Politique de confidentialité
Date d'entrée en vigueur : 5 mai 2026
La présente Politique de confidentialité décrit la façon dont Moment (ci-après « nous », « notre ») collecte, utilise, conserve et protège vos données à caractère personnel lorsque vous utilisez le Service accessible à https://key-moment.com.
1. Responsable du traitement
Dénomination : [RAISON SOCIALE — À COMPLÉTER]
Adresse : [ADRESSE COMPLÈTE — À COMPLÉTER]
Email : hello@right-moment.fr
SIREN : [À COMPLÉTER]
Délégué à la Protection des Données (DPO) : [NOM / EMAIL DPO — À COMPLÉTER, si applicable. La désignation d'un DPO est obligatoire pour les organismes effectuant des traitements à grande échelle ou des traitements de données sensibles.]
2. Données à caractère personnel collectées
2.1 Données que vous nous fournissez directement
- Données d'identification : nom, prénom, adresse email ;
- Données de compte : mot de passe (chiffré, jamais stocké en clair), préférences d'interface ;
- Données de facturation : coordonnées de facturation (adresse, pays). Les données de carte bancaire sont traitées exclusivement par Stripe et ne transitent pas par nos serveurs ;
- Données professionnelles : nom de l'entreprise, secteur d'activité (si renseigné) ;
- Données de contenu : sources importées (URLs, PDFs, vidéos), paramètres de persona et de tone of voice, briefs générés, projets créés.
2.2 Données collectées automatiquement
- Données de connexion : adresse IP, date et heure d'accès, type de navigateur, système d'exploitation ;
- Données d'usage : pages consultées, fonctionnalités utilisées, durée de session ;
- Cookies et traceurs : voir notre Politique de cookies.
2.3 Données que nous ne collectons pas
Nous ne collectons pas de données dites « sensibles » au sens de l'article 9 du RGPD (données de santé, origines raciales, convictions religieuses, etc.). Nous ne collectons pas sciemment de données de personnes de moins de 16 ans.
3. Finalités et bases légales du traitement (Art. 6 RGPD)
| Finalité | Base légale (Art. 6 RGPD) | Détail |
|---|---|---|
| Fourniture du Service | Exécution du contrat (Art. 6.1.b) | Création et gestion de votre compte, exécution de votre abonnement, accès aux fonctionnalités. |
| Génération de contenu IA | Exécution du contrat (Art. 6.1.b) | Traitement de vos Données d'entrée pour produire les briefs et suggestions éditoriaux. |
| Facturation et paiement | Obligation légale (Art. 6.1.c) | Conservation des factures conformément aux obligations comptables (art. L. 123-22 Code de commerce, durée 10 ans). |
| Sécurité et prévention des fraudes | Intérêt légitime (Art. 6.1.f) | Logs de connexion, détection d'anomalies, protection des comptes utilisateurs. |
| Amélioration du Service | Intérêt légitime (Art. 6.1.f) | Analyse agrégée et anonymisée des usages pour améliorer les fonctionnalités. |
| Communications transactionnelles | Exécution du contrat (Art. 6.1.b) | Emails de confirmation de compte, notifications d'expiration, alertes de sécurité. |
| Communications marketing | Consentement (Art. 6.1.a) | Newsletters, mises à jour de fonctionnalités, communications promotionnelles. Révocable à tout moment. |
| Obligations légales | Obligation légale (Art. 6.1.c) | Réponse aux réquisitions judiciaires ou administratives légalement fondées. |
4. Destinataires et sous-traitants
Dans le cadre de la fourniture du Service, vos données peuvent être partagées avec les sous-traitants suivants, avec lesquels l'Éditeur a conclu des accords de traitement des données conformes au RGPD (Article 28) :
| Sous-traitant | Pays | Finalité | Garanties RGPD |
|---|---|---|---|
| Supabase Inc. | USA (AWS eu-west-1, Europe) | Hébergement de la base de données, authentification | DPA signé, SCCs, données hébergées en région EU disponible |
| Vercel Inc. | USA (déploiement mondial) | Hébergement de l'application web | DPA signé, SCCs, conformité RGPD |
| Stripe Inc. | USA | Traitement des paiements | DPA signé, SCCs, certifié PCI-DSS niveau 1 |
| Resend Inc. | USA | Envoi d'emails transactionnels | DPA signé, SCCs |
| OpenRouter / Prestataire IA | USA | Modèles d'IA générative (génération de contenus) | DPA signé, SCCs. Les données d'entrée sont transmises uniquement pour la génération et ne sont pas utilisées pour entraîner les modèles. |
Nous ne vendons, ne louons et ne partageons pas vos données personnelles à des fins commerciales avec des tiers non listés ci-dessus.
5. Transferts internationaux de données
Certains de nos sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés par les garanties suivantes, conformément aux articles 44 à 49 du RGPD :
- Clauses Contractuelles Types (CCT/SCCs) approuvées par la Commission européenne (Décision d'exécution UE 2021/914), applicables à tous nos sous-traitants américains ;
- Data Privacy Framework (DPF) EU-US (ex-Privacy Shield) pour les entreprises certifiées (vérifiez la certification à dataprivacyframework.gov) ;
- Lorsque cela est possible, nous activons les options de stockage de données en région Union Européenne offertes par nos sous-traitants.
6. Durées de conservation
| Catégorie de données | Durée de conservation | Base légale |
|---|---|---|
| Données de compte actif | Durée de l'abonnement + 30 jours après résiliation | Exécution du contrat |
| Données de compte inactif (sans connexion) | 3 ans à compter de la dernière activité | Intérêt légitime |
| Données de facturation et factures | 10 ans | Art. L. 123-22 Code de commerce |
| Logs de connexion et sécurité | 12 mois | Art. L. 34-1 CPCE / Intérêt légitime |
| Données de contenu généré (projets) | Durée de l'abonnement + 30 jours | Exécution du contrat |
| Données marketing (avec consentement) | 3 ans à compter du dernier contact ou jusqu'au retrait du consentement | Consentement / Recommandation CNIL |
| Cookies analytiques | 13 mois maximum | Recommandation CNIL du 17 septembre 2020 |
7. Vos droits (Art. 15 à 22 RGPD)
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès (Art. 15)
Obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification (Art. 16)
Corriger des données inexactes ou incomplètes vous concernant.
Droit à l'effacement (Art. 17)
Demander la suppression de vos données dans les cas prévus par le RGPD (« droit à l'oubli »).
Droit à la portabilité (Art. 20)
Recevoir vos données dans un format structuré et lisible par machine, et les transmettre à un autre responsable de traitement.
Droit d'opposition (Art. 21)
Vous opposer au traitement de vos données fondé sur l'intérêt légitime ou à des fins de prospection commerciale.
Droit à la limitation (Art. 18)
Demander la suspension temporaire du traitement dans certains cas (contestation de l'exactitude, traitement illicite, etc.).
Droit de retrait du consentement
Retirer à tout moment votre consentement pour les traitements qui en sont fondés (ex : emails marketing), sans que cela affecte la licéité des traitements antérieurs.
Directives post-mortem (Art. 85 LIL)
Définir des directives relatives à la conservation et à la communication de vos données après votre décès (spécificité française, art. 85 Loi Informatique et Libertés).
Comment exercer vos droits
Pour exercer l'un de ces droits, adressez votre demande par email à hello@right-moment.fr en précisant votre identité (nom, prénom, adresse email du compte). Nous vous répondrons dans un délai maximum d'un mois à compter de la réception de votre demande (délai susceptible d'être prolongé de deux mois supplémentaires en cas de demandes complexes ou nombreuses, Art. 12.3 RGPD).
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
8. Sécurité des données
L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre toute perte, destruction, altération, accès ou divulgation non autorisés, conformément à l'article 32 du RGPD :
- Chiffrement TLS/HTTPS de toutes les communications ;
- Chiffrement des mots de passe par algorithme bcrypt ;
- Authentification à deux facteurs disponible ;
- Row Level Security (RLS) sur la base de données Supabase pour l'isolation des données entre utilisateurs ;
- Accès aux données restreint au personnel strictement nécessaire (principe du moindre privilège) ;
- Journalisation des accès aux données sensibles ;
- Revue périodique des droits d'accès.
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, l'Éditeur notifiera la CNIL dans un délai de 72 heures et vous informera dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.
9. Cookies et traceurs
Le Service utilise des cookies et traceurs. Pour une information complète sur les cookies utilisés, leur finalité et la gestion de vos préférences, consultez notre Politique de cookies.
10. Dispositions spécifiques par pays
🇺🇸 États-Unis — California Consumer Privacy Act (CCPA/CPRA)
Pour les résidents de Californie, le California Consumer Privacy Act (CCPA), amendé par le California Privacy Rights Act (CPRA), vous confère les droits suivants :
- Right to Know : connaître les catégories et finalités des données collectées ;
- Right to Delete : demander la suppression de vos données ;
- Right to Correct : rectifier des informations inexactes ;
- Right to Opt-Out : vous opposer à la vente ou au partage de vos données personnelles. Nous ne vendons pas vos données personnelles. ;
- Right to Non-Discrimination : ne pas faire l'objet de discrimination pour avoir exercé vos droits ;
- Right to Limit Use of Sensitive Personal Information : limiter l'utilisation de vos données sensibles.
Pour exercer ces droits : envoyez votre demande à hello@right-moment.fr. Nous répondons dans un délai de 45 jours (prolongeable de 45 jours supplémentaires).
Autres lois étatiques : Virginia CDPA, Colorado CPA, Connecticut CTDPA, Texas TDPSA, Oregon OCPA — des droits similaires sont accordés aux résidents de ces États.
🇨🇦 Canada — LPRPDE et Loi 25 (Québec)
Les résidents canadiens bénéficient des droits suivants en vertu de la LPRPDE et, pour les résidents québécois, de la Loi 25 (en vigueur depuis le 22 septembre 2023) :
- Droit d'accès à vos renseignements personnels ;
- Droit de rectification ;
- Droit à l'effacement (Loi 25) ;
- Droit à la portabilité (Loi 25 — droit de recevoir vos données dans un format technologique usuel) ;
- Droit de retrait du consentement ;
- Droit de refuser de faire l'objet de décisions automatisées produisant des effets juridiques.
Pour exercer vos droits ou déposer une plainte : Office de la protection du consommateur (OPC) pour le Québec, ou Commissariat à la protection de la vie privée du Canada (OPC fédéral).
🇬🇧 Royaume-Uni — UK GDPR et Data Protection Act 2018
Les résidents britanniques bénéficient de droits identiques à ceux prévus par le RGPD, conservés en droit interne par le UK GDPR et le Data Protection Act 2018. Pour toute réclamation, vous pouvez contacter l'Information Commissioner's Office (ICO) à ico.org.uk.
🇦🇺 Australie — Privacy Act 1988
Les résidents australiens bénéficient des droits prévus par le Privacy Act 1988 (Cth) et les Australian Privacy Principles (APPs). Pour toute plainte non résolue, vous pouvez contacter l'Office of the Australian Information Commissioner (OAIC) à oaic.gov.au.
🇧🇷 Brésil — LGPD (Lei Geral de Proteção de Dados)
Les résidents brésiliens bénéficient des droits prévus par la Lei n° 13.709/2018 (LGPD), notamment les droits d'accès, rectification, effacement, portabilité, information sur les tiers et opposition. Pour toute réclamation, l'autorité compétente est l'Autoridade Nacional de Proteção de Dados (ANPD).
11. Décisions automatisées et profilage
Le Service n'effectue pas de prise de décision entièrement automatisée au sens de l'article 22 du RGPD produisant des effets juridiques ou vous affectant de manière significative similaire (pas de scoring de crédit, pas de décisions d'embauche automatisées, etc.).
Des algorithmes sont utilisés pour proposer des suggestions éditoriales à partir de vos données d'entrée, mais ces suggestions ne constituent pas des décisions automatisées au sens juridique : elles nécessitent une validation humaine de votre part avant toute utilisation.
12. Modifications de la Politique de confidentialité
Nous pouvons modifier la présente Politique à tout moment pour refléter des évolutions légales, réglementaires ou liées à l'évolution du Service. La version en vigueur est celle affichée sur cette page avec sa date d'entrée en vigueur.
En cas de modification substantielle affectant vos droits ou les traitements effectués, vous en serez informé par email avec un préavis d'au moins 30 jours. La poursuite de l'utilisation du Service vaut acceptation de la politique modifiée.
13. Contact et réclamations
Pour toute question, exercice de droits ou réclamation :
Moment — [À l'attention du responsable de la protection des données]
[ADRESSE — À COMPLÉTER]
Email : hello@right-moment.fr
Autorité de contrôle compétente en France : Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr
Date de dernière mise à jour : 5 mai 2026. En cas de contradiction entre une traduction et la version française, la version française prévaut.