Politique de confidentialité

Cette politique de confidentialité vous informe, conformément à l'art. 13 du RGPD, sur la nature, l'étendue et la finalité du traitement des données personnelles au sein de notre offre en ligne et des sites web et fonctionnalités qui y sont liés.

1. Responsable du traitement

Daniel Ovadia
CastLoop
Eugen-Richter-Str. 159
76187 Karlsruhe, Allemagne
E-mail : info@castloop.de

2. Définitions

Cette politique de confidentialité utilise les notions du Règlement général sur la protection des données (RGPD). Les « données personnelles » désignent toutes les informations se rapportant à une personne physique identifiée ou identifiable.

3. Finalités et bases juridiques du traitement

Nous traitons des données personnelles aux fins suivantes :

• Fourniture de l'offre en ligne et de ses fonctionnalités (art. 6 al. 1 lit. b RGPD)
• Exécution des obligations contractuelles (art. 6 al. 1 lit. b RGPD)
• Respect des obligations légales, en particulier des obligations fiscales et commerciales de conservation (art. 6 al. 1 lit. c RGPD)
• Sauvegarde d'intérêts légitimes — en particulier sécurité, prévention des abus, analyse et amélioration de notre offre (art. 6 al. 1 lit. f RGPD)
• Consentements, dans la mesure où ils ont été donnés (art. 6 al. 1 lit. a RGPD)

4. Fichiers journaux serveur & hébergement

Lors de la consultation de notre site web, des données d'accès sont automatiquement enregistrées dans des fichiers journaux serveur (adresse IP, date et heure, page consultée, agent utilisateur, référent). Ces données servent à la sécurité technique d'exploitation et sont supprimées ou anonymisées au plus tard après 14 jours.

Hébergement : IONOS SE, Elgendorfer Straße 57, 56410 Montabaur, Allemagne. Le traitement des données a lieu exclusivement sur des serveurs situés dans l'Union européenne (Allemagne). IONOS fournit également le relais SMTP pour l'envoi d'e-mails transactionnels ainsi que des sauvegardes par instantanés de VM de l'environnement de production. Un contrat de sous-traitance selon l'art. 28 du RGPD a été conclu avec le prestataire.

5. Inscription & compte client

Pour utiliser CastLoop, vous pouvez créer un compte. Les informations obligatoires sont l'adresse e-mail et le mot de passe ; sont facultatifs le nom de l'entreprise/de la chaîne, le prénom et le nom. Le mot de passe n'est jamais stocké en clair, mais sous forme de hachage au moyen du procédé moderne Argon2id (paramètres OWASP 2024).

Base juridique : art. 6 al. 1 lit. b RGPD (exécution du contrat). Les données sont supprimées dès qu'elles ne sont plus nécessaires aux fins de leur collecte et qu'aucune obligation légale de conservation ne s'y oppose.

6. Contenus traités

CastLoop traite les contenus que vous fournissez activement — en particulier des URL de vidéos YouTube ou d'épisodes de podcast, ainsi que les transcriptions, fichiers de clips, suggestions de titres et de sous-titres qui en sont issus. Ces contenus sont utilisés exclusivement pour la fourniture du service commandé et supprimés à l'expiration des délais de conservation convenus contractuellement (en règle générale 7 jours pour les téléchargements bruts, jusqu'à 90 jours pour les clips créés dans le cadre de la fonction de recyclage). Les fichiers de clips sont stockés exclusivement sur des serveurs UE d'IONOS SE ; aucun transfert vers des fournisseurs de stockage cloud hors UE n'a lieu.

7. Connexion sociale / SSO

Pour simplifier la connexion, nous proposons un Single Sign-On (SSO) via différents fournisseurs d'identité. Si vous utilisez cette option, vous êtes redirigé vers le fournisseur concerné ; après authentification réussie, nous recevons un jeton d'identification signé (JWT), dont nous n'extrayons exclusivement qu'un identifiant utilisateur stable (sub) et votre adresse e-mail. Nous ne recevons aucun mot de passe et aucun accès illimité à votre compte chez ce fournisseur.

7.1 Google Ireland Ltd. — connexion Google

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande. Authentification via compte Google (« Sign in with Google »). Sont traités sub (ID utilisateur Google stable), adresse e-mail, statut de confirmation de l'e-mail, facultativement nom et URL de la photo de profil. Détails : policies.google.com/privacy.

7.2 Microsoft Ireland Operations Limited — Sign in with Microsoft

Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irlande. Authentification via compte Microsoft (personnel ou professionnel/scolaire). Sont traités sub (ID utilisateur Microsoft stable, et non oid), adresse e-mail et facultativement nom d'affichage. Détails : privacy.microsoft.com.

7.3 Apple Distribution International Ltd. — Sign in with Apple

Apple Distribution International Limited, Hollyhill Industrial Estate, Hollyhill, Cork, Irlande. Authentification via identifiant Apple. Sont traités sub (ID utilisateur Apple stable) et adresse e-mail.

Remarque sur les adresses Private Relay : Apple propose l'option « Masquer mon adresse e-mail ». Dans ce cas, nous recevons exclusivement une adresse de redirection anonymisée de la forme <jeton_aleatoire>@privaterelay.appleid.com. Nous ne pouvons pas voir votre véritable adresse e-mail ; Apple transmet les messages de manière transparente à l'adresse que vous avez enregistrée. Détails : apple.com/legal/privacy.

Base juridique pour le SSO : art. 6 al. 1 lit. b RGPD (exécution du contrat / mesures précontractuelles).

8. Publication multi-plateformes (jetons OAuth & publications)

La prestation centrale de CastLoop est la publication automatisée des clips créés sur les plateformes de réseaux sociaux que vous avez connectées. Pour cela, vous nous mettez à disposition des jetons d'accès OAuth de la plateforme concernée. Vos mots de passe des plateformes ne sont à aucun moment vus ni stockés par nous.

Chiffrement des jetons : les jetons d'accès et de rafraîchissement OAuth sont stockés dans notre base de données exclusivement de manière chiffrée avec AES-256-GCM (« Envelope Encryption »), liés à un contexte de données authentifiées supplémentaires (AAD) propre à chaque ligne (Tenant-ID, Social-Account-ID, plateforme). Une fuite de la base de données sans accès au matériel de clé conservé séparément reste ainsi inutilisable.

8.1 Google Ireland Ltd. — YouTube / YouTube Shorts

Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande. CastLoop utilise la YouTube Data API v3 exclusivement sur la chaîne YouTube que vous avez connectée, au moyen des scopes OAuth suivants :

• https://www.googleapis.com/auth/youtube.readonly — lecture de vos propres métadonnées de chaîne et de vidéos (ID de chaîne, titre, vignette, liste de vidéos avec titre, description, durée, date de publication). Utilisé pour vous permettre, dans le tableau de bord, de choisir à partir de quelles vidéos longues CastLoop doit extraire des clips courts. Seuls les points de terminaison channels.list et videos.list sont appelés.
• https://www.googleapis.com/auth/youtube.upload — téléversement des clips courts que vous avez validés (≤ 60 secondes, format vertical) en tant que YouTube Shorts sur votre propre chaîne. Seul le point de terminaison videos.insert est appelé. Aucun téléversement automatique n'a lieu sans votre validation et votre planification préalables.

Sont transmis, au moment du téléversement, le fichier de clip (MP4), le titre que vous avez attribué, la description, les tags et le moment de publication. Les vidéos longues originales ne quittent à aucun moment nos serveurs.

Limited Use — engagement d'utilisation conformément à la Google API Services User Data Policy (y compris Limited Use Requirements) :

• Nous utilisons les données reçues via l'API YouTube exclusivement pour vous fournir la fonction présentée dans le tableau de bord (sélection de clips, téléversement de Shorts).
• Nous ne vendons aucune donnée reçue via l'API YouTube à des tiers.
• Nous n'utilisons aucune donnée reçue via l'API YouTube pour afficher de la publicité ou pour personnaliser de la publicité.
• Nous n'entraînons aucun modèle d'IA/ML avec les contenus reçus via l'API YouTube.
• L'accès humain (employés / sous-traitants) aux données a lieu exclusivement (a) avec votre consentement explicite, (b) à des fins de sécurité (p. ex. enquête sur un incident d'abus ou de sécurité), (c) pour le respect d'obligations légales ou (d) lorsque les données sont anonymisées/agrégées pour des opérations internes.

Vous pouvez à tout moment désautoriser la chaîne YouTube via Tableau de bord → Chaînes → Déconnecter ou révoquer la connexion directement dans votre compte Google sous « Applications tierces avec accès au compte ». Après déconnexion, les jetons OAuth associés sont immédiatement supprimés ; les YouTube Shorts déjà téléversés restent sur votre chaîne et peuvent être gérés par vous comme d'habitude.

Mentions générales de confidentialité de Google : policies.google.com/privacy.

8.2 Meta Platforms Ireland Ltd. — Instagram

Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irlande. Publication de Reels / posts de fil via l'Instagram Graph API. Détails : facebook.com/privacy/policy.

8.3 TikTok Technology Ltd. — TikTok

TikTok Technology Limited (groupe ByteDance), 10 Earlsfort Terrace, Dublin 2, Irlande. Publication via la TikTok Content Posting API. Détails : tiktok.com/legal/privacy-policy.

8.4 LinkedIn Ireland Unlimited Company — LinkedIn

LinkedIn Ireland Unlimited Company, Wilton Place, Dublin 2, Irlande. Publication de posts vidéo via la LinkedIn Marketing Developer Platform. Détails : linkedin.com/legal/privacy-policy.

8.5 X Corp. — X (anciennement Twitter)

X Corp., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA. Publication via la X API v2. X Corp. a son siège aux États-Unis ; les transferts de données vers les États-Unis sont inévitables pour l'utilisation de la plateforme X. La protection est assurée sur la base des clauses contractuelles types de l'UE (CCT 2021/914). Détails : x.com/privacy.

8.6 Meta Platforms Ireland Ltd. — Facebook

Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irlande. Publication de posts vidéo de pages Facebook via la Facebook Graph API. Mentions de confidentialité : facebook.com/privacy/policy.

8.7 Meta Platforms Ireland Ltd. — Threads

Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irlande. Publication de posts Threads via la Threads Graph API. Threads étant un produit Meta, la même politique de confidentialité s'applique que pour Instagram : facebook.com/privacy/policy.

Base juridique pour la publication : art. 6 al. 1 lit. b RGPD (exécution du contrat). La plateforme concernée est responsable du traitement de manière autonome au regard du droit de la protection des données pour le traitement sur ses propres systèmes.

9. Traitement assisté par IA (transcription & analyse de clips)

Pour la création automatique de transcriptions, la détection de moments marquants et la génération de variantes d'accroches/de titres, nous utilisons Google Generative AI (Gemini 2.5 Flash) de Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlande. Sont transmis des transcriptions audio/texte ainsi que des métadonnées pertinentes de la vidéo concernée. Le traitement a lieu au sein de l'UE ou sur la base de clauses contractuelles types ; Google traite les contenus exclusivement pour la fourniture de la prestation API et non pour l'entraînement de ses modèles (conditions Paid-Tier/Enterprise, Gemini API Terms of Service).

Base juridique : art. 6 al. 1 lit. b RGPD (exécution du contrat).

10. Traitement des paiements

Le traitement des paiements et l'établissement des factures correspondantes s'effectuent via Mollie B.V. (Keizersgracht 126, 1015 CW Amsterdam, Pays-Bas). Les données nécessaires au traitement du paiement (montant, méthode de paiement, e-mail, adresse de facturation) sont transmises à Mollie. Mollie est lui-même responsable du traitement au sens du RGPD pour le traitement des données de paiement. Vous trouverez plus d'informations dans la politique de confidentialité de Mollie.

Base juridique : art. 6 al. 1 lit. b RGPD (exécution du contrat), art. 6 al. 1 lit. c RGPD (obligations légales de conservation selon l'art. 257 HGB, l'art. 147 AO).

11. Envoi d'e-mails

Pour l'envoi d'e-mails transactionnels (confirmation d'inscription, réinitialisation de mot de passe, factures, notifications de clips), nous utilisons le relais SMTP d'IONOS SE (voir section 4). Aucun prestataire d'envoi distinct hors UE n'est employé. L'envoi s'effectue exclusivement via des connexions chiffrées TLS (TLS 1.2 ou supérieur).

12. Cookies & technologies comparables

Notre site marketing castloop.de ne dépose aucun cookie de suivi ni cookie à des fins publicitaires. L'application app.castloop.de utilise exclusivement des cookies techniquement nécessaires (en particulier un cookie HttpOnly pour le jeton de rafraîchissement sécurisé, la protection CSRF, les nonces CSP). Un consentement n'est ici pas requis conformément au § 25 al. 2 nº 2 TDDDG. Vous trouverez plus de détails dans notre politique relative aux cookies.

13. Destinataires des données / sous-traitants

Les prestataires suivants traitent des données personnelles pour notre compte ou en tant que responsables autonomes (pour les plateformes de réseaux sociaux et Mollie) :

• IONOS SE (Montabaur, DE) — infrastructure d'hébergement, relais SMTP, sauvegardes par instantanés de VM
• Mollie B.V. (Amsterdam, NL) — traitement des paiements & gestion des factures
• Google Ireland Ltd. (Dublin, IE) — transcription et analyse de clips via Google Generative AI (Gemini 2.5 Flash), YouTube Data API, connexion Google
• Microsoft Ireland Operations Ltd. (Dublin, IE) — authentification via compte Microsoft
• Apple Distribution International Ltd. (Cork, IE) — authentification via identifiant Apple
• Meta Platforms Ireland Ltd. (Dublin, IE) — publications Instagram, Facebook et Threads
• TikTok Technology Ltd. (Dublin, IE) — publications TikTok
• LinkedIn Ireland Unlimited Company (Dublin, IE) — publications LinkedIn
• X Corp. (San Francisco, USA) — publications X/Twitter (traitement des données également aux États-Unis, sécurisé par les CCT 2021/914)

Nous concluons avec tous les sous-traitants un contrat de sous-traitance (DPA) selon l'art. 28 du RGPD ; les clients professionnels peuvent de leur côté conclure un DPA avec nous (voir modèle de DPA).

14. Transferts vers des pays tiers

Dans la mesure du possible, nous traitons les données personnelles au sein de l'Union européenne ou de l'Espace économique européen. Dans les cas suivants, un transfert vers des pays tiers (notamment vers les États-Unis) est inévitable :

• X Corp. (USA) — lors de la publication de clips sur X
• Meta Platforms, Inc. (USA) — lors de la publication sur Instagram, Facebook ou Threads, dans la mesure où Meta Ireland transmet des données à sa société mère américaine
• TikTok Inc. / ByteDance Ltd. (USA / Singapour) — lors des publications TikTok, dans la mesure où des données sont transmises à des sociétés du groupe
• Apple Inc. (USA) — lors du Sign in with Apple, dans la mesure où Apple Distribution International Ltd. transmet des données à sa société mère américaine
• Google LLC (USA) — dans la mesure où Google Ireland Ltd. transmet des données à sa société mère américaine
• Microsoft Corporation (USA) — dans la mesure où Microsoft Ireland Operations Ltd. transmet des données à sa société mère américaine

Pour ces transferts vers des pays tiers, la protection est assurée sur la base des clauses contractuelles types de l'UE (CCT) conformément à la décision d'exécution (UE) 2021/914 de la Commission européenne. Google, Microsoft, Meta et Apple sont en outre certifiés au titre du cadre de protection des données UE-États-Unis (DPF) et offrent les engagements de transfert correspondants. Sur demande, nous vous fournissons des copies des CCT conclues.

Base juridique : art. 46 al. 2 lit. c RGPD.

15. Durée de conservation

Nous traitons et stockons les données personnelles uniquement aussi longtemps que cela est nécessaire à la réalisation de la finalité du traitement ou que des obligations légales de conservation (notamment art. 257 HGB : 10 ans pour les justificatifs comptables / factures, art. 147 AO : 6 ou 10 ans pour les documents fiscalement pertinents) existent.

16. Vos droits

Vous disposez, en vertu du RGPD, des droits suivants :

• Droit d'accès (art. 15 RGPD)
• Droit de rectification (art. 16 RGPD)
• Droit à l'effacement (art. 17 RGPD)
• Droit à la limitation du traitement (art. 18 RGPD)
• Droit à la portabilité des données (art. 20 RGPD)
• Droit d'opposition (art. 21 RGPD)
• Retrait des consentements donnés avec effet pour l'avenir (art. 7 al. 3 RGPD)
• Droit d'introduire une réclamation auprès d'une autorité de contrôle (art. 77 RGPD)

Libre-service dans le tableau de bord : vous pouvez à tout moment gérer vos données vous-même via le tableau de bord :

• Exportation des données (art. 15 RGPD) — sous Paramètres → Exporter les données, vous pouvez télécharger une copie lisible par machine de vos données personnelles (JSON).
• Suppression du compte (art. 17 RGPD) — sous Paramètres → Supprimer le compte, vous pouvez supprimer votre compte de manière permanente. La suppression a lieu sans délai depuis la base de données de production et, dans un délai de 30 jours, également depuis toutes les sauvegardes (rotation des instantanés de VM IONOS).

Sinon, un simple message informel à info@castloop.de suffit.

17. Autorité de contrôle compétente

L'autorité de contrôle en matière de protection des données compétente pour nous est le Commissaire à la protection des données et à la liberté d'information du Bade-Wurtemberg, Lautenschlagerstraße 20, 70173 Stuttgart, baden-wuerttemberg.datenschutz.de. Vous trouverez une liste complète des commissaires régionaux à la protection des données auprès du Commissaire fédéral à la protection des données et à la liberté d'information (BfDI).

18. Actualité

Cette politique de confidentialité est continuellement adaptée aux évolutions juridiques et techniques.

Mise à jour : 28 mai 2026 · Version 1.1 (Threads + Facebook ajoutés, nouvelles sections 8.6 + 8.7)