-traitant au Data Privacy Framework UE-USA. La liste à jour des certifications DPF est consultable sur https://www.dataprivacyframework.gov.

7. Durées de conservation

Nous conservons vos données pendant la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, conformément aux durées suivantes :

  • Rushs vidéo et leurs analyses — quatorze (14) jours après la finalisation du projet, puis suppression automatique et irréversible (cron quotidien). La timeline détaillée est consultable depuis votre tableau de bord.
  • Données de compte (email, prénom, préférences)— conservées jusqu'à suppression du compte par l'utilisateur depuis la page /settings.
  • Logs serveurs — trente (30) jours, à des fins de sécurité et de diagnostic.
  • Données de facturation — dix (10) ans, conformément aux obligations comptables et fiscales applicables.
  • Données nécessaires à la défense de droits en justice — pendant la durée des prescriptions légales applicables.

8. Vos droits

Conformément aux articles 12 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (article 15) — obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
  • Droit de rectification (article 16) — demander la correction de données inexactes ou incomplètes.
  • Droit à l'effacement / droit à l'oubli (article 17) — demander la suppression de vos données. Ce droit est exerçable directement depuis la page /settings(suppression immédiate du compte et de l'ensemble des données associées).
  • Droit à la limitation du traitement (article 18) — demander la suspension temporaire de certains traitements.
  • Droit à la portabilité (article 20) — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
  • Droit d'opposition (article 21)— vous opposer à un traitement fondé sur l'intérêt légitime.
  • Droit de retirer votre consentement — pour les traitements fondés sur cette base légale, à tout moment, sans remettre en cause la licéité des traitements antérieurs.
  • Droit de définir des directives post mortem relatives au sort de vos données après votre décès.

8.1 Comment exercer vos droits

Vous pouvez exercer la plupart de vos droits directement depuis votre espace personnel /settings (modification de vos informations, suppression du compte).

Pour toute autre demande, vous pouvez nous écrire à l'adresse marvin@zenclip.app en précisant la nature de votre demande. Nous pourrons être amenés à vous demander une preuve d'identité afin de vérifier votre légitimité à exercer le droit invoqué. Nous nous engageons à répondre dans un délai d'un (1) mois, prorogeable de deux (2) mois en cas de demande complexe.

8.2 Droit de réclamation auprès d'une autorité de contrôle

Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente de votre lieu de résidence ou de travail, notamment :

  • Commission for Personal Data Protection (CPDP) — autorité bulgare de contrôle, compétente du fait du siège de "HEKLA 7" LTD. https://www.cpdp.bg/en/
  • Commission Nationale de l'Informatique et des Libertés (CNIL) — autorité française. https://www.cnil.fr

9. Sécurité

"HEKLA 7" LTDmet en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD, notamment :

  • Chiffrement en transit — toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS (HTTPS).
  • Chiffrement au repos — les fichiers vidéo stockés sur Cloudflare R2 sont chiffrés au repos par défaut.
  • Isolation des données— chaque utilisateur ne peut accéder qu'à ses propres données, grâce aux politiques de contrôle d'accès au niveau ligne (Row-Level Security) de notre base de données.
  • Accès restreint— l'accès aux infrastructures techniques est strictement limité aux personnels autorisés et journalisé.
  • Mots de passe — les mots de passe sont stockés hachés et salés (bcrypt), jamais en clair.
  • Sauvegardes — réalisées régulièrement par notre fournisseur de base de données.

10. Cookies

Pour le détail des cookies utilisés par le Service, ainsi que les modalités de leur gestion, veuillez consulter notre Politique de cookies.

11. Modifications de la présente politique

"HEKLA 7" LTDse réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour refléter l'évolution du Service, des sous-traitants ou de la réglementation applicable.

Toute modification substantielle vous sera notifiée par email préalablement à son entrée en vigueur. La date de dernière mise à jour figure en haut de la présente page.

12. Contact

Pour toute question relative à la présente politique de confidentialité, ou pour exercer vos droits sur vos données personnelles, vous pouvez nous contacter à l'adresse : marvin@zenclip.app.