Politique de confidentialité
Dernière mise à jour : avril 2026
1. Responsable du traitement
Le responsable du traitement au sens du RGPD (Règlement UE 2016/679) est la société HOLEM (SAS), exploitant du service ephoto.io, agréée par l'Agence Nationale des Titres Sécurisés (ANTS) depuis 2020.
Coordonnées complètes : voir mentions légales .
Pour toute question relative à vos données : privacy@ephoto.io.
2. Données collectées
Dans le cadre de notre service API, nous collectons :
- Données de compte : adresse email professionnelle, mot de passe (haché), nom du projet, type de projet
- Données techniques : adresse IP, user-agent, horodatage, identifiants d'API utilisés
- Données métier : photos d'identité et signatures manuscrites transmises via l'API (catégorie donnée biométrique au sens de l'article 9 RGPD : traitement justifié par notre agrément ANTS et par la finalité de l'usager final)
- Données de paiement : traitées exclusivement par Stripe (nous ne stockons jamais de numéro de carte)
- Données de pré-inscription : email + métadonnées UTM, conservés jusqu'à la conversion en compte ou pendant 12 mois maximum
3. Finalités du traitement
Vos données sont traitées pour :
- Exécution du contrat (art. 6.1.b RGPD) : création et gestion du compte, fourniture de l'API, facturation
- Obligation légale (art. 6.1.c RGPD) : conformité ANTS, conservation comptable (10 ans), traçabilité fiscale
- Intérêt légitime (art. 6.1.f RGPD) : sécurité, lutte anti-fraude, mesure d'audience non-personnelle, amélioration du service
- Consentement (art. 6.1.a RGPD) : cookies de mesure d'audience (Google Tag Manager), prospection commerciale
4. Sous-traitants et destinataires
Pour fournir le service, nous faisons appel aux sous-traitants suivants :
| Sous-traitant | Finalité | Pays |
|---|---|---|
| Cloudflare, Inc. | Hébergement, CDN, stockage R2 | USA * |
| Stripe, Inc. | Paiements et facturation | USA * |
| Functional Software Inc. (Sentry) | Monitoring d'erreurs | USA * |
| Google LLC (Google Tag Manager) | Mesure d'audience (avec consentement) | USA * |
| ANTS | Émission des codes ePhoto officiels | France |
| Prestataires d'envoi d'emails transactionnels | Notifications de service, activation de compte, alertes facturation | UE / USA * |
* Transfert hors Union européenne : les transferts vers les États-Unis sont encadrés par le Data Privacy Framework ou par les clauses contractuelles types adoptées par la Commission européenne (art. 46 RGPD).
5. Durée de conservation
- Photos & signatures : jusqu'à consommation du code par l'administration ou expiration (max 6 mois), puis suppression automatique
- Compte API : pendant toute la durée de la relation contractuelle, puis 3 ans après le dernier contact
- Logs techniques : 90 jours (sécurité et debug)
- Documents comptables : 10 ans (obligation légale)
- Pré-inscriptions non converties : 12 mois maximum
6. Cookies et traceurs
Nous utilisons deux catégories de cookies :
- Cookies strictement nécessaires (sans consentement) : session d'authentification, préférences UI (thème), CSRF.
- Cookies de mesure d'audience (consentement requis) : Google Tag Manager / Google Ads — déposés uniquement après acceptation explicite via le bandeau cookie.
Vous pouvez retirer votre consentement à tout moment en effaçant les cookies de votre navigateur ou en utilisant les paramètres de confidentialité de votre navigateur.
7. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement en transit et au repos, contrôle d'accès strict, journalisation des accès, infrastructure sécurisée conforme aux exigences ANTS.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès à vos données (art. 15)
- Droit de rectification (art. 16)
- Droit à l'effacement / « droit à l'oubli » (art. 17)
- Droit à la limitation du traitement (art. 18)
- Droit à la portabilité (art. 20)
- Droit d'opposition (art. 21)
- Droit de retirer votre consentement à tout moment
Pour exercer ces droits, contactez-nous à privacy@ephoto.io. Nous répondons sous un délai d'un mois maximum.
Droit de réclamation : vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) si vous estimez que le traitement de vos données viole le RGPD.
9. Modifications
Nous pouvons être amenés à modifier cette politique. Toute évolution substantielle sera notifiée par email aux titulaires de compte. La version applicable est celle en vigueur à la date de votre consultation.
10. Contact
Pour toute question : privacy@ephoto.io ou via le formulaire de la page Mentions légales .