
Politique de confidentialité
Dernière mise à jour : 16 juin 2026
1. Responsable du traitement
Marcel Gomes, éditeur de Nysos (nysos.io). Contact : [email protected]
2. Données collectées
Nous collectons les données nécessaires au service :
- Compte : adresse email et mot de passe haché.
- Usage : vidéos source traitées, transcriptions, clips générés, historique de jobs et feedback sur les clips.
- Connexions sociales : comptes YouTube/TikTok autorisés, jetons OAuth chiffrés, publications et statistiques synchronisées lorsque vous utilisez ces fonctions.
- Paiement : abonnement géré par Stripe. Nysos ne stocke pas vos données bancaires.
- Technique : logs serveur, adresse IP et user-agent pour la sécurité et le diagnostic.
3. Finalités
Ces données servent à fournir le service, gérer l'abonnement, sécuriser la plateforme, traiter les publications sociales demandées et communiquer sur le service.
Les feedbacks et signaux d'usage peuvent aider à améliorer la sélection de clips sous forme de signaux techniques. Les vidéos source privées ne sont pas ajoutées à un corpus d'entraînement sans autorisation explicite.
4. Bases légales
Les traitements nécessaires au compte, aux jobs et à l'abonnement reposent sur l'exécution du contrat. La sécurité, le diagnostic et l'amélioration du service reposent sur l'intérêt légitime de Nysos. Les traitements demandés vers YouTube ou TikTok suivent l'autorisation donnée sur ces plateformes.
5. Stockage et sécurité
Les données sont stockées sur des infrastructures techniques sécurisées. Les vidéos sources, transcriptions et clips générés liés à un job sont conservés 30 jours maximum après la date de création du job, puis purgés automatiquement par un processus interne quotidien. Les clips que vous marquez explicitement comme favoris sont préservés de cette purge tant que vous les conservez dans votre bibliothèque. Vous pouvez également supprimer un job manuellement à tout moment depuis l'historique, ce qui libère immédiatement l'espace de stockage associé.
Mécanismes de protection des données sensibles :
- Chiffrement en transit : toutes les communications utilisent TLS 1.2 minimum (HTTPS).
- Chiffrement au repos : les fichiers vidéo et clips sont chiffrés at-rest sur Cloudflare R2. La base de données est chiffrée au repos chez Neon.
- Jetons OAuth : les jetons d'accès aux plateformes sociales (YouTube, TikTok) sont chiffrés avant stockage en base de données, au moyen d'une clé symétrique (AES-256) conservée uniquement dans les variables d'environnement serveur, non accessibles depuis le code client.
- Isolation des données : chaque job est identifié par un UUID non prévisible. Les routes de téléchargement vérifient l'appartenance du job à l'utilisateur authentifié avant tout accès.
- Mots de passe : hachés avec bcrypt (facteur de coût élevé), jamais stockés en clair.
- Accès interne : l'accès aux données de production est restreint aux systèmes autorisés via des clés SSH. Aucun accès administrateur humain aux données utilisateur sans demande explicite de votre part.
6. Sous-processeurs et localisation des données
Nysos ne vend pas vos données. Voici la liste complète des sous-processeurs et la région de traitement :
- Hetzner (Nuremberg, Allemagne / UE) — serveurs backend, workers de pipeline, agents internes.
- Cloudflare R2 (UE) — stockage des vidéos sources, clips générés et previews. Chiffré at-rest.
- Vercel (USA + Edge UE) — hébergement du frontend statique. Aucune donnée personnelle stockée, juste rendu HTML.
- Neon (us-east-1, AWS Virginie / USA) — base de données principale (comptes utilisateurs, jobs, transactions). Transfert UE→US encadré par les Standard Contractual Clauses (SCC) de la Commission Européenne et un Data Processing Agreement signé avec Neon Inc.
- Stripe (Ireland EU pour le billing UE, USA pour le siège) — paiements et factures. SCC + DPA en place.
- AWS Bedrock (eu-central-1, Frankfurt / UE) — modèles d'IA (Anthropic Claude) pour la notation éditoriale et le contenu. Les données restent en UE.
- Deepgram (USA) — transcription speech-to-text. Audio envoyé, transcript retourné, pas de stockage long terme côté Deepgram. SCC en place.
- Cloudflare (UE Edge) — DNS, tunnel d'exposition de l'API, anti-DDoS.
- Resend (USA) — envoi des emails transactionnels (vérification, onboarding). Seuls l'adresse email du destinataire et le contenu du mail sont transmis. SCC en place.
- Google Workspace / Gmail API (USA) — réception et traitement des emails entrants sur [email protected] (support client). Le contenu des emails reçus peut être analysé par Claude via AWS Bedrock pour générer une réponse. SCC + DPA Google. Voir section 6a ci-dessous.
- Sentry (eu.sentry.io, Frankfurt / UE) — collecte des erreurs techniques anonymisées.
- PostHog (eu.i.posthog.com / UE) — analytics produit anonymisées, uniquement si vous acceptez les cookies.
- YouTube et TikTok — seulement lorsque vous connectez votre compte ou que vous publiez un clip vers leur plateforme. Aucune donnée partagée sans action explicite.
Les transferts en dehors de l'Espace Économique Européen (Vercel, Neon, Stripe US, Deepgram, Resend, Google Workspace) sont encadrés par les Standard Contractual Clauses 2021/914 de la Commission Européenne. Vous pouvez demander une copie des SCC applicables à tout moment à [email protected].
6a. Utilisation des services Google et données Google
Nysos utilise certaines API Google soumises à la Google API Services User Data Policy. Cette section précise comment les données obtenues via ces APIs sont traitées.
YouTube Data API (lorsque vous connectez votre compte YouTube) :
- Données reçues : informations de chaîne (identifiant, nom), statistiques de vidéos publiées via Nysos, jetons OAuth.
- Utilisation : affichage de vos statistiques dans l'interface Nysos, publication de clips sur votre chaîne à votre demande explicite.
- Partage avec des tiers : les métadonnées de vos vidéos (titre, description, statistiques) peuvent être transmises à Claude (via AWS Bedrock, Frankfurt / UE) pour vous suggérer des titres ou analyser les performances. Aucune vidéo brute YouTube n'est transmise à des tiers.
- Stockage : les jetons OAuth sont chiffrés (AES-256) en base de données (Neon, us-east-1). Les statistiques sont conservées le temps de votre connexion YouTube active.
- Révocation : vous pouvez déconnecter votre compte YouTube depuis les paramètres Nysos. Cela supprime immédiatement les jetons stockés. Vous pouvez également révoquer l'accès depuis myaccount.google.com/permissions.
Gmail API (compte [email protected] — email Nysos, pas votre compte Google) :
- Utilisation interne uniquement : la Gmail API est utilisée sur le compte professionnel Nysos pour lire les emails entrants sur [email protected].
- Le contenu des emails de support reçus est analysé par Claude (AWS Bedrock, UE) pour générer des réponses. Les emails ne sont pas stockés au-delà du traitement.
- Cela ne concerne pas votre compte Google personnel : Nysos ne demande pas l'accès à votre Gmail.
L'utilisation des données obtenues via les API Google respecte la Google API Services User Data Policy, y compris les restrictions d'utilisation limitée. Ces données ne sont pas utilisées pour afficher des publicités, ni vendues, ni partagées avec des tiers au-delà des sous-processeurs listés ci-dessus.
7. Vos droits
Vous pouvez demander l'accès, la rectification, la suppression, la portabilité, la limitation ou l'opposition au traitement de vos données en écrivant à [email protected]. Nysos répond dans les délais applicables.
8. Cookies et mesure d'audience
Nysos utilise des cookies techniques essentiels pour l'authentification. Ils sont HttpOnly et ne servent pas à la publicité.
La mesure d'audience Vercel est activée sous forme anonyme et sans cookie de tracking. Elle sert à comprendre la fréquentation du site, pas à suivre les visiteurs entre plusieurs sites.
9. Conservation
Les données de compte sont conservées pendant la vie du compte puis pendant une courte période de fermeture nécessaire au support et à la sécurité. Les vidéos sources et clips liés aux jobs sont automatiquement purgés après 30 jours (sauf clips marqués comme favoris). Les logs techniques sont conservés 90 jours. Les données de facturation suivent les obligations comptables applicables.
10. Contact
Pour toute question relative à la protection des données : [email protected]