Evinly

Réserver mon accès beta →

Politique de protection de la vie privée

Accueil » Politique de protection de la vie privée

Dernière mise à jour : 14 avril 2026

Introduction

Chez Evinly, nous accordons une importance capitale à la protection de vos données personnelles. Cette politique vise à vous informer de manière claire et transparente sur les informations que nous collectons, la façon dont nous les utilisons, les mesures que nous prenons pour les protéger et vos droits concernant ces données.

Evinly est un service d’aide à la décision utilisant l’intelligence artificielle pour évaluer, à titre indicatif, la conformité de contenus publicitaires aux dispositions du Code de la santé publique encadrant la publicité des boissons alcoolisées (dispositions dites « Loi Évin », articles L3323-2 à L3323-6). Dans le cadre de cette activité, nous sommes amenés à collecter et traiter certaines de vos données personnelles.

La présente politique est conforme au Règlement général sur la protection des données (RGPD, règlement UE 2016/679) et à la loi française n°78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via Evinly est :

  • Ludovic Mornand, exerçant en Entreprise Individuelle
  • Siège social : 3 rue Pierre Valdo, 69005 Lyon, France
  • SIREN : 513 040 576 — SIRET : 513 040 576 00052
  • TVA intracommunautaire : FR42 513040576
  • Directeur de la publication : Ludovic Mornand
  • Contact RGPD : [email protected]
  • Site de production : app.loievin.fr

2. Données personnelles collectées

Dans le cadre de l’utilisation d’Evinly, nous collectons et traitons les catégories de données suivantes :

  • Données d’identification : adresse e-mail, nom d’affichage, avatar, poste/fonction, filière d’activité.
  • Données d’organisation : nom de l’organisation à laquelle vous appartenez, rôle au sein de celle-ci.
  • Contenus soumis à l’analyse : textes (noms de marque, slogans, concepts, briefs créatifs, posts sociaux) et images (visuels de campagne, étiquettes, packagings) que vous téléversez pour analyse.
  • Résultats d’analyse : verdicts, scores, argumentaires produits par notre pipeline d’IA, conservés dans votre historique personnel si votre plan le permet.
  • Données d’usage : journal des analyses effectuées (type, date, plan au moment de l’analyse) utilisé pour la facturation et les statistiques internes.
  • Données de facturation : identifiant client Stripe, identifiant d’abonnement, dates de période de facturation, montants, statut de paiement. Les données de carte bancaire ne transitent jamais par nos serveurs et sont traitées directement par Stripe.
  • Données d’authentification forte : si vous activez la double authentification, Supabase Auth conserve un secret partagé pour générer et vérifier les codes à usage unique (TOTP). Ce secret reste confiné à l’infrastructure d’authentification et n’est jamais exposé à notre application.
  • Données techniques : logs serveur liés à votre activité (timestamps, méthode, URL, code de statut HTTP, identifiant de corrélation), conservés pour la sécurité et l’investigation d’incidents.

3. Données reçues de tiers

Lorsque vous choisissez de vous connecter à Evinly via un fournisseur d’identité tiers (Google), celui-ci nous transmet automatiquement certaines informations de votre profil public : adresse email, nom complet et photo de profil (avatar). Ces données sont traitées selon les mêmes finalités que celles collectées directement auprès de vous et bénéficient du même niveau de protection. Vous pouvez à tout moment dissocier votre compte Google en créant un mot de passe depuis vos paramètres.

4. Finalités et bases légales du traitement

Chaque traitement repose sur une base légale précise au sens de l’article 6 du RGPD :

  • Fourniture du service (analyse de conformité, historique, accès au compte) : exécution du contrat (art. 6-1-b du RGPD).
  • Gestion de la facturation et des abonnements : exécution du contrat et obligation légale comptable (art. 6-1-b et 6-1-c).
  • Amélioration du service et statistiques internes (usage agrégé, démographie anonyme) : intérêt légitime (art. 6-1-f), sans impact disproportionné sur vos droits.
  • Sécurité et prévention de la fraude : intérêt légitime.
  • Envoi d’emails transactionnels (confirmation de compte, factures, alertes techniques) : exécution du contrat.
  • Envoi d’emails d’information non essentiels : consentement préalable (art. 6-1-a), révocable à tout moment.

5. Durées de conservation

CatégorieDurée
Profil utilisateur actifDurée du contrat
Profil utilisateur inactif3 ans après la dernière connexion
Historique d’analyses12 mois glissants (configurable selon le plan)
Événements d’usage3 ans
Logs serveur12 mois maximum
Données de facturation10 ans (obligation comptable française)
Emails de la liste d’attente3 ans après le dernier contact

À l’expiration de ces délais, les données sont supprimées définitivement ou anonymisées de manière irréversible. La purge automatique des données d’analyse, d’usage et des logs est appliquée techniquement chaque semaine.

6. Destinataires et sous-traitants

Vos données ne sont (et ne seront) jamais vendues, louées ou échangées à des tiers à des fins commerciales. Elles sont transmises uniquement aux sous-traitants techniques strictement nécessaires au fonctionnement du service, chacun encadré par un contrat de traitement des données (DPA) conforme à l’article 28 du RGPD.

La liste complète des sous-traitants est disponible sur demande à [email protected].

7. Où vos données sont hébergées

Hébergement principal

L’application Evinly est hébergée en France, sur l’infrastructure IONOS (7 place de la Gare, 57200 Sarreguemines). La base de données et le stockage des fichiers utilisateurs sont hébergés par Supabase en région Paris (eu-west-3). Les modèles d’intelligence artificielle utilisés pour l’analyse sont fournis par Mistral AI, société française, sur une infrastructure située en Union européenne.

Transferts au sein de l’Union européenne

Certaines de vos données peuvent transiter entre sous-traitants européens (par exemple entre IONOS et Supabase). Ces transferts ne nécessitent aucune garantie supplémentaire, tous les pays de l’Union européenne étant soumis aux mêmes exigences du RGPD.

Transferts hors Union européenne

Le service de paiement Stripe est une société américaine ; les données qui y transitent (email, identifiant client, montants) peuvent être traitées par ses infrastructures situées aux États-Unis. Ces transferts sont strictement limités à ce qui est nécessaire au traitement des paiements et ne concernent ni les contenus soumis à l’analyse, ni les visuels, ni aucune donnée sensible.

Garanties pour les transferts internationaux

Pour tout transfert vers les États-Unis, nous mettons en œuvre les garanties prévues par l’article 46 du RGPD :

  • Signature des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision 2021/914 du 4 juin 2021) intégrées au DPA Stripe.
  • Adhésion de Stripe au Data Privacy Framework UE–États-Unis, reconnu par la décision d’adéquation de la Commission européenne du 10 juillet 2023.
  • Vérification contractuelle que le sous-traitant dispose de mesures techniques et organisationnelles adéquates suite à l’arrêt Schrems II.

Vous pouvez à tout moment demander des informations précises sur les destinataires de vos données dans des pays tiers et sur les garanties mises en place, en nous écrivant à [email protected].

8. Traitement automatisé et intelligence artificielle

Evinly utilise un pipeline d’intelligence artificielle à trois étapes (extraction factuelle, juges contradictoires, arbitrage) pour produire des verdicts de conformité indicative. Ces verdicts sont le résultat d’un traitement automatisé au sens de l’article 22 du RGPD.

Conformément à cet article, vous disposez du droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé. En pratique, les verdicts d’Evinly ne produisent aucun effet juridique en eux-mêmes ; ils sont fournis à titre indicatif et ne se substituent jamais à l’avis d’un professionnel du droit. Vous pouvez à tout moment signaler une erreur d’analyse via le bouton dédié présent sur chaque page de résultat, ou écrire directement à [email protected].

Vos contenus ne sont jamais utilisés pour entraîner nos modèles d’IA. Ils sont transmis ponctuellement à l’API Mistral pour le traitement de votre requête, puis supprimés de la mémoire de traitement une fois le résultat rendu.

9. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d’accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
  • Droit de rectification : corriger des données inexactes (accessible directement dans vos paramètres de compte).
  • Droit à l’effacement : supprimer votre compte et vos données personnelles (accessible dans l’onglet « Confidentialité » de vos paramètres).
  • Droit à la portabilité : télécharger l’intégralité de vos données au format JSON structuré (accessible dans l’onglet « Confidentialité » de vos paramètres).
  • Droit d’opposition et de limitation : vous opposer au traitement ou en demander la limitation pour un motif légitime.
  • Droit à une intervention humaine sur une décision automatisée (article 22).
  • Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur celui-ci.
  • Droit de définir des directives post-mortem relatives à la conservation, l’effacement et la communication de vos données après votre décès.

Pour exercer ces droits ou pour toute question relative au traitement de vos données, contactez-nous à [email protected]. Nous nous engageons à répondre à vos demandes dans un délai maximum d’un mois, prolongeable de deux mois en cas de complexité particulière avec information préalable.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous disposez du droit de déposer une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL), 3 place de Fontenoy, 75007 Paris — www.cnil.fr.

10. Comment nous protégeons vos données

La sécurité de vos informations personnelles est une priorité. Nous mettons en œuvre un ensemble de mesures techniques, organisationnelles et humaines pour garantir la protection de vos données.

Mesures techniques

  • Chiffrement en transit : toutes les communications entre votre navigateur, nos serveurs et nos sous-traitants sont chiffrées en TLS 1.2 ou supérieur (HTTPS).
  • Chiffrement au repos : la base de données et le stockage des fichiers sont chiffrés au repos par notre hébergeur (AES-256).
  • Hachage des mots de passe : vos mots de passe ne sont jamais stockés en clair ; ils sont hachés via l’algorithme bcrypt par Supabase Auth.
  • Row Level Security : isolement strict des données au niveau de la base, chaque utilisateur ne pouvant accéder qu’à ses propres enregistrements et à ceux de son organisation.
  • En-têtes de sécurité HTTP : politique de sécurité du contenu (CSP) stricte, HSTS, protection contre le clickjacking et les injections via helmet.
  • Clés API côté serveur uniquement : aucune clé secrète n’est exposée au navigateur.
  • Sauvegardes régulières : la base de données est sauvegardée automatiquement chaque jour par notre hébergeur, avec restauration point-in-time.
  • Mises à jour régulières : nos dépendances logicielles et nos serveurs sont maintenus à jour pour corriger les vulnérabilités connues.

Mesures d’authentification

  • Double authentification (2FA) : vous pouvez activer l’authentification à deux facteurs depuis vos paramètres de compte, via une application d’authentification standard (Google Authenticator, Authy, 1Password, Bitwarden, etc.). Un code à usage unique vous est alors demandé à chaque connexion en plus de votre mot de passe.
  • Authentification Google : vous pouvez choisir de vous connecter via votre compte Google, réduisant la surface d’attaque liée aux mots de passe.
  • Politique de mots de passe robustes : nous imposons une longueur minimale et recommandons l’utilisation de mots de passe complexes et uniques, idéalement générés par un gestionnaire de mots de passe.
  • Limitation des tentatives de connexion : un système de limitation de débit bloque les tentatives de connexion répétées depuis une même adresse IP pour prévenir les attaques par force brute et le bourrage d’identifiants.
  • Sessions courtes : les jetons de session ont une durée de vie limitée et sont rafraîchis régulièrement pour réduire la fenêtre d’exploitation en cas de compromission.

Mesures organisationnelles

  • Accès limité : l’accès aux données de production est strictement restreint au responsable de traitement, avec une authentification forte et un poste de travail dédié.
  • Clauses de confidentialité contractuelles : tous les sous-traitants techniques sont liés par un accord de traitement des données (DPA) incluant des clauses de confidentialité.
  • Versioning du code source : chaque modification du code est tracée dans un dépôt git privé, permettant d’identifier précisément l’auteur, la date et la nature de chaque changement.
  • Journalisation structurée : toutes les requêtes sont journalisées dans un logger structuré avec redaction automatique des informations sensibles (jetons, clés, mots de passe).
  • Revues de sécurité : le code et la configuration font l’objet de revues régulières pour identifier et corriger les éventuelles failles.

Mesures humaines

  • Formation continue : le responsable de traitement suit une veille active sur les bonnes pratiques de protection des données et les menaces émergentes.
  • Procédure de gestion des incidents : une procédure formalisée permet de détecter, signaler et traiter rapidement tout incident de sécurité (voir section 11).
  • Poste de travail sécurisé : chiffrement intégral du disque, authentification biométrique, verrouillage automatique et mise à jour continue du système.

Malgré toutes ces précautions, aucun système n’est totalement infaillible. Si vous identifiez une faille de sécurité ou si vous avez des préoccupations concernant la protection de vos données, veuillez nous contacter immédiatement à [email protected].

11. Procédures en cas de violation de données

Malgré nos mesures préventives, nous reconnaissons qu’aucun système n’est infaillible. Nous avons mis en place une procédure rigoureuse pour détecter, signaler et gérer efficacement toute violation potentielle ou avérée de données.

Détection et alerte

Nous nous appuyons sur trois sources combinées de détection : les alertes des sous-traitants (IONOS, Supabase, Stripe) qui nous notifient en cas d’incident de leur côté, nos logs applicatifs structurés qui permettent l’identification de patterns anormaux, et une surveillance manuelle régulière du responsable de traitement.

Processus de gestion des incidents

En cas de détection d’une violation potentielle ou confirmée, notre protocole prévoit :

  1. Évaluation initiale : identification de la nature et de l’étendue de l’incident, évaluation préliminaire des données potentiellement compromises.
  2. Confinement immédiat : isolement des composants affectés, révocation des identifiants suspectés, mise en maintenance si nécessaire.
  3. Investigation : analyse approfondie de la cause racine, détermination précise des données compromises et du nombre de personnes concernées.
  4. Notification aux autorités : en cas de violation susceptible d’engendrer un risque pour vos droits et libertés, nous notifions la CNIL dans un délai maximum de 72 heures conformément à l’article 33 du RGPD.
  5. Communication aux personnes concernées : si la violation présente un risque élevé, nous vous informons directement et sans délai injustifié, conformément à l’article 34 du RGPD.
  6. Remédiation et amélioration : correction de la cause racine, mise en place de mesures préventives supplémentaires, révision des procédures internes.

Registre des violations

Nous documentons toutes les violations de données personnelles, même celles ne nécessitant pas de notification, dans un registre interne conforme à l’article 33-5 du RGPD. Cette documentation nous permet de démontrer notre conformité et d’améliorer continuellement nos pratiques de sécurité.

12. Programme de divulgation responsable des vulnérabilités

Nous encourageons la communauté des chercheurs en sécurité et des utilisateurs attentifs à nous signaler de manière responsable toute vulnérabilité qu’ils pourraient découvrir dans Evinly. Notre programme de divulgation responsable prévoit :

  • Un canal de communication dédié pour signaler les vulnérabilités : [email protected].
  • Un engagement à ne pas poursuivre légalement les personnes qui signalent des vulnérabilités de bonne foi et de manière responsable, à condition qu’elles respectent certaines règles (pas d’exploitation, pas de divulgation publique avant correction, pas de dégradation de service).
  • Un accusé de réception sous 72 heures et un retour sur la suite donnée au signalement dans un délai raisonnable.
  • Une reconnaissance publique des contributeurs (avec leur accord) dans une future page de remerciements.

13. Cookies et mesure d’audience

Evinly n’utilise aucun cookie tiers ni aucun traceur publicitaire. Les statistiques de fréquentation sont collectées par Plausible Analytics, un outil européen respectueux de la vie privée qui ne dépose aucun cookie, ne collecte aucune adresse IP, ne pratique aucun fingerprinting et ne suit pas les utilisateurs entre les sites. Plausible est conforme au RGPD sans nécessiter de consentement préalable, conformément aux lignes directrices de la CNIL sur les solutions de mesure d’audience exemptées.

Seul un stockage local (localStorage) strictement technique est utilisé pour mémoriser votre session d’authentification et l’acceptation du disclaimer. Ces éléments sont nécessaires au fonctionnement du service et ne requièrent pas de consentement préalable. Aucun bandeau de consentement cookies n’est nécessaire.

14. Modifications de la politique

La présente politique peut être modifiée pour refléter une évolution du service, de la réglementation ou de nos sous-traitants. En cas de modification substantielle, nous vous en informerons par email ou par une notification au sein du service, et nous solliciterons une nouvelle acceptation expresse de votre part avant toute utilisation ultérieure. La version applicable est toujours celle publiée à la présente adresse.

L’historique des versions successives de la présente politique est conservé par l’éditeur et peut être communiqué sur demande.

15. Nous contacter

Pour toute question concernant la présente politique ou vos données personnelles, vous pouvez nous contacter :

  • Par email : [email protected]
  • Par courrier postal : Ludovic Mornand — Evinly, 3 rue Pierre Valdo, 69005 Lyon, France