Politique de Confidentialité

band.stream

POLITIQUE DE CONFIDENTIALITÉ

BandStream — Phase Alpha Privée

En vigueur au 14 avril 2026

Article 1 — Responsable du traitement

Le responsable du traitement des données personnelles est la société BandStream SAS, 60 rue François 1er, 75008 Paris, France. RCS Paris 939 221 438 — SIRET 939 221 438 00012 — TVA FR 81939221438 — Contact : [email protected].

Article 2 — Délégué à la Protection des Données

Le DPO est joignable à l'adresse : [email protected]. Il est le point de contact pour toute question relative au traitement des données personnelles et pour l'exercice des droits des personnes concernées.

Article 3 — Contexte Alpha — Information spécifique

La Plateforme est actuellement en phase Alpha privée. L'accès est réservé aux Utilisateurs Alpha ayant reçu une Invitation de BandStream. Cette phase implique les spécificités suivantes en matière de données personnelles :

(a) BandStream peut collecter des données spécifiques à la phase Alpha, telles que les Retours d'expérience, les signalements de bogues, les données d'utilisation détaillées et les réponses à des enquêtes de satisfaction, aux fins d'amélioration de la Plateforme.

(b) Les mesures techniques de sécurité peuvent être en cours de déploiement et ne pas atteindre le niveau d'une version commerciale définitive. BandStream met néanmoins en œuvre les mesures raisonnables pour protéger les données des Utilisateurs Alpha.

(c) En cas de fin de la phase Alpha, les données des Utilisateurs Alpha seront traitées conformément à l'article 8 (durées de conservation), sauf si l'Utilisateur Alpha poursuit son utilisation en version commerciale.

Article 4 — Données personnelles collectées

4.1 — Données des Utilisateurs Alpha

Données d'identification : nom d'artiste ou pseudonyme, adresse électronique.

Données de connexion : adresse IP, type de navigateur, système d'exploitation, date et heure de connexion, journaux d'accès.

Données d'abonnement : type d'offre, dates de souscription et renouvellement, historique de facturation.

Données de contenu : images de profil, biographie, liens, informations relatives aux événements.

Données de paiement : collectées et traitées directement par Stripe, Inc. Non stockées par BandStream.

Données spécifiques Alpha : Retours d'expérience, signalements de bogues, données d'utilisation détaillées (parcours de navigation, actions effectuées, fonctionnalités utilisées), réponses aux enquêtes internes.

4.2 — Données des Visiteurs

Données de navigation agrégées et anonymisées : pays, source de trafic, pages visitées, durée. Approche « privacy-first ».

4.3 — Caractère obligatoire ou facultatif des données

Les données marquées d'un astérisque (*) dans les formulaires sont obligatoires pour la création du Compte et la fourniture des Services. En cas de non-fourniture de ces données obligatoires, BandStream ne sera pas en mesure de créer le Compte de l'Utilisateur ni de fournir les Services. Les autres données sont facultatives et leur non-fourniture n'empêche pas l'utilisation de la Plateforme, mais peut limiter certaines fonctionnalités (par exemple, l'absence de biographie ou d'image de profil sur la Page Artiste).

Article 5 — Finalités et bases légales

————————————————- ———————————————-- —————————————- Finalité Données concernées Base légale

Création et gestion du Compte E-mail, nom d'artiste Exécution du contrat (art. 6.1.b RGPD)

Fourniture des Services Contenu, connexion Exécution du contrat (art. 6.1.b RGPD)

Gestion des abonnements Abonnement, facturation Exécution du contrat (art. 6.1.b RGPD)

Traitement des paiements Paiement (via Stripe) Exécution du contrat (art. 6.1.b RGPD)

Statistiques de fréquentation Navigation agrégée Intérêt légitime (art. 6.1.f RGPD)

Amélioration de la Plateforme (Alpha) Données Alpha, Retours, utilisation détaillée Intérêt légitime (art. 6.1.f RGPD)

Communications relatives au Service E-mail Exécution du contrat (art. 6.1.b RGPD)

Communications commerciales E-mail Consentement (art. 6.1.a RGPD)

Gestion Ad Campaign (tracking publicitaire) Contenu, performance Consentement (art. 6.1.a RGPD)

Conformité légale Toutes données nécessaires Obligation légale (art. 6.1.c RGPD) ————————————————- ———————————————-- —————————————-

Note : La finalité « Gestion Ad Campaign » (Google Ads, Meta Pixel, TikTok) repose sur le consentement de l'Utilisateur et non sur l'exécution du contrat, conformément aux recommandations de la CNIL relatives au tracking publicitaire. Le dépôt de cookies et pixels publicitaires est subordonné au consentement préalable recueilli via le gestionnaire de consentement intégré.

Article 6 — Destinataires et sous-traitants

—————————-- —————————————- ——————————————————————————————-- Sous-traitant Fonction Localisation

Stripe, Inc. Paiements UE / États-Unis (CCT)

IONOS SE Hébergement France / Allemagne (UE)

Google LLC (Analytics) Mesure d'audience UE / États-Unis (CCT)

Brevo (ex-Sendinblue) E-mails transactionnels et commerciaux France (UE)

Meta Platforms, Inc. Ad Campaign UE / États-Unis (CCT)

Google LLC (Ads) Ad Campaign UE / États-Unis (CCT)

TikTok (ByteDance Ltd.) Ad Campaign UE (Irlande) / Singapour / États-Unis (CCT + mesures supplémentaires). Voir TIA dédié. —————————-- —————————————- ——————————————————————————————--

Chaque sous-traitant est contractuellement tenu de respecter le RGPD. BandStream peut communiquer des données aux autorités compétentes sur réquisition légale.

Article 7 — Transferts hors UE

Données hébergées principalement en France et dans l'UE. Transferts hors EEE encadrés par des clauses contractuelles types ou le EU-U.S. Data Privacy Framework.

Conformément aux recommandations du Comité européen de la protection des données (CEPD) et à la jurisprudence Schrems II (CJUE, arrêt C-311/18), BandStream a réalisé une évaluation de l'impact des transferts (Transfer Impact Assessment — TIA) pour chaque sous-traitant situé en dehors de l'EEE. Ces évaluations sont disponibles sur demande auprès du DPO à l'adresse [email protected].

Des mesures supplémentaires (chiffrement de bout en bout, pseudonymisation, ségrégation des accès) sont mises en œuvre lorsque le TIA identifie un risque résiduel pour les droits des personnes concernées.

Informations complémentaires : [email protected].

Article 8 — Durées de conservation

———————————————————— ————————————————————————————————————————————————- Catégorie Durée

Données du Compte (en cas de suppression) Suppression sous 30 jours après demande de suppression. Archivage intermédiaire à accès restreint pour gestion des litiges : 3 ans maximum.

Données du Compte (compte actif) Durée d'inscription + 3 ans après dernière activité

Données de facturation 10 ans (obligation légale)

Données de connexion (logs) 1 an (LCEN)

Données de navigation agrégées 25 mois maximum

Données de prospection 3 ans après dernier contact

Consentement cookies 13 mois maximum

Données spécifiques Alpha (Retours, utilisation détaillée) Durée de la phase Alpha + 2 ans après sa fin, puis anonymisation ———————————————————— ————————————————————————————————————————————————-

À expiration, les données sont supprimées ou anonymisées de manière irréversible.

Article 9 — Droits des personnes concernées

Droit d'accès (art. 15 RGPD) : obtenir confirmation du traitement et une copie des données.

Droit de rectification (art. 16) : correction de données inexactes ou incomplètes.

Droit à l'effacement (art. 17) : suppression des données, sous réserve des obligations légales.

Droit à la limitation (art. 18) : suspension temporaire du traitement.

Droit à la portabilité (art. 20) : récupération des données dans un format structuré et lisible.

Droit d'opposition (art. 21) : opposition au traitement fondé sur l'intérêt légitime, et opposition à la prospection commerciale à tout moment.

Droit relatif à la décision automatisée et au profilage (art. 22 RGPD) : l'Utilisateur a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou l'affectant de manière significative. À la date de la présente politique, BandStream ne procède à aucune décision exclusivement automatisée ni à aucun profilage produisant des effets juridiques à l'égard des Utilisateurs. En cas d'évolution, la présente politique sera mise à jour pour en informer les Utilisateurs.

Retrait du consentement : possible à tout moment, sans effet rétroactif.

Directives post-mortem (art. 85 loi Informatique et Libertés) : directives relatives au sort des données après décès.

Demandes adressées à [email protected] avec justificatif d'identité. Réponse sous un (1) mois, prolongeable de deux (2) mois. Réclamation possible auprès de la CNIL (3 Place de Fontenoy, 75334 Paris Cedex 07 — www.cnil.fr).

Article 10 — Cookies

10.1 — Types de cookies

Cookies strictement nécessaires : fonctionnement technique (session, authentification, sécurité). Pas de consentement requis.

Cookies analytiques (Google Analytics) : mesure d'audience. Consentement requis.

Cookies publicitaires (Offre Pro) : Google Tag Manager, Meta Pixel. Consentement requis via le gestionnaire intégré.

10.2 — Liste détaillée des cookies

—————————-- ————————————————- ————————- ———————————— Nom du cookie Finalité Durée Émetteur

[session_id] Session utilisateur (nécessaire) Durée de la session BandStream (1st party)

[consent_preferences] Mémorisation des choix cookies (nécessaire) 13 mois BandStream (1st party)

_ga, _gid Mesure d'audience (analytique) 26 mois / 24h Google LLC (3rd party)

_fbp, _fbc Suivi publicitaire (marketing) 90 jours Meta Platforms (3rd party)

_ttp Suivi publicitaire (marketing) 13 mois TikTok / ByteDance (3rd party) —————————-- ————————————————- ————————- ————————————

Cette liste est donnée à titre indicatif et sera mise à jour en fonction de l'évolution des outils intégrés à la Plateforme. La version à jour est consultable dans le gestionnaire de consentement intégré.

10.3 — Gestion du consentement

Bandeau de consentement affiché lors de la première visite. Modification des préférences possible à tout moment. Consentement conservé 13 mois maximum (recommandations CNIL).

Article 11 — Redirection vers les plateformes tierces et traitement des données de navigation

11.1 — Sortie du périmètre de BandStream

La Plateforme permet aux Utilisateurs de créer des Pages Artistes contenant des liens hypertextes redirigeant les Visiteurs vers des plateformes de streaming musical tierces (notamment Spotify, Apple Music, Deezer, YouTube Music, Tidal, Qobuz) ainsi que vers des plateformes de billetterie ou des réseaux sociaux.

Lorsqu'un Visiteur clique sur l'un de ces liens, il quitte l'environnement de BandStream et accède à un site ou à une application exploité(e) par un tiers indépendant. À compter de cette redirection, les données personnelles du Visiteur sont collectées et traitées par la plateforme de destination, agissant en qualité de responsable de traitement indépendant, conformément à sa propre politique de confidentialité. BandStream n'exerce aucun contrôle sur les traitements de données réalisés par ces plateformes tierces et décline toute responsabilité à cet égard.

BandStream invite les Visiteurs à prendre connaissance des politiques de confidentialité des plateformes tierces avant d'y accéder.

11.2 — Données collectées par BandStream lors du clic

Préalablement à la redirection, BandStream peut collecter des données de navigation liées au clic effectué par le Visiteur sur la Page Artiste. Ces données comprennent : le pays d'origine du Visiteur (géolocalisation approximative déduite de l'adresse IP), la source de trafic (référent), la plateforme de streaming sélectionnée par le Visiteur, le type d'appareil et de navigateur utilisé, ainsi que la date et l'heure du clic.

Ces données sont traitées de manière agrégée et anonymisée, dans le cadre des statistiques de fréquentation proposées aux Utilisateurs titulaires de l'Offre Pro, conformément à l'approche « privacy-first » de BandStream. La base légale de ce traitement est l'intérêt légitime de BandStream et de ses Utilisateurs (article 6.1.f du RGPD), consistant à mesurer l'audience et la performance des Pages Artistes.

11.3 — Absence de transmission de données personnelles aux plateformes de streaming

BandStream ne transmet aucune donnée personnelle des Visiteurs aux plateformes de streaming ou à tout autre tiers accessible via les liens figurant sur les Pages Artistes. La redirection s'effectue par simple lien hypertexte : le navigateur du Visiteur est redirigé vers l'URL de la plateforme de destination sans qu'aucune donnée personnelle ne soit communiquée par BandStream à ladite plateforme.

Les plateformes de streaming ne sont pas des sous-traitants de BandStream au sens de l'article 28 du RGPD. Elles agissent en qualité de responsables de traitement indépendants pour les données qu'elles collectent directement auprès des Visiteurs après la redirection.

11.4 — Cookies et pixels tiers sur les Pages Artistes

Lorsqu'un Utilisateur active les fonctionnalités Google Tag Manager ou Meta Pixel sur sa Page Artiste (fonctionnalités pouvant être proposées gratuitement pendant la phase Alpha ou incluses dans une offre payante ultérieure), des cookies et pixels tiers peuvent être déposés sur le terminal des Visiteurs qui consultent ladite Page Artiste. Ces cookies et pixels sont exploités par Google LLC et Meta Platforms, Inc., agissant en qualité de responsables de traitement indépendants pour les données qu'ils collectent via ces technologies.

Le dépôt de ces cookies et pixels tiers est subordonné au consentement préalable du Visiteur, recueilli via le gestionnaire de consentement intégré à la Plateforme, conformément aux recommandations de la CNIL et à la directive ePrivacy. En l'absence de consentement, aucun cookie ni pixel tiers n'est déposé.

Article 12 — Sécurité

Mesures techniques et organisationnelles conformément à l'article 32 du RGPD : chiffrement HTTPS/TLS, authentification, limitation des accès, sauvegardes, surveillance. Pendant la phase Alpha, ces mesures sont en cours de déploiement progressif ; BandStream met en œuvre les mesures raisonnables proportionnées au stade de développement de la Plateforme.

En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, BandStream notifiera la violation à la CNIL dans les soixante-douze (72) heures suivant sa découverte, conformément à l'article 33 du RGPD. En cas d'impossibilité de respecter ce délai, la notification sera accompagnée des motifs du retard. BandStream informera également les personnes concernées dans les meilleurs délais, conformément à l'article 34 du RGPD, en leur indiquant la nature de la violation et les mesures prises ou recommandées pour en atténuer les effets.

Article 13 — Mineurs

Plateforme réservée aux personnes de 16 ans et plus (art. 8 RGPD, art. 7-1 loi Informatique et Libertés). Suppression des données de mineurs de moins de 16 ans collectées sans consentement parental.

Article 14 — Modification de la Politique

Modification possible à tout moment. Notification par e-mail au moins trente (30) jours à l'avance pour toute modification substantielle. Version mise à jour publiée sur le Site.

Article 15 — Contact

DPO : [email protected]

Service client : [email protected]

Courrier : BandStream SAS, 60 rue François 1er, 75008 Paris, France