Politique de confidentialité
Comment BirdSings collecte, traite et protège vos données personnelles — applicable dans le monde entier, avec des droits supplémentaires pour les résidents de l'UE/EEE, du Royaume-Uni, de la Suisse, de Californie, du Brésil et d'autres pays.
Dernière mise à jour : 2026-06-29
1. Qui sommes-nous
BirdSings (« nous ») exploite la place de marché sur https://birdsings.com. Responsable du traitement : privacy@birdsings.com. Les demandes adressées à notre représentant UE/UK et au DPO utilisent la même adresse.
2. Ce que nous collectons
- Données de commande : e-mail, nom de facturation, pays, identifiants des sons achetés, identifiant de transaction. Base légale : exécution du contrat (RGPD art. 6(1)(b)).
- Données opérationnelles : langue, thème, contenu du panier (dans le
localStorage de votre navigateur, pas sur nos serveurs sauf si vous vous connectez). Base légale : intérêt légitime (art. 6(1)(f)). - Newsletter : e-mail et indicateur de consentement explicite. Base légale : consentement (art. 6(1)(a)). Révocable à tout moment.
- Analytique (uniquement si vous acceptez tous les cookies) : pages vues pseudonymisées via Google Analytics 4 avec anonymisation de l'IP (
anonymizeIp: true). Pas de démographie, pas de personnalisation publicitaire. - Signaux anti-fraude : IP hachée, pays déduit de l'IP, User-Agent au moment du paiement. Base légale : intérêt légitime à la prévention de la fraude (Considérant 47 RGPD).
3. Ce que nous NE collectons pas
- Nous ne stockons pas les données bancaires — Stripe traite toutes les cartes dans son environnement PCI-DSS niveau 1.
- Nous ne vendons, ne louons et n'échangeons pas vos données. (Pour la Californie : ni « sale » ni « share » au sens du CCPA/CPRA.)
- Nous ne vous suivons pas d'un site à l'autre et n'utilisons aucun traceur publicitaire.
- Nous ne collectons pas sciemment de données d'une personne de moins de 16 ans. Si tel était le cas, contactez-nous pour suppression.
4. Cookies
Trois catégories :
- Nécessaires (toujours actifs) : panier, langue, thème. Le site ne fonctionne pas sans eux — pas d'opt-out.
- Analytique (opt-in) : GA4 avec anonymisation IP. Désactivés par défaut dans l'UE/EEE, au Royaume-Uni et en Suisse.
- Marketing : aucun pour l'instant. Nécessitera un consentement explicite s'ils sont introduits.
Vous pouvez modifier votre choix à tout moment en effaçant le cookie de consentement ou en nous écrivant.
5. Jetons anti-piratage
À chaque achat, nous générons un jeton de téléchargement lié à votre commande. Le jeton enregistre la première adresse IP et le User-Agent qui réussissent le téléchargement, afin d'empêcher le partage de compte. L'IP est utilisée exclusivement pour la prévention de la fraude et supprimée 30 jours après l'expiration du jeton.
6. Vos droits
Si vous résidez dans l'UE, l'EEE, au Royaume-Uni ou en Suisse (RGPD / UK GDPR / FADP) :
- Droit d'accès — copie de vos données.
- Droit de rectification.
- Droit à l'effacement (« droit à l'oubli »).
- Droit à la portabilité.
- Droit de limitation et d'opposition pour les traitements fondés sur l'intérêt légitime.
- Droit de retirer votre consentement à la newsletter à tout moment.
- Droit de ne pas faire l'objet d'une décision uniquement automatisée (nous n'en prenons pas).
Si vous résidez en Californie (CCPA/CPRA) : droit de savoir, d'effacer, de corriger, d'opt-out de la vente/du partage (nous ne vendons ni ne partageons) et de non-discrimination.
Si vous résidez au Brésil (LGPD), en Türkiye (KVKK) ou dans une autre juridiction comparable : des droits équivalents d'accès, rectification, suppression, portabilité et opposition s'appliquent.
Envoyez vos demandes à privacy@birdsings.com. Réponse sous 30 jours (45 jours pour la Californie, où une prolongation est admise).
7. Durées de conservation
- Pièces de commande : 10 ans (durée la plus longue parmi les obligations fiscales des pays d'expédition ; les minima locaux sont plus courts). Au-delà, suppression ou anonymisation.
- Jetons de téléchargement : 12 heures actifs + 30 jours de journal d'audit.
- Abonnés newsletter : jusqu'à votre désinscription, puis anonymisation.
- Signaux anti-fraude : 90 jours, portés à 24 mois en cas de litige de rétro-facturation confirmé.
8. Transferts internationaux
Vos données peuvent être traitées en dehors de votre pays, notamment aux États-Unis. Nous nous appuyons sur les Clauses contractuelles types de l'UE (2021/914), l'UK International Data Transfer Addendum, les clauses suisses (PFPDT) et — pour les destinataires américains certifiés — sur le Cadre de protection des données UE-États-Unis (DPF). Stripe, Resend, Netlify et Google sont certifiés DPF.
9. Sous-traitants
- Stripe (paiements) — Irlande / États-Unis. CCT + DPF.
- Cloudflare R2 (stockage) — Région UE.
- Resend (e-mails transactionnels) — États-Unis. CCT + DPF.
- Netlify (hébergement) — États-Unis. CCT + DPF.
- Google Analytics 4 (optionnel) — IP anonymisée, sans remarketing. DPF.
10. Sécurité
TLS 1.3 en transit, AES-256 au repos. Stripe gère les données bancaires. L'accès aux systèmes de production est limité au personnel autorisé sous accord de confidentialité. En cas de violation, nous notifions les personnes concernées et l'autorité compétente dans un délai de 72 heures lorsque la loi l'exige.
11. Réclamation
Vous pouvez déposer une plainte auprès de votre autorité locale. Exemples :
12. Modifications
Nous pouvons mettre à jour cette politique. Les changements importants sont annoncés sur la bannière du site au moins 30 jours avant leur entrée en vigueur, sauf délai plus court imposé par la loi.