Politique de confidentialité
La présente Politique de confidentialité décrit la manière dont les données à caractère personnel sont collectées et traitées dans le cadre de l'utilisation de la plateforme Zebulo, conformément au Règlement (UE) 2016/679 (ci-après le « RGPD ») et à la loi n°78-17 du 6 janvier 1978 modifiée (loi « Informatique et Libertés »). Elle s'adresse aux utilisateurs professionnels de la plateforme ainsi qu'aux personnes dont les données sont traitées par l'intermédiaire des fonctionnalités du service.
1. Responsable du traitement et contact
Le responsable du traitement est MKOMM (EURL au capital de 1 000 €, siège social : 28 rue Gabriel Péri, 92110 Clichy, France — SIRET 791 317 878 00035 — RCS Nanterre 791 317 878 — TVA FR90 791 317 878), représentée par Monsieur Michael Kalfon, éditrice de la plateforme Zebulo.
Pour toute question relative au traitement de vos données ou pour exercer vos droits, vous pouvez contacter le point de contact « protection des données » de MKOMM :
contact@zebulo.com
2. Catégories de données collectées
Selon votre utilisation du service, nous sommes susceptibles de traiter les catégories de données suivantes :
- Données d'identité et de compte : adresse email, nom, mot de passe (stocké sous forme chiffrée par notre fournisseur d'authentification), avatar, rôle, formule d'abonnement et informations associées au compte ;
- Contenus et consignes fournis : consignes textuelles (prompts), éléments de marque (nom, site, identifiants de réseaux sociaux), textes, images et, le cas échéant, vidéos que vous téléversez ou générez via la plateforme — ces fichiers peuvent contenir des personnes identifiables ;
- Données d'usage : actions réalisées sur la plateforme, projets créés, historique des générations, préférences ;
- Données techniques et journaux : adresse IP, type de navigateur, données de connexion, journaux d'événements et journaux d'erreurs techniques ;
- Données de paiement : informations nécessaires à la facturation et à la gestion de l'abonnement, traitées par notre prestataire de paiement Stripe (nous n'avons pas accès aux numéros complets de carte bancaire) ;
- Données de prospection B2B : dans le cadre de l'activité d'acquisition commerciale de Zebulo, données strictement professionnelles relatives à des entreprises et à leurs interlocuteurs professionnels : raison sociale, identifiants légaux (SIREN, SIRET), code d'activité, adresse de l'établissement et, le cas échéant, coordonnées professionnelles de contact (site, adresse électronique, nom et fonction professionnelle). Voir la section dédiée 10.
3. Finalités des traitements
Vos données sont traitées pour les finalités suivantes :
- création, gestion et sécurisation de votre compte et de votre espace de travail ;
- fourniture du service de génération de contenus par intelligence artificielle (texte, image, carrousel, animation, slideshow, vidéo) ;
- gestion des abonnements, de la facturation et des paiements ;
- support client et communication relative au service ;
- amélioration, supervision et sécurité de la plateforme (mesures techniques, prévention des abus, débogage) ;
- respect de nos obligations légales et comptables ;
- prospection commerciale B2B dans le cadre de l'activité d'acquisition de Zebulo (voir section 10).
4. Bases légales
Chaque traitement repose sur l'une des bases légales prévues par l'article 6 du RGPD :
- Exécution du contrat (art. 6-1-b) : gestion du compte, fourniture du service, abonnements et paiements ;
- Intérêt légitime (art. 6-1-f) : sécurité et amélioration de la plateforme, prévention des abus, prospection commerciale B2B ;
- Obligation légale (art. 6-1-c) : conservation des documents comptables et fiscaux ;
- Consentement (art. 6-1-a), le cas échéant : pour toute fonctionnalité optionnelle le requérant expressément (voir notamment section 9 sur les fonctions vocales).
5. Destinataires et sous-traitants
Vos données sont accessibles aux personnes habilitées au sein de MKOMM. Pour fournir le service, MKOMM recourt à des prestataires techniques agissant en qualité de sous-traitantsau sens de l'article 28 du RGPD, encadrés par des accords de traitement des données. La liste des principaux sous-traitants est la suivante :
- Supabase — base de données, authentification et stockage des fichiers (données hébergées dans l'Union européenne, en Irlande ; société mère aux États-Unis) ;
- Railway — hébergement de l'application et journaux d'exécution (États-Unis) ;
- Anthropic — génération et analyse de texte par intelligence artificielle (États-Unis) ;
- Google (Gemini) — génération et analyse d'images et de médias (États-Unis) ;
- Kling / Kie.ai — génération de vidéos par intelligence artificielle (Chine, via un intermédiaire technique) ;
- OpenAI — génération d'images de secours (États-Unis) ;
- RunwayML — édition vidéo par intelligence artificielle (États-Unis) ;
- Klap — découpage et réutilisation de vidéos par intelligence artificielle (localisation à confirmer ; encadrement contractuel en cours) ;
- ElevenLabs — synthèse vocale pour les fonctions de voix off (États-Unis) ;
- Apify — collecte de données publiques sur les réseaux sociaux pour l'analyse de marque et la prospection (République tchèque, Union européenne) ;
- Stripe — traitement des paiements et de la facturation (entité européenne en Irlande ; groupe aux États-Unis) ;
- Resend — envoi d'emails transactionnels et de prospection (États-Unis) ;
- Sentry — supervision et détection des erreurs techniques (États-Unis ; configuration minimisant les données personnelles).
Vos données peuvent également être communiquées aux autorités administratives ou judiciaires lorsque la loi l'impose. Aucune donnée n'est vendue à des tiers.
6. Transferts de données hors Union européenne
Certains de nos sous-traitants sont établis ou traitent des données en dehors de l'Union européenne, notamment aux États-Unis (Railway, Anthropic, Google Gemini, OpenAI, RunwayML, ElevenLabs, Resend, Sentry, et le groupe Stripe) et en Chine (génération vidéo via Kling / Kie.ai).
Transfert vers la Chine.L'utilisation de la fonctionnalité de génération de vidéos par intelligence artificielle implique le transfert, vers un sous-traitant établi en Chine, des images et des consignes textuelles nécessaires à la génération de la vidéo. La Chine ne fait pas l'objet d'une décision d'adéquation de la Commission européenne. Ce transfert est encadré par des clauses contractuelles types adoptées par la Commission européenne et par des mesures complémentaires appropriées. Si vous ne souhaitez pas que vos contenus soient transférés à cet effet, il vous appartient de ne pas recourir à la fonctionnalité de génération de vidéos.
Transferts vers les États-Unis et autres pays tiers. Ces transferts sont encadrés par des garanties appropriées au sens des articles 44 et suivants du RGPD, principalement les clauses contractuelles typesde la Commission européenne et, le cas échéant, l'adhésion du prestataire au cadre de protection des données applicable (Data Privacy Framework). Une copie des garanties mises en place peut être demandée à contact@zebulo.com.
7. Durées de conservation
Les données sont conservées pour une durée n'excédant pas celle nécessaire aux finalités poursuivies :
- Données de compte et contenus associés : pendant toute la durée de la relation contractuelle, puis archivées jusqu'à 3 ans après la fin du contrat (à des fins de gestion de la relation et de preuve), sous réserve des durées légales ;
- Journaux techniques et journaux d'erreurs : 12 mois ;
- Documents comptables et factures : durée légale de conservation applicable (10 ans pour les pièces comptables) ;
- Données de prospection B2B : au maximum 3 ans à compter du dernier contact resté sans réponse, conformément aux recommandations de la CNIL, ou jusqu'à demande d'opposition. Le registre d'opposition (coordonnées des personnes s'étant opposées au démarchage) n'est pas soumis à cette purge : il est conservé afin de garantir qu'une personne opposée ne soit plus jamais recontactée ;
- Données de paiement : selon les obligations légales et la politique du prestataire de paiement.
8. Sécurité
MKOMM met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés : chiffrement des communications (HTTPS/TLS), cloisonnement des accès par règles de sécurité au niveau de la base de données, authentification, hébergement professionnel, supervision des incidents et minimisation des données collectées. En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, les personnes concernées et, le cas échéant, la CNIL, seront informées conformément aux articles 33 et 34 du RGPD.
9. Fonctions vocales
Le service peut proposer des fonctions de synthèse vocale (voix off) permettant de générer une piste audio à partir d'un texte. Ces fonctions ne reposent pas, par défaut, sur le traitement de données biométriques.
Une éventuelle fonction de clonage vocal(création d'une voix à partir d'un échantillon de la voix d'une personne) constituerait un traitement de données biométriques au sens de l'article 9 du RGPD. Une telle fonction n'est pas activée par défautet nécessiterait, préalablement à toute mise en œuvre, le recueil d'un consentement explicite et distinctde la personne concernée, ainsi que la garantie par l'utilisateur qu'il dispose des droits nécessaires sur la voix concernée.
10. Données de prospection commerciale B2B
Dans le cadre de son développement commercial, MKOMM mène une activité de prospection auprès de professionnels (B2B) afin de présenter l'offre Zebulo à des entreprises dont l'activité correspond à cette offre. À cette fin, MKOMM collecte des données strictement professionnelles, de manière indirecte(c'est-à-dire sans les recueillir directement auprès des personnes concernées), à partir de sources accessibles au public :
- des registres et annuaires d'entreprises publics (notamment la base Sirene de l'INSEE et des annuaires professionnels) ;
- des informations professionnelles rendues publiques par le professionnel sur son profil ou sa page en ligne.
Les données traitées peuvent inclure : la raison sociale de l'entreprise, ses identifiants légaux (SIREN, SIRET), son code d'activité, l'adresse de l'établissement et, le cas échéant, des coordonnées professionnelles de contact (site, adresse électronique, nom et fonction professionnelle). Aucune donnée sensible n'est collectée.
Base légale. Ce traitement repose sur l'intérêt légitime(art. 6-1-f) de MKOMM à développer son activité commerciale auprès de professionnels, mis en balance avec les droits et libertés des personnes concernées et limité à un démarchage B2B pertinent.
Information des personnes (art. 14 RGPD).S'agissant d'une collecte indirecte, les personnes concernées sont informées au plus tard lors du premier contact, dans un délai raisonnable et au maximum dans le mois suivant la collecte. Cette information est délivrée par un double canal : une mention figurant dans le premier message (identité du responsable du traitement, finalité, origine des données, droits) et une page d'information dédiée, accessible depuis chaque message, détaillant l'origine des données, la finalité, la base légale, la durée de conservation et les modalités d'exercice des droits (vos données et vos droits).
Droit d'opposition et désinscription (opt-out). Chaque message de prospection comporte un lien de désinscription en un clic, simple et gratuit. Toute personne peut à tout moment s'opposer au traitement de ses données à des fins de prospection, via ce lien, en répondant « STOP » au message, ou en écrivant à contact@zebulo.com. Toute opposition entraîne le retrait immédiat des envois et l'inscription dans un registre d'opposition permanent, qui empêche tout nouveau contact ultérieur.
11. Contenus générés par intelligence artificielle — transparence
Zebulo est un système d'intelligence artificielle générative. Les contenus produits (textes, images, animations, vidéos) sont générés de manière automatisée à partir des consignes fournies par l'utilisateur. Conformément aux exigences de transparence applicables (notamment le règlement européen sur l'intelligence artificielle), l'utilisateur est informé qu'il interagit avec un système d'IA et que les contenus obtenus sont générés artificiellement. Il appartient à l'utilisateur, lorsqu'il diffuse de tels contenus, de respecter les obligations de transparence et d'identification qui peuvent lui incomber (par exemple le marquage des contenus générés ou manipulés artificiellement).
12. Vos droits
Conformément au RGPD, vous disposez, dans les conditions prévues par la réglementation, des droits suivants :
- Droit d'accès à vos données ;
- Droit de rectification des données inexactes ou incomplètes ;
- Droit à l'effacement (« droit à l'oubli ») ;
- Droit d'opposition, notamment au traitement à des fins de prospection ;
- Droit à la limitation du traitement ;
- Droit à la portabilité des données que vous nous avez fournies ;
- Droit de définir des directives relatives au sort de vos données après votre décès.
Modalités d'exercice. Vous pouvez exercer ces droits en écrivant à contact@zebulo.com. Une preuve d'identité pourra être demandée en cas de doute raisonnable. Nous répondons dans un délai d'un (1) mois, pouvant être prolongé de deux mois en cas de complexité, conformément au RGPD.
13. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) : 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.
14. Cookies
Zebulo n'utilise que des cookies strictement nécessaires au fonctionnement du service. Pour plus d'informations, consultez la Politique de cookies.
15. Modification de la présente politique
La présente politique peut être mise à jour à tout moment afin de refléter l'évolution du service ou de la réglementation. La date de dernière mise à jour figure en tête de page. En cas de modification substantielle, les utilisateurs en seront informés par un moyen approprié.