Politique de confidentialité

Dernière mise à jour : 05 2026

1. Responsable de traitement

Le responsable du traitement est 400grains, Contact DPO : contact@400grains.com.

2. Données collectées

Nous collectons et traitons les données suivantes :

  • Données de compte : adresse e-mail, nom affiché, profession, mot de passe (haché), identifiant OAuth si applicable.
  • Données d’usage : sessions, requêtes API, journaux d’accès, adresse IP, user-agent.
  • Contenus déposés : photos uploadées (originaux et dérivés), métadonnées EXIF, notes, libellés et préférences clients.
  • Données de partage : tokens de partage, sessions invités, retours client (préférences par image, notes libres).

3. Finalités

  • Fournir et exploiter le Service (hébergement, partage, retours client).
  • Sécuriser le Service (détection d’abus, anti-bruteforce).
  • Communiquer avec l’utilisateur (e-mails transactionnels, support).
  • Améliorer le Service (statistiques agrégées, anonymisées).

4. Base légale

  • Exécution du contrat pour la fourniture du Service.
  • Intérêt légitime pour la sécurité et l’amélioration.
  • Consentement pour les cookies non essentiels (voir Cookies).

5. Durée de conservation

  • Données de compte : pendant la durée d’utilisation, puis 12 mois après suppression du compte.
  • Contenus déposés : supprimés à la suppression du projet ou du compte.
  • Journaux techniques : 12 mois maximum.

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Accès à vos données.
  • Rectification des données inexactes.
  • Effacement (« droit à l’oubli »).
  • Portabilité dans un format structuré et lisible.
  • Opposition au traitement.
  • Limitation du traitement.

Pour exercer ces droits, contactez : contact@400grains.com.

7. Cookies

Voir la page dédiée Cookies.

8. Sous-traitants

Le Service s’appuie sur les sous-traitants suivants :

  • Supabase (Postgres, Auth, Storage) — UE / US.
  • Vercel (hébergement frontend, edge functions) — US.
  • Anthropic (modèles IA utilisés pour des fonctionnalités assistées) — US.
  • Upstash (Redis, QStash pour files asynchrones) — UE / US.

9. Transferts hors UE

Certains sous-traitants opèrent depuis les États-Unis. Les transferts sont encadrés par les clauses contractuelles types de la Commission européenne et, le cas échéant, par le Data Privacy Framework.

10. DPO

Délégué à la protection des données : contact@400grains.com.

11. Réclamation CNIL

Vous pouvez introduire une réclamation auprès de la CNIL : https://www.cnil.fr/fr/plaintes.