Politique de Confidentialité
Dernière mise à jour : 23 avril 2026 · Conforme au Règlement (UE) 2016/679 (RGPD) et à la loi « Informatique et Libertés » n° 78-17 du 6 janvier 1978 modifiée.
1. Qui sommes-nous ?
Le site photag.fr et la plateforme Photag sont édités par la société Yvardis, SARL au capital de 1 000 €, immatriculée au RCS de Laval sous le numéro 912 043 064, dont le siège social est situé 4 la mitrie, 53700 Villaines-la-Juhel, France (ci-après « Photag », « nous »).
Pour toute question relative à vos données personnelles ou à l'exercice de vos droits, vous pouvez nous écrire à hello@photag.fr ou par courrier à notre siège social.
Photag n'est pas soumise à l'obligation de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Votre interlocuteur privilégié pour toute question de confidentialité reste l'adresse ci-dessus.
2. Portée de cette politique
Photag intervient dans deux rôles distincts au sens du RGPD :
- Responsable de traitement pour les données de comptes (photographes, organisateurs, participants, acheteurs), les données de paiement, les données de navigation et la reconnaissance faciale optionnelle.
- Sous-traitant technique pour les photographies uploadées par les photographes sur la plateforme : chaque photographe reste responsable du traitement des images qu'il diffuse et commercialise, Photag fournissant l'infrastructure d'hébergement, de galerie et de vente.
Cette distinction est importante car elle conditionne qui est votre interlocuteur : pour une question sur une photo précise, c'est le photographe organisateur de l'événement qui est responsable ; pour une question sur votre compte Photag, c'est nous.
3. Données que nous collectons
3.1 Photographes et organisateurs
- Identité : prénom, nom, adresse email, numéro de téléphone (facultatif).
- Données de facturation : nom/raison sociale, adresse, pays, identifiants TVA si applicable.
- Données bancaires pour les versements (payouts) : IBAN, BIC, nom du titulaire.
- Données d'usage : photos uploadées, événements créés, paramètres de galerie et de commission.
- Données financières : soldes en attente, commissions, historique des versements.
3.2 Participants à un événement
- Si vous créez un compte participant : prénom, nom, email, événements suivis, photos « likées ».
- Si vous activez la fonctionnalité de reconnaissance faciale (optionnelle) : un selfie de référence + un vecteur biométrique calculé à partir de ce selfie (voir section 5 dédiée).
- Sans compte (navigation anonyme) : aucune donnée personnelle n'est collectée au-delà des données techniques de navigation (cf. section 10 Cookies).
3.3 Acheteurs de photos
- Nom, prénom, adresse email, adresse de facturation.
- Données de paiement traitées directement par Stripe (notre prestataire de paiement agréé) : nous ne stockons jamais le numéro complet de carte bancaire ni le cryptogramme. Seuls les 4 derniers chiffres et le type de carte sont conservés à titre de preuve.
- Historique des achats et factures.
3.4 Données de navigation
- Adresse IP, type de navigateur, système d'exploitation, pages visitées, référent.
- Statistiques d'audience anonymisées (cf. section 10 Cookies).
4. Pourquoi nous utilisons ces données — finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion de votre compte, authentification | Exécution du contrat (art. 6.1.b) |
| Hébergement et diffusion de vos photos (photographes) | Exécution du contrat |
| Traitement des commandes et paiements | Exécution du contrat |
| Émission de factures et obligations comptables | Obligation légale (art. 6.1.c) |
| Reconnaissance faciale / recherche par selfie | Consentement explicite (art. 9.2.a — données biométriques) |
| Newsletter et communications commerciales | Consentement (art. 6.1.a) |
| Mesure d'audience et amélioration du service | Intérêt légitime (art. 6.1.f) — consentement pour les cookies non essentiels |
| Prévention de la fraude et sécurité | Intérêt légitime |
| Gestion des contentieux et impayés | Intérêt légitime |
5. Reconnaissance faciale — traitement particulier
La fonctionnalité de recherche par selfie traite des données biométriques, qui constituent une catégorie particulière de données personnelles au sens de l'article 9 du RGPD. Nous y appliquons un niveau de protection renforcé.
Activation strictement optionnelle. Vous pouvez retrouver vos photos par numéro de dossard ou en parcourant la galerie sans jamais activer la reconnaissance faciale. Celle-ci n'est jamais activée par défaut.
Uniquement sur création d'un compte participant. Aucune donnée biométrique n'est enregistrée pour les visiteurs non connectés. Si vous naviguez en anonyme, rien n'est stocké.
Consentement explicite. Au moment où vous prenez ou importez un selfie, un message clair vous explique la nature du traitement et vous demande un consentement distinct, qui peut être retiré à tout moment.
Ce qui est stocké : l'image de référence (votre selfie) et un vecteur mathématique (embedding) calculé à partir de celle-ci. Ce vecteur est utilisé uniquement pour comparer votre visage aux photos d'événements et n'est partagé avec aucun tiers.
Durée de conservation : tant que votre compte participant existe. La suppression de votre compte entraîne la suppression immédiate et définitive de votre selfie de référence et de tous les vecteurs associés. Vous pouvez également supprimer uniquement la reconnaissance faciale sans supprimer votre compte, depuis votre espace personnel.
6. Destinataires et sous-traitants
Pour faire fonctionner la plateforme, nous nous appuyons sur des prestataires techniques sélectionnés pour leurs garanties de sécurité et de conformité. Chaque sous-traitant est lié par un contrat conforme à l'article 28 du RGPD.
| Prestataire | Rôle | Localisation |
|---|---|---|
| Supabase | Authentification, base de données | Union européenne |
| Wasabi Technologies | Stockage des photos (S3) | Paris — France (UE) |
| Stripe Payments Europe Ltd. | Traitement des paiements et abonnements | Irlande (UE) |
| Resend | Envoi des emails transactionnels | États-Unis * |
| Google Analytics | Mesure d'audience | États-Unis * |
| MercuryCloud | Hébergement des serveurs applicatifs | France (UE) |
| n8n (auto-hébergé) | Automatisations internes | France (UE) |
* États-Unis : transferts encadrés par les clauses contractuelles types (SCC) adoptées par la Commission européenne et, le cas échéant, le Data Privacy Framework (DPF).
Au-delà de ces prestataires techniques, vos données peuvent être communiquées à l'administration fiscale dans le cadre de nos obligations comptables, ou aux autorités judiciaires sur réquisition. Aucune donnée n'est vendue ni louée à des tiers à des fins commerciales.
7. Durée de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur (photographe, participant, acheteur) | Pendant toute la durée de vie du compte. Suppression immédiate sur demande. |
| Photos uploadées par les photographes | Tant que le photographe les conserve sur la plateforme. Il peut les supprimer à tout moment depuis son espace. Aucune purge automatique. |
| Selfie et vecteurs biométriques (participants) | Tant que le compte participant existe. Suppression immédiate à la désactivation de la fonctionnalité, sur demande, ou à la suppression du compte. |
| Commandes, factures, pièces comptables | 10 ans après clôture de l'exercice (art. L123-22 du Code de commerce). |
| Données bancaires (4 derniers chiffres de carte) | 13 mois à compter du débit (recommandation CNIL). |
| Consentement à la newsletter | Jusqu'à votre désinscription. Conservation de la preuve du consentement pendant 3 ans après le dernier contact. |
| Logs techniques et de sécurité | 12 mois maximum (recommandation CNIL). |
| Statistiques d'audience (cookies analytiques) | 13 mois maximum. |
8. Sécurité de vos données
Nous mettons en œuvre les mesures suivantes pour protéger vos données :
- Chiffrement des échanges via HTTPS / TLS 1.2+ sur l'ensemble du site.
- Chiffrement au repos des sauvegardes de base de données et des objets stockés.
- Mots de passe jamais stockés en clair (hachage cryptographique irréversible côté Supabase).
- Accès aux données de production restreint aux seules personnes autorisées, avec authentification à double facteur.
- Sauvegardes régulières et chiffrées.
- Politique de cloisonnement des environnements (développement / production).
- En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans un délai de 72 heures et vous informerons si le risque est élevé, conformément aux articles 33 et 34 du RGPD.
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir une copie des données que nous détenons sur vous.
- Droit de rectification (art. 16) : corriger des informations inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données ; nous nous engageons à supprimer toute photo vous concernant sur simple demande.
- Droit à la limitation (art. 18) : restreindre l'utilisation de vos données dans certains cas.
- Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré et lisible.
- Droit d'opposition (art. 21) : vous opposer à certains traitements, notamment à des fins de prospection.
- Droit de retirer votre consentement à tout moment pour les traitements qui en dépendent (reconnaissance faciale, newsletter, cookies).
- Droit de définir des directives post-mortem (loi 78-17, art. 40-1) sur le sort de vos données après votre décès.
Pour exercer l'un de ces droits, écrivez-nous à hello@photag.fr. Nous répondons sous un délai maximum d'un mois. Si nous ne donnons pas suite à votre demande, vous disposez du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés, 3 place de Fontenoy, 75007 Paris).
10. Cookies et traceurs
Le site utilise deux catégories de cookies et traceurs :
- Cookies strictement nécessaires (exemptés de consentement) : ils permettent le fonctionnement de base du site, comme le maintien de votre session authentifiée, votre panier d'achat ou votre préférence de langue.
- Cookies de mesure d'audience (Google Analytics) : ils nous aident à comprendre comment le site est utilisé pour l'améliorer. Ces cookies sont déposés sur la base de votre consentement, que vous pouvez donner ou retirer à tout moment depuis le bandeau cookies ou les paramètres de votre navigateur.
Lors de votre première visite, un bandeau vous permet d'accepter ou de refuser les cookies de mesure d'audience. Votre choix est conservé et vous pouvez le modifier à tout moment via le lien « Gérer mes cookies » en bas de page. Vous pouvez également configurer votre navigateur pour refuser l'ensemble des cookies ou être averti avant leur dépôt.
Durée de vie maximale des cookies analytiques : 13 mois, conformément à la recommandation de la CNIL.
11. Modifications de cette politique
Cette politique peut être mise à jour pour refléter l'évolution de nos services, de nos sous-traitants ou du cadre légal applicable. La date de dernière mise à jour figure en haut de cette page. En cas de modification substantielle, nous vous informerons par email ou via une notification dans votre espace personnel.
12. Nous contacter
Pour toute question relative à cette politique ou à l'exercice de vos droits :
- Par email : hello@photag.fr
- Par courrier : Yvardis — 4 la mitrie, 53700 Villaines-la-Juhel, France
Voir aussi : Mentions légales.