Légal
Politique de confidentialité
Dernière mise à jour : 23 mai 2026. Version v2.0. Conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).
§1 — Identité du responsable du traitement
Melodiza Ltd
Company Registration Number (CRN) : 17187133
71-75 Shelton Street, Covent Garden, London WC2H 9JQ, United Kingdom
Email RGPD : [email protected]
Melodiza Ltd est établie hors UE (UK post-Brexit). Nous ne disposons pas actuellement de représentant UE désigné au sens de l'article 27 RGPD. Pour exercer vos droits, contactez [email protected].
§2 — Données collectées, finalités et bases légales
Melodiza Ltd collecte et traite les catégories de données suivantes :
Clients B2B (Abonnés)
- Données d'identification (nom, prénom, email professionnel, nom et adresse de l'établissement, SIRET) — Finalité : exécution du contrat d'abonnement — Base légale : art. 6.1.b RGPD (exécution du contrat)
- Données de paiement (traitées directement par Stripe — Melodiza Ltd ne stocke aucune donnée bancaire) — Finalité : facturation — Base légale : art. 6.1.b RGPD
- Données d'utilisation (playlists, préférences musicales, historique de diffusion, connexions) — Finalité : fourniture et amélioration du Service — Base légale : art. 6.1.b + 6.1.f RGPD (exécution du contrat + intérêt légitime à améliorer le service)
- Numéro TVA intracommunautaire (si applicable) — Finalité : conformité fiscale — Base légale : art. 6.1.c RGPD (obligation légale)
Prospects D2D (démarchage commercial)
- Coordonnées professionnelles (nom, téléphone, email, adresse établissement) — Finalité : prospection commerciale B2B — Base légale : art. 6.1.f RGPD (intérêt légitime à développer l'activité commerciale, équilibré avec les droits des personnes concernées)
- Notes commerciales (potentiel client, segmentation A/B/C/D) — Finalité : optimisation de la prospection — Base légale : art. 6.1.f RGPD
- Données géographiques des établissements commerciaux (latitude/longitude dérivées de l'adresse postale professionnelle) — Finalité : optimisation des tournées terrain D2D (outil interne, non communiqué à des tiers) — Base légale : art. 6.1.f RGPD (intérêt légitime à l'efficacité commerciale, proportionné car données professionnelles publiques) — Source : géocodage via le service public IGN Géoplateforme (data.geopf.fr/geocodage), hébergé par l'État français — Stockage : base de données Supabase EU-Central-1 (Francfort) + cache Cloudflare KV EU — Durée de conservation : 3 ans depuis le dernier contact actif, conformément au référentiel CNIL 2021-131 — Droit d'opposition : tout établissement peut demander la suppression de ses données géographiques en contactant [email protected]
Visiteurs du site melodiza.com
- Données techniques (adresse IP, navigateur, appareil, pages visitées) — Finalité : sécurité et fonctionnement du site — Base légale : art. 6.1.f RGPD (intérêt légitime à la sécurité du service)
- Données analytics (PostHog Cloud EU, configuration cookieless) — Finalité : mesure d'audience et amélioration du site — Base légale : art. 6.1.f RGPD ou consentement (art. 6.1.a) selon la configuration du mode cookieless
Communications marketing — opt-in (Melodiza et partenaires)
Lors de votre inscription au formulaire souscrire, deux cases distinctes, décochées par défaut, vous permettent de consentir indépendamment à recevoir :
- Offres commerciales Melodiza (email, prénom, nom, type d'établissement, code postal) — Finalité : vous transmettre par email les actualités, conseils et offres commerciales de Melodiza — Base légale : art. 6.1.a RGPD (consentement explicite et révocable) — Destinataires : Melodiza Ltd uniquement (envoi via Brevo SAS, sous-traitant EU listé en Annexe 1) — Durée : jusqu'au retrait du consentement ou à 3 ans d'inactivité (CNIL Réf. 2021-131) — Retrait : lien de désinscription dans chaque email OU espace client → Paramètres → Confidentialité & données.
- Offres commerciales partenaires (email, prénom, nom, type d'établissement, code postal) — Finalité : vous transmettre par email des offres commerciales de catégories de partenaires sélectionnés par Melodiza (équipement audio professionnel, assurance multirisque commerce, logiciels de gestion et caisse) — Base légale : art. 6.1.a RGPD (consentement explicite et révocable, distinct du consentement précédent) — Destinataires : voir la liste des catégories de partenaires, actualisée à mesure des partenariats signés — Durée : jusqu'au retrait du consentement ou à 3 ans d'inactivité — Retrait : espace client → Paramètres → Confidentialité & données.
Ces deux consentements sont strictement indépendants : refuser l'un n'empêche pas d'accepter l'autre, et inversement. Les deux cases sont décochées par défaut au moment de l'inscription. Aucun de ces consentements n'est requis pour souscrire au service Melodiza.
§3 — Durées de conservation
Les données sont conservées pour les durées suivantes :
| Catégorie de données | Durée de conservation | Fondement |
|---|---|---|
| Données clients actifs (profil, playlists) | Durée de l'abonnement + 5 ans post-résiliation | Prescription action récursoire SACEM/SPRE + CNIL Réf. 2021-131 |
| Données de facturation et factures | 10 ans | Art. L.123-22 Code de commerce |
| Prospects B2B (D2D) | 3 ans depuis le dernier contact actif | CNIL Référentiel 2021-131 |
| Logs techniques (connexions, events) | 12 mois | CNIL/ANSSI recommandations sécurité |
| Cookies et traceurs | 13 mois maximum | Délibération CNIL 2020-091 |
| Logs de consentement (consent_log) | 5 ans | RGPD art. 7.1 + EDPB Guidelines |
| Opt-in marketing (Melodiza et partenaires) | Jusqu'au retrait ou 3 ans d'inactivité | CNIL Réf. 2021-131 + RGPD art. 7.3 (retrait à tout moment) |
| Certificats de diffusion PDF | Durée du contrat + 5 ans | Prescription action SACEM/SPRE |
| Demandes d'exercice des droits | 3 ans après la demande | Prescription civile + obligation de preuve |
§4 — Destinataires et sous-traitants
Vos données ne sont jamais vendues à des tiers. Pour fournir notre service, nous faisons appel à des sous-traitants soigneusement sélectionnés pour leur niveau de sécurité et leur conformité RGPD. La liste exhaustive de nos sous-traitants est disponible en Annexe 1 ci-dessous.
Annexe 1 — Tableau des sous-traitants
| Sous-traitant | Catégorie | Localisation | Mécanisme de transfert |
|---|---|---|---|
| Supabase Inc. | Hébergement base de données, authentification, stockage fichiers | EU-Central-1 (Francfort, Allemagne) | SCCs + UK Addendum (société mère US) |
| Cloudflare Inc. | CDN, stockage R2 (fichiers audio), Workers, Turnstile | Distribué EU/US | DPF EU-US + SCCs + Customer DPA |
| Stripe Inc. | Paiement et facturation | US | DPF EU-US + UK Extension + SCCs |
| Brevo SAS | Emailing transactionnel et marketing | France (Paris) | UE (controller français) + SCCs sous-processeurs US |
| Anthropic PBC | IA générative (assistant SAV Claude) | US | DPF EU-US + SCCs (DPA 01/01/2026) |
| Sentry (Functional Software Inc.) | Observabilité et gestion des erreurs | US | DPF EU-US + UK Extension + SCCs |
| PostHog Inc. | Analytics produit | EU (Francfort, Allemagne) | Instance EU uniquement — pas de transfert hors UE |
| Inngest Inc. | Orchestration des tâches asynchrones et workflows | US | SCCs (DPA à confirmer) |
| Modal Labs Inc. | Compute GPU (génération musicale IA) | US | SCCs Module 1/2/3 (DPA modal.com/legal/dpa) |
| Replicate Inc. | Compute GPU IA | US | DPA en cours de signature ([email protected]) |
| Resend Inc. | Emailing fallback transactionnel | US | DPF EU-US + SCCs (resend.com/legal/dpa) |
| Pexels (Canva Germany GmbH) | Images de couverture de playlists (stock photos) | UE (Berlin, Allemagne) | UE — pas de PII client transféré |
| Vercel Inc. | Hébergement frontend (dashboard admin) | US | DPF EU-US + SCCs + représentant UE EDPO |
§5 — Transferts hors UE
Les transferts de données hors Union européenne sont organisés en trois catégories :
- Données traitées en UE (Supabase Frankfurt, PostHog EU Frankfurt, Brevo France) : aucune garantie supplémentaire requise.
- Transferts UE → US couverts par le Data Privacy Framework (DPF) (Stripe, Cloudflare, Sentry, Anthropic, Resend, Vercel) : décision d'adéquation 2023/1795 de la Commission européenne du 10 juillet 2023. Ces entités sont certifiées DPF auprès du Department of Commerce américain.
- Transferts UE → US sous Clauses Contractuelles Types (SCCs) (Modal Labs, Inngest, Replicate) : clauses contractuelles types adoptées par la Commission européenne (décision 2021/914), modules 1, 2 ou 3 selon la nature du traitement. Des Transfer Impact Assessments (TIA) sont réalisés pour ces flux.
§6 — Vos droits (articles 15 à 22 RGPD)
Conformément au RGPD (articles 13.2.b et 15 à 22), vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données personnelles traitées par Melodiza Ltd
- Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes
- Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, lisible par machine, ou les faire transférer directement à un autre responsable de traitement
- Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime (notamment pour la prospection commerciale)
- Droit à la limitation du traitement (art. 18) : demander la suspension du traitement de vos données pendant une vérification ou un litige
- Droit de retrait du consentement (art. 7.3) : retirer à tout moment votre consentement sans que cela n'affecte la licéité des traitements antérieurs
Procédure : Envoyez un email à [email protected] avec un justificatif d'identité (pièce d'identité ou tout document équivalent). Melodiza Ltd répond sous 30 jours à compter de la réception de la demande complète.
Des endpoints d'exercice direct des droits sont disponibles depuis votre Espace client (Paramètres → Données personnelles) : export, demande de suppression, rectification.
§7 — Profilage et segmentation automatisée
Melodiza Ltd utilise une segmentation automatique des prospects (catégories A/B/C/D basées sur le potentiel commercial estimé et les délais de signature) à des fins d'optimisation commerciale. Cette segmentation n'a pas d'effet juridique sur votre situation et ne constitue pas une décision automatisée produisant des effets significatifs au sens de l'article 22 RGPD.
Vous pouvez vous opposer à cette segmentation ou demander une révision manuelle via [email protected].
§8 — Cookies et traceurs
Ce site utilise trois catégories de cookies :
- Nécessaires : toujours actifs, indispensables au fonctionnement du service (session, sécurité, préférences)
- Mesure d'audience : PostHog Cloud EU, configuré en mode cookieless conforme à l'exemption CNIL (art. 82 LIL)
- Marketing : Brevo tracking, soumis à votre consentement préalable
Voir notre politique cookies détaillée pour la liste complète et la gestion de vos préférences.
§9 — Sécurité des données (article 32 RGPD)
Melodiza Ltd met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des communications : TLS 1.3 minimum sur toutes les connexions
- Sécurité de la base de données : Row-Level Security (RLS) PostgreSQL activé sur toutes les tables sensibles
- Monitoring des erreurs : Sentry avec
maskAllText: trueetmaskAllInputs: truepour éviter toute capture de données personnelles dans les sessions de replay - Protection contre les attaques : Cloudflare WAF (Web Application Firewall) activé
- Gestion des accès : authentification multi-facteurs pour les accès administrateurs
§10 — Mineurs
Le Service Melodiza est exclusivement destiné à des professionnels (B2B). Melodiza Ltd ne collecte pas et ne traite pas sciemment de données personnelles relatives à des mineurs. Si une telle situation était portée à notre connaissance, les données concernées seraient immédiatement supprimées.
§11 — Droit d'introduire une plainte auprès de la CNIL
Si vous estimez que le traitement de vos données porte atteinte à vos droits, vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente :
- En France : Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr/fr/plaintes
- Au Royaume-Uni : Information Commissioner's Office (ICO) — ico.org.uk/make-a-complaint/
Nous vous encourageons à nous contacter au préalable à [email protected] afin de trouver une solution amiable.
§12 — Modifications de la politique de confidentialité
Toute modification substantielle de la présente politique de confidentialité est notifiée par email à l'adresse de contact des personnes concernées, avec un préavis de 30 jours avant son entrée en vigueur. La version en vigueur est toujours accessible à l'adresse melodiza.com/confidentialite avec la date de mise à jour.
Les présentes mentions légales sont rédigées en langue française. Toute traduction en d'autres langues est fournie à titre informatif. En cas de divergence, la version française prévaut.