1. Responsable de traitement
Le responsable de traitement des données personnelles est Patrice MASSOL, exerçant en nom propre sous l'enseigne VaaS Factory — SIREN 103 649 620 — Le Sequestre 81990 — contact@vaas-factory.fr.
VaaS Factory n'est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l'art. 37 RGPD (effectif inférieur au seuil), mais applique une démarche RGPD-by-design vérifiable.
2. Données collectées et finalités
| Catégorie | Finalité | Base légale | Conservation |
|---|---|---|---|
| Identité (nom, prénom, fonction) | Exécution du contrat | Art. 6.1.b RGPD (contrat) | 5 ans après fin contrat |
| Coordonnées pro (email, tél, adresse) | Communication, livraison | Art. 6.1.b RGPD (contrat) | 5 ans après fin contrat |
| Données fiscales (SIREN, TVA, RIB pour facturation) | Facturation, comptabilité | Obligation légale art. L123-22 C. com. | 10 ans |
| Briefs de production | Production des vidéos | Art. 6.1.b RGPD (contrat) | 3 ans après livraison |
| Logs de connexion site web | Sécurité, statistiques | Art. 6.1.f (intérêt légitime) | 12 mois max |
| Feedback désabonnement (volontaire) | Amélioration produit | Art. 6.1.f (intérêt légitime) | 5 ans |
| Newsletter / communications marketing | Information produits | Art. 6.1.a (consentement opt-in) | 3 ans après dernière interaction |
3. Hébergement et localisation des données
Les données personnelles sont hébergées exclusivement en Union européenne :
- OVH SAS (Roubaix, France) — boîte mail, zone DNS, factures
- Cloudflare R2 zone EU — stockage vidéos livrées
- Hetzner GmbH (Allemagne) — n8n self-hosted (orchestration)
- Stripe Payments Europe Ltd (Irlande) — paiements (PCI-DSS Level 1)
4. Sous-traitants et transferts hors UE
Certains traitements impliquent des sous-traitants situés hors UE. Tous bénéficient soit d'une décision d'adéquation de la Commission européenne, soit de Clauses Contractuelles Types (CCT, art. 46 RGPD) :
- Anthropic PBC (USA) — génération scripts via API. Données brief jamais utilisées pour entraîner les modèles (clause API enterprise). Pas de PII transmise hors strict nécessaire.
- HeyGen Labs (USA) — génération avatars vidéo. Mêmes garanties contractuelles.
- ElevenLabs Inc. (USA) — synthèse vocale. Mêmes garanties.
- Runway AI Inc. (USA) — génération b-roll Domination. Mêmes garanties.
- GitHub Inc. (USA, filiale Microsoft) — hébergement statique du site (pas de PII traitée par GitHub).
- Resend Inc. (USA) — emails transactionnels. CCT activées, hébergement EU disponible.
Liste à jour disponible sur demande à contact@vaas-factory.fr.
5. Cookies et traceurs
Aucun cookie tiers, aucun traceur publicitaire n'est déposé sur ce site. Le compteur de visites utilise Plausible Analytics hébergé en UE, sans cookie et sans IP brute (IP anonymisée immédiatement). Conformité art. 82 LIL et délibération CNIL n° 2020-091 — pas de bandeau de consentement requis.
6. Vos droits
Conformément aux articles 15 à 22 RGPD, vous disposez des droits suivants :
- Accès aux données vous concernant
- Rectification de données inexactes
- Effacement (« droit à l'oubli »)
- Limitation du traitement
- Portabilité dans un format structuré et lisible
- Opposition au traitement (notamment marketing)
- Retrait du consentement à tout moment (sans rétroactivité)
Comment exercer vos droits : envoyer un email à contact@vaas-factory.fr en précisant la nature de votre demande. Réponse sous 30 jours maximum (art. 12 RGPD). Aucun frais.
7. Sécurité
Les mesures techniques et organisationnelles mises en œuvre incluent :
- Chiffrement TLS 1.3 sur l'ensemble des transmissions (Let's Encrypt)
- Chiffrement at-rest des stockages (AES-256 sur Cloudflare R2)
- Authentification 2FA obligatoire sur tous les comptes administratifs
- Accès aux données de production limité au seul Patrice MASSOL en Phase 1 (logs d'audit)
- Sauvegardes chiffrées hebdomadaires hors-site
- Tests de restauration trimestriels
8. Violation de données — notification
En cas de violation susceptible d'engendrer un risque pour les droits et libertés des personnes, VaaS Factory s'engage à notifier la CNIL sous 72 heures (art. 33 RGPD) et à informer les personnes concernées si le risque est élevé (art. 34).
9. Droit de réclamation
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
- Site : cnil.fr
10. Mises à jour de cette politique
La présente politique peut être mise à jour. Toute modification substantielle vous sera notifiée par email au minimum 30 jours avant son entrée en vigueur. La version en ligne fait foi.
Version 1.0 — 02/05/2026.