Politique de confidentialité
Version 2 — En vigueur à compter du 18 mai 2026
La présente Politique de confidentialité décrit la manière dont PAPLE STORY (« Paple Story ») collecte, utilise, conserve et protège les données à caractère personnel des Utilisateurs et des tiers, dans le cadre de l'application app.paplestory.com, du site paplestory.com et des services associés (les « Services »).
Elle est conforme au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).
Article 1. Qualification — Responsable de traitement et sous-traitant
Paple Story intervient en deux qualités juridiques distinctes au sens du RGPD, dont la portée doit être clairement distinguée :
(i) Responsable de traitement (article 4.7 RGPD) — pour l'ensemble des données qu'elle collecte directement et dont elle détermine les finalités et les moyens : données de Compte (identifiants, mot de passe haché, métadonnées de connexion), données de facturation et de paiement, données d'usage et logs techniques, échanges avec le support, gestion des cookies, communications transactionnelles et marketing, gestion des droits des personnes.
(ii) Sous-traitant (article 4.8 RGPD) — uniquement pour les données à caractère personnel de tiers que l'Utilisateur viendrait à inclure dans ses Contenus Utilisateur (par exemple : noms, prénoms, descriptions ou images de personnes physiques identifiées ou identifiables, autres que l'Utilisateur lui-même). Pour ces seules données, l'Utilisateur agit en qualité de responsable de traitement et Paple Story de sous-traitant. Les conditions et garanties applicables sont précisées à l'Article 8 ci-après et détaillées dans l'Annexe DPA des CGUV, qui est la stipulation contractuelle de référence pour ce sous-traitement.
| Élément | Information |
|---|---|
| Raison sociale | PAPLE STORY |
| Forme | SAS au capital de 1 000 € |
| Siège | 9 Rue Saint-Sébastien, 75011 Paris, France |
| RCS | Paris 940 114 598 |
| Représentant légal | Loïc Paillard, Président |
| Contact général | info@paplestory.com |
Article 2. Référent protection des données
Compte tenu de sa taille et de la nature de ses traitements, Paple Story n'est pas tenue de désigner un Délégué à la protection des données (DPO) au sens de l'article 37 du RGPD. Un référent interne est néanmoins désigné en la personne du Président, Loïc Paillard.
Toute demande relative à vos données peut être adressée à : info@paplestory.com.
Article 3. Principes
Les traitements mis en œuvre par Paple Story respectent les principes posés par l'article 5 du RGPD : licéité, loyauté, transparence, limitation des finalités, minimisation, exactitude, limitation de la conservation, intégrité, confidentialité et responsabilité.
Article 4. Tableau des traitements
| # | Traitement | Finalité | Base légale (art. 6 RGPD) | Catégories de données | Destinataires | Durée de conservation |
|---|---|---|---|---|---|---|
| 1 | Création et gestion du Compte | Permettre l'accès aux Services | Exécution du contrat (art. 6.1.b) | Identifiants (nom, prénom, email), mot de passe haché, métadonnées de connexion | Personnel habilité Paple Story, Supabase (hébergement) | Compte actif + 3 ans à compter de la dernière connexion à des fins de preuve commerciale (art. L.110-4 C. com.), puis suppression ou anonymisation |
| 2 | Fourniture des Services IA (analyse, chat, génération images, traduction, etc.) | Exécuter la prestation demandée | Exécution du contrat (art. 6.1.b) | Contenus Utilisateur (scénarios, bibles, prompts, etc.), métadonnées d'usage, crédits consommés | Personnel habilité, Supabase, n8n (Hetzner), Anthropic, OpenAI, FAL.ai (zero retention) | Contenus Utilisateur : tant que le Compte est actif. En cas de suppression volontaire du Compte par l'Utilisateur : 2 mois de soft delete (suspension réversible), email d'alerte 7 jours avant suppression définitive irréversible. En cas d'inactivité (>3 mois sans connexion) ou de Compte gratuit dont les codes invitation ont expiré sans abonnement : email d'alerte 7 jours avant suppression automatique du Compte et de tous ses projets. Logs techniques : 6 mois |
| 3 | Facturation et paiement | Encaisser le prix, émettre les factures | Exécution du contrat (art. 6.1.b) + Obligation légale (art. 6.1.c) | État civil, adresse de facturation, n° TVA, historique des transactions | Stripe, expert-comptable, administration fiscale | 10 ans (article L.123-22 Code de commerce et obligations fiscales) |
| 4 | Support utilisateur | Répondre aux demandes | Exécution du contrat / Intérêt légitime (art. 6.1.b et f) | Coordonnées, contenu des échanges, captures éventuelles | Personnel support, Brevo (envoi des réponses) | 3 ans après le dernier échange |
| 5 | Sécurité et prévention des fraudes | Détecter, prévenir et tracer les abus | Intérêt légitime (art. 6.1.f) | Logs techniques, IP, user agent, événements de sécurité | Personnel sécurité, hébergeurs | 6 mois par défaut ; jusqu'à 12 mois pour les événements de sécurité documentés (tentatives d'intrusion, violations) à des fins de traçabilité |
| 6 | Communications de service (transactionnelles) | Notifier les actions clés (factures, modifications CGUV, sécurité, alertes de suppression) | Exécution du contrat / Obligation légale (art. 6.1.b et c) | Email, données de l'événement | Brevo | Durée du Compte |
| 7 | Prospection / Newsletter (à venir) | Adresser des informations marketing et nouveautés produit | Consentement (art. 6.1.a) + L.34-5 CPCE | Email, préférences | Brevo | Jusqu'au retrait du consentement, et au plus tard 3 ans après le dernier contact. Aucune campagne marketing n'est active au 18 mai 2026. |
| 8 | Cookies et traceurs | Mesure d'audience, fonctionnalités | Consentement (art. 6.1.a), sauf cookies strictement nécessaires (art. 6.1.f) | Identifiants techniques, données de navigation | Voir Politique cookies | Voir Politique cookies (max 13 mois) |
| 9 | Partage en Équipe (Teams) | Permettre la collaboration entre membres | Exécution du contrat (art. 6.1.b) | Identifiants des membres, projets partagés, droits accordés | Membres de l'Équipe selon les rôles, Supabase | Durée du partage + 3 ans (preuve commerciale) |
| 10 | Gestion des droits des personnes et obligations légales | Répondre aux demandes (art. 15-22 RGPD), aux réquisitions, aux signalements DSA | Obligation légale (art. 6.1.c) | Identité, contenu de la demande, suites données | Personnel habilité, autorités le cas échéant | 6 ans (prescription) |
| 11 | Pré-contentieux et contentieux | Établir, exercer ou défendre un droit en justice | Intérêt légitime (art. 6.1.f) | Toute donnée pertinente au litige | Conseils, juridictions | Durée de la procédure + 5 ans |
Article 5. Origine des données
Les données traitées proviennent :
- de l'Utilisateur lui-même, lors de l'inscription, de l'utilisation des Services et des échanges avec le support ;
- de Stripe (statut des paiements, méthodes de paiement masquées) ;
- des journaux techniques (logs serveur, événements de sécurité).
Paple Story ne procède à aucune acquisition de fichiers tiers à des fins de prospection.
Article 6. Sous-traitants
Paple Story s'appuie sur les sous-traitants suivants, dûment encadrés par des contrats conformes à l'article 28 du RGPD. En cas d'invalidation du Data Privacy Framework EU-US par décision de la Cour de justice de l'Union européenne ou de retrait par les autorités américaines, Paple Story s'appuiera exclusivement sur les Clauses Contractuelles Types approuvées par décision UE 2021/914 du 4 juin 2021, complétées par toute mesure technique et organisationnelle supplémentaire nécessaire (chiffrement, pseudonymisation, ségrégation logique). La présente Politique sera mise à jour sans délai pour refléter ces évolutions.
| Sous-traitant | Rôle | Localisation | Garanties pour les transferts hors UE |
|---|---|---|---|
| GitHub, Inc. | Hébergement du code source applicatif | États-Unis | CCT (décision UE 2021/914) + EU-US Data Privacy Framework (GitHub/Microsoft inscrit) — aucune donnée Utilisateur de production n'y est stockée |
| Vercel Inc. | Hébergement front-end et déploiement (app.paplestory.com, api.paplestory.com) | États-Unis | Clauses Contractuelles Types (CCT, décision UE 2021/914 du 4 juin 2021) + EU-US Data Privacy Framework (Vercel inscrit) |
Supabase Inc. (projet farnpnlefypntvjllrzc) | Base de données, Edge Functions, Storage, Authentification | Irlande (UE) | Sans objet |
| Hetzner Online GmbH | Infrastructure du serveur n8n auto-hébergé (workflows backend) | Allemagne (UE) | Sans objet |
| Sendinblue SAS (Brevo) | Envoi d'emails transactionnels | France | Sans objet |
| Stripe Payments Europe Ltd | Traitement des paiements | Irlande (UE) (transferts ponctuels groupe US encadrés par CCT) | CCT le cas échéant |
| Hostinger International Limited | Hébergement du site vitrine paplestory.com | Chypre (UE) | Sans objet |
| Anthropic PBC | LLM (Claude) — analyse et chat | États-Unis | CCT + EU-US Data Privacy Framework (Anthropic inscrit) — option zero data retention API activée |
| OpenAI OpCo LLC | LLM (prompts) | États-Unis | CCT + EU-US Data Privacy Framework (OpenAI inscrit) — option zero data retention API activée |
| FAL.ai (Features and Labels Inc.) | Orchestration de la génération d'images | États-Unis | CCT — option zero data retention API activée |
| Modèles d'images appelés via FAL.ai | OpenAI GPT Image 2, « nano-banana-2 », Black Forest Labs Flux | États-Unis / Allemagne (Flux) | CCT (lorsqu'applicables) ; pour Flux : traitement intra-UE |
La liste à jour des sous-traitants est tenue à disposition des Utilisateurs sur simple demande à info@paplestory.com. Toute évolution substantielle est communiquée préalablement à l'ensemble des Utilisateurs (Professionnels comme Consommateurs) avec un préavis raisonnable. Tout Utilisateur dispose, dans des conditions strictement symétriques, d'un droit d'opposition motivé à un nouveau sous-traitant et, en cas de désaccord persistant, d'un droit de résiliation sans frais ni pénalité dans un délai de trente (30) jours à compter de la notification.
Article 7. Engagement IA « Zero Retention »
Paple Story s'engage formellement à ce que les Contenus Utilisateur et les Contenus Générés ne soient jamais utilisés pour entraîner, ré-entraîner ou affiner les modèles d'intelligence artificielle, qu'ils soient les siens ou ceux de ses sous-traitants.
Cet engagement s'appuie sur les configurations contractuelles et techniques suivantes, activées auprès de tous les sous-traitants IA :
- Anthropic PBC : utilisation de l'API entreprise avec
zero data retention; aucune conservation persistante des prompts ou outputs au-delà de la durée d'inférence ; aucune utilisation pour l'entraînement. - OpenAI OpCo LLC : option
Zero Data Retentionactivée ; opt-out de l'entraînement. - FAL.ai et modèles tiers orchestrés (OpenAI GPT Image 2, nano-banana-2, Black Forest Labs Flux) : configuration équivalente de non-rétention et de non-réutilisation pour l'entraînement.
Les Contenus Utilisateur transitent vers les sous-traitants IA pour la stricte durée nécessaire à l'inférence. Ils sont en revanche stockés de manière persistante dans la base Supabase (UE), sous le contrôle exclusif de l'Utilisateur, et accessibles uniquement à lui-même, aux membres autorisés de son Équipe, et au personnel habilité de Paple Story dans la limite des missions de support, sécurité et conformité.
Article 8. Données personnelles présentes dans les Contenus Utilisateur
Les scénarios, bibles, romans et autres contenus soumis aux Services peuvent comporter des données personnelles de tiers (noms réels, descriptions de personnes identifiables, faits biographiques, événements rattachés à des personnes — notamment dans le cadre de biopics, fictions inspirées de faits réels, true crime, documentaires).
Pour ces données, et uniquement pour ces données, Paple Story agit en qualité de sous-traitant au sens de l'article 28 du RGPD, l'Utilisateur étant alors responsable de traitement. La répartition des rôles est précisée à l'Article 1.
Le détail complet des engagements pris par Paple Story en sa qualité de sous-traitant (objet, durée, nature et finalité du traitement, catégories de données et de personnes concernées, obligations de Paple Story, recours aux sous-traitants ultérieurs, transferts hors UE, garanties de l'Utilisateur, audit) figure à l'Annexe DPA des CGUV, qui fait partie intégrante du contrat liant Paple Story à l'Utilisateur. La présente section en constitue un résumé d'information ; en cas de divergence d'interprétation, l'Annexe DPA prévaut.
En synthèse :
- Paple Story ne traite ces données que sur instruction documentée de l'Utilisateur (à savoir : produire les Contenus Générés demandés à partir des Contenus Utilisateur soumis) et pour la stricte durée de la prestation ;
- Paple Story s'engage à la confidentialité, à la sécurité (Article 11), à informer l'Utilisateur en cas de violation (Article 12), et à supprimer ou restituer les données conformément aux durées de conservation ci-avant ;
- l'Utilisateur garantit disposer d'une base légale (article 6 RGPD) pour l'inclusion de ces données dans ses Contenus Utilisateur, dans le respect notamment des libertés publiques, du droit à la vie privée, du droit à l'image, du devoir d'information (articles 13-14 RGPD) et de l'exception artistique ;
- l'Utilisateur indemnise Paple Story de toute action de tiers fondée sur la présence de telles données, dans les conditions de l'article 8.4 des CGUV et de l'Annexe DPA.
Article 9. Droits des personnes
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Référence | Portée |
|---|---|---|
| Accès | Art. 15 | Obtenir confirmation, copie et information sur le traitement |
| Rectification | Art. 16 | Faire corriger des données inexactes ou incomplètes |
| Effacement (« droit à l'oubli ») | Art. 17 | Faire supprimer vos données dans les cas prévus |
| Limitation | Art. 18 | Faire geler temporairement le traitement |
| Portabilité | Art. 20 | Récupérer vos données dans un format structuré et lisible |
| Opposition | Art. 21 | Vous opposer à un traitement fondé sur l'intérêt légitime ou à de la prospection |
| Décision automatisée / profilage | Art. 22 | Ne pas faire l'objet d'une décision exclusivement automatisée produisant des effets juridiques ou significatifs |
| Retrait du consentement | Art. 7.3 | Retirer à tout moment un consentement précédemment donné |
Modalités d'exercice : adresser une demande à info@paplestory.com, en précisant la nature de votre demande et tout élément utile permettant de vérifier votre identité (sans excès).
Délai de réponse : un (1) mois à compter de la réception de la demande, prorogeable de deux (2) mois en cas de complexité ou de volume des demandes (art. 12.3 RGPD).
Recours : vous pouvez à tout moment introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 — www.cnil.fr.
Article 10. Transferts hors Union européenne
Certains sous-traitants étant établis aux États-Unis (GitHub, Vercel, Anthropic, OpenAI, FAL.ai), des transferts de données peuvent intervenir hors de l'Union européenne. Ces transferts sont encadrés conformément au chapitre V du RGPD :
- Clauses Contractuelles Types approuvées par décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021, signées avec chacun des sous-traitants concernés ;
- EU-US Data Privacy Framework lorsque le sous-traitant y est inscrit (à la date des présentes : GitHub/Microsoft, Vercel, Anthropic, OpenAI), assurant un niveau de protection adéquat au sens de la décision d'exécution (UE) 2023/1795 du 10 juillet 2023 ;
- Mesures techniques supplémentaires (chiffrement, pseudonymisation, zero data retention).
En cas d'invalidation du Data Privacy Framework EU-US par décision de la Cour de justice de l'Union européenne ou de retrait par les autorités américaines, Paple Story s'appuiera exclusivement sur les Clauses Contractuelles Types approuvées par décision UE 2021/914 du 4 juin 2021, complétées par toute mesure technique et organisationnelle supplémentaire nécessaire (chiffrement, pseudonymisation, ségrégation logique). La présente Politique sera mise à jour sans délai pour refléter ces évolutions.
L'Utilisateur peut obtenir copie des garanties applicables sur demande à info@paplestory.com.
Article 11. Sécurité
Paple Story met en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD, notamment :
- chiffrement des communications en TLS 1.3 ;
- chiffrement au repos sur Supabase (AES-256) ;
- isolation des données par projet via Row Level Security (RLS) sur la base de données Supabase ;
- contrôle d'accès basé sur les rôles, principe du moindre privilège ;
- authentification multifacteur recommandée pour les Utilisateurs et obligatoire pour les administrateurs internes ;
- journalisation des événements de sécurité (audit logs) ;
- sauvegardes chiffrées quotidiennes, plan de reprise documenté ;
- revue régulière des accès et des sous-traitants ;
- formation des personnels habilités.
Article 12. Procédure en cas de violation de données
En cas de violation de données à caractère personnel au sens de l'article 4.12 du RGPD :
- Paple Story documente l'incident dans un registre interne dédié (art. 33.5 RGPD) ;
- Paple Story notifie la CNIL dans un délai de soixante-douze (72) heures après en avoir pris connaissance, à moins que la violation ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes (art. 33 RGPD) ;
- en cas de risque élevé, Paple Story informe les personnes concernées dans les meilleurs délais, par communication individuelle ou, en cas d'effort disproportionné, par communication publique (art. 34 RGPD) ;
- lorsque Paple Story agit en qualité de sous-traitant (Article 8), elle informe sans retard l'Utilisateur responsable de traitement.
Article 13. Durées de conservation
Les durées sont précisées au tableau de l'Article 4. À leur expiration :
- les données sont supprimées ou anonymisées de manière irréversible ;
- les données nécessaires au respect d'une obligation légale (comptable, fiscale, prescription) sont conservées en archivage à accès restreint pour la durée correspondante.
Suppression volontaire du Compte par l'Utilisateur : à compter de la demande de suppression, le Compte fait l'objet d'une période de deux (2) mois de soft delete (suspension réversible permettant à l'Utilisateur de récupérer son Compte et ses Contenus). Un email d'alerte est adressé à l'Utilisateur sept (7) jours avant la suppression définitive et irréversible du Compte et de l'ensemble de ses Contenus Utilisateur.
Suppression automatique pour inactivité : font l'objet d'une suppression automatique du Compte et de l'ensemble de ses projets (i) les Comptes gratuits dont les codes invitation ont expiré sans souscription d'un abonnement, et (ii) les Comptes sans connexion depuis plus de trois (3) mois. Un email d'alerte est adressé à l'Utilisateur sept (7) jours avant la suppression automatique.
Pendant la période de soft delete et jusqu'à l'envoi de l'alerte, l'Utilisateur peut à tout moment exporter ses Contenus Utilisateur depuis son espace personnel ou demander leur restitution.
Article 14. Cookies et traceurs
L'usage des cookies et traceurs est régi par la Politique cookies, conformément à l'article 82 de la Loi Informatique et Libertés et aux recommandations de la CNIL relatives aux cookies (délibérations n° 2020-091 et n° 2020-092 du 17 septembre 2020 et lignes directrices ultérieures).
Article 15. Newsletter et prospection (anticipation)
Paple Story pourra être amenée à adresser, sous réserve du consentement explicite préalable de la personne concernée, des communications marketing relatives à ses produits, nouveautés, événements ou contenus éditoriaux.
Ce consentement, recueilli par opt-in séparé conforme à l'article 6.1.a du RGPD et à l'article L.34-5 du Code des postes et des communications électroniques, peut être retiré à tout moment via le lien de désinscription présent dans chaque communication ou par demande à info@paplestory.com.
Article 16. Décisions automatisées et profilage
Les Services ne mettent pas en œuvre de décision exclusivement automatisée produisant des effets juridiques ou affectant significativement l'Utilisateur au sens de l'article 22 du RGPD.
Les Contenus Générés sont des productions assistées par IA, soumises à la libre appréciation et à la décision finale de l'Utilisateur.
Article 17. Mineurs
L'accès aux Services est réservé aux personnes âgées d'au moins dix-huit (18) ans révolus, compte tenu : (i) de la nature des contenus traités par les Utilisateurs (œuvres scénaristiques et littéraires pouvant comporter des thématiques pour adultes), (ii) des engagements contractuels et financiers contractés (abonnements, recharges de crédits, propriété intellectuelle), et (iii) des fonctionnalités de génération d'images susceptibles de produire des contenus sensibles.
Paple Story ne collecte pas sciemment de données concernant des mineurs. Si une telle collecte était portée à sa connaissance, le Compte serait suspendu et les données supprimées sans délai.
Article 18. Modifications de la Politique
La présente Politique peut être modifiée pour refléter des évolutions légales, techniques ou organisationnelles. Les modifications substantielles font l'objet d'une notification dans les conditions de l'Article 22 des CGUV. La date de dernière mise à jour est indiquée en tête de document.
Article 19. Contact
Pour toute question relative à la présente Politique ou à vos données : info@paplestory.com.
Version 2.0 — 18 mai 2026. Cette version remplace intégralement les versions antérieures (V1 du site paplestory.com).