Your browser is out of date, so parts of this page may look broken. Please update to the latest Chrome, Edge, Firefox, or Safari.
Skip to content

SynthCamp

Politique de confidentialité

FREN

La présente politique décrit la manière dont SynthCamp traite les données personnelles lorsque vous visitez le site, créez un compte, écoutez de la musique ou vendez des sorties. Pour les informations relatives à l'éditeur et à l'hébergeur, consultez les Mentions légales.

Qui nous sommes

Ce service est exploité par Heymow Studio. La structure juridique derrière Heymow Studio est Khaled Chehab EI, entrepreneur individuel immatriculé au 173 rue de Courcelles, 75017 Paris, France, SIREN 999208556.

Heymow Studio est le responsable du traitement des données personnelles traitées sur cette plateforme. Le contact pour la protection des données est [email protected].

Dernière mise à jour : 31 mai 2026.

Vos droits et comment les exercer

Au titre du Règlement général sur la protection des données (Règlement (UE) 2016/679, « RGPD ») et de la loi Informatique et Libertés, vous disposez :

  • Droit d'accès (art. 15) : obtenir une copie de chaque enregistrement de données personnelles vous concernant.
  • Droit de rectification (art. 16) : corriger des données inexactes depuis votre page de paramètres.
  • Droit à l'effacement (art. 17) : supprimer votre compte et vos identifiants personnels, sous réserve des exceptions de conservation légale décrites plus bas.
  • Droit à la portabilité (art. 20) : un export JSON lisible par machine.
  • Droit d'opposition / de limitation (art. 18 / 21): limiter un traitement spécifique ou s'y opposer.
  • Droit de retirer le consentement (art. 7.3): lorsqu'un traitement repose sur votre consentement (fonctionnalités optionnelles), vous pouvez le retirer à tout moment, sans affecter les traitements effectués avant ce retrait.

Le moyen le plus rapide d'exercer les droits d'accès et d'effacement est le panneau en libre-service sur /settings/profile (section Confidentialité & données). Pour tout le reste, écrivez à [email protected]. Nous répondons dans un délai d'un mois (extensible de deux mois supplémentaires avec notification, art. 12.3 du RGPD).

Vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr) ou de l'autorité de protection des données de votre État membre si la manière dont nous traitons vos données ne vous convient pas.

Ce que nous collectons et pourquoi

  • Identité du compte: adresse e-mail (connexion par lien magique ou OAuth Google), nom d'affichage, slug de profil, avatar et biographie facultatifs. Base légale : exécution du contrat (art. 6.1.b).
  • Uploads musicaux: fichiers audio, flux HLS encodés, empreintes audio, métadonnées de scan (ISRC, content credentials C2PA, outils d'IA déclarés). Base légale : exécution du contrat + intérêt légitime de lutte contre la fraude / les doublons (art. 6.1.f).
  • Achats et pourboires: montant, devise, identifiant d'intention de paiement Stripe, marqueur de remise de party, horodatage de renonciation au droit de rétractation au titre de l'article L. 221-28 13° du Code de la consommation. Base légale : exécution du contrat + obligation légale (conservation fiscale de 10 ans).
  • Activité sociale : abonnements, présence aux parties, réactions, messages de chat. Base légale : exécution du contrat.
  • Enregistrements de modération : signalements déposés et reçus, décisions de modération (DSA art. 14, 17, 23). Base légale : obligation légale au titre du Digital Services Act.
  • Déclaration fiscale DAC7 (artistes uniquement): si vous vendez de la musique sur SynthCamp et que votre activité annuelle franchit le seuil DAC7 (30 transactions OU 2 000 EUR de revenu brut sur une année civile), la loi française (article 242 bis du Code général des impôts, transposant la directive (UE) 2021/514) impose à la plateforme de transmettre votre numéro d'identification fiscale, votre identité, votre adresse complète et votre revenu trimestriel à la DGFiP chaque janvier pour l'exercice précédent. La première déclaration SynthCamp couvre l'exercice 2026 et est due en janvier 2027. Une bannière apparaîtra sur /settings/profile?tab=payments dès que vous approchez du seuil, pour fournir votre TIN ou, à défaut, votre lieu de naissance (le repli légal en l'absence de TIN). Base légale : obligation légale. Les acheteurs ne sont jamais déclarés au titre de DAC7 ; seuls les vendeurs sont concernés.

Traitement automatisé

Lors de l'upload, SynthCamp effectue des contrôles automatisés : une empreinte audio perceptuelle pour la détection des doublons et un scan des métadonnées à la recherche d'indices d'outils d'IA et de « content credentials » C2PA. Une correspondance place la sortie en revue humaine plutôt que de la retirer automatiquement (les contenus manifestement illicites font exception : ils sont retirés sans délai avec un exposé des motifs).

Vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou vous affectant de manière significative (art. 22 du RGPD). Vous pouvez demander une intervention humaine et contester la décision via la procédure interne de réclamation décrite dans les Conditions Générales d'Utilisation (sections 4.8 à 4.10).

Conservation

Les données personnelles ne sont conservées que le temps nécessaire à la finalité pour laquelle elles ont été collectées. Les principaux déterminants :

  • Compte actif: conservées tant que le compte existe. Nous n'effaçons pas les comptes sur une échéance fixe ; vous pouvez supprimer le vôtre à tout moment depuis vos paramètres, ce qui déclenche le pipeline d'effacement décrit ci-dessous.
  • Empreintes audio: conservées tant que la sortie figure au catalogue, afin que les uploads ultérieurs puissent y être dédoublonnés (intérêt légitime de lutte contre les doublons). Elles sont supprimées du processeur de reconnaissance lors de l'effacement de votre compte, et non sur une échéance fixe.
  • Achats / pourboires / pièces fiscales: 10 ans à compter de la clôture de l'exercice de la transaction (article L. 123-22 du Code de commerce). Les identifiants personnels sont anonymisés à l'effacement, mais l'enregistrement de la transaction est conservé.
  • Enregistrements de modération (signalements, bannissements, décisions) : les décisions actionnées (sanctions, exposés des motifs, recours) sont conservées pour la durée de vie du compte plus dix ans après sa clôture (registre des traitements / responsabilité DSA) ; les signalements non actionnés sont conservés trois ans. Voir la Politique de modération section 9 et les Règles communautaires section 11.
  • Identifiants fiscaux Stripe (DAC7): conservés jusqu'à l'export fiscal annuel vers la DGFiP au titre de l'article 242 bis du CGI, puis archivés.
  • Identifiants de connexion (adresse IP, horodatages de session, user-agent): conservés au plus 1 an conformément à l'article L. 34-1 du Code des postes et des communications électroniques (obligation de mise à disposition des identifiants techniques aux autorités judiciaires sur réquisition). Lorsque SynthCamp stocke des IP hachées en ligne sur une ligne de base de données (scoring d'historique de fraude sur les signalements et demandes de remboursement), l'identifiant de connexion est retiré de la ligne à 12 mois, la ligne elle-même subsistant pour l'audit sous-jacent. Lorsque SynthCamp capture ces identifiants dans des fichiers de journaux (logs d'accès Caddy sur le VPS), le cycle de rotation est fixé à moins de 12 mois. La conservation s'applique indépendamment de l'état du compte ; l'exercice du droit à l'effacement ne raccourcit pas cette fenêtre, car il s'agit d'une obligation réglementaire, et non d'un choix de SynthCamp.

Ce qui subsiste après l'effacement du compte

Lorsque vous exercez votre droit à l'effacement (art. 17), nous exécutons un pipeline structuré qui supprime votre activité sociale (notifications, abonnements, engagement aux parties, playlists, messages de party) et anonymise les données que nous sommes légalement tenus de conserver.

Les enregistrements anonymisés conservent leur ligne en base à des fins de responsabilité légale (achats, pourboires, signalements, journaux de modération), mais la ligne ne porte plus vos identifiants personnels : votre nom d'affichage devient « Utilisateur supprimé », votre e-mail est remplacé par un alias neutralisé sur le TLD .invalid, votre lien Stripe Connect est rompu, et les signalements que vous avez déposés voient votre nom et votre e-mail écrasés.

Une note sur les identifiants : pour préserver l'intégrité référentielle de la base, nous conservons l'identifiant interne de compte (UUID) sur les enregistrements anonymisés. Cet identifiant n'est pas personnellement identifiant en soi, mais une personne ayant un accès en lecture au back-office de modération pourrait en principe corréler deux enregistrements anonymisés partageant le même UUID. L'accès en lecture à ce back-office est restreint à l'équipe de modération de SynthCamp. Cet identifiant de personne concernée est le même que celui figurant dans les registres commerciaux conservés au titre d'une obligation légale (achats, exports fiscaux) : le conserver ne constitue donc pas une régression de la posture de confidentialité.

Les empreintes audio téléversées vers notre processeur de détection de doublons (ACRCloud, eu-west-1 / Frankfurt) sont supprimées de ce processeur dans le cadre du pipeline d'effacement. Lorsqu'une empreinte ne peut pas être ciblée automatiquement (téléversements historiques), elle est supprimée par une passe manuelle de rattrapage ; le résidu est consigné dans la file de modération.

Sous-traitants

Nous nous appuyons sur les sous-traitants suivants. Chacun opère sous un accord de traitement des données et se limite aux catégories de données indiquées.

  • Supabase (base de données + auth) : Hetzner Online GmbH, Allemagne, UE.
  • Stripe (paiements + reversements) : Stripe Payments Europe Ltd, Irlande, UE (avec traitement aval par Stripe, Inc. aux États-Unis au titre du Data Privacy Framework UE-États-Unis).
  • Cloudflare R2(stockage audio + bucket d'archive DSAR) : Cloudflare Inc., États-Unis (avec Clauses Contractuelles Types).
  • Brevo (e-mail transactionnel) : Brevo SAS, France, UE.
  • ACRCloud(mise en correspondance d'empreintes audio, eu-west-1 / Frankfurt) : ACRCloud Co. Ltd, traitement en région UE.
  • Railway(hébergement de l'application) : Railway Corporation, États-Unis (avec Clauses Contractuelles Types).
  • Google (connexion OAuth Google facultative, utilisée uniquement si vous la choisissez) : Google LLC, États-Unis (Data Privacy Framework UE-États-Unis).
  • Umami (statistiques web agrégées et sans cookies ; ne dépose aucun cookie et ne stocke aucun identifiant individuel de visiteur) : Umami Software, Inc., États-Unis (avec Clauses Contractuelles Types).

Cookies

Nous utilisons uniquement des cookies strictement nécessaires (jeton de session, marqueur de vérification d'âge) qui ne requièrent pas de consentement au titre de l'article 5(3) de la directive ePrivacy. Nous n'utilisons aucun cookie de suivi ou publicitaire.

Mineurs

Le service n'est pas destiné aux utilisateurs de moins de 15 ans, l'âge du consentement numérique en France (loi 78-17, art. 7-1). Nous ne collectons pas sciemment de données auprès de mineurs en deçà de cet âge et supprimerons tout compte de ce type dès sa découverte.

Modifications

Les modifications substantielles de la présente politique sont annoncées par e-mail et via une bannière dans l'application au moins 30 jours avant leur entrée en vigueur. La poursuite de l'utilisation du service au-delà de ce délai vaut acceptation.

Contact

Pour toute question relative à la confidentialité, écrivez à [email protected]. Adresse postale : Heymow Studio, 173 rue de Courcelles, 75017 Paris, France.