← Retour

Politique de confidentialité

Dernière mise à jour : 27 mai 2026 · Bpromote — bpromote.fr

1. Responsable de traitement

Bpromote (« nous », « notre », « le service ») est une marketplace professionnelle française mettant en relation des marques et des créateurs de contenu sur TikTok, Instagram et YouTube.

Le responsable de traitement au sens du RGPD est :

  • Eymeric Nevot, entrepreneur individuel exerçant sous le nom commercial Brick IA.
  • Adresse : 29 Boulevard d'Anjou, 35000 Rennes, France.
  • SIREN : 984 585 935 — RNE.
  • Contact : eymeric.nevot.pro@gmail.com

Compte tenu de la taille de la structure et de la nature des traitements, aucun Délégué à la protection des données (DPO) n'est désigné. Les demandes relatives à vos données peuvent être adressées directement à l'adresse ci-dessus.

La présente politique décrit quelles données nous collectons, pourquoi, sur quelle base juridique, comment elles sont protégées, et les droits dont vous disposez en vertu du Règlement (UE) 2016/679 (RGPD) et de la loi Informatique & Libertés.

2. Données collectées

Création de compte

  • Adresse e-mail, mot de passe (haché), nom affiché, bio
  • Rôle (créateur ou marque)
  • Pour les marques : nom commercial, site web, informations de facturation transmises à Whop (Merchant of Record)

Connexion OAuth aux réseaux sociaux (optionnelle)

Lorsque vous connectez volontairement votre compte TikTok, Instagram ou YouTube via OAuth, nous recevons et stockons :

  • TikTok : identifiant TikTok (open_id), pseudo, photo de profil, nombre d'abonnés, jetons d'accès et de rafraîchissement (chiffrés), statistiques de vues sur les vidéos que vous soumettez explicitement à une campagne (scopes user.info.basic, user.info.stats, video.list).
  • Instagram : identifiant Instagram, pseudo, photo de profil, nombre d'abonnés, jetons longue-durée, métriques de Reels soumis (scopes instagram_business_basic, instagram_business_manage_insights).
  • YouTube : identifiant de chaîne, pseudo, miniature, nombre d'abonnés, jetons OAuth, vues des vidéos soumises (scope youtube.readonly).

Nous n'avons jamais accèsà vos messages privés, vos abonnements, votre liste d'amis, ni à vos vidéos non soumises explicitement à une campagne. Nous ne publions, modifions ou supprimons jamais de contenu sur vos comptes.

Activité sur la plateforme

  • Vidéos soumises à des campagnes (URL publique, plateforme, identifiant vidéo).
  • Vues cumulées (synchronisées via les API officielles pour TikTok et YouTube, et via la lecture de la page publique pour Instagram).
  • Messages échangés avec les marques dans le chat par campagne.
  • Logs techniques (adresse IP, user-agent) pendant 30 jours à des fins de sécurité et de détection de fraude.

3. Pourquoi nous traitons vos données et sur quelle base juridique

Chaque traitement repose sur l'une des bases juridiques prévues à l'article 6 du RGPD :

  • Fournir le service (afficher les campagnes, permettre la soumission de vidéos, calculer la rémunération) — base : exécution du contrat (art. 6.1.b RGPD).
  • Suivi des vues: interrogation toutes les 3 heures des API officielles (TikTok, YouTube) et une fois par jour d'un partenaire technique (Apify) pour récupérer les compteurs publics des Reels Instagram soumis — base : exécution du contrat (sans cette synchronisation, la rémunération ne peut être calculée).
  • Paiement : transmission à Whop Inc. (Merchant of Record) des informations nécessaires pour vous verser vos gains — base : exécution du contrat + obligation légale (art. 6.1.b et 6.1.c RGPD, reporting DAC7 — directive UE 2021/514).
  • Communication transactionnelle: envoi d'e-mails (réinitialisation de mot de passe, codes de double authentification, notification d'approbation de soumission) — base : exécution du contrat.
  • Sécurité et lutte anti-fraude: détection d'abus (vues artificielles, multi-comptes), conservation des logs IP pendant 30 jours — base : intérêt légitime(art. 6.1.f RGPD) à garantir l'intégrité de la plateforme.
  • Connexion OAuth aux réseaux sociauxbase : consentement explicite (art. 6.1.a RGPD) recueilli au moment de la connexion. Retirable à tout moment depuis Paramètres → Plateformes connectées → Déconnecter.
  • Conservation des factures et données comptables base : obligation légale (art. 6.1.c RGPD ; articles L.123-22 du Code de commerce et L.102 B du Livre des procédures fiscales).

Nous ne vendons aucune donnée. Nous ne procédons à aucun profilage publicitaire. Aucune décision automatisée produisant des effets juridiques n'est prise sans intervention humaine.

4. Destinataires et sous-traitants

Vos données peuvent être communiquées aux destinataires suivants :

  • Marques: votre pseudo public, photo de profil, nombre d'abonnés, et les statistiques des vidéos que vous soumettez à leurs campagnes — uniquement pour les marques avec qui vous interagissez.
  • Whop Inc. (Merchant of Record, 228 Park Ave S, PMB 36825, New York, NY 10003, États-Unis) : identité, informations bancaires/crypto, données KYC pour le compte Whop personnel du créateur (connecté en OAuth), données fiscales (NIF, résidence fiscale) pour le reporting DAC7. Transfert UE → US encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne.
  • Vercel Inc. (hébergeur applicatif, 340 S Lemon Ave #4133, Walnut, CA 91789, États-Unis) : hébergement du frontend Next.js et des fonctions serverless. Transfert UE → US encadré par les CCT et la certification au Data Privacy Framework EU-US.
  • Hostinger International Ltd.(hébergeur base de données, 61 Lordou Vironos Street, 6023 Larnaca, Chypre — UE) : hébergement de l'instance PocketBase contenant vos données de compte.
  • Apify Technologies s.r.o.(sous-traitant technique, Vodičkova 704/36, 110 00 Prague — Tchéquie/UE) : URL publique de vos Reels Instagram soumis à une campagne, transmise à un scraper qui interroge la page publique pour récupérer le nombre de vues, likes et commentaires affichés. Aucune donnée d'identification personnelle n'est transmise — uniquement le permalien public que vous avez choisi de soumettre.
  • TikTok / Meta / Google: appels API authentifiés par vos propres jetons OAuth. Aucune donnée vous concernant n'est envoyée à ces plateformes en dehors des appels d'authentification et de lecture standard.
  • Autorités publiques : uniquement sur réquisition judiciaire ou administrative valide.

Bpromote, en sa qualité d'opérateur de plateforme numérique au sens de la directive UE 2021/514 (DAC7), est tenu de transmettre certaines informations relatives aux créateurs rémunérés à l'administration fiscale française (DGFiP), qui les partage ensuite avec les autres États membres de l'UE. La collecte de ces informations est gérée par Whop Inc. pour le compte de Bpromote.

5. Durée de conservation

  • Compte utilisateur : tant que votre compte est actif. Après suppression, les données du compte sont effacées sous 30 jours (hors données conservées par obligation légale ci-dessous).
  • Jetons OAuth : supprimés immédiatement lorsque vous déconnectez un réseau social depuis Paramètres → « Déconnecter », ou lorsque vous supprimez votre compte.
  • Logs techniques (IP, user-agent) : 30 jours.
  • Messages échangés dans le chat par campagne : conservés jusqu'à la clôture de la campagne + 12 mois, puis archivés sans accès direct.
  • Données de facturation (factures, données fiscales pour le reporting DAC7) : 10 ans (art. L.123-22 du Code de commerce et L.102 B du LPF). Ces données sont accessibles uniquement à l'éditeur et aux administrations habilitées.

6. Vos droits (RGPD)

Vous disposez, à tout moment, des droits suivants :

  • Accès : obtenir une copie de vos données.
  • Rectification : modifier les informations inexactes depuis votre profil.
  • Effacement : supprimer votre compte (option dans Paramètres ou par e-mail).
  • Portabilité : exporter vos données dans un format JSON.
  • Opposition : refuser un traitement à des fins commerciales.
  • Retrait du consentement OAuth : déconnexion immédiate via Paramètres.

Pour exercer un droit, écrivez-nous à eymeric.nevot.pro@gmail.com. Réponse sous 30 jours maximum.

Vous pouvez également déposer une réclamation auprès de la CNIL (autorité française de protection des données).

7. Sécurité

  • Chiffrement TLS 1.3 pour toutes les communications (HTTPS).
  • Mots de passe hachés avec bcrypt (jamais stockés en clair).
  • Jetons OAuth stockés dans une base PocketBase isolée, accessible uniquement via authentification administrateur.
  • Cookies de session httpOnly, Secure, SameSite=Lax.
  • Protection CSRF sur tous les flux OAuth (state token aléatoire + PKCE pour TikTok).

8. Cookies

Nous utilisons uniquement des cookies strictement nécessaires :

  • session : cookie d'authentification (JWT signé, expire après 7 jours).
  • {platform}_oauth_state / {platform}_oauth_verifier : sécurité CSRF/PKCE pendant les flux OAuth (expirent en 10 min).

Aucun cookie publicitaire, aucun tracker tiers (pas de Google Analytics, pas de Meta Pixel).

9. Mineurs

Le service est réservé aux personnes âgées de 16 ans et plus. Nous ne collectons pas sciemment de données concernant des mineurs de moins de 16 ans. Si vous êtes le parent ou tuteur légal d'un mineur dont les données seraient présentes, contactez-nous pour suppression immédiate.

10. Modifications

Cette politique peut être mise à jour. Les changements importants seront notifiés par e-mail aux utilisateurs inscrits. La date de la dernière mise à jour figure en haut de cette page.

11. Contact

Pour toute question relative à la confidentialité : eymeric.nevot.pro@gmail.com

12. Suppression de vos données

Vous pouvez demander la suppression de l'ensemble des données personnelles que Bpromote détient à votre sujet, à tout moment et sans justification.

Procédure

  1. Envoyez un e-mail à eymeric.nevot.pro@gmail.com avec pour objet « Demande de suppression de données ».
  2. Indiquez l'adresse e-mail associée à votre compte Bpromote et, si applicable, votre identifiant Instagram / TikTok / YouTube connecté.
  3. Nous accusons réception sous 48h ouvrées et procédons à la suppression effective sous 30 jours maximum.

Données supprimées

  • Compte utilisateur (e-mail, mot de passe haché, nom affiché, bio).
  • Jetons OAuth (Instagram, TikTok, YouTube) — révoqués côté plateforme tierce et effacés de notre base.
  • Identifiants sociaux (Instagram user_id, TikTok open_id, YouTube channel_id) et statistiques cumulées.
  • Soumissions vidéo et messages échangés avec les marques.
  • Historique de paiements et payouts (sauf obligations légales : voir ci-dessous).

Données conservées par obligation légale

Certaines données de facturation (factures, identités fiscales) sont conservées 10 ans conformément aux articles L.123-22 du Code de commerce et L.102 B du Livre des procédures fiscales. Ces données ne sont jamais réutilisées à des fins commerciales et sont protégées en accès restreint.

Suppression spécifique aux comptes Meta (Instagram / Facebook)

Si vous avez connecté Instagram via OAuth Meta Graph API et souhaitez uniquement révoquer cet accès sans supprimer votre compte Bpromote :

  • Allez dans votre profil Facebook → Paramètres → Apps et sites web → cherchez « Bpromote » → cliquez « Supprimer ». L'accès est révoqué immédiatement chez Meta et propagé à Bpromote sous 24h.
  • Ou bien depuis Bpromote : Paramètres → Plateformes connectées → Instagram → Déconnecter. Le jeton est effacé immédiatement de nos serveurs.

En cas de litige sur le traitement de votre demande, vous pouvez saisir la CNIL.

13. Conformité Google API Services (YouTube)

Bpromote utilise la YouTube Data API v3 pour permettre aux créateurs de connecter leur chaîne et lire les statistiques publiques de leurs propres vidéos soumises à des campagnes.

Engagement « Limited Use »

L'utilisation et le transfert par Bpromote vers toute autre application de toute information reçue des API Google respecteront la Google API Services User Data Policy, y compris les exigences « Limited Use ».

(Formulation officielle requise par Google : « Bpromote's use and transfer to any other app of information received from Google APIs will adhere to Google API Services User Data Policy, including the Limited Use requirements. »)

Scope demandé : youtube.readonly

  • Lecture seule des statistiques publiques : nom et identifiant de la chaîne, nombre d'abonnés, miniature, nombre de vues sur chaque vidéo soumise.
  • Aucune modification, suppression, mise en ligne ou publication de contenu YouTube.
  • Aucun accès aux messages, à l'historique de visionnage, aux abonnements, aux playlists privées ou à l'activité hors-vidéos-soumises.

Ce que nous faisons des données YouTube

  • Afficher les statistiques de vues d'une vidéo dans le tableau de bord du créateur et celui de la marque associée à la campagne concernée.
  • Calculer la rémunération au CPM (€ pour 1 000 vues vérifiées).
  • Synchroniser périodiquement les compteurs de vues (environ une fois par jour) afin de mettre à jour les paiements et les rapports.

Ce que nous ne faisons jamais

  • Vendre, louer ou partager les données YouTube avec des annonceurs ou des courtiers en données.
  • Utiliser les données YouTube pour entraîner des modèles d'intelligence artificielle généralistes.
  • Transférer les données YouTube à des tiers, sauf pour le strict fonctionnement du service (hébergement, paiement) et avec votre consentement explicite, ou en cas d'obligation légale.
  • Permettre à un être humain de lire vos données YouTube, sauf : (a) avec votre consentement explicite, (b) pour des fins de sécurité (lutte anti-fraude, détection d'abus), (c) pour respecter la loi applicable.
  • Conserver les données YouTube au-delà de la durée nécessaire au service. À la déconnexion, le jeton est révoqué et toutes les données liées effacées.

Comment révoquer l'accès à tout moment

  • Depuis Bpromote : Paramètres → Plateformes connectées → YouTube → Déconnecter. Le jeton est immédiatement effacé de nos serveurs.
  • Directement chez Google : myaccount.google.com/permissions → cherchez « Bpromote » → cliquez « Supprimer l'accès ». La révocation est immédiate côté Google et propagée à Bpromote sous 24 h.

Références