Dernière mise à jour : 8 mai 2026
Le responsable du traitement de vos données personnelles est :
Yanis Aimeur Entrepreneur Individuel (EI)
SIRET : 952 509 131 00019
Adresse : 54000 Nancy, France
Email : contact@vervox.app
Pas de Délégué à la protection des données (DPO) désigné. L'activité principale de Vervox ne remplit pas les critères rendant obligatoire la désignation d'un DPO au sens de l'article 37(1) du RGPD (absence de mission d'intérêt public, de suivi régulier et systématique à grande échelle, de traitement à grande échelle de catégories particulières de données). Pour toute question relative à la protection des données, merci d'écrire à l'adresse email ci-dessus.
| Donnée | Moment de collecte |
|---|---|
| Adresse email | Inscription |
| Mot de passe (haché via bcrypt) | Inscription |
| Prénom / Nom | Inscription |
| Pseudo TikTok | Onboarding / Paramètres |
| Informations de profilage | Onboarding |
| Contenus saisis (prompts, scripts) | Utilisation du service |
| Donnée | Finalité |
|---|---|
| Adresse IP | Sécurité, statistiques |
| Type de navigateur et appareil | Compatibilité technique |
| Pages visitées et actions | Amélioration du service |
| Date et heure de connexion | Sécurité |
| Paramètres d'attribution (source, campagne, referrer) | Mesure de l'efficacité des canaux d'acquisition |
| Engagement email (ouverture, clic, rebond) | Amélioration des communications |
| Événements produit côté serveur (inscription, onboarding, paiement) | Amélioration du service |
Les données bancaires (numéro de carte, CVV, date d'expiration) sont collectées et traitées exclusivement par Stripe. Nous n'avons jamais accès à vos données bancaires complètes. Les pièces comptables (factures, identifiants clients Stripe, historique des transactions) sont conservées pendant dix (10) ans conformément à la réglementation fiscale et comptable française (article L123-22 du Code de commerce et article L102 B du Livre des procédures fiscales).
Dans le cadre du modèle d'abonnement Vervox, nous traitons également les données suivantes :
Ces données sont traitées sur la base de l'exécution du contrat (art. 6.1.b RGPD) pour la facturation et la fourniture du Service, et de l'intérêt légitime (art. 6.1.f RGPD) pour la détection des usages abusifs ou frauduleux (consommation anormale de Crédits, multi-comptes non autorisés, partage d'identifiants). Les traces de consommation de Crédits servent également de preuve en cas de contestation de paiement, conformément à l'article 7.13 des CGV/CGU. La durée de conservation suit celle des données de facturation (10 ans).
Si vous choisissez de connecter votre chaîne YouTube à Vervox, nous accédons aux données suivantes via les YouTube API Services :
| Donnée collectée | Finalité |
|---|---|
| Nom de la chaîne, identifiant, avatar | Afficher votre chaîne connectée dans l'interface |
| Publication de vidéos sur votre chaîne | Cross-poster vos vidéos TikTok en YouTube Shorts |
| Publication de commentaires | Ajouter un premier commentaire sous vos vidéos publiées |
Partage et transfert : vos données YouTube ne sont partagées avec aucun tiers. Elles sont utilisées exclusivement pour le fonctionnement du Service (affichage dans l'interface, publication de vidéos sur votre propre chaîne). Elles ne sont ni vendues, ni louées, ni transférées à des tiers à des fins publicitaires, de profilage ou toute autre finalité non décrite ci-dessus.
Stockage : les tokens d'accès et de rafraîchissement YouTube sont chiffrés (AES-256-GCM) avant stockage dans notre base de données. Seul le Service accède à ces tokens pour exécuter les actions que vous demandez (publication, lecture de statistiques).
Révocation : vous pouvez déconnecter votre chaîne YouTube à tout moment depuis vos paramètres de compte. La déconnexion supprime immédiatement les tokens stockés. Vous pouvez également révoquer l'accès de Vervox depuis votre page de gestion des autorisations Google.
Conformité : l'utilisation par Vervox des données reçues via les Google API est conforme à la Google API Services User Data Policy, y compris les exigences d'utilisation limitée (Limited Use Requirements).
Si vous choisissez de connecter votre compte TikTok à Vervox, nous accédons aux données suivantes via l'API TikTok :
| Donnée collectée | Finalité |
|---|---|
| Nom d'utilisateur, avatar, biographie | Afficher votre compte connecté et personnaliser les analyses |
| Statistiques du profil (abonnés, likes, nombre de vidéos) | Analyse de compte et suivi de progression |
| Liste de vos vidéos et leurs statistiques (vues, likes, commentaires, partages) | Analyse de performance, génération d'idées personnalisées et benchmark |
| Publication de vidéos sur votre compte | Cross-poster vos vidéos vers d'autres plateformes ou publier du contenu programmé |
Partage et transfert : vos données TikTok ne sont partagées avec aucun tiers. Elles sont utilisées exclusivement pour le fonctionnement du Service. Elles ne sont ni vendues, ni louées, ni transférées à des tiers à des fins publicitaires ou toute autre finalité non décrite ci-dessus.
Stockage : les tokens d'accès et de rafraîchissement TikTok sont chiffrés (AES-256-GCM) avant stockage. Les statistiques de vos vidéos sont stockées dans notre base de données pour permettre le suivi de progression dans le temps.
Révocation : vous pouvez déconnecter votre compte TikTok à tout moment depuis vos paramètres de compte. La déconnexion révoque les tokens et supprime l'accès de Vervox à vos données TikTok.
Changement de compte TikTok : lorsque vous remplacez le compte TikTok lié à votre profil Vervox par un autre compte, vos données précédentes (vidéos, statistiques, snapshots de progression) sont conservées sous forme archivée — elles ne sont plus affichées dans votre dashboard, mais restent stockées dans notre base de données à deux fins : (i) leur restauration automatique si vous reconnectez ce même compte TikTok plus tard ; (ii) l'analyse agrégée et anonymisée pour l'amélioration de nos modèles de recommandation et de prédiction de viralité. Cette conservation s'appuie sur la base légale de l'intérêt légitime (article 6.1.f RGPD). Vous pouvez demander la suppression définitive de ces données archivées à tout moment via le bouton « Effacer mes données » dans vos paramètres de compte (section Confidentialité) ou en nous écrivant à contact@vervox.app.
Lorsque vous nous écrivez à contact@vervox.app (avant ou après inscription), nous collectons et stockons :
Traitement par IA — Alice : chaque email reçu est analysé par notre outil interne de support (« Alice »). L'objet et le corps du message sont transmis à Anthropic (Claude Haiku) pour effectuer (1) un classement automatique (catégorie, sentiment, urgence, langue, sujets, résumé court), puis (2) à la demande de l'équipe support, la génération d'une suggestion de réponse rédigée dans votre langue. Si vous écrivez dans une langue autre que le français, le contenu peut également être transmis à Claude Sonnet uniquement pour traduire entre votre langue et le français, afin que l'équipe support (francophone) puisse relire la suggestion avant envoi. Anthropic est lié par un DPA (article 28(3) RGPD) et n'utilise pas vos données pour entraîner ses modèles.
Agent conversationnel Telegram (interne au fondateur) : pour gérer le support en mobilité, le fondateur interagit avec Alice via un bot Telegram privé. Lors de ces conversations, le contenu de votre email peut être transmis à Anthropic (Claude Haiku) pour permettre à Alice de raisonner et générer des brouillons de réponses. Alice dispose de tools de curation manuelle (recherche d'emails par mot-clé, mise à jour de la catégorisation / urgence / kind d'un thread, archivage) qui restent dans le périmètre interne support — toutes ces opérations sont auditées dans inbound_email_events. Si le fondateur enregistre ses instructions en vocal, l'audio est transmis à OpenAI (Whisper) pour transcription en texte avant traitement par Anthropic. La transcription contient les instructions du fondateur (jamais le contenu de votre email). Aucune donnée vous concernant n'est partagée publiquement ; Telegram FZ-LLC reçoit uniquement des notifications opérationnelles déjà pseudonymisées (hash expéditeur, sujet tronqué, résumé IA) — voir section 5. La conversation Telegram n'est jamais lue ou utilisée à des fins de marketing.
Base légale : exécution du contrat (article 6.1.b) lorsque vous êtes Utilisateur, intérêt légitime à fournir un service de support de qualité (article 6.1.f) sinon. Vous pouvez vous opposer à tout moment au traitement par Alice en nous écrivant à la même adresse — votre demande sera alors traitée manuellement.
Pas de décision automatisée au sens de l'article 22 : le classement par Alice oriente votre message dans nos files de support, il ne produit aucune décision juridique ni effet significatif similaire. La réponse vous est toujours envoyée par un humain (en l'occurrence le fondateur).
Conservation : 24 mois à compter de la réception, puis effacement complet 6 mois plus tard (soit 30 mois maximum). Voir section 6.
Pseudonymisation à la suppression de compte : si vous supprimez votre compte Vervox, vos emails de support sont pseudonymisés (votre adresse email + nom remplacés par un identifiant haché, le contenu remplacé par un marqueur d'effacement) plutôt que supprimés en dur. Cette mesure préserve la cohérence des fils de discussion auxquels vous avez pu participer avec d'autres utilisateurs sans conserver aucune information vous concernant.
Les données marquées comme obligatoires lors de l'inscription (email, mot de passe ou connexion Google) sont nécessaires à l'exécution du contrat. Sans elles, vous ne pouvez pas créer de compte ni accéder au Service.
Les données de profilage (niche, pseudo TikTok, préférences) sont facultatives mais améliorent la pertinence des contenus générés. Les cookies analytiques sont facultatifs et soumis à votre consentement.
| Finalité | Base légale (RGPD) |
|---|---|
| Création et gestion de votre compte | Exécution du contrat (art. 6.1.b) |
| Fourniture du service Vervox | Exécution du contrat (art. 6.1.b) |
| Personnalisation des scripts générés | Exécution du contrat (art. 6.1.b) |
| Amélioration du service et statistiques | Intérêt légitime (art. 6.1.f) |
| Communications liées au service (emails de feedback, nouveautés) | Intérêt légitime (art. 6.1.f) |
| Suivi des événements produit côté serveur | Intérêt légitime (art. 6.1.f) |
| Cookies analytiques et enregistrement de sessions | Consentement (art. 6.1.a) |
Vos données peuvent être transmises aux sous-traitants suivants. Un contrat de sous-traitance (DPA) conforme à l'article 28(3) du RGPD est signé avec chacun d'entre eux.
Vos données peuvent être transmises aux sous-traitants suivants :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données | UE (AWS eu-west-1) |
| Vercel | Hébergement | États-Unis |
| Anthropic | Fournisseur IA (Claude — génération de contenus, classement et suggestion de réponse pour les emails de support, traduction multilingue ; voir section 2.6) | États-Unis |
| Stripe | Paiement sécurisé | États-Unis |
| Apple (Apple Distribution International Ltd.) | Paiement et distribution des achats réalisés via l'App Store (vendeur / « merchant of record ») | Irlande (UE) |
| RevenueCat, Inc. | Validation et gestion des achats intégrés (abonnements et recharges) | États-Unis |
| Authentification OAuth | États-Unis | |
| Google (YouTube API Services) | Publication de vidéos, lecture d'infos chaîne et de statistiques analytiques (voir section 2.4) | États-Unis |
| OpenAI | Fournisseur IA (GPT) | États-Unis |
| Google (Gemini) | Fournisseur IA (Gemini) | États-Unis |
| Google (Cloud Vision) | Reconnaissance optique de caractères (OCR) sur images publiques pour détection de carrousels TikTok | États-Unis |
| PostHog | Analytique produit | UE |
| Vercel Analytics | Mesure d'audience (anonymisée) | États-Unis |
| Sentry (web) | Monitoring d'erreurs (vervox.app) | États-Unis |
| Sentry (mobile) | Monitoring d'erreurs (application iOS/Android) | Allemagne (UE) |
| Resend | Emails transactionnels, communications liées au service, et envoi des réponses du support via Alice | États-Unis |
| IONOS | Hébergement de la boîte mail support (réception IMAP/SMTP des emails à contact@vervox.app) | Allemagne (UE) |
| Telegram (Telegram FZ-LLC) | Notifications opérationnelles internes au fondateur (alerte message urgent, résumé quotidien) + canal de l'agent conversationnel Alice (Phase 3, voir section 2.6). Ne reçoit que des données pseudonymisées : hash de l'expéditeur, sujet tronqué (80 car. max), résumé IA et catégorie. Aucune adresse email brute ni corps de message n'est transmis. Les messages échangés entre le fondateur et Alice ne sont jamais lus par Telegram. | Émirats arabes unis (Dubaï) |
| OpenAI (Whisper) | Transcription des instructions vocales du fondateur lorsqu'il interagit avec l'agent Alice depuis Telegram (Phase 3). L'audio reçu contient uniquement les paroles du fondateur — jamais le contenu de votre email. OpenAI est lié par un DPA et ne réutilise pas les données pour entraîner ses modèles. | États-Unis |
| Upstash | Cache et rate limiting (Redis) | UE (AWS eu-west-1) |
| Cloudflare (R2) | Stockage d'objets (photos uploadées dans les Collections, blobs de carrousels, exports vidéo) | UE / Global |
| TikTok API | Connexion de compte, lecture de profil et vidéos, publication de contenu (voir section 2.5) | Singapour / États-Unis |
| Pinterest API | Connexion de compte Pinterest, lecture de boards et d'épingles (feature Collections) | États-Unis |
| Supadata | Transcription audio/vidéo (vidéos uploadées dans Studio, vidéos TikTok et YouTube analysées) | États-Unis |
| Fournisseur d'analyse de tendances réseaux sociaux | Synchronisation de tes données publiques TikTok et benchmarks de contenus | États-Unis |
| Pexels | Banque d'images libres de droits (carrousels) | États-Unis |
| Serper | Recherche d'images web pour les carrousels (API de recherche — les requêtes sont transmises via Serper) | États-Unis |
Les transferts de données vers les États-Unis sont encadrés par le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) pour les sous-traitants certifiés, ou par des clauses contractuelles types (CCT) de la Commission européenne (décision d'exécution 2021/914) pour les autres.
Vous pouvez obtenir une copie des garanties applicables (CCT, DPA) en nous écrivant à contact@vervox.app.
| Données | Durée |
|---|---|
| Compte utilisateur et profil | Jusqu'à suppression du compte par l'Utilisateur |
| Contenus générés (scripts, idées, analyses) | Jusqu'à suppression du compte |
| Données analytiques (PostHog) | 24 mois |
| Logs d'erreurs (Sentry) | 90 jours |
| Données de cache (Redis) | 30 jours maximum |
| Historique des emails envoyés | 24 mois |
Emails reçus à contact@vervox.app (boîte support, traités par Alice) | 24 mois (effacement logique) puis 6 mois supplémentaires (effacement définitif), soit 30 mois maximum |
| Journal d'audit des actions sur les emails de support (inbound_email_events) | Jusqu'à effacement du fil de discussion associé. Le journal contient des hashs (et non le contenu) des sujets et corps de messages, conformément au principe de minimisation |
| Données de facturation et factures | 10 ans (obligation fiscale française — art. L123-22 Code de commerce, art. L102 B LPF) |
| Photos uploadées dans les Collections (R2) | Jusqu'à la suppression de la photo, de la collection associée, ou du compte |
| Blobs temporaires de carrousels (R2) | 2 jours (auto-suppression) |
À la suppression de votre compte, l'ensemble de vos données personnelles et contenus générés sont supprimés de notre base de données, à l'exception des pièces comptables que nous sommes tenus de conserver 10 ans en vertu du droit fiscal et comptable français. Les données détenues par nos sous-traitants sont supprimées selon leurs propres politiques de conservation.
Cas particulier des emails de support : les emails que vous nous avez envoyés à contact@vervox.app sont pseudonymisés à la suppression de votre compte (votre adresse + nom remplacés par un identifiant haché, le contenu remplacé par un marqueur d'effacement) plutôt que supprimés en dur, afin de préserver la cohérence des fils de discussion auxquels vous avez pu participer avec d'autres utilisateurs. Aucune information vous identifiant directement ne subsiste après pseudonymisation. La suppression définitive intervient au plus tard à la fin de la période de conservation indiquée ci-dessus (30 mois à compter de la réception du message).
Conformément au RGPD, vous disposez des droits suivants :
Si vous disposez d'un compte Vervox, la plupart des droits sont directement accessibles depuis la section Confidentialité de vos paramètres de compte :
Si vous ne disposez pas d'un compte Vervox mais que nous traitons vos données (par exemple, votre contenu public a été analysé par un Utilisateur Vervox), ou pour des demandes non réalisables en libre-service (limitation du traitement, données dans un format non-JSON spécifique), écrivez à contact@vervox.app. Nous répondons dans un délai d'un (1) mois conformément à l'article 12.3 du RGPD, prorogeable de deux mois en cas de demande complexe. Nous pouvons vérifier votre identité avant de répondre.
Vous avez le droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr, 3 Place de Fontenoy, 75334 Paris.
L'acceptation des Conditions Générales de Vente, des Conditions Générales d'Utilisation et de la présente Politique de Confidentialité est matérialisée par la création de votre compte Vervox. La date et l'heure exactes de votre inscription sont enregistrées automatiquement dans nos systèmes au moment de la création du compte et constituent la preuve formelle de votre acceptation conformément à l'article 6, paragraphe 1, point b) du RGPD (base légale : exécution d'un contrat).
Cette information peut être obtenue sur simple demande à contact@vervox.app, dans le cadre du droit d'accès prévu à l'article 15 du RGPD.
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, Vervox notifiera la CNIL dans un délai de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD.
Si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informerons également directement dans les meilleurs délais, conformément à l'article 34 du RGPD.
Le Service utilise l'intelligence artificielle pour générer des suggestions de contenus (scripts, idées, textes de carrousels) en s'appuyant sur vos données de profilage. Ces suggestions générées par IA ne constituent pas des décisions automatisées produisant des effets juridiques ou vous affectant de manière significative de façon similaire au sens de l'article 22 du RGPD. Il s'agit de suggestions que vous êtes libre d'accepter, modifier ou rejeter.
Vous pouvez désactiver le profilage IA à tout moment via le toggle « Profilage IA » dans la section Confidentialité de vos paramètres de compte.
Nous pouvons mettre à jour la présente Politique de Confidentialité pour refléter les évolutions de nos traitements, de nos sous-traitants, du cadre légal applicable, ou pour clarifier des dispositions.
Sont considérées comme substantielles les modifications ayant pour effet direct et significatif :
Ces modifications vous seront notifiées par email préalablement à leur entrée en vigueur, dans un délai raisonnable adapté à la nature de la modification, et en tout état de cause au moins quinze (15) jours. Vous pouvez vous y opposer en exerçant les droits prévus à la section 7.
Les modifications ne relevant pas de l'article 10.1 (notamment corrections rédactionnelles, clarifications, mises à jour descriptives liées à l'évolution du Service, ajustements opérationnels ou techniques sans impact sur le traitement de vos données) peuvent entrer en vigueur immédiatement et seront publiées sur cette page avec une mise à jour de la date de « Dernière mise à jour ».
L'utilisation continue du Service au-delà de la date d'entrée en vigueur d'une modification vaut acceptation. À défaut d'opposition manifestée par email à contact@vervox.app avant cette date, vous êtes réputé avoir accepté les nouvelles conditions.
Pour toute question :
Email : contact@vervox.app