Politique de confidentialité

Dernière mise à jour : 18 avril 2026

Date d'entrée en vigueur : 18 avril 2026

Préambule

AISnapEdit (ci-après « AISnapEdit », « nous », « notre » ou « la Plateforme ») exploite le site https://aisnapedit.com ainsi que l'ensemble de ses sous-domaines, interfaces API et clients associés (ci-après collectivement dénommés « le Service »), qui constituent une plateforme SaaS d'intelligence artificielle tout-en-un (All-In-One) destinée à une clientèle mondiale et offrant des capacités de génération de contenus par IA, dans les domaines de l'image, de la vidéo, de l'audio et de la musique.

La présente politique de confidentialité (ci-après « la Politique ») décrit précisément, lorsque vous accédez au Service, vous y inscrivez ou l'utilisez, les informations que nous collectons, la manière dont nous les utilisons, les personnes à qui nous les divulguons, leurs durées de conservation, les droits dont vous disposez ainsi que les modalités d'exercice de ces droits.

La présente Politique est rédigée de manière à satisfaire simultanément aux exigences de transparence du traitement des données à caractère personnel prévues par les législations suivantes :

• Règlement général sur la protection des données de l'Union européenne (RGPD, règlement (UE) 2016/679)
• UK General Data Protection Regulation (UK GDPR) et Data Protection Act 2018
• Loi fédérale suisse sur la protection des données (LPD / FADP)
• California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA)
• Virginia Consumer Data Protection Act (VCDPA)
• Colorado Privacy Act (CPA)
• Connecticut Data Privacy Act (CTDPA)
• Utah Consumer Privacy Act (UCPA)
• Texas Data Privacy and Security Act (TDPSA)
• Washington My Health My Data Act (MHMDA)
• Nevada SB220
• Children's Online Privacy Protection Act (COPPA)
• Règlement européen sur l'IA (EU AI Act, règlement (UE) 2024/1689)
• Article 4 de la directive européenne sur le droit d'auteur dans le marché unique numérique (DSM, directive (UE) 2019/790), dispositions relatives à la fouille de textes et de données (TDM)
• Toute autre législation applicable en matière de protection des données et des consommateurs

Articulation des trois documents : la présente Politique, les Conditions d'utilisation et la Politique de remboursement constituent ensemble une partie de la relation contractuelle globale entre vous et AISnapEdit. Les relations terminologiques et les renvois croisés entre ces trois documents sont clairement indiqués dans chacun d'eux ; en cas de contradiction directe entre les trois documents, la présente Politique prévaut exclusivement pour les questions relatives au traitement des données.

En accédant au Service ou en l'utilisant, vous reconnaissez avoir lu, compris et accepté les termes de la présente Politique. Si vous n'acceptez pas l'une de ses clauses, veuillez ne pas utiliser le Service.

1. Définitions

La présente Politique utilise les termes suivants, lesquels sont utilisés de manière strictement identique dans les Conditions d'utilisation et la Politique de remboursement :

Termes communs (harmonisés entre les trois documents) :

• Nouvel abonné : désigne la personne physique unique qui effectue son premier paiement, identifiée par recoupement de l'adresse e-mail, du moyen de paiement, de l'empreinte d'appareil, de l'adresse IP et d'autres signaux ; la création de plusieurs comptes destinée à contourner cette définition constitue un manquement.
• Seule discrétion : désigne toute décision prise par AISnapEdit sur la base d'une appréciation raisonnable, laquelle est définitive.
• Jour ouvré : désigne un jour ouvré fédéral aux États-Unis (du lundi au vendredi, hors jours fériés fédéraux américains), calculé selon le fuseau horaire du Pacifique (PT) des États-Unis, où se trouve notre siège opérationnel.
• Fichier final : désigne tout contenu de type image, vidéo, audio, texte ou analogue généré avec succès par l'Utilisateur au moyen de l'IA et téléchargé, copié, partagé ou exporté au moins une fois.
• Consommation : désigne tout appel d'API abouti, toute consommation de Crédits ou toute opération de génération de contenu, que l'Utilisateur ait ou non conservé le résultat produit.
• Crédits (Credits) : désigne les biens de consommation virtuels attribués par AISnapEdit aux utilisateurs ; les Crédits ne constituent ni un versement préalable, ni un dépôt de garantie, ni un avoir prépayé, ni aucun instrument financier analogue.
• Indisponibilité continue du Service : désigne toute indisponibilité continue du Service pendant plus de 24 heures imputable à nos problèmes techniques.
• Rétrofacturation (Chargeback) : désigne toute demande de rétrofacturation ouverte directement par l'utilisateur auprès de sa banque émettrice.
• Liste de blocage (Blocklist) : désigne l'ensemble de données de risque constitué à la suite de manquements, comprenant notamment les hachages d'adresses e-mail, les empreintes de cartes de paiement, les adresses IP et les empreintes d'appareil.

Termes propres à la Politique de confidentialité :

• Données à caractère personnel (Personal Data) : désigne les informations permettant d'identifier directement ou indirectement une personne physique, au sens de l'article 4(1) du RGPD.
• Informations personnelles (Personal Information) : désigne les informations relatives ou pouvant être raisonnablement associées à un résident californien identifié, au sens du CCPA/CPRA §1798.140(v).
• Informations personnelles sensibles (Sensitive Personal Information) : désigne les neuf catégories d'informations sensibles définies à l'article §1798.140(ae) du CPRA.
• Traitement (Processing) : désigne toute opération, automatisée ou non, portant sur des données à caractère personnel, au sens de l'article 4(2) du RGPD.
• Responsable du traitement (Controller) : désigne l'entité qui détermine les finalités et les moyens du traitement, au sens de l'article 4(7) du RGPD.
• Sous-traitant (Processor) : désigne l'entité qui traite les données pour le compte du responsable du traitement, au sens de l'article 4(8) du RGPD.
• Sous-traitant ultérieur (Sub-Processor) : désigne l'entité chargée par le sous-traitant du traitement en aval des données.
• SCCs : désigne les clauses contractuelles types (Standard Contractual Clauses), version modulaire 2021 de la Commission européenne.
• DPF : désigne le cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework, décision d'exécution (UE) 2023/1795 de la Commission).
• GPC : désigne le signal Global Privacy Control, transmis par le navigateur ou une extension aux sites pour exprimer une préférence d'opt-out.
• AIPD (DPIA) : désigne l'analyse d'impact relative à la protection des données (Data Protection Impact Assessment, article 35 du RGPD).
• Registre des activités de traitement (ROPA) : désigne le Record of Processing Activities prévu à l'article 30 du RGPD.
• TIA : désigne l'évaluation d'impact d'un transfert de données (Transfer Impact Assessment, requise à la suite de l'arrêt Schrems II).
• LIA : désigne l'évaluation de mise en balance des intérêts légitimes (Legitimate Interest Assessment, art. 6(1)(f) du RGPD).
• ADMT : désigne les technologies de prise de décision automatisée (Automated Decision-Making Technology, règles CCPA 2026).

2. Informations sur le responsable du traitement

2.1 Responsable du traitement

Applicable aux résidents de l'Espace économique européen (EEE), du Royaume-Uni, de la Suisse et d'autres juridictions exigeant la désignation d'un responsable du traitement :

AISnapEdit

• Site web : https://aisnapedit.com
• Adresse e-mail dédiée à la confidentialité : [email protected]
• Adresse e-mail générale : [email protected]
• Juridiction du siège opérationnel : Californie, États-Unis (heure du Pacifique — PT)

AISnapEdit agit en qualité de « responsable du traitement » au sens du RGPD pour les traitements de données à caractère personnel décrits dans la présente Politique. Nous ne recevons les notifications des utilisateurs et les demandes d'exercice des droits que par voie électronique aux adresses ci-dessus ; les informations détaillées d'immatriculation de l'entité juridique seront publiées dans la version officiellement en vigueur de la présente Politique.

2.2 Contact chargé de la protection des données

Nous n'atteignons pas le seuil qui rendrait obligatoire la désignation d'un délégué à la protection des données (DPO) au titre de l'article 37 du RGPD (absence de traitement à grande échelle de catégories particulières de données et absence de surveillance systématique à grande échelle) ; nous désignons néanmoins un Contact Confidentialité dédié, exercé par le responsable juridique, chargé notamment de :

• répondre aux demandes des personnes concernées relatives à leurs droits ;
• coordonner le traitement et la notification des incidents de sécurité ;
• coopérer avec les enquêtes et demandes des autorités de contrôle ;
• assurer l'interface avec les représentants UE / UK.

Contact : [email protected]

2.3 Représentant UE (art. 27 RGPD)

Conformément à l'article 27 du RGPD, AISnapEdit a désigné le prestataire professionnel tiers suivant, établi au sein de l'Union européenne, en qualité de Représentant UE :

• Raison sociale : Instant EU GDPR Representative Limited
• Adresse enregistrée : Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
• Contact : via [email protected] (nous transférons les demandes à notre Représentant UE dès réception)

Les personnes concernées résidant dans l'Union européenne peuvent exercer leurs droits par le canal ci-dessus ; les autorités de contrôle peuvent également contacter le Représentant UE ou AISnapEdit aux mêmes coordonnées.

2.4 Représentant Royaume-Uni (art. 27 du RGPD britannique)

Le Représentant Royaume-Uni désigné par AISnapEdit au titre de l'article 27 du RGPD britannique est la même entité que le Représentant UE :

• Raison sociale : Instant EU GDPR Representative Limited
• Adresse enregistrée : Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
• Contact : via [email protected] (nous transférons les demandes à notre Représentant Royaume-Uni dès réception)

3. Informations que nous collectons

Le présent chapitre décrit, par source et par catégorie, l'ensemble des données que nous collectons. Pour chaque catégorie, vous trouverez des précisions complémentaires aux sections 4 (bases légales), 5 (finalités), 7 (destinataires) et 9 (durées de conservation).

3.1 Informations que vous nous fournissez directement

3.2 Informations collectées automatiquement

3.3 Informations provenant de tiers

3.4 Données relatives à la prévention de la fraude et à la sécurité du compte [divulgation nouvelle]

Afin de prévenir la fraude aux paiements, l'utilisation abusive de comptes multiples et les abus en matière de remboursement, ainsi que de protéger les intérêts des utilisateurs conformes et la continuité de l'exploitation, nous collectons, traitons et conservons les données suivantes relatives à la gestion des risques :

Ces données correspondent directement aux règles de prévention de la fraude décrites à la section 4 de la Politique de remboursement. Pour les techniques d'empreinte d'appareil planifiées mais non encore déployées, nous nous engageons à mettre à jour la portée des divulgations et à adapter le tableau des durées de conservation avant tout déploiement effectif.

Base légale : intérêt légitime au titre de l'article 6(1)(f) du RGPD — prévenir la fraude, protéger les intérêts des utilisateurs conformes et assurer la continuité de l'exploitation. Nous avons réalisé et archivé une évaluation de mise en balance des intérêts légitimes (LIA) relative à ce traitement ; vous pouvez en demander un résumé en écrivant à [email protected].

3.5 Données inférées et dérivées [divulgation requise par le CCPA/CPRA]

Sur la base des données brutes visées aux sections 3.1 à 3.4, nous produisons certaines données inférées ou dérivées :

• Inférences relatives aux préférences d'utilisation : à partir de la fréquence de sélection des modèles et des catégories de contenus générés, nous inférons vos préférences en matière de modules fonctionnels afin d'améliorer l'expérience utilisateur.
• Score de risque agrégé : évaluation globale du niveau de risque d'un compte par le système de prévention de la fraude.
• Profil d'utilisation de l'abonnement et des Crédits : calculs d'état nécessaires aux rappels d'échéance d'abonnement et de solde de Crédits.

Nous déclarons expressément ne pas inférer les catégories suivantes :

• Origine raciale ou ethnique
• Opinions politiques, convictions religieuses ou philosophiques
• Appartenance syndicale
• État de santé ou données médicales
• Orientation sexuelle ou vie sexuelle
• Données génétiques ou modèles d'identification biométrique

4. Bases légales du traitement

Conformément aux articles 6 et 9 du RGPD et aux dispositions équivalentes des autres législations applicables, les bases légales sur lesquelles reposent nos traitements pour chaque catégorie de données et chaque finalité sont les suivantes :

4.1 Matrice des bases légales

4.2 Déclaration relative aux catégories particulières de données (article 9 du RGPD)

Nous ne collectons pas activement les catégories particulières suivantes :

• Données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale ;
• Données biométriques (gabarits biométriques destinés à identifier une personne physique de manière unique) ;
• Données génétiques ;
• Données relatives à la santé ;
• Données relatives à la vie ou à l'orientation sexuelle.

Pour les visages susceptibles de figurer dans les images téléversées par les Utilisateurs au Service, nous ne pratiquons ni la reconnaissance faciale, ni l'identification d'individus, ni l'extraction de gabarits biométriques, et ne constituons aucune base de données biométriques. La position du produit relative aux capacités sensibles telles que les hypertrucages (deepfake), l'échange de visage ou le clonage vocal de personnes réelles est décrite à la section 6.5.

4.3 Droit de retrait du consentement

Pour tout traitement reposant sur votre consentement (e-mails marketing, certains cookies facultatifs, etc.), vous pouvez à tout moment retirer votre consentement ; ce retrait ne remet pas en cause la licéité du traitement effectué avant le retrait. Les modalités de retrait sont détaillées aux sections 10 (gestion des préférences de cookies) et 11 (exercice des droits).

5. Comment nous utilisons vos informations

Le présent chapitre détaille la colonne « finalités du traitement » de la matrice des bases légales figurant à la section 4.

5.1 Gestion du compte et fourniture du Service

• Créer et gérer votre compte, vérifier votre identité
• Vous fournir le service de génération par IA (voir section 6)
• Afficher les fichiers finaux et permettre leur téléchargement, partage et exportation
• Gérer le solde de Crédits, le statut d'abonnement et l'historique
• Envoyer les notifications transactionnelles liées au compte (confirmations de commande, rappels de renouvellement d'abonnement, réinitialisations de mot de passe)

5.2 Paiement et prévention de la fraude

• Traiter les paiements, les renouvellements d'abonnement et les remboursements
• Mettre en œuvre les règles de prévention de la fraude prévues à la section 4 de la Politique de remboursement
• Exécuter les évaluations automatisées des risques (voir section 14.2)
• Maintenir la liste de blocage afin d'empêcher les utilisateurs suspendus de contourner la réinscription

5.3 Amélioration du Service et analyse

• Analyser les comportements d'utilisation afin d'améliorer les fonctionnalités et l'expérience
• Dépanner les journaux d'erreurs
• Réaliser des tests A/B et des études d'usabilité (à partir de données anonymisées ou pseudonymisées)
• Produire des statistiques agrégées sur les performances globales du Service

5.4 Conformité et sécurité

• Se conformer aux lois, réglementations et décisions gouvernementales applicables
• Répondre aux demandes légitimes des autorités, injonctions et décisions judiciaires
• Protéger les droits, les biens et la sécurité d'AISnapEdit, des autres utilisateurs et du public
• Prévenir la fraude, les abus et autres comportements illicites

5.5 Communications et marketing

• Envoyer des e-mails transactionnels liés au compte et aux mises à jour du Service (base légale : exécution du contrat)
• Envoyer des e-mails marketing (base légale : consentement explicite, rétractable à tout moment via le lien « désabonnement » en bas des e-mails ou par courrier à [email protected])
• Vous informer, par notification sur le site, des modifications importantes de politique ou des incidents de sécurité

6. Génération par IA et vos données

6.1 Architecture du service d'IA

AISnapEdit agit en qualité de responsable du traitement pour le service de génération par IA. Lorsque vous lancez une tâche de génération, nous transmettons votre prompt et les fichiers multimédias téléversés aux fournisseurs de modèles d'IA en aval (agissant en qualité de sous-traitants) pour l'inférence ; une fois le traitement terminé, les résultats sont renvoyés et stockés dans notre service de stockage.

Nous n'entraînons pas nos propres modèles d'IA et n'exécutons pas de pipeline d'affinage (fine-tuning) côté serveur. La sélection du modèle est entièrement déterminée par celui que vous choisissez dans l'interface utilisateur.

6.2 Partage des données avec les fournisseurs de modèles d'IA

Afin d'offrir une diversité de capacités de génération (images, vidéos, audio, musique, etc.), nous acheminons, selon le modèle que vous avez sélectionné, les données d'entrée vers les catégories de fournisseurs de modèles d'IA suivantes :

Les fournisseurs de modèles d'IA actuellement utilisés (divulgués par catégorie fonctionnelle, sans énumération exhaustive, afin de tenir compte de l'évolution rapide de l'écosystème IA) comprennent : Google (série Gemini), Replicate, Kie, Fal, Tuzi et d'autres services de génération de contenus IA. La liste complète et actualisée des fournisseurs de modèles est consultable sur la page de sélection des modèles du Service ; nous prévoyons la mise en ligne d'une page de divulgation dédiée /legal/ai-providers, dont l'annonce sera publiée ici le moment venu.

Veuillez noter : le Service ne propose pas actuellement de fonctionnalité de discussion (chat) IA ; les points d'entrée correspondants ainsi que les services de routage de modèles conversationnels tels qu'OpenRouter ont été retirés du produit et aucune donnée de conversation n'est plus collectée ni partagée.

Chaque fournisseur de modèles d'IA traite ensuite vos données dans le cadre de sa propre politique de confidentialité. Nous encadrons contractuellement ces traitements par un accord de traitement des données (DPA) conclu avec chaque fournisseur et nous nous efforçons, avec toute la diligence commercialement raisonnable, de n'acheminer en aval que les données strictement nécessaires à la fourniture du service de génération.

6.3 Politique relative aux données d'entraînement

AISnapEdit n'utilise pas vos prompts ni vos sorties générées pour entraîner nos modèles d'IA (nous n'entraînons pas nous-mêmes de modèles).

Pour les fournisseurs de modèles d'IA en aval :

• Politique par défaut (mécanisme d'opt-out) : si vous ne modifiez pas les paramètres, vos Entrées peuvent être utilisées par les fournisseurs de modèles d'IA en aval à des fins d'amélioration de la qualité du modèle (selon les clauses contractuelles types de chaque fournisseur). Vous pouvez à tout moment, depuis les paramètres de votre compte, vous opposer à cette utilisation (interrupteur « Ne pas utiliser pour l'amélioration du modèle ») ; en cas d'opt-out, nous joignons à la requête transmise en aval un indicateur correspondant « Ne pas utiliser pour l'entraînement ».
• Catégories de données exclues de l'entraînement : que vous ayez ou non activé l'opt-out, les données relatives aux informations de paiement, aux identifiants de compte et aux données de prévention de la fraude sont interdites de transmission à tout modèle en aval à des fins d'entraînement ou d'amélioration.

Article 4 de la directive européenne DSM (opt-out TDM) :

Conformément à l'article 4 de la directive européenne sur le droit d'auteur dans le marché unique numérique, vous avez le droit de vous opposer à la fouille de textes et de données (TDM) portant sur vos œuvres. En ce qui concerne le Service :

• Les fichiers robots.txt et ai.txt déployés à la racine de notre site déclarent explicitement des préférences d'opt-out TDM opposables à tous les robots d'indexation et systèmes d'entraînement IA tiers.
• Pour les contenus que vous publiez dans la Galerie ou les pages de showcase, vous pouvez adresser à [email protected] une demande écrite pour que nous apposions un marquage d'opt-out supplémentaire sur des contenus précis.

6.4 Conservation des données issues du traitement IA

6.5 Position relative à la biométrie, aux visages et aux deepfakes

• Nous ne procédons à aucune reconnaissance faciale, identification d'individus, inférence d'âge, reconnaissance d'émotions ou extraction de gabarits biométriques ;
• Les images contenant des visages téléversées par les utilisateurs sont uniquement transmises aux fournisseurs d'IA en aval en tant que données en pixels à des fins de génération ; une fois le traitement terminé, elles ne servent à constituer aucune base de données d'identification ;
• Le produit ne prend pas en charge l'échange de visage (face-swap), le clonage vocal (voice-cloning) de personnes réelles ni la génération de deepfakes visant des personnes physiques identifiées, capacités susceptibles d'induire gravement en erreur ou de porter atteinte à la réputation d'autrui ;
• Si des fonctionnalités faisant appel à l'identification biométrique venaient à être ajoutées au Service, nous solliciterons séparément votre consentement explicite (art. 9(2)(a) du RGPD, BIPA §15(b), CPRA §1798.121) et vous informerons, avant activation, de manière visible, de la portée précise du traitement et des modalités d'opt-out.

7. Comment nous divulguons vos informations

En dehors des cas expressément énumérés ci-après, nous ne divulguons pas vos informations personnelles à des tiers.

7.1 Prestataires de services (liste des sous-traitants ultérieurs)

Afin de fournir, maintenir et améliorer le Service, nous confions à des prestataires sélectionnés le traitement de données pertinentes. Tous ces prestataires sont contractuellement liés par un accord écrit de traitement des données (DPA) et ne traitent que les données strictement nécessaires à leurs services respectifs.

Précisions importantes :

• Ce tableau ne répertorie que les prestataires effectivement utilisés. Notre base de code peut contenir d'autres options d'intégration (prestataires de paiement alternatifs, outils de service client alternatifs, etc.), mais seule leur activation en environnement de production constitue une divulgation effective de données.
• Les modifications relatives aux sous-traitants ultérieurs seront mises à jour dans les versions révisées de la présente Politique ; nous prévoyons la mise en ligne d'une page dédiée /legal/sub-processors, dont l'annonce sera publiée ici le moment venu.

7.2 Conformité légale et demandes des autorités

Dans les cas suivants, nous pouvons divulguer vos informations dans les limites autorisées par la loi et dans la mesure raisonnable :

• Pour nous conformer aux lois, réglementations, décisions de justice ou injonctions légitimes des autorités applicables ;
• Pour coopérer à des enquêtes en cours ou à des procédures judiciaires ;
• Pour protéger les droits, biens et la sécurité d'AISnapEdit, de nos utilisateurs et du public ;
• Pour enquêter, prévenir ou répondre à des comportements potentiellement illicites ou à des violations des Conditions d'utilisation.

7.3 Transfert d'activité

En cas de fusion, d'acquisition, de réorganisation, de cession d'actifs ou de transaction similaire, vos informations peuvent être transférées à la nouvelle entité dans le cadre des actifs cédés. Nous vous en informerons par des moyens raisonnables avant le transfert et nous nous assurerons que le cessionnaire continuera à traiter vos informations selon un niveau de protection au moins équivalent à celui de la présente Politique.

7.4 Divulgations fondées sur votre consentement

Avec votre autorisation explicite, nous pouvons divulguer vos informations à des tiers pour des finalités non couvertes par la présente Politique. Ces autorisations peuvent être retirées à tout moment.

7.5 Publicité comportementale inter-contextuelle et « partage » d'informations [spécifique CPRA]

Conformément à la définition étendue du « sharing » par le CPRA californien, certains cookies tiers (notamment ceux liés à l'analyse et à la publicité), même s'ils ne constituent pas une « vente » au sens traditionnel, peuvent constituer un « partage pour la publicité comportementale inter-contextuelle ».

• Nous ne vendons pas vos informations personnelles en contrepartie d'une valeur monétaire ;
• Toutefois, sur les pages où Google Analytics et Microsoft Clarity sont activés, les transferts de données correspondants peuvent constituer un « sharing » au sens du CPRA ;
• Les résidents californiens et les autres utilisateurs exerçant des droits analogues peuvent s'y opposer :
  • en cliquant sur le lien « Do Not Sell or Share My Personal Information » en pied de page ;
  • en activant le signal GPC (Global Privacy Control) via leur navigateur ou une extension — nous le détectons automatiquement et le traitons comme une instruction d'opt-out ;
  • en écrivant à [email protected].

7.6 Liens vers des tiers

Le Service peut contenir des liens vers des sites, des extensions ou des applications tiers. Nous n'exerçons aucun contrôle sur ces tiers et ne sommes pas responsables de leurs pratiques en matière de confidentialité. Avant de cliquer sur un lien externe, il est recommandé de consulter leur politique de confidentialité.

8. Transferts internationaux de données

Compte tenu de l'architecture multi-régionale du Service, vos données à caractère personnel peuvent être transférées vers d'autres pays que celui dans lequel vous résidez et y être traitées.

8.1 Mécanismes de transfert

Pour les transferts depuis l'Espace économique européen, le Royaume-Uni ou la Suisse vers des pays ne bénéficiant pas d'une décision d'adéquation, nous recourons, selon les qualifications du destinataire, à l'un des mécanismes suivants :

• Cadre de protection des données UE-États-Unis (EU-US DPF) : lorsque le destinataire s'est auto-certifié au titre du DPF (décision d'exécution (UE) 2023/1795 de la Commission), nous nous appuyons sur le DPF pour fournir une garantie d'adéquation — par exemple Stripe, Google, Cloudflare, AWS, Microsoft, Resend, etc. ont tous adhéré au DPF ;
• Extension britannique du DPF (UK Extension) : pour les transferts du Royaume-Uni vers les États-Unis ;
• DPF Suisse-États-Unis : pour les transferts de la Suisse vers les États-Unis ;
• Clauses contractuelles types (SCCs) de l'UE (version modulaire 2021) : pour les destinataires n'ayant pas adhéré au DPF ;
• International Data Transfer Agreement (IDTA) britannique ou UK SCC Addendum : pour les transferts impliquant le Royaume-Uni ;
• Décisions d'adéquation : pour les transferts vers des pays reconnus par la Commission européenne comme offrant un niveau de protection adéquat (Japon, Corée du Sud, secteur commercial du Canada, etc.).

8.2 Principales zones de réception des données

Sur la base des prestataires effectivement utilisés énumérés à la section 7 de la présente Politique, vos données peuvent être transférées vers :

• États-Unis : Stripe, Google, AWS, Cloudflare, Resend, Microsoft Clarity, etc.
• Union européenne : Stripe Europe, certains nœuds AWS / Cloudflare
• Singapour, Hong Kong : certains nœuds d'inférence des fournisseurs de modèles d'IA
• Royaume-Uni : certains nœuds d'edge Cloudflare

8.3 Vos droits en matière de transfert

Vous avez le droit :

• de savoir vers quels pays vos données sont transférées ;
• de demander à consulter les documents relatifs aux garanties mises en œuvre pour des transferts spécifiques (parties non commercialement sensibles d'une copie des SCCs, par exemple) ;
• de vous opposer à un transfert déterminé.

8.4 Évaluation d'impact d'un transfert (TIA)

Conformément aux exigences de l'arrêt Schrems II de la Cour de justice de l'Union européenne (aff. C-311/18), nous réalisons ou effectuons actuellement une évaluation d'impact d'un transfert (TIA) pour chaque destinataire américain hors DPF ainsi que pour toute autre destination à haut risque, afin d'apprécier si l'environnement juridique et les garanties du pays de destination permettent de protéger les droits fondamentaux des personnes concernées. Vous pouvez demander un résumé de la TIA à [email protected].

9. Conservation des données

Nous ne conservons vos données à caractère personnel que pendant la durée nécessaire à la réalisation des finalités décrites dans la présente Politique, au respect des obligations légales, au règlement des différends et à l'exécution des accords. Les durées de conservation sont les suivantes :

Explication de la conservation indéfinie de la liste de blocage : conformément à l'article 17(3)(e) du RGPD, le droit à l'effacement ne s'applique pas lorsque le traitement est nécessaire à « la constatation, à l'exercice ou à la défense d'un droit en justice ». Les données de la liste de blocage à des fins de prévention de la fraude sont nécessaires : (a) pour se défendre contre les réclamations ultérieures d'utilisateurs suspendus agissant sous d'autres identités ; (b) pour empêcher les utilisateurs suspendus de contourner les limites des Conditions d'utilisation et d'occasionner de nouveaux préjudices ; (c) pour contribuer à l'identification, par le secteur, de schémas de fraude notoires. Aucune durée fixe de suppression n'est donc fixée ; nous réexaminons chaque année la nécessité du maintien de la liste de blocage.

À l'issue des durées de conservation, les données sont effacées en toute sécurité ou font l'objet d'une anonymisation irréversible.

10. Cookies et technologies de suivi

10.1 Catégories de cookies que nous utilisons

10.2 Cookies tiers et mécanismes d'opt-out

10.3 Gestion des cookies

Vous pouvez gérer les cookies :

• via les paramètres de votre navigateur (blocage ou suppression des cookies) ;
• via la bannière de consentement aux cookies du Service (déploiement progressif prévu) : opt-in par défaut dans l'EEE, au Royaume-Uni et en Suisse lors de la première visite ; opt-out par défaut pour les utilisateurs américains, avec détection automatique du signal GPC ;
• via les liens d'opt-out propres aux prestataires cités ci-dessus.

Remarque : la désactivation des cookies nécessaires peut rendre la connexion ou les fonctionnalités essentielles indisponibles.

10.4 Signal Do Not Track (DNT)

En l'absence de standard sectoriel homogène pour le DNT, nous ne répondons pas au signal DNT émis par le navigateur ; en revanche, nous répondons au signal plus récent GPC (voir section 10.5).

10.5 Global Privacy Control (GPC) [nouvelle obligation — CPRA]

Conformément au CPRA californien ainsi qu'aux législations des États du Colorado, du Connecticut, etc., nous détectons et honorons automatiquement le signal GPC (Global Privacy Control). Lorsque nous détectons que votre navigateur ou votre extension transmet un signal GPC, nous le considérons comme une instruction valable d'opt-out au titre du CCPA/CPRA (« opt-out de la vente / du partage des informations personnelles ») et ajustons en conséquence le chargement des cookies analytiques et publicitaires ainsi que les partages de données correspondants.

11. Vos droits en matière de vie privée

11.1 Droits au titre du RGPD (EEE, Royaume-Uni, Suisse)

Si vous résidez dans l'EEE, au Royaume-Uni ou en Suisse, vous disposez des droits suivants :

Exceptions au droit à l'effacement : conformément à l'article 17(3) du RGPD, une demande d'effacement peut être refusée :

• si une obligation légale impose la conservation (données transactionnelles dans les délais de conservation fiscale) ;
• si la conservation est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice (les données de la liste de blocage relèvent de ce cas) ;
• si la conservation est nécessaire pour un motif d'intérêt public ou à des fins de recherche scientifique.

Délai de réponse : nous répondons aux demandes dans un délai de 30 jours à compter de leur réception ; en cas de demande complexe ou nombreuse, ce délai peut être prolongé de 60 jours supplémentaires, l'information vous étant donnée dans les 30 premiers jours.

11.2 Droits au titre du CCPA/CPRA (résidents californiens)

Si vous êtes résident californien, vous disposez des droits suivants :

Catégories d'informations personnelles sensibles que nous collectons (CPRA §1798.140(ae)) :

• Identifiants de connexion (e-mail + mot de passe / jeton OAuth) ;
• Géolocalisation précise (uniquement si vous accordez l'autorisation de localisation au navigateur) ;
• Contenus sensibles que vous seriez susceptible d'inclure dans vos téléversements (à votre appréciation).

Nous n'utilisons pas les informations personnelles sensibles ci-dessus à des fins de déduction de caractéristiques sensibles ; elles ne sont utilisées qu'aux fins commerciales autorisées par le CPRA (authentification, prévention de la fraude, exécution du contrat). Vous bénéficiez de cette garantie par défaut sans avoir à exercer expressément le droit de « limiter l'usage ».

Délai de réponse : 45 jours ; prolongation possible de 45 jours supplémentaires en cas de complexité.

Agent autorisé : vous pouvez désigner un agent autorisé pour soumettre les demandes en votre nom, sous réserve d'une vérification d'identité raisonnable.

California Shine the Light Act (§1798.83) : voir section 17.

11.3 Droits au titre des autres législations américaines

Recours : si votre demande est refusée, vous disposez de 45 jours pour introduire un recours, qui sera examiné par un réexaminateur dédié.

11.4 Washington My Health My Data Act (MHMDA)

Le Service ne traite pas de « Consumer Health Data » au sens du MHMDA et ne procède à aucune inférence, diagnostic ou assistance médicale en lien avec la santé. Si vous téléversez de votre propre initiative, dans le cadre de votre utilisation du Service, des contenus personnels ayant trait à la santé, nous ne les utiliserons ni ne les divulguerons à des fins commerciales et ne les vendrons pas à des courtiers en données ou à d'autres tiers.

11.5 Comment exercer vos droits

• Par e-mail : en écrivant à [email protected], avec pour objet « Privacy Rights Request - [type de droit] » ;
• Via un formulaire en ligne : en soumettant une demande structurée à /privacy/rights-request (mise en ligne progressive) ;
• Vérification d'identité : pour empêcher toute usurpation, nous pouvons vous demander de vérifier votre identité via l'adresse e-mail enregistrée ou le moyen de paiement associé ; ces informations ne sont utilisées qu'à cette fin ;
• Délai de réponse : selon les délais prévus par la loi de votre lieu de résidence (RGPD : 30 jours + 60 jours possibles ; CCPA/CPRA : 45 jours + 45 jours possibles) ;
• Refus et recours : en cas de refus, nous vous en fournirons les motifs par écrit ; vous pouvez introduire un recours auprès de [email protected], examiné par un humain et traité dans un délai de 5 jours ouvrés.

11.6 Réclamation auprès d'une autorité de contrôle

Si vous estimez que notre traitement contrevient aux lois applicables, vous avez le droit d'adresser une réclamation aux autorités de contrôle :

• Résidents de l'EEE : autorité de protection des données de votre État membre ; liste complète disponible sur le site de l'EDPB ;
• Résidents du Royaume-Uni : Information Commissioner's Office (ICO), https://ico.org.uk ;
• Résidents de la Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT / FDPIC) ;
• Résidents des États-Unis : Federal Trade Commission (FTC) https://ftc.gov ou le bureau du procureur général de votre État.

12. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées au risque du traitement afin de protéger vos données à caractère personnel contre tout accès non autorisé, toute divulgation, toute altération ou toute destruction.

12.1 Mesures techniques

• Chiffrement en transit : TLS 1.3 sur l'ensemble du site ;
• Chiffrement au repos : chiffrement AES-256 de la base de données et du stockage d'objets ;
• Contrôle d'accès : contrôle d'accès fondé sur les rôles (RBAC), principe du moindre privilège, authentification multifacteur (MFA) obligatoire pour les opérations de gestion critiques ;
• Sécurité des sessions : gestion des sessions via Better-Auth, durée de validité courte + mécanisme de renouvellement ;
• Surveillance et alertes : surveillance 24/7 du trafic anormal et des accès ;
• Audits périodiques : audits de sécurité internes et externes, analyses de vulnérabilités régulières.

12.2 Mesures organisationnelles

• Minimisation des données : ne collecter et ne conserver que les données nécessaires à la réalisation des finalités ;
• Formation du personnel : formation régulière à la conformité vie privée et à la sécurité de l'ensemble des collaborateurs ;
• Évaluation des fournisseurs : due diligence des sous-traitants et sous-traitants ultérieurs et signature de DPA standardisés ;
• Réponse aux incidents : procédures écrites et journal d'exercices documenté ;
• Cycle de vie des données : classification, conservation et suppression formalisées.

12.3 Notification des violations de données

Dès qu'une violation susceptible d'affecter vos données à caractère personnel est confirmée :

• Notification de l'autorité de contrôle : nous informerons l'autorité de protection des données compétente dans les 72 heures suivant la découverte (art. 33 du RGPD) ;
• Notification des personnes concernées : si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons dans un délai maximal de 72 heures après détermination de la portée (art. 34 du RGPD). La notification comportera : la nature de l'incident, les catégories de données susceptibles d'être concernées, les conséquences probables, les mesures déjà prises et celles que nous vous recommandons, ainsi que le contact confidentialité ;
• Dispositions des lois américaines : nous respectons les délais applicables dans chaque État (par exemple le §1798.82 de Californie, le délai de 30-45 jours du SHIELD Act de l'État de New York, etc.).

13. Confidentialité des mineurs

Le Service s'adresse aux personnes âgées de 18 ans révolus et plus.

• Âge minimal unifié : conformément aux Conditions d'utilisation, nous appliquons à l'ensemble de nos utilisateurs un âge minimal de 18 ans, seuil supérieur aux minima légaux prévus par COPPA (13 ans aux États-Unis), l'article 8 du RGPD (16 ans par défaut dans l'UE), UK GDPR (13 ans), etc.
• Absence de collecte volontaire : nous ne collectons pas volontairement d'informations de personnes âgées de moins de 18 ans ;
• Vérification de l'âge : lors de l'inscription, la déclaration d'âge se fait par case à cocher ; à l'avenir, la vérification pourra être renforcée selon la région d'inscription ;
• Canal parental : si un parent ou tuteur constate qu'un mineur a communiqué des informations sans son consentement, il peut demander leur suppression à [email protected] ; nous procéderons au traitement dans les meilleurs délais après vérification.

14. Décision automatisée et profilage

14.1 Génération de contenu par IA

Notre génération de contenus par IA repose entièrement sur vos instructions explicites (le modèle que vous sélectionnez, le prompt et les médias que vous soumettez). Ce traitement :

• n'est pas, par nature, une décision « fondée exclusivement sur un traitement automatisé et produisant à votre égard des effets juridiques ou significatifs similaires » au sens de l'article 22(1) du RGPD ;
• repose sur l'exécution du contrat (art. 6(1)(b)) combinée à la nécessité contractuelle (art. 22(2)(a)) ;
• peut être interrompu à tout moment de votre part en cessant d'utiliser la fonctionnalité de génération.

14.2 Décision automatisée liée à la prévention de la fraude [divulgation clé — conformité à l'article 22 du RGPD]

Nous vous informons expressément : afin de prévenir la fraude aux paiements et les abus de compte, nous exploitons des systèmes de prévention de la fraude automatisés (incluant Stripe Radar et notre propre moteur de règles internes) qui, dans certaines circonstances, peuvent automatiquement :

• refuser une demande de remboursement ;
• suspendre ou bloquer définitivement un compte ;
• rendre immédiatement caducs les Crédits du compte ;
• ajouter les hachages d'e-mails, les empreintes de cartes de paiement, les adresses IP et les empreintes d'appareil concernés à la liste de blocage.

Ces décisions relèvent de celles visées à l'article 22 du RGPD, susceptibles de produire des effets juridiques ou significatifs similaires à votre égard.

Logique de décision (divulgation synthétique) :

Afin d'éviter de dévoiler les détails sensibles de nos stratégies de prévention de la fraude qui pourraient être détournés, nous ne divulguons la logique de décision que par catégories et dimensions générales :

• Dimension risque de paiement : paiements échoués multiples, changements fréquents de moyen de paiement à court terme, score Stripe Radar dépassant nos seuils internes ;
• Dimension association entre comptes : signaux multidimensionnels de correspondance entre hachages d'e-mails, empreintes de cartes de paiement, empreintes d'appareil et adresses IP ;
• Dimension anomalies de remboursement : demande de remboursement quelques heures à peine après un achat, multiples remboursements sur 6 mois, historique de rétrofacturations ;
• Dimension comportement de compte : accès au Service via robots, robots d'indexation ou scripts automatisés ; vente ou partage de comptes et de Crédits ; création de comptes multiples pour contourner les restrictions de la présente Politique.

Vos droits au titre de l'article 22(3) du RGPD :

• Droit à l'intervention humaine : vous pouvez demander la révision humaine de la décision automatisée ;
• Droit d'exprimer votre point de vue : vous pouvez produire des éléments de preuve (historique d'utilisation, justificatifs de paiement, échanges de correspondance, justifications de cohérence de localisation, etc.) en réfutation de l'évaluation du système ;
• Droit de recours : selon la procédure décrite à la section 10 de la Politique de remboursement, dans les 14 jours suivant la réception de la décision, via [email protected], avec examen humain et réponse dans les 5 jours ouvrés ;
• Droit à l'explication : vous avez le droit d'obtenir une explication générale de la logique de décision (telle que reproduite dans la présente section) ; afin de préserver l'efficacité de la prévention de la fraude, nous ne divulguons ni les seuils, ni les poids, ni les paramètres précis des règles ;
• Droit de réclamation : vous avez le droit d'introduire une réclamation auprès de l'autorité locale de protection des données (voir §11.6).

Base légale : article 22(2)(a) du RGPD (nécessité contractuelle, pour exécuter les obligations de prévention de la fraude prévues aux Conditions d'utilisation et à la Politique de remboursement) + article 6(1)(f) (intérêt légitime : prévention de la fraude, protection des utilisateurs conformes). Nous avons réalisé les évaluations de mise en balance des intérêts légitimes (LIA) et d'impact sur la protection des données (AIPD/DPIA) correspondantes (voir §15).

14.3 Profilage à des fins d'amélioration du Service

Les inférences portant sur les préférences fonctionnelles de l'Utilisateur, établies à partir des données d'utilisation (voir §3.5), n'affectent pas le statut du compte et servent uniquement à l'amélioration du produit et aux recommandations personnalisées ; vous pouvez désactiver les recommandations personnalisées dans les paramètres de votre compte.

15. Analyse d'impact relative à la protection des données (AIPD / DPIA)

Conformément à l'article 35 du RGPD, pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes concernées, nous avons réalisé ou sommes en train de réaliser des analyses d'impact relatives à la protection des données :

• AIPD prévention de la fraude et décision automatisée : réalisée (couvrant les catégories de données visées à la §3.4 et la procédure décisionnelle visée à la §14.2) ;
• AIPD détection d'abus sur la génération par IA : en cours d'évaluation ;
• AIPD technologies d'empreinte d'appareil planifiées : sera réalisée avant tout déploiement.

Ces AIPD ont identifié les mesures d'atténuation correspondantes (minimisation des données, hachage irréversible, durées de conservation limitées, voie de recours humaine, etc.). Vous pouvez demander un résumé des AIPD (à l'exclusion des secrets commerciaux et éléments de sécurité sensibles) à [email protected].

16. Conformité au Règlement européen sur l'IA

Les dispositions de transparence du règlement européen sur l'IA (EU AI Act, règlement (UE) 2024/1689) font l'objet d'une application échelonnée à compter du 2 août 2026. S'agissant du Service :

16.1 Classement par niveau de risque du système d'IA

En tant que déployeur en aval de systèmes d'IA, nous proposons un service relevant de l'IA générative (Generative AI), qui relève en principe de la catégorie de risque limité (limited risk) définie par le règlement européen sur l'IA. Nous n'exploitons pas :

• les systèmes d'IA interdits par l'article 5 (scoring social, manipulation subliminale, etc.) ;
• les systèmes d'IA à haut risque énumérés à l'annexe III (sélection à l'emploi, scoring de crédit, application de la loi, etc.).

16.2 Transparence des données d'entraînement

Nous n'entraînons pas nos propres modèles d'IA ; les modèles utilisés sont exploités par des fournisseurs de modèles d'IA en aval ayant rempli leurs propres obligations de transparence. Les liens de divulgation des données d'entraînement de chaque fournisseur seront centralisés sur la page /legal/ai-providers à venir ; dans l'attente de la mise en ligne de cette page, vous pouvez contacter [email protected] pour toute demande relative à un fournisseur spécifique.

16.3 Marquage des contenus générés par IA (article 50(2))

Pour les images, vidéos et autres contenus synthétiques générés par IA :

• nous intégrons, dans la limite des capacités prises en charge par les fournisseurs d'IA en aval, un marqueur lisible par machine (par exemple C2PA Content Credentials) ;
• certaines sorties peuvent également comporter un filigrane visible ;
• il vous est interdit de supprimer, d'altérer ou de contourner ces marqueurs (voir §5.4 des Conditions d'utilisation).

16.4 Divulgation de l'interaction avec l'IA (article 50(1)(a))

Lorsque vous interagissez avec les fonctions de génération IA du Service (édition d'image, génération vidéo, etc.), l'interface utilisateur indique clairement que vous interagissez avec un système d'IA et non avec un être humain.

16.5 Obligation de divulgation des hypertrucages (article 50(4))

Bien que le produit ne prenne pas en charge la génération de deepfakes susceptibles d'être raisonnablement pris pour des personnes, événements ou lieux réels (voir §6.5), si vous utilisez des contenus générés par IA dans le cadre d'informations d'intérêt public (actualités, politique, santé, etc.), vous devez signaler clairement au moment de la publication qu'il s'agit d'un contenu généré ou assisté par IA. Les obligations contractuelles correspondantes sont détaillées à la §5.4 des Conditions d'utilisation.

17. California Shine the Light Act

Conformément à l'article §1798.83 du California Civil Code (« Shine the Light Act »), les résidents californiens peuvent demander une liste des informations personnelles divulguées à des tiers à des fins de marketing direct par ces tiers. Nous ne partageons pas vos informations personnelles avec des tiers à des fins de marketing direct ; les traitements connexes et les demandes peuvent être adressés à [email protected].

18. Vie privée dans l'État du Nevada

Conformément à la loi SB220 de l'État du Nevada, les résidents du Nevada peuvent s'opposer à la vente de leurs informations personnelles. Nous ne vendons pas vos informations personnelles en contrepartie d'une valeur monétaire ; vous pouvez néanmoins adresser une demande de confirmation d'opt-out à [email protected], à laquelle nous répondrons dans un délai de 60 jours.

19. Modifications de la présente Politique

19.1 Mécanisme de révision

Nous pouvons être amenés à modifier la présente Politique. Toute version révisée sera publiée sur la présente page, avec mise à jour simultanée des dates « Dernière mise à jour » et « Date d'entrée en vigueur ».

19.2 Notification des modifications substantielles

Pour les révisions affectant matériellement vos droits (ajout de finalités de traitement, modification des modalités de transferts internationaux, nouvelle catégorie de sous-traitants ultérieurs, etc.), nous vous informerons au moins 30 jours avant l'entrée en vigueur :

• par courrier électronique à l'adresse associée à votre compte ;
• par avis publié en un endroit visible du site ;
• par notification sur le site lors de votre prochaine connexion.

19.3 Versions antérieures

L'ensemble des versions antérieures sera archivé sur la page /privacy-policy/history à venir ; dans l'attente de sa mise en ligne, vous pouvez demander toute version antérieure en écrivant à [email protected].

19.4 Poursuite de l'utilisation valant acceptation

La poursuite de l'utilisation du Service après l'entrée en vigueur d'une révision vaut acceptation de la Politique révisée. Si vous refusez la révision, veuillez cesser d'utiliser le Service et exercer votre droit à l'effacement conformément à la §11.

20. Nous contacter

20.1 Adresses e-mail dédiées

20.2 Moyens de communication

AISnapEdit

• Site web : https://aisnapedit.com
• Juridiction du siège opérationnel : Californie, États-Unis (heure du Pacifique — PT)
• Nous ne recevons les notifications, demandes d'exercice des droits et significations juridiques que par voie électronique ; veuillez utiliser les adresses dédiées listées à la §20.1.
• Les informations détaillées d'immatriculation de l'entité juridique seront publiées dans la version officiellement en vigueur de la présente Politique.

20.3 Représentant UE / Représentant Royaume-Uni

Le Représentant UE (art. 27 RGPD) et le Représentant Royaume-Uni (art. 27 du RGPD britannique) sont une seule et même entité :

• Raison sociale : Instant EU GDPR Representative Limited
• Adresse enregistrée : Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
• Contact : via [email protected] (nous transférons les demandes à notre Représentant UE / Royaume-Uni)

Voir §2.3 et §2.4 pour le détail.

20.4 Délais de réponse

En utilisant AISnapEdit, vous reconnaissez avoir lu, compris et accepté la présente Politique de confidentialité.

© 2026 AISnapEdit. Tous droits réservés.