Politique de Confidentialité
Dernière mise à jour : 2026-04-21
Préambule
La présente politique de confidentialité (ci-après “Politique”) décrit les traitements de données à caractère personnel effectués par [RAISON_SOCIALE] (ci-après “nous”, “l’Éditeur”) dans le cadre de l’exploitation de l’application Multistream, accessible à l’adresse https://multistream.fenrir-it.com (ci-après “le Service”).
Cette Politique est conforme au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi française n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés.
1. Identité du responsable de traitement
- Raison sociale : [RAISON_SOCIALE]
- Forme juridique : [SASU / EI / Auto-entrepreneur]
- SIREN : [NUMERO]
- Adresse du siège : [ADRESSE_COMPLETE]
- Email contact données personnelles :
privacy@fenrir-it.com - Email contact général :
contact@fenrir-it.com
2. Nature du Service
Multistream est une application web et mobile (PWA) permettant à un Utilisateur de visualiser simultanément jusqu’à quatre (4) flux vidéo en direct issus de plateformes tierces (Twitch, YouTube, Kick), dans une interface unifiée.
Le Service est un agrégateur de lecteurs vidéo officiels fournis par ces plateformes. Il n’héberge, ne transcode, ni ne redistribue aucun contenu vidéo. Les flux vidéo sont fournis directement par Twitch Interactive Inc., Google LLC (YouTube) et Kick Streaming Pty Ltd, qui restent seuls responsables du contenu affiché et de leurs propres traitements de données.
3. Données collectées et finalités
3.1 Tableau synthétique des traitements
| Finalité | Données collectées | Base légale | Durée de conservation |
|---|---|---|---|
| Fonctionnement du Service (visionnage anonyme) | Adresse IP (tronquée), User-Agent, identifiants techniques de session | Intérêt légitime (art. 6.1.f RGPD) | Session (volatile) + logs 30 jours |
| Partage de configurations (URL courte) | Slug généré, identifiants de flux tiers, date de création | Intérêt légitime | 12 mois après dernière consultation |
| Consentement cookies / traceurs | État de consentement granulaire (cookies tiers, analytics, marketing) | Consentement (art. 6.1.a) | 13 mois (CNIL) |
| Création de compte (V1.5) | Exécution contrat (art. 6.1.b) | Durée du compte + 30 jours post-suppression | |
| Authentification (magic link) | Email, token magic link | Exécution contrat | Token : 15 min ; comptes : voir ci-dessus |
| Abonnement Pro (V1.5) | Données de facturation transmises par Stripe (jamais vues par nos serveurs) | Obligation légale (comptabilité) + exécution contrat | 10 ans (obligation fiscale) |
| Connexion OAuth Twitch/YouTube/Kick (V2) | Identifiant utilisateur chez le provider, jetons d’accès et de rafraîchissement (chiffrés AES-256-GCM + KMS), scopes accordés | Consentement explicite | Jusqu’à révocation ou fermeture du compte |
| Sauvegarde de dashboards cloud (V2) | Liste de flux sauvegardés, nom du dashboard | Exécution contrat | Durée du compte |
| Détection des erreurs applicatives (Sentry) | Stack trace, URL, User-Agent, identifiant de session anonyme (pas d’email, PII scrubbers actifs) | Intérêt légitime | 30 jours |
| Analytics produit (PostHog) | Événements d’usage pseudonymisés, propriétés techniques (device, navigateur) | Consentement (opt-in) | 12 mois |
| Emails transactionnels (confirmation, sécurité) | Email, objet du mail, date envoi | Exécution contrat | 3 ans (preuve) |
| Newsletter / emails marketing | Consentement (double opt-in) | Jusqu’à désinscription |
3.2 Données non collectées
- Nous ne collectons aucune donnée biométrique, aucune donnée de santé, aucune donnée politique/religieuse/syndicale.
- Nous ne tentons aucune identification de la personne réelle derrière un compte anonyme MVP.
- Nous ne réalisons aucun profilage publicitaire cross-site.
- Nous n’utilisons aucun cookie de tracking tiers en dehors de ceux des lecteurs intégrés (Twitch, YouTube, Kick), qui relèvent de leurs politiques respectives.
4. Base légale des traitements
Chaque traitement mentionné repose sur l’une des bases légales prévues par l’article 6 du RGPD :
- Consentement (art. 6.1.a) : analytics opt-in, newsletter, connexion OAuth providers, dépôt de cookies tiers via les iframes.
- Exécution d’un contrat (art. 6.1.b) : création de compte, authentification, facturation, sauvegarde cloud, emails transactionnels liés au service.
- Obligation légale (art. 6.1.c) : conservation des factures pendant 10 ans.
- Intérêt légitime (art. 6.1.f) : fonctionnement technique du service, sécurité, détection de fraude, logs applicatifs anonymisés.
5. Destinataires et sous-traitants
Vos données personnelles peuvent être transmises aux sous-traitants suivants, qui agissent en notre nom et selon nos instructions (contrats de sous-traitance conformes à l’art. 28 RGPD signés ou en cours de signature) :
| Sous-traitant | Rôle | Localisation des données | DPA signé |
|---|---|---|---|
| Hetzner Online GmbH (Allemagne) | Hébergement serveurs VPS + Object Storage (backups chiffrés) | EU — Falkenstein (Allemagne) | ✅ |
| Stripe, Inc. (USA) | Paiements V1.5+ | EU (traitement localisé) + US (transferts encadrés par SCC + BCR) | ✅ |
| Sentry EU (Functional Software GmbH) | Détection d’erreurs techniques | EU — Francfort | ✅ |
| PostHog EU (PostHog B.V.) | Analytics produit (opt-in) | EU — Francfort | ✅ |
| Resend ou Postmark | Envoi des emails transactionnels | [À préciser selon provider retenu] | ✅ |
| AWS KMS ou GCP Cloud KMS | Chiffrement des jetons OAuth V2 (région EU) | EU — Francfort (eu-central-1) | ✅ |
| GitHub, Inc. | Infrastructure de déploiement (CI/CD, registre d’images) | US — avec SCC et GitHub DPA | ✅ |
Aucune autre partie n’a accès à vos données personnelles sauf sur requête judiciaire française contraignante.
6. Transferts hors Union européenne
Certains sous-traitants (Stripe, GitHub) sont établis aux États-Unis. Les transferts sont encadrés par :
- les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne (Décision 2021/914) ;
- le cas échéant, les mécanismes supplémentaires (chiffrement AES-256, pseudonymisation, Transfer Impact Assessment).
Vous pouvez obtenir une copie des SCC signés en écrivant à privacy@fenrir-it.com.
7. Durées de conservation
Les durées spécifiques sont indiquées dans le tableau §3.1. Au-delà :
- Comptes inactifs : nous supprimons tout compte utilisateur sans activité depuis 24 mois, après notification par email envoyée 30 jours avant suppression.
- Backups : nos sauvegardes sont conservées au maximum 3 mois (rotation automatisée). En cas d’exercice du droit à l’effacement, nous appliquons la technique du crypto-shredding (suppression de la clé de chiffrement associée à vos données), ce qui rend vos données définitivement illisibles même dans les sauvegardes restantes.
- Logs de sécurité : 30 jours (obligation article L. 34-1 CPCE).
8. Vos droits (articles 15 à 22 RGPD)
Vous disposez des droits suivants :
- Droit d’accès (art. 15) : obtenir une copie de vos données.
- Droit de rectification (art. 16) : corriger des données inexactes.
- Droit à l’effacement (art. 17) : demander la suppression (“droit à l’oubli”). Exerce via l’endpoint
DELETE /me/datadans votre compte ou par email. - Droit à la limitation (art. 18) : suspendre temporairement un traitement.
- Droit à la portabilité (art. 20) : récupérer vos données dans un format lisible (JSON). Endpoint
GET /me/export. - Droit d’opposition (art. 21) : vous opposer à un traitement basé sur l’intérêt légitime.
- Droit de retirer votre consentement à tout moment pour les traitements basés sur le consentement.
- Droit d’introduire une réclamation auprès de la CNIL : https://www.cnil.fr/fr/plaintes
Comment exercer vos droits
- Par email :
privacy@fenrir-it.com(réponse sous 1 mois maximum, article 12 RGPD) - Depuis votre compte (V1.5+) : page
/me/privacyavec boutons dédiés - Pièce d’identité : nous pouvons vous demander une copie en cas de doute raisonnable sur votre identité (art. 12.6 RGPD)
9. Sécurité des données
Nous appliquons les mesures suivantes :
- Chiffrement en transit : TLS 1.2+ obligatoire (certificats Let’s Encrypt).
- Chiffrement au repos : bases de données et sauvegardes chiffrées (AES-256) ; jetons OAuth chiffrés avec envelope encryption (KMS managé).
- Contrôle d’accès : authentification multifacteur obligatoire pour l’équipe technique ; principe du moindre privilège.
- Pseudonymisation : les identifiants utilisateurs sont des UUID non devinables.
- Audit log : toutes les opérations d’accès aux données sensibles sont enregistrées.
- Scan de vulnérabilités : analyse continue (Trivy) des images Docker en production.
- Signature des images : chaque déploiement est signé cryptographiquement (Sigstore Cosign).
- Sauvegardes testées : restauration testée mensuellement.
10. Cookies et traceurs
Lors de votre première visite, une bannière de gestion des consentements vous permet de choisir :
- Cookies strictement nécessaires : toujours actifs (session, CSRF, préférences UI).
- Cookies des lecteurs tiers (Twitch, YouTube, Kick) : déposés par ces plateformes lors du chargement des iframes. Vous pouvez refuser, auquel cas les flux tiers ne s’afficheront pas.
- Analytics produit (PostHog) : opt-in explicite.
- Marketing : pas de cookies marketing pour l’instant.
Votre choix est stocké pour une durée de 13 mois conformément aux recommandations de la CNIL.
11. Utilisateurs mineurs
Le Service s’adresse aux utilisateurs âgés de 16 ans ou plus. Si vous avez moins de 16 ans, vous devez obtenir le consentement de votre titulaire de l’autorité parentale avant d’utiliser le Service.
Nous n’avons pas vocation à collecter sciemment des données d’enfants de moins de 15 ans (seuil français, art. 7-1 loi Informatique et Libertés). Si vous constatez que des données d’un mineur ont été collectées à tort, contactez privacy@fenrir-it.com pour suppression immédiate.
12. Modifications de cette Politique
Toute modification substantielle de cette Politique fera l’objet :
- d’une notification par email aux utilisateurs disposant d’un compte, au moins 30 jours avant l’entrée en vigueur ;
- d’un bandeau d’information sur le site lors de votre prochaine connexion.
L’historique des versions est consultable à l’adresse https://multistream.fenrir-it.com/privacy/changelog.
13. Délégué à la Protection des Données (DPO)
[À compléter après décision avec avocat : DPO interne ou externe, coordonnées]
14. Réclamation et contact CNIL
Avant toute saisine de la CNIL, nous vous invitons à nous contacter directement à privacy@fenrir-it.com.
Si notre réponse ne vous satisfait pas, vous pouvez saisir :
Commission Nationale de l’Informatique et des Libertés (CNIL) 3 Place de Fontenoy — TSA 80715 75334 PARIS CEDEX 07 Téléphone : 01 53 73 22 22 Site web : https://www.cnil.fr