Légal

Politique de confidentialité

Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés. Dernière mise à jour : 30 avril 2026.

1 — Responsable du traitement

Le responsable du traitement des données personnelles collectées via le service Incipite est :

Dénomination : DE.H.VS (Entrepreneur Individuel)

Représentant : Hadrien Hubert

Adresse : 64 rue Raymond Poincaré, 54000 Nancy, France

SIRET : 844 889 428 000 18

Contact : legal@incipite.com

2 — Principe fondamental : votre fichier ne nous parvient jamais

Incipite calcule l'empreinte cryptographique SHA-256 de votre fichier directement dans votre navigateur. Le fichier original ne quitte jamais votre appareil.

Seule l'empreinte (64 caractères hexadécimaux) est transmise à nos serveurs. Incipite n'a donc accès à aucun élément du contenu de vos œuvres.

3 — Données collectées et finalités

Lors de l'utilisation du service, les données suivantes sont collectées :

DonnéeFinalitéBase légale (RGPD)
Nom, prénomIdentification du déposant sur le certificatArt. 6.1.b — exécution du contrat
Date de naissance (optionnelle)Levée d'ambiguïté d'identité en cas de litigeArt. 6.1.b — exécution du contrat
Adresse emailAuthentification, notifications de certificationArt. 6.1.b — exécution du contrat
Empreinte SHA-256Preuve d'antériorité, vérification publiqueArt. 6.1.b — exécution du contrat
Date et heure de certificationHorodatage de la preuveArt. 6.1.b — exécution du contrat
Données de paiement (fragment)Gestion abonnement/crédits — traitées par StripeArt. 6.1.b — exécution du contrat
Adresse IP (logs)Sécurité, prévention des abusArt. 6.1.c — obligation légale

4 — Durée de conservation

  • ·Données de compte : conservées pendant la durée du compte + 3 ans après clôture, ou jusqu'à demande de suppression.
  • ·Empreintes certifiées : conservées sans limite de durée afin de maintenir la vérifiabilité publique des certificats émis.
  • ·Données de paiement : conservées par Stripe conformément à leurs obligations légales (5 ans en France).
  • ·Logs techniques : 90 jours glissants.

À l'expiration des délais de conservation, les métadonnées identifiantes (email, identifiant) sont anonymisées — l'empreinte SHA-256 du fichier est conservée indéfiniment à des fins de vérification publique, mais ne peut pas être rétro-engineerée en données personnelles.

5 — Sous-traitants et transferts de données

Incipite fait appel aux prestataires suivants, chacun soumis à ses propres engagements RGPD :

  • ClerkAuthentification et gestion des comptes — États-Unis (SCC + DPF)
  • SupabaseBase de données — stockage des empreintes et métadonnées (UE/Singapour, SCC)
  • VercelHébergement de l'application — États-Unis (SCC + DPF)
  • StripeTraitement des paiements — États-Unis / Irlande (SCC + DPF)
  • ResendEnvoi des emails transactionnels — États-Unis (SCC)
  • UpstashCache et limitation de débit — UE (RGPD direct)
  • SentrySuivi des erreurs applicatives — États-Unis (SCC + DPF) — emails & identifiants sanitisés avant envoi
  • UmamiAnalytics anonymes sans cookie — UE (RGPD direct)
  • cron-job.orgDéclencheur cron externe (porte uniquement un secret d'authentification — aucune donnée personnelle) — UE (Allemagne)
  • OpenTimestampsAncrage blockchain Bitcoin (reçoit uniquement l'empreinte SHA-256)

Aucune donnée personnelle (nom, email, DDN) n'est transmise à OpenTimestamps, Umami, cron-job.org ni Upstash. Seule l'empreinte cryptographique anonyme est envoyée à OpenTimestamps.

Transferts hors UE :les transferts vers les États-Unis (Clerk, Vercel, Stripe, Resend, Sentry) sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision 2021/914) et, le cas échéant, par l'auto-certification au Data Privacy Framework (DPF) UE-États-Unis (Décision d'adéquation 2023/1795 du 10 juillet 2023).

Statut du hash SHA-256 :conformément à l'arrêt CJUE C-582/14 (Breyer, 2016), une empreinte cryptographique SHA-256 d'un fichier n'identifie pas une personne par construction (préimage cryptographiquement résistante) et n'est donc pas une donnée personnelle prise isolément. C'est sa jonction avec votre identifiant de compte qui constitue le traitement encadré ci-dessus.

6 — Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • ·AccèsObtenir une copie de vos données.
  • ·RectificationCorriger des données inexactes.
  • ·EffacementSupprimer vos données (dans les limites légales).
  • ·PortabilitéRecevoir vos données dans un format structuré.
  • ·OppositionVous opposer à certains traitements.
  • ·LimitationRestreindre un traitement en cas de contestation.

Pour exercer vos droits : legal@incipite.com. Réponse dans un délai de 30 jours. Vous pouvez également introduire une réclamation auprès de la CNIL.

7 — Cookies

Incipite utilise un nombre minimal de cookies strictement nécessaires au fonctionnement du service :

  • ·Cookie de session Clerk — maintien de l'authentification. Durée : session.

Aucun cookie publicitaire, aucun traceur tiers à des fins analytics n'est déposé.

8 — Sécurité

Incipite met en œuvre les mesures techniques et organisationnelles suivantes :

  • ·Chiffrement TLS en transit sur toutes les communications.
  • ·Accès à la base de données via Row-Level Security (RLS).
  • ·Clés secrètes gérées via des variables d'environnement chiffrées (Vercel).
  • ·Rate limiting par utilisateur pour prévenir les abus.
  • ·Aucun stockage côté serveur du contenu des fichiers.

9 — Modification de la présente politique

Toute modification substantielle sera notifiée par email avec un préavis de 15 jours. La version en vigueur est toujours accessible à l'adresse incipite.com/confidentialite.

Mentions légales →Conditions générales d'utilisation →

Une preuve d'antériorité forte — pas un dépôt légal