Brouillon interne — non validé juridiquement

Ce document est un brouillon préparé pendant la phase interne de mise en conformité de KAZEN. Il n'a pas été validé par un avocat ni un DPO, plusieurs informations obligatoires restent à compléter, et il ne constitue en aucun cas un engagement juridique définitif.

KAZEN — Documents

Politique de confidentialité

Traitement des données personnelles des utilisateurs de KAZEN.

Version 0.1-draft — dernière mise à jour 2026-07-14

1. Responsable du traitement

  • Éditeur : [À COMPLÉTER — décision propriétaire requise]
  • Adresse : [À COMPLÉTER — décision propriétaire requise]
  • Contact données personnelles : [À COMPLÉTER — décision propriétaire requise]

Ces informations dépendent de la confirmation de l'identité de l'éditeur et de la désignation éventuelle d'un DPO.

2. Données collectées

Selon l'utilisation faite du service, KAZEN peut traiter les catégories de données suivantes :

  • Compte : adresse e-mail, identifiant unique, pseudonyme, avatar, biographie, préférences de confidentialité, rôles.
  • Tracking : listes personnelles, progression, notes, dates, rewatch, favoris.
  • Contenus communautaires : playlists, avis, commentaires, likes, messages de forum, messages de chat privé, messages de chat live.
  • Modération : signalements, actions de modération, blocages entre membres.
  • Notifications : notifications internes, préférences email et notifications.
  • Imports : lots d'import (MyAnimeList, AniList, Nautiljon), éléments importés.
  • Assistant IA : prompts, réponses, cache technique, quotas quotidiens.
  • Emails : digest, transactionnels via un fournisseur d'envoi tiers.
  • Statistiques personnelles : agrégats calculés à partir des listes.
  • Premium Bêta : statut d'accès, sans facturation.
  • Données techniques : stockage local minimal indispensable au service.

3. Finalités

  • Fournir et exploiter le service (comptes, tracking, catalogue, imports).
  • Authentification et sécurité des accès.
  • Personnalisation (recommandations, préférences).
  • Fonctionnement des espaces communautaires (forum, chats, playlists).
  • Modération et prévention des abus.
  • Communication (notifications internes, emails opérationnels et digest).
  • Support et gestion des demandes RGPD.
  • Assistant IA (traitement automatisé des demandes explicites).

4. Bases légales

Selon la finalité concernée, les traitements peuvent reposer sur : l'exécution du contrat (compte, tracking, fonctionnalités demandées), l'intérêt légitime (sécurité, prévention des abus, modération), le consentement (envois marketing éventuels, traceurs optionnels — phase 26.3), ou une obligation légale (conservation minimale requise).

La qualification exacte de chaque base légale sera confirmée avec un DPO ou un spécialiste RGPD avant finalisation.

5. Destinataires et sous-traitants

Les données peuvent être traitées par les fournisseurs techniques suivants dans le cadre strict du service :

  • Hébergement et base de données : Supabase (via Lovable).
  • Envoi d'emails : Resend (garde-fous activés en attente de domaine vérifié).
  • Assistant IA : AI Gateway Lovable / fournisseur de modèle sous-jacent.
  • Authentification tierce : Google OAuth, si l'utilisateur choisit cette option.
  • Métadonnées catalogue : AniList, TMDB (sources publiques, non destinataires des données personnelles utilisateurs).

Les contrats de sous-traitance et DPA associés seront collectés et référencés lors de la finalisation.

6. Transferts hors EEE

Certains fournisseurs listés ci-dessus peuvent opérer des transferts hors Espace économique européen. Les garanties contractuelles (clauses contractuelles types, mesures supplémentaires) seront documentées après vérification auprès de chaque prestataire. En l'état, aucune absence de transfert ne peut être affirmée.

7. Durées de conservation

Les durées définitives sont en cours de finalisation. Principes retenus à ce stade :

  • Compte : tant que le compte est actif ; suppression selon la procédure de demande.
  • Contenus publics (forum, avis, playlists partagées) : conservés tant qu'ils ne sont pas retirés ; anonymisation ou suppression selon politique confirmée après suppression du compte.
  • Messages privés : conservés selon les besoins du service et les obligations légales éventuelles.
  • Signalements et actions de modération : conservés pour des raisons de sécurité et de traçabilité.
  • Cache IA : durée technique limitée.
  • Logs techniques : durée minimale nécessaire à la sécurité et au débogage.

8. Vos droits

Vous disposez, dans les conditions prévues par le RGPD, des droits suivants : accès, rectification, effacement, opposition, limitation, portabilité, retrait du consentement, définition de directives post-mortem, et réclamation auprès de l'autorité de contrôle compétente (en France : CNIL).

Suppression du compte : une demande enregistrée depuis l'interface génère une entrée dans le registre interne account_deletion_requests. Le traitement n'est pas nécessairement instantané et peut nécessiter une vérification. Certaines données peuvent être conservées de manière anonymisée ou pour répondre à des obligations légales.

Pour toute demande, contactez : [À COMPLÉTER — décision propriétaire requise].

9. Profils publics et contenus communautaires

Certains éléments (pseudonyme, avatar, biographie selon vos préférences, contributions au forum, playlists publiques, avis) peuvent être visibles publiquement. Les paramètres de confidentialité de votre profil vous permettent de limiter l'exposition de certaines informations (biographie, disponibilité au chat).

10. Assistant IA

Vos demandes à l'assistant sont transmises à un fournisseur de modèle via un gateway technique. Elles peuvent être mises en cache techniquement pour limiter les coûts et la latence, et sont soumises à un quota quotidien. L'assistant peut se tromper et n'émet aucune décision juridique automatisée à votre encontre.

11. Sécurité

Mesures générales appliquées : authentification, contrôle d'accès, politiques de sécurité au niveau de la base (RLS), restrictions des fonctions serveur (RPC), journalisation, mesures anti-abus (quotas, blocages), principe de moindre privilège.

12. Cookies, stockages et contenus externes

KAZEN limite volontairement l'usage des stockages navigateur et n'intègre actuellement aucun outil de mesure d'audience, aucun traceur publicitaire et aucun widget social embarqué.

  • Strictement nécessaires (toujours actifs) : jeton d'authentification Supabase (localStorage), préférence de thème, préférence de consentement, état de session du catalogue (sessionStorage).
  • Contenus externes (optionnels, désactivés par défaut) : lecteurs et miniatures YouTube pour les bandes-annonces. Aucune requête n'est envoyée à YouTube tant que vous ne l'avez pas autorisé, soit globalement depuis vos préférences, soit ponctuellement en cliquant sur une vidéo précise.

Vous pouvez consulter et modifier vos choix à tout moment via le lien « Gérer mes cookies » dans le pied de page. Le refus est aussi simple que l'acceptation et n'affecte pas les fonctions essentielles (compte, tracking, navigation, communauté).

13. Mineurs

Âge minimum d'utilisation : [À COMPLÉTER — décision propriétaire requise]. Cette valeur sera confirmée avant la finalisation du document.