Confidentialité · RGPD

Politique de confidentialité

Dernière mise à jour : 17 mai 2026

Cette politique décrit comment Jamodio collecte, utilise et protège les données personnelles des utilisateurs, en conformité avec le Règlement général sur la protection des données (RGPD — UE 2016/679) et la loi Informatique et Libertés.

En résumé — On collecte uniquement le strict nécessaire pour faire fonctionner le service (email, prénom, studios que tu crées). Tes données sont stockées en France (Supabase Paris), jamais revendues, et tu peux les supprimer toi-même depuis l'app (Paramètres → Supprimer mon compte).

1. Responsable du traitement

Le responsable du traitement est Benoît Godard, entrepreneur individuel (SIRET 10499100500018), 10 rue Tisserant, 92100 Boulogne-Billancourt, France. Contact : contact@jamodio.com.

Aucun délégué à la protection des données (DPO) n'est désigné à ce stade, l'activité ne répondant pas aux critères d'obligation de désignation (article 37 RGPD).

2. Données collectées

2.1 Données que tu nous fournis directement

Email — utilisé pour créer ton compte, t'envoyer les emails transactionnels (confirmation, bienvenue, invitations) et te permettre de te connecter.
Prénom et nom (optionnels) — affichés aux autres musiciens dans les studios que tu rejoins.
Mot de passe — stocké haché (bcrypt) par Supabase Auth, jamais accessible en clair.
Préférences — langue, thème, instruments, sélection audio/vidéo, réglages de flou vidéo. Stockées pour personnaliser ton expérience.
Photo de profil (optionnelle) — si tu en uploadest une.

2.2 Données générées par l'utilisation du service

Studios créés — nom, slug (identifiant), date de création, propriétaire.
Historique de participation — studios rejoints, dates.
Enregistrements audio/vidéo que tu réalises pendant tes sessions de jam (si tu actives l'enregistrement) — stockés temporairement côté navigateur et téléchargeables par toi. Actuellement aucun enregistrement n'est stocké sur nos serveurs.
Backing tracks que tu uploadest — stockés chiffrés dans Supabase Storage pour pouvoir les partager au sein d'un studio.
Métadonnées techniques audio — instrument sélectionné, niveau VU, latence mesurée, mode (agent / navigateur). Échangées entre musiciens d'un même studio pour afficher la mixette. Non stockées à long terme.

2.3 Données techniques automatiques

Adresse IP — nécessaire pour établir les connexions audio/vidéo temps réel (SFU WebRTC). Elle est visible du serveur audio mais non stockée en base de données. Conservée seulement dans les logs techniques du serveur (7 jours maximum, pour diagnostic).
Informations du navigateur / plateforme — navigateur (Chrome, Firefox, Safari…), système d'exploitation, architecture processeur (pour proposer la bonne version de l'agent desktop). Non stockées en base.
Adresse email de l'expéditeur/destinataire d'invitations par email (conservée uniquement le temps de l'envoi par Resend, pas stockée durablement).

Actuellement pas collecté : aucun outil d'analytics (pas de Google Analytics, Plausible, Matomo…), aucun tracker tiers, aucun pixel publicitaire, aucun cookie de profilage. Seul un cookie strictement essentiel est utilisé pour maintenir ta session. Voir Politique cookies.

3. Finalités du traitement

Tes données sont utilisées pour :

te permettre de créer un compte et de t'authentifier (base légale : exécution du contrat) ;
te fournir le service de jam à distance (studios, audio, vidéo) (exécution du contrat) ;
t'envoyer les emails transactionnels indispensables (confirmation d'inscription, invitations à un studio que tu envoies, support) (exécution du contrat) ;
diagnostiquer les incidents techniques et améliorer le service (intérêt légitime) ;
répondre à tes demandes (support, questions, droits RGPD) (exécution du contrat / obligation légale).

Aucun traitement à finalité publicitaire ou commerciale n'est réalisé sans ton consentement explicite. Tu ne recevras pas de newsletter commerciale non sollicitée.

4. Durée de conservation

Compte utilisateur : conservé tant que le compte est actif. Supprimé immédiatement à ta demande (Paramètres → Supprimer mon compte, ou email à contact@jamodio.com).
Studios et participations : supprimés avec le compte.
Logs techniques (serveur SFU) : 7 jours glissants.
Emails transactionnels : Resend conserve les logs d'envoi 30 jours glissants (conformément à leur politique).
Rapports DMARC : conservés 6 mois maximum pour analyse de sécurité.

5. Destinataires des données

Tes données sont accessibles à :

Toi — intégralement, via l'interface de l'application ou sur demande.
Les autres musiciens d'un studio que tu rejoins — ils voient ton prénom/nom (si renseignés), ton instrument et les flux audio/vidéo que tu partages volontairement.
L'éditeur (Benoît Godard), strictement pour les besoins d'administration et de support.
Nos sous-traitants techniques, listés dans les Mentions légales : Vercel (frontend), Supabase (base de données + auth, Paris), OVH (SFU, Gravelines), Resend (emails).

Aucune donnée n'est vendue, louée, cédée ou partagée à des tiers à des fins commerciales.

6. Transferts hors Union européenne

Supabase Inc. et Vercel Inc. sont des sociétés américaines. Les données utilisateurs Jamodio sont toutefois stockées exclusivement dans la région eu-west-3 de Supabase (Paris, France) — elles ne quittent pas l'UE. L'infrastructure Vercel déploie le code frontend sur un CDN mondial ; seules des données publiques (HTML, CSS, JavaScript) y transitent, aucune donnée personnelle.

Les échanges contractuels avec ces prestataires s'appuient sur les Clauses contractuelles types (CCT) de la Commission européenne, conformément à l'arrêt Schrems II.

7. Tes droits

Conformément au RGPD, tu disposes des droits suivants sur tes données :

Accès — obtenir une copie de toutes les données te concernant ;
Rectification — corriger des données inexactes (modifiable toi-même dans Paramètres) ;
Effacement — supprimer tes données (fonction « Supprimer mon compte » dans Paramètres) ;
Portabilité — recevoir tes données dans un format structuré et lisible machine (JSON) ;
Opposition — t'opposer à un traitement fondé sur l'intérêt légitime ;
Limitation — demander le gel temporaire d'un traitement ;
Retrait du consentement — à tout moment, pour les traitements fondés sur le consentement.

Pour exercer ces droits, contacte contact@jamodio.com. Une réponse te sera apportée sous un délai maximal de 30 jours.

Si tu estimes que tes droits ne sont pas respectés, tu peux adresser une réclamation à la CNIL — Commission nationale de l'informatique et des libertés : cnil.fr/fr/plaintes.

8. Sécurité des données

Jamodio met en œuvre des mesures techniques et organisationnelles pour protéger tes données :

chiffrement TLS 1.3 pour toutes les communications (HTTPS partout, WSS pour WebSocket) ;
mots de passe hachés avec bcrypt (jamais stockés en clair) ;
authentification par JWT signé avec rotation automatique de la clé de signature ;
politiques Row-Level Security (RLS) Supabase pour isoler les données entre utilisateurs ;
rate limiting côté serveur SFU (protection contre les abus) ;
en-têtes de sécurité HTTP stricts (HSTS 2 ans, CSP, X-Frame-Options DENY, etc.).

En cas de violation de données susceptible d'engendrer un risque pour tes droits, une notification sera effectuée à la CNIL sous 72 heures, et, le cas échéant, aux personnes concernées dans les meilleurs délais.

9. Mineurs

Jamodio est accessible à partir de 15 ans (âge du consentement numérique en France, article 8 RGPD). Pour les utilisateurs de moins de 15 ans, le consentement d'un titulaire de l'autorité parentale est requis.

10. Évolutions

Cette politique peut être mise à jour pour refléter les évolutions techniques ou légales. La date de dernière mise à jour (en haut de page) indique la version courante. En cas de modification substantielle, les utilisateurs actifs sont notifiés par email.