Initial commit

2026-01-31 11:45:11 +01:00
commit f99fb3c614
166 changed files with 115155 additions and 0 deletions
--- a/docs/legal/politique-confidentialite.md
+++ b/docs/legal/politique-confidentialite.md
@@ -0,0 +1,305 @@
+# Politique de confidentialité
+
+**Version** : 1.0
+**Date d'effet** : [DATE]
+**Dernière mise à jour** : [DATE]
+
+Conforme au **Règlement Général sur la Protection des Données (RGPD)** (UE 2016/679).
+
+---
+
+## 1. Responsable de traitement
+
+**RoadWave**
+[ADRESSE SIÈGE SOCIAL]
+SIRET : [SIRET]
+Email : dpo@roadwave.fr
+
+**Délégué à la Protection des Données (DPO)** :
+[NOM DPO]
+Email : dpo@roadwave.fr
+
+---
+
+## 2. Données collectées
+
+### 2.1 Données d'identification
+
+| Donnée | Obligatoire | Finalité | Base légale |
+|--------|-------------|----------|-------------|
+| **Email** | Oui | Connexion, récupération compte | Exécution du contrat |
+| **Mot de passe** | Oui | Authentification sécurisée | Exécution du contrat |
+| **Pseudo** | Oui | Identification publique créateur | Exécution du contrat |
+| **Date de naissance** | Oui | Vérification âge minimum (13 ans) | Obligation légale |
+
+### 2.2 Données de géolocalisation
+
+| Donnée | Obligatoire | Finalité | Base légale |
+|--------|-------------|----------|-------------|
+| **Position GPS précise** | Non | Diffusion contenu géolocalisé | **Consentement explicite** |
+| **Geohash 5 (~5km²)** | Auto | Recommandations après 24h | Intérêt légitime |
+
+**Durée conservation GPS précis** :
+- Historique personnel : **24h** puis agrégé en geohash 5
+- Geohash : **conservé** pour analytics (anonymisé)
+
+**Révocation consentement** :
+- Désactivation GPS dans paramètres → effet immédiat
+- Mode dégradé : contenus nationaux + neutres uniquement
+
+### 2.3 Données d'utilisation
+
+| Donnée | Finalité | Base légale |
+|--------|----------|-------------|
+| **Historique d'écoute** | Recommandations personnalisées | Intérêt légitime |
+| **Centres d'intérêt (jauges)** | Algorithme de recommandation | Consentement |
+| **Interactions** (likes, abonnements, skips) | Amélioration UX, analytics | Intérêt légitime |
+| **Logs techniques** (IP, user-agent) | Sécurité, anti-fraude | Intérêt légitime |
+
+**IP anonymisée** :
+- Dernier octet masqué (ex: 192.168.1.XXX)
+- Conservation : 7 jours (sécurité) puis suppression
+
+### 2.4 Données créateurs (monétisation)
+
+| Donnée | Finalité | Base légale |
+|--------|----------|-------------|
+| **SIRET, numéro TVA** | KYC Mangopay, fiscalité | Obligation légale |
+| **RIB professionnel** | Virements revenus | Exécution du contrat |
+| **Pièce d'identité** | Vérification identité (KYC) | Obligation légale |
+| **Kbis <3 mois** | Vérification entreprise | Obligation légale |
+
+**Traitement KYC** : délégué à **Mangopay** (sous-traitant RGPD).
+
+### 2.5 Données analytics
+
+- **Matomo self-hosted** (pas Google Analytics)
+- IP anonymisées
+- **0 cookie tiers**
+- Données agrégées (pas de tracking individuel hors RoadWave)
+
+---
+
+## 3. Finalités et bases légales
+
+| Finalité | Base légale RGPD | Opt-out possible |
+|----------|------------------|------------------|
+| **Création et gestion compte** | Exécution du contrat | Non (essentiel) |
+| **Diffusion contenu géolocalisé** | Consentement (GPS) | Oui (désactiver GPS) |
+| **Recommandations personnalisées** | Intérêt légitime | Oui (mode anonyme) |
+| **Modération contenus** | Obligation légale (DSA) | Non |
+| **Analytics plateforme** | Intérêt légitime | Oui (opposition) |
+| **Publicité ciblée géo** | Consentement | Oui (désactiver dans paramètres) |
+| **Paiements créateurs** | Exécution du contrat | Non (si monétisation) |
+
+---
+
+## 4. Partage des données
+
+### 4.1 Sous-traitants RGPD
+
+| Sous-traitant | Finalité | Localisation données | DPA signé |
+|---------------|----------|----------------------|-----------|
+| **Mangopay** | Paiements, KYC créateurs | UE (Luxembourg) | Oui |
+| **OVH** | Hébergement audio, stockage fichiers | France | Oui |
+| **Hetzner** | Hébergement serveurs backend | UE (Allemagne) | Oui |
+
+**DPA** = Data Processing Agreement (accord de sous-traitance RGPD).
+
+### 4.2 Données publiques
+
+| Donnée | Visibilité | Modification |
+|--------|------------|--------------|
+| **Pseudo créateur** | Publique | Modifiable |
+| **Bio créateur** | Publique | Modifiable |
+| **Stats créateur** (abonnés, écoutes) | Publique (arrondies) | Non modifiable |
+| **Badge vérifié** | Publique | Non modifiable |
+
+### 4.3 Aucune revente
+
+RoadWave **ne vend jamais** vos données à des tiers.
+
+### 4.4 Autorités
+
+Données transmises uniquement si :
+- **Obligation légale** (réquisition judiciaire)
+- **Signalement contenu illégal** (terrorisme, pédopornographie) → autorités compétentes
+
+---
+
+## 5. Durées de conservation
+
+| Donnée | Durée | Justification |
+|--------|-------|---------------|
+| **Compte actif** | Tant que compte existe | Exécution contrat |
+| **Compte supprimé** | Grace period **30 jours** puis suppression | Récupération possible |
+| **GPS précis** | **24h** puis agrégé geohash 5 | RGPD minimisation |
+| **Historique écoute** | Tant que compte existe | Recommandations |
+| **Logs modération** | **3 ans** (DSA) | Obligation légale |
+| **Logs techniques (IP)** | **7 jours** puis suppression | Sécurité |
+| **KYC créateurs** | 5 ans après fin relation (obligation fiscale) | Obligation légale |
+| **Contenus supprimés** | Anonymisés immédiatement, analytics conservés | Analytics plateforme |
+
+---
+
+## 6. Droits des utilisateurs (RGPD)
+
+### 6.1 Droit d'accès
+
+- **Consulter** toutes ses données personnelles
+- Interface dédiée : "Mes données" dans paramètres
+- Export automatique (voir 6.4)
+
+### 6.2 Droit de rectification
+
+- **Modifier** : pseudo, bio, email, centres d'intérêt
+- Demande via : dpo@roadwave.fr
+- Délai : **1 mois** (RGPD)
+
+### 6.3 Droit à l'effacement ("droit à l'oubli")
+
+- **Suppression compte** : paramètres → "Supprimer mon compte"
+- Grace period : **30 jours** (récupération possible)
+- Après 30 jours : suppression définitive
+
+**Exceptions** (conservation nécessaire) :
+- Logs modération : 3 ans (obligation DSA)
+- KYC créateurs : 5 ans (obligation fiscale)
+- Analytics agrégés (anonymisés)
+
+### 6.4 Droit à la portabilité
+
+- **Export données** : JSON + HTML + audio
+- Générateur asynchrone (délai **48h** si volume important)
+- Lien téléchargement expire après **7 jours**
+
+**Contenu export** :
+- Profil (pseudo, bio, stats)
+- Historique écoute complet
+- Centres d'intérêt (jauges)
+- Contenus publiés (métadonnées + fichiers audio)
+- Abonnements, likes
+
+### 6.5 Droit d'opposition
+
+- **Profilage publicitaire** : désactivation dans paramètres
+- **Analytics** : désactivation tracking Matomo
+- **Emails marketing** : désinscription lien footer email
+
+### 6.6 Droit de limitation
+
+- **Suspension traitement** pendant contestation exactitude données
+- Demande via : dpo@roadwave.fr
+
+### 6.7 Réclamation CNIL
+
+Si désaccord avec RoadWave :
+- **CNIL** (Commission Nationale de l'Informatique et des Libertés)
+- Site : https://www.cnil.fr/fr/plaintes
+- Adresse : 3 Place de Fontenoy, 75007 Paris
+
+---
+
+## 7. Sécurité des données
+
+### 7.1 Mesures techniques
+
+- **Chiffrement** : HTTPS (TLS 1.3) pour toutes communications
+- **Stockage** : bases de données chiffrées au repos (AES-256)
+- **Mots de passe** : hashage bcrypt (salt + iterations)
+- **Backups** : quotidiens, chiffrés, stockés UE
+
+### 7.2 Mesures organisationnelles
+
+- Accès données restreint (équipe RoadWave uniquement)
+- Authentification 2FA pour admins
+- Logs d'accès (audit trail)
+
+### 7.3 Violation de données
+
+En cas de fuite de données :
+- Notification CNIL sous **72h**
+- Notification utilisateurs concernés (email) si risque élevé
+- Mesures correctives immédiates
+
+---
+
+## 8. Cookies
+
+### 8.1 Cookies essentiels (pas de consentement requis)
+
+| Cookie | Finalité | Durée |
+|--------|----------|-------|
+| `session_token` | Authentification utilisateur | 30 jours |
+| `refresh_token` | Renouvellement session | 30 jours |
+
+### 8.2 Cookies analytics (consentement requis)
+
+- **Matomo** : analytics self-hosted
+- Bannière **Tarteaucitron.js** au premier lancement
+- Refus = aucun cookie analytics
+
+### 8.3 Aucun cookie tiers
+
+- Pas de Google Analytics
+- Pas de Facebook Pixel
+- Pas de trackers publicitaires tiers
+
+---
+
+## 9. Mineurs
+
+### 9.1 Âge minimum
+
+- **13 ans minimum** (RGPD)
+- Vérification : date de naissance à l'inscription
+
+### 9.2 Mineurs 13-15 ans
+
+- **Autorisation parentale requise**
+- Email parent vérifié
+- Parent peut demander suppression compte mineur
+
+### 9.3 Mode Kids
+
+- Activation automatique si <13 ans (détecté via date naissance)
+- Contenus filtrés : uniquement "Tout public" + tranches d'âge adaptées
+- Pas de publicités ciblées (conformité COPPA US si expansion)
+
+---
+
+## 10. Transferts hors UE
+
+### 10.1 Principe
+
+Données hébergées **exclusivement UE** :
+- Serveurs : Hetzner (Allemagne) ou OVH (France)
+- Storage : OVH Object Storage (France)
+- Paiements : Mangopay (Luxembourg)
+
+### 10.2 Exceptions
+
+**API tierces potentielles** (post-MVP) :
+- Si transfert hors UE → clauses contractuelles types (CCT)
+- Notification utilisateurs avant activation
+
+---
+
+## 11. Modifications de la politique
+
+- Notification **14 jours avant** entrée en vigueur (email)
+- Version datée disponible : roadwave.fr/confidentialite
+- Changements majeurs → nouveau consentement requis
+
+---
+
+## 12. Contact DPO
+
+**Délégué à la Protection des Données** :
+- Email : dpo@roadwave.fr
+- Délai réponse : **1 mois** (RGPD)
+
+**Pour toute question RGPD** :
+1. Email dpo@roadwave.fr
+2. Objet : "[RGPD] Votre demande"
+3. Joindre : justificatif identité (si accès/suppression données)