Politique de confidentialité

1. Responsable de traitement

LCM LLC (« nous », « notre »)
Société à responsabilité limitée de droit américain
Delaware, États-Unis
Contact : privacy@tatua.fr

2. Données collectées

Nous collectons les catégories de données suivantes :

• Données d'identification : email, nom (optionnel), photo de profil (Google OAuth uniquement)
• Données de paiement : traitées par Whop, nous ne stockons pas les données bancaires
• Données d'usage : prompts saisis, designs générés, crédits consommés, dates de connexion
• Données techniques : adresse IP, type d'appareil, navigateur, pays
• Images uploadées : pour Try-On, Image-to-Tattoo, Extract, Coverup (supprimées après traitement)
• Cookies : session de connexion, préférences, analytics (voir section 7)

3. Finalités du traitement

4. Destinataires (sous-traitants)

Nous partageons certaines données avec des prestataires techniques, tous engagés contractuellement par DPA (Data Processing Agreement) :

• Netlify Inc. (USA) : hébergement web · DPF certified
• Whop (USA) : traitement paiements · PCI-DSS Level 1
• Replicate (USA) : génération IA · ne stocke pas les images après traitement
• Cloudinary (USA/EU) : stockage et CDN images · UE region disponible
• Brevo (FR) : envoi d'emails transactionnels et marketing · hébergement EU
• Google LLC (USA) : Google OAuth (login), GA4 analytics · DPF certified
• Meta Platforms (USA) : pixel publicitaire si consentement
• TikTok (USA/IE) : pixel publicitaire si consentement

Pour les transferts hors UE, nous nous appuyons sur les clauses contractuelles types de la Commission Européenne et le Data Privacy Framework EU-US lorsque applicable.

5. Vos droits RGPD

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement ("droit à l'oubli") : supprimer vos données
• Droit à la limitation du traitement
• Droit à la portabilité : récupérer vos données dans un format structuré
• Droit d'opposition à un traitement
• Droit de retirer votre consentement à tout moment
• Droit de définir des directives pour vos données post-mortem

Pour exercer vos droits : privacy@tatua.fr. Réponse sous 1 mois maximum.

Vous pouvez également déposer une réclamation auprès de la CNIL (France), de l'APD (Belgique), du PFPDT (Suisse), ou de la CAI (Québec).

6. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :

• Chiffrement TLS 1.3 pour toutes les communications
• Mots de passe non stockés (magic link et OAuth)
• Cookies de session HttpOnly + Secure + SameSite
• HSTS, CSP, X-Frame-Options activés
• Accès aux données limité au strict nécessaire
• Audits de sécurité réguliers
• Sauvegarde quotidienne avec chiffrement

7. Cookies et traceurs

Nous utilisons trois catégories de cookies :

7.1 Cookies essentiels (sans consentement requis) : session de connexion (tatua_session), préférences UI, sécurité OAuth.

7.2 Cookies analytiques (consentement requis) : Google Analytics 4 (anonymisé), Plausible.

7.3 Cookies publicitaires (consentement requis) : Meta Pixel, TikTok Pixel pour mesurer l'efficacité des campagnes.

Vous pouvez à tout moment modifier vos préférences cookies via le lien "Gérer les cookies" en pied de page, ou bloquer les cookies via les paramètres de votre navigateur.

8. Images uploadées (Try-On, Image-to-Tattoo, Extract, Coverup)

8.1 Les images que vous uploadez sont transmises temporairement à Replicate pour traitement IA.

8.2 Elles sont supprimées immédiatement après le traitement par Replicate, et ne sont jamais stockées de manière persistante par Tatua.

8.3 Seul le résultat (design généré) est conservé dans votre galerie privée si vous choisissez de le sauvegarder.

9. Modifications

Nous pouvons modifier cette politique pour refléter des changements légaux ou techniques. Vous serez notifié par email des modifications substantielles.

10. Contact DPO

Pour toute question relative à vos données : privacy@tatua.fr