Le responsable du traitement des données personnelles collectées via la Plateforme Picture It est :
TORTILLA TECH
SAS au capital de 10 000 €
SIREN : 938 862 083
9 rue Villehardouin, 75003 Paris, France
Email : contact@tortilla.tech
Nous collectons uniquement les données nécessaires au fonctionnement du service.
| Catégorie | Données | Source |
|---|---|---|
| Identité | Nom affiché, adresse email | Compte Google (OAuth2) |
| Compte | Identifiant Google, slug, clé API générée, date de création, solde de crédits | Généré à l'inscription |
| Facturation | Identifiant client Stripe, identifiant abonnement, statut de paiement, historique des transactions de crédits | Généré lors d'un achat |
| Contenu | Images d'œuvres, titres, descriptions, dimensions | Téléversé par l'utilisateur |
| Logs d'utilisation | Hash de clé API (SHA-256), pays (géolocalisation IP approximative), tokens consommés, date/heure, statut | Généré automatiquement à chaque génération |
| Navigation | Adresse IP (non stockée en clair), user-agent (logs serveur temporaires) | Serveur Cloud Run |
Données de carte bancaire. Nous ne stockons aucune donnée de carte bancaire. Ces données sont gérées exclusivement par notre prestataire de paiement Stripe (certifié PCI-DSS niveau 1).
| Finalité | Base légale (RGPD art. 6) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b) |
| Authentification et sécurité du service | Exécution du contrat (art. 6.1.b) |
| Fourniture du service de génération d'images | Exécution du contrat (art. 6.1.b) |
| Gestion des crédits et du solde utilisateur | Exécution du contrat (art. 6.1.b) |
| Traitement des paiements et gestion des abonnements | Exécution du contrat (art. 6.1.b) |
| Émission de factures et conformité comptable | Obligation légale (art. 6.1.c) |
| Envoi d'emails transactionnels (confirmation d'achat, alerte crédits faibles) | Exécution du contrat (art. 6.1.b) |
| Hébergement des images d'œuvres | Exécution du contrat (art. 6.1.b) |
| Statistiques d'utilisation (tableau de bord) | Intérêt légitime — amélioration du service (art. 6.1.f) |
Nous ne vendons ni ne louons vos données personnelles. Les données peuvent être partagées uniquement avec les sous-traitants suivants, dans le cadre strict de la prestation de service :
| Sous-traitant | Pays | Finalité | Garanties |
|---|---|---|---|
| Google Cloud Platform | UE (europe-west1) | Hébergement (Cloud Run, Firestore, Cloud Storage, BigQuery) | DPA Google Cloud, clauses contractuelles types |
| Google Gemini API | USA | Génération d'images par IA | DPA Google, clauses contractuelles types |
| Google OAuth2 | USA | Authentification utilisateur | Politique de confidentialité Google |
| Stripe | USA / UE | Traitement des paiements, gestion des abonnements et factures | DPA Stripe, certifié PCI-DSS niveau 1, clauses contractuelles types |
| Brevo (ex-Sendinblue) | UE (France) | Envoi d'emails transactionnels (confirmations, alertes) | DPA Brevo, hébergement en France |
Les images soumises pour la génération (photo de pièce) sont transmises à l'API Google Gemini pour traitement et ne sont pas conservées par nos soins après génération. Consultez la politique d'utilisation de Gemini pour comprendre comment Google traite ces données.
| Données | Durée de conservation |
|---|---|
| Données de compte (email, nom, slug, crédits) | Jusqu'à suppression du compte + 30 jours |
| Images d'œuvres (Cloud Storage) | Jusqu'à suppression de l'œuvre ou du compte |
| Historique des transactions de crédits | 10 ans (obligation légale comptable) |
| Données de facturation Stripe | 10 ans (obligation légale comptable) |
| Logs d'utilisation (BigQuery) | 24 mois glissants |
| Logs serveur (Cloud Run) | 30 jours (politique Google Cloud par défaut) |
Nous mettons en œuvre les mesures techniques suivantes pour protéger vos données :
Nous utilisons votre adresse email uniquement pour vous envoyer des communications directement liées à l'utilisation du service, notamment :
Ces emails sont envoyés via Brevo (anciennement Sendinblue), hébergé en France. Ils ne constituent pas de communications marketing et ne peuvent pas faire l'objet d'un opt-out, car ils sont nécessaires à l'exécution du contrat.
Conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi Informatique et Libertés, vous disposez des droits suivants :
Pour exercer ces droits, contactez-nous à : contact@tortilla.tech
Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.
La Plateforme utilise uniquement des cookies strictement nécessaires au fonctionnement du service :
Aucun cookie publicitaire, analytique tiers ou de suivi comportemental n'est utilisé.
Certaines données sont transmises à des services dont les serveurs se trouvent hors de l'UE (notamment l'API Gemini et Stripe aux États-Unis). Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne et par les accords de traitement de données (DPA) conclus avec chaque sous-traitant.
Nous pouvons mettre à jour cette politique à tout moment. La date de dernière mise à jour figure en haut de ce document. En cas de modification substantielle, vous en serez informé par email ou lors de votre prochaine connexion.
Pour toute question relative à la protection de vos données personnelles :