Conformité RGPD

Dernière mise à jour : 11 avril 2026

1. Notre engagement

Nexiti Studio s'engage pleinement à respecter le Règlement général sur la protection des données (UE) 2016/679 (« RGPD »). Cette page décrit les mesures techniques, organisationnelles et contractuelles que nous mettons en œuvre pour protéger vos données personnelles et respecter vos droits.

2. Rôles

Lorsque vous utilisez Nexiti Studio en tant que client final, nous agissons en tant que responsable du traitement pour les données de votre compte, de facturation et d'utilisation. Lorsqu'un client traite des données personnelles de ses propres utilisateurs finaux via le Service (par exemple en incluant des noms dans des scripts), Nexiti Studio agit en tant que sous-traitant pour le compte de ce client.

3. Accord de traitement de données (DPA)

Les clients professionnels agissant en tant que responsables du traitement peuvent demander un accord de traitement de données conforme à l'article 28 du RGPD. Le DPA couvre l'objet, la durée, la nature et la finalité du traitement, les catégories de personnes concernées, les obligations et droits du responsable du traitement ainsi que les mesures techniques et organisationnelles de sécurité. Pour en demander une copie, écrivez à [email protected].

4. Bases légales du traitement

Nous nous appuyons sur les bases légales suivantes au titre de l'article 6 du RGPD :

  • Exécution du contrat (art. 6.1.b) — pour fournir le Service.
  • Obligation légale (art. 6.1.c) — pour la comptabilité et la fiscalité.
  • Intérêts légitimes (art. 6.1.f) — pour la sécurité, la prévention de la fraude et l'amélioration du produit.
  • Consentement (art. 6.1.a) — pour les cookies optionnels et les e-mails marketing.

5. Vos droits

Vous pouvez exercer gratuitement les droits suivants à tout moment :

  • Droit d'accès (art. 15) : obtenir une copie de vos données personnelles.
  • Droit de rectification (art. 16) : corriger des données inexactes.
  • Droit à l'effacement (art. 17) : demander la suppression de vos données.
  • Droit à la limitation (art. 18) : limiter le traitement de vos données.
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
  • Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.
  • Droit de retirer votre consentement à tout moment, sans affecter les traitements antérieurs.
  • Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de votre autorité de contrôle locale.

Pour exercer l'un de ces droits, envoyez une demande écrite à [email protected] en joignant un justificatif d'identité. Nous répondrons dans un délai d'un mois, prolongeable de deux mois supplémentaires pour les demandes complexes.

6. Mesures techniques et organisationnelles

  • Chiffrement TLS 1.2+ pour toutes les données en transit.
  • Mots de passe stockés via bcrypt avec un facteur de travail élevé.
  • Contrôle d'accès par rôle, principe du moindre privilège.
  • Journalisation complète des actions administratives.
  • Sauvegardes automatisées régulières avec chiffrement au repos.
  • Procédures de réponse à incident et notification de violation dans les 72 heures, conformément à l'art. 33 du RGPD.
  • Mises à jour régulières des dépendances et revues de sécurité.
  • Hébergement sur infrastructure située dans l'UE lorsque c'est possible.

7. Sous-traitants

Nous faisons appel à un nombre restreint de sous-traitants vérifiés. Chacun est soumis à un addendum de traitement de données et aux clauses contractuelles types le cas échéant.

  • Stripe Payments Europe, Ltd. — paiements (Irlande).
  • OpenAI, L.L.C. — TTS et génération de scripts par IA (États-Unis, CCT en place).
  • ElevenLabs Inc. — voix IA premium (États-Unis, CCT en place).
  • Mailjet SAS — envoi d'e-mails transactionnels (France, UE).
  • OVHcloud SAS — hébergement (France, UE).

8. Transferts internationaux de données

Certains de nos sous-traitants sont situés hors de l'Espace économique européen. Dans ces cas, nous nous appuyons sur les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) et, le cas échéant, sur des garanties supplémentaires telles que le chiffrement et des restrictions contractuelles à l'accès des autorités publiques. Nous ne transférons pas de données personnelles vers des juridictions qui ne fournissent pas un niveau de protection adéquat sans de telles garanties.

9. Durée de conservation

Nous conservons les données personnelles uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées, ou conformément aux exigences légales. Consultez notre politique de confidentialité pour les durées détaillées.

10. Notification de violation de données

Dans le cas peu probable d'une violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures suivant la prise de connaissance de la violation et informerons les utilisateurs concernés sans retard injustifié, conformément aux articles 33 et 34 du RGPD.

11. Mineurs

Nexiti Studio n'est pas destiné aux utilisateurs de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous constatez qu'un mineur a fourni des données personnelles, veuillez nous contacter pour que nous puissions les supprimer.

12. Contact

Pour toute question, demande ou réclamation liée au RGPD, contactez-nous à [email protected]. Nous prenons chaque demande au sérieux et y répondons dans le délai légal.