Politique de confidentialité
1. Champ d'application
La présente Politique de confidentialité décrit comment nous traitons les données à
caractère personnel lorsque vous créez un compte, achetez des crédits, soumettez du contenu
pour analyse, recevez des rapports générés ou interagissez de toute autre manière avec le
service à l'adresse dickpicpro.com (le « Service »). Elle s'applique
à toutes nos variantes de produit — le Model Tool (B2C), l'Agency Tool (B2B) et
l'API (B2B).
La présente Politique ne couvre pas les sites web, services ou plateformes tiers qui renvoient vers notre Service ou s'y intègrent. Vos interactions avec ces tiers sont régies par leurs propres politiques de confidentialité.
2. Juridiction
Le Service est exploité depuis the Republic of Cyprus et la Société est soumise au droit de la République de Chypre ainsi qu'au droit applicable de l'Union européenne, y compris le Règlement général sur la protection des données (Règlement (UE) 2016/679, « RGPD »). Pour les questions relatives au traitement des données à caractère personnel, le RGPD s'applique à toutes les personnes concernées, quel que soit leur lieu de résidence.
L'utilisation du Service est soumise au droit local applicable dans la juridiction de l'utilisateur. Les utilisateurs sont responsables du respect des lois de leur propre pays, y compris, le cas échéant, des restrictions sur le type de contenu pouvant être traité via le Service.
3. Notre rôle — répartition entre l'exploitation du Service et le traitement du contenu
Nous opérons selon un modèle de « rôle réparti » qui reflète le fonctionnement réel du Service :
3.1 Exploitation du Service — nous sommes le responsable du traitement
Pour les données dont nous avons besoin pour exploiter le Service lui-même, nous sommes le responsable du traitement. Nous déterminons les finalités et les moyens du traitement de ces données :
- les données de compte (adresse e-mail, hachage du mot de passe, nom affiché, identifiants de compte) ;
- les enregistrements de facturation et de solde de crédits ;
- les données d'authentification et de sécurité (sessions, tentatives de connexion, journaux d'audit) ;
- les enregistrements d'acceptation des Conditions générales principales.
3.2 Traitement du contenu — nous sommes le sous-traitant
Pour le contenu que vous soumettez et les rapports que nous en générons, nous agissons en tant que sous-traitant pour votre compte. Vous déterminez ce que vous soumettez, quel prompt appliquer, quel modèle utiliser et (pour les clients Agency / API) pour le compte de qui l'analyse est réalisée. Nous traitons ce contenu strictement selon vos instructions, exprimées par votre utilisation de l'interface du Service ou de l'API.
Cela s'applique uniformément à tous les produits :
- Model Tool — vous nous donnez vos instructions via le formulaire de téléversement, le sélecteur de prompt et le sélecteur de modèle.
- Agency Tool — l'agence nous donne ses instructions via la même interface, avec en plus la sélection du model. C'est l'agence, et non nous, qui entretient la relation avec la personne représentée et est responsable de l'obtention du consentement.
- API — le client API nous donne ses instructions via les paramètres de l'API et est responsable de l'obtention du consentement des personnes représentées dans son propre produit.
L'acceptation des Conditions générales principales intègre notre Accord de traitement des données, qui formalise la relation de sous-traitance et vos responsabilités en tant que responsable du traitement du contenu soumis.
4. Ce que nous ne faisons PAS de votre contenu
Ce sont des engagements fermes — ils sont au cœur de notre fonctionnement, et non des options de désactivation facultatives :
- Nous n'entraînons pas de modèles d'IA sur le contenu que vous soumettez. Notre pipeline d'analyse est une inférence sans état ; les images soumises ne sont ajoutées à aucun jeu de données d'entraînement.
- Nous ne profilons pas les utilisateurs. Nous ne constituons pas de profils comportementaux ou d'intérêts à partir de votre utilisation. Nous n'exécutons aucune analyse reliant votre activité à des catégories publicitaires ou marketing.
- Nous ne vendons pas de renseignements personnels. Nous ne partageons pas de données à caractère personnel à des fins de publicité comportementale intercontextuelle.
- Nous ne combinons pas les données entre utilisateurs. Votre compte et vos analyses sont isolés ; il n'existe aucune agrégation inter-locataires qui relierait vos données à celles d'autres utilisateurs.
- Nous n'identifions pas les personnes représentées. L'analyse décrit le contenu visible des images soumises ; elle n'effectue aucune reconnaissance faciale, correspondance biométrique ou autre identification des personnes représentées. Le PDF généré ne contient ni caractéristiques biométriques ni identifiants persistants des sujets.
- Nous n'affichons pas de publicité. Le Service n'intègre aucune régie publicitaire.
5. Données que nous traitons et durée de conservation
5.1 Données de compte — périmètre responsable du traitement
- Adresse e-mail (requise pour la connexion)
- Mot de passe — stocké uniquement sous forme de hachage bcrypt salé ; nous ne stockons jamais de texte en clair
- Nom affiché (facultatif, choisi par l'utilisateur)
- Identifiants de compte, indicateurs de statut, horodatages
- Enregistrements d'acceptation des Conditions générales principales (horodatage, version, IP)
- Instantané d'acquisition marketing (facultatif) — si vous êtes arrivé via un lien marketing avec des paramètres UTM, ou depuis un site web externe, nous capturons les balises de campagne et le site web référent lors de la première visite. Cet instantané est figé à l'inscription et sert uniquement à mesurer quels canaux marketing amènent des utilisateurs au service. Voir le § 5.1.1 ci-dessous.
Conservées pendant toute la durée de vie de votre compte ; supprimées en douceur (soft-delete) à la clôture du compte avec une période de grâce de 30 jours pendant laquelle la suppression peut être annulée ; puis supprimées définitivement, les enregistrements de facturation étant conservés comme l'exige la loi (voir le § 5.4).
5.1.1 Instantané d'acquisition marketing
Lorsque vous arrivez pour la première fois sur le service, nous pouvons capturer un petit ensemble de signaux techniques liés à votre provenance :
-
Paramètres UTM de la chaîne de requête de l'URL
(
utm_source,utm_medium,utm_campaign,utm_term,utm_content) — ce sont des balises que nous ajoutons à nos propres liens marketing pour mesurer la performance des campagnes. - En-tête HTTP Referer envoyé par votre navigateur, mais uniquement s'il pointe vers un site web externe (la navigation interne au sein de notre propre service n'est pas stockée).
- La page sur laquelle vous êtes arrivé en premier au sein de notre service (chemin uniquement, sans chaîne de requête).
- L'horodatage de la première capture.
If you register an account, this snapshot is attached to your account as a single, frozen record — it is never updated by subsequent visits or actions. If you do not register, the snapshot lives only in your browser session and is discarded automatically when the session expires (after 7 days).
Finalité : analyse d'attribution — comprendre quels canaux marketing conduisent aux inscriptions. Nous n'utilisons pas ces données à des fins de publicité ciblée, de profilage ou pour toute décision vous affectant en tant qu'utilisateur.
Conservation : pendant toute la durée de vie du compte ; supprimé avec le compte lors de la purge définitive.
Désactivation : nous ne capturons rien si aucun paramètre
UTM n'est présent et si le site web référent est vide ou correspond à notre
propre domaine. Vous pouvez également empêcher toute capture en configurant
votre navigateur pour qu'il n'envoie pas l'en-tête Referer, ou en
visitant le service directement sans passer par un lien marketing.
5.2 Contenu soumis (images) — périmètre sous-traitant
Les images que vous téléversez pour analyse sont traitées de manière transitoire :
- transmises à notre service d'analyse pour traitement par IA
- analysées, le résultat étant renvoyé au pipeline de génération
- supprimées du pipeline de traitement immédiatement après l'analyse — nous ne conservons pas au repos les images brutes téléversées
5.3 Contenu généré (rapports PDF) — périmètre sous-traitant
Le rapport PDF que nous générons à partir de votre analyse est stocké dans un stockage objet cloud pour une durée de conservation qui dépend de votre forfait actif :
| Produit / forfait | Conservation du PDF |
|---|---|
| Model Tool — forfait One-time | 7 jours |
| Model Tool — Starter Branding Pack | 14 jours |
| Agency Tool (tous les forfaits) | 30 jours |
| API | Selon le contrat du client API ; minimale par défaut |
Après expiration, le PDF est automatiquement supprimé du stockage et la ligne de métadonnées d'analyse correspondante est supprimée de notre base de données. Vous pouvez également supprimer une analyse spécifique à tout moment avant l'expiration via la vue « Recent Analyses » de votre tableau de bord (le PDF, la vignette d'aperçu et toutes les données opérationnelles associées sont supprimés ; les enregistrements financiers sont conservés comme décrit à la section 5.4).
5.4 Enregistrements de facturation et opérationnels — périmètre responsable du traitement
| Catégorie | Finalité | Conservation |
|---|---|---|
| Registre du solde de crédits et enregistrements de transactions | Conformité fiscale et comptable | Jusqu'à 7 ans ; non identifiants après la suppression définitive du compte |
| Journaux d'audit (événements de compte, acceptation des CGU) | Sécurité, prévention de la fraude, preuve du consentement et de l'acceptation | Jusqu'à 12 mois |
| Journaux d'appels API (pour les clients API) | Exploiter l'API ; facturation à l'usage ; dépannage de l'intégration | Lié aux droits du client (expiration du lot Simple Pack ou fin du contrat Production) plus 30 jours de grâce |
| Journaux de livraison des webhooks | Diagnostiquer les échecs de livraison ; logique de nouvelle tentative | 30 jours |
| Métadonnées d'analyses échouées | Permettre à l'utilisateur de voir et de relancer l'analyse échouée | 24 heures |
| Données d'orchestration opérationnelle (appariement de repli) | Contrôle qualité interne ; analyse de la performance des modèles | Ligne complète 7 jours ; ensuite décomptes agrégés uniquement (aucune donnée personnelle) |
| Alertes opérationnelles | Surveillance interne | 90 jours |
| Clés API (lorsqu'inutilisées) | Sécurité du compte — suppression automatique des identifiants dormants | Supprimées automatiquement après 90 jours d'inactivité (voir Conditions principales § 10) |
6. Partage et sous-traitants ultérieurs
Nous ne vendons pas de renseignements personnels. Nous ne partageons pas vos données à caractère personnel à des fins de publicité comportementale intercontextuelle. Nous ne partageons de données à caractère personnel que dans les cas limités suivants :
- Sous-traitants ultérieurs qui fournissent l'infrastructure (stockage objet, traitement des paiements, e-mail transactionnel, signature électronique) et sont liés par des clauses appropriées de confidentialité et de protection des données. Notre liste actuelle et prévue de sous-traitants ultérieurs est publiée à l'adresse /legal/subprocessors.
- Conformité légale — lorsque nous sommes tenus par une procédure légale valable de divulguer des données, ou lorsque nous estimons de bonne foi que la divulgation est nécessaire pour protéger des droits, la sécurité, ou pour respecter des obligations légales de signalement. Cela inclut une coopération volontaire dans la détection et le signalement de matériel apparent d'abus sexuel d'enfants dans le cadre du règlement (UE) 2021/1232, y compris les signalements aux organismes désignés tels que le National Center for Missing & Exploited Children (NCMEC) et les membres du réseau INHOPE.
- Transfert d'entreprise — en cas de fusion, d'acquisition ou de cession d'actifs, les données à caractère personnel peuvent être transférées à l'entité qui succède, laquelle sera liée par des conditions substantiellement équivalentes à la présente Politique.
7. Transferts internationaux de données
Nous traitons les données à caractère personnel principalement au sein de l'Union européenne. Notre infrastructure est exploitée depuis the Republic of Cyprus, et notre sous-traitant ultérieur de stockage objet est configuré pour stocker les données dans des régions de l'UE. Certains services opérationnels peuvent être fournis par des sous-traitants ultérieurs établis en dehors de l'Espace économique européen (EEE) ; les régions sont indiquées à l'adresse /legal/subprocessors.
Lorsque des données à caractère personnel sont transférées à des sous-traitants ultérieurs situés en dehors de l'EEE, ces transferts sont régis par les Clauses contractuelles types de la Commission européenne (Décision (UE) 2021/914) ou par un autre mécanisme de transfert licite au titre du chapitre V du RGPD. Des informations complémentaires pour les Clients agissant en tant que responsables du traitement figurent dans notre Accord de traitement des données.
Si vous accédez au Service depuis l'extérieur de l'Union européenne, vos données à caractère personnel seront transférées vers l'UE et y seront traitées. En utilisant le Service depuis l'extérieur de l'UE, vous reconnaissez que les lois de protection des données de l'Union européenne peuvent différer de celles de votre juridiction.
8. Vos droits
Sous réserve de la vérification de l'identité et des exceptions applicables au titre du RGPD, vous disposez des droits suivants concernant vos données à caractère personnel :
- Accès — demander une copie des données à caractère personnel que nous détenons à votre sujet (art. 15).
- Rectification — demander la correction de données inexactes ou incomplètes (art. 16).
- Effacement — demander la suppression de votre compte ou d'analyses individuelles (art. 17). Suppression du compte : période de grâce de 30 jours suivie de la suppression définitive des champs de compte identifiants. Analyses individuelles : supprimables à la demande depuis la vue « Recent Analyses » de votre tableau de bord. Les enregistrements de facturation non identifiants sont conservés comme l'exige la loi.
- Limitation du traitement (art. 18).
- Portabilité — demander une copie de vos données dans un format portable, le cas échéant (art. 20).
- Opposition — vous opposer au traitement fondé sur les intérêts légitimes (art. 21).
- Retrait du consentement — lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment (art. 7, § 3).
- Droit de ne pas faire l'objet d'une décision automatisée produisant des effets juridiques ou vous affectant de manière significative de façon similaire (art. 22) — nous ne pratiquons pas actuellement une telle prise de décision.
- Lorsque nous agissons en tant que sous-traitant (pour le traitement du contenu), les demandes d'exercice de droits doivent être adressées en priorité à votre responsable du traitement (pour les utilisateurs Agency — votre agence ; pour les utilisateurs d'un intégrateur API — cet intégrateur) ; nous les assisterons dans leur réponse. Voir /legal/gdpr pour le cadre RGPD complet.
Pour exercer ces droits, contactez-nous via le canal indiqué à la section 12. Nous pouvons avoir besoin de vérifier votre identité avant de répondre. Nous répondrons dans un délai de 30 jours à compter d'une demande vérifiable, avec une prolongation pouvant aller jusqu'à deux mois supplémentaires pour les demandes complexes lorsque l'art. 12, § 3, du RGPD le permet (moyennant une information dans le premier mois).
9. Sécurité
Nous mettons en œuvre des mesures organisationnelles et techniques destinées à protéger vos données, notamment le chiffrement TLS en transit, le hachage des mots de passe, des contrôles d'accès, une infrastructure sécurisée et la minimisation des données stockées grâce au traitement transitoire des images. Tous les détails figurent à l'adresse /legal/security.
Aucun système ne peut garantir une sécurité absolue. En cas d'incident de sécurité affectant vos données à caractère personnel, nous réagirons rapidement et notifierons l'autorité de contrôle compétente ainsi que les utilisateurs concernés lorsque les art. 33 et 34 du RGPD l'exigent.
10. Vie privée des enfants
Le Service est proposé exclusivement aux adultes âgés de 18 ans ou plus. Nous ne permettons pas sciemment à des mineurs d'utiliser le Service ni d'apparaître comme sujets du contenu dans les documents téléversés. En créant un compte, vous déclarez être âgé d'au moins 18 ans. Si nous apprenons qu'un compte a été créé par un mineur ou qu'un contenu téléversé représente un mineur, nous suspendrons le compte, supprimerons le contenu, coopérerons avec les forces de l'ordre chypriotes et les autorités compétentes, et signalerons le matériel apparent d'abus sexuel d'enfants aux organismes désignés (tels que le NCMEC et les membres du réseau INHOPE) sur une base volontaire dans le cadre du règlement (UE) 2021/1232.
Toute préoccupation concernant l'implication présumée d'un mineur doit être signalée immédiatement via le canal de contact indiqué à la section 12.
11. Modifications de la présente Politique
Nous pouvons mettre à jour la présente Politique de temps à autre. Les changements substantiels seront communiqués via le Service (notification par bandeau ou e-mail aux utilisateurs enregistrés) et la date de « Dernière mise à jour » en haut sera révisée. Votre utilisation continue du Service après la date d'entrée en vigueur d'une Politique mise à jour vaut acceptation de la Politique mise à jour.
12. Contact
Pour toute question relative à la confidentialité ou pour exercer vos droits, contactez-nous via :
- Formulaire web : /contact
- E-mail : privacy@dickpicpro.com
- Courrier postal : [YOUR CYPRUS LTD LEGAL NAME], À l'attention de : Confidentialité, [YOUR MAILING ADDRESS LINE 1], [POSTAL CODE] [CITY], Cyprus.
Vous avez également le droit d'introduire une réclamation auprès de votre autorité nationale de contrôle en matière de protection des données. L'autorité de contrôle compétente pour la Société est Cyprus Data Protection Commissioner (https://www.dataprotection.gov.cy). Voir /legal/gdpr § 8 pour plus de détails.