Politique de confidentialité

Rurk est édité par Rurk SAS, société par actions simplifiée immatriculée en France, dont le siège social et l'adresse postale sont disponibles dans nos mentions légales. Notre Service permet à des particuliers de générer des portraits photographiques par intelligence artificielle, dans le style de photographes de référence.

Pour toute question relative à la protection des données, nous disposons d'un délégué à la protection des données (DPO) joignable à dpo@rurk.ai.

Nous collectons les catégories de données suivantes :

• Données de compte : adresse email, nom, photo de profil et identifiant Google fournis lors de l'authentification.
• Selfies importés : les trois photos que vous importez pour générer vos portraits. Elles sont strictement personnelles à votre session.
• Portraits générés : les images produites par notre Service à partir de vos selfies et du style choisi.
• Données de facturation : informations de paiement gérées par Stripe (nous ne stockons jamais le numéro complet de votre carte bancaire), historique d'abonnement, factures.
• Données techniques : adresse IP tronquée, user-agent, journaux d'erreur, dates et heures de connexion, à des fins de sécurité et de bon fonctionnement.

Nous utilisons vos données uniquement pour :

• Fournir le Service : générer vos portraits, afficher votre galerie, gérer votre espace de travail.
• Exécuter le contrat : encaisser vos paiements, vous facturer, vous donner accès aux fonctionnalités de votre forfait.
• Prévenir la fraude et les abus : limiter les générations multiples par adresse IP ou par compte, détecter les comportements automatisés.
• Vous tenir informé : envoyer les emails transactionnels indispensables (bienvenue, factures, alertes de sécurité). Aucun email marketing sans votre opt-in préalable.
• Respecter nos obligations légales : conservation comptable, réponse aux réquisitions des autorités compétentes.

Chaque traitement repose sur l'une des bases légales prévues à l'article 6 du RGPD :

• Exécution du contrat pour la création de compte, la génération de portraits et la facturation.
• Intérêt légitime pour la sécurité du Service, la prévention des abus et l'amélioration de la qualité technique.
• Obligation légale pour la conservation des factures pendant la durée fiscale applicable.
• Consentement pour les cookies non strictement nécessaires (mesure d'audience) et l'éventuelle communication marketing.

Vos données sont hébergées dans l'Union européenne. Plus précisément :

• Base de données et application : Railway (région Europe occidentale).
• Fichiers (selfies, portraits) : stockage objet compatible S3 hébergé en Europe (Cloudflare R2, région Europe).
• Authentification : Google (USA) pour le seul flux OAuth, avec transfert encadré par les clauses contractuelles types de la Commission européenne.

Vos selfies et portraits restent accessibles aussi longtemps que votre compte est actif. Vous pouvez les supprimer à tout moment depuis votre espace.

Lorsque vous supprimez votre compte, vos données de compte et vos contenus sont effacés sous 30 jours. Pour répondre à nos obligations comptables et fiscales, nous conservons un journal des factures et des paiements pendant trois (3) ans après la dernière action de votre compte. Au-delà, ces traces sont anonymisées ou détruites.

Conformément au RGPD, vous disposez à tout moment des droits suivants sur les données qui vous concernent :

• Droit d'accès : obtenir une copie de vos données.
• Droit de rectification : corriger une donnée inexacte.
• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données.
• Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
• Droit à la limitation : demander la suspension temporaire d'un traitement.
• Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
• Droit de définir vos directives post-mortem concernant le devenir de vos données après votre décès.

Pour exercer ces droits, écrivez-nous à dpo@rurk.ai. Nous répondrons sous un délai d'un mois. Vous avez par ailleurs la possibilité d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

Rurk utilise un nombre limité de cookies, classés en deux catégories.

Cookies strictement nécessaires

• NEXT_LOCALE : mémorise votre préférence de langue (FR ou EN), durée 12 mois.
• authjs.session-token : maintient votre session connectée, supprimé à la déconnexion ou à l'expiration.
• rurk_preview_used : empêche l'abus de la prévisualisation gratuite depuis une même IP, durée 30 jours.
• rurk_cookies : mémorise votre choix de consentement (tous ou essentiels uniquement), durée 12 mois.

Ces cookies ne nécessitent pas votre accord car ils sont indispensables au fonctionnement du Service.

Cookies soumis à consentement

Nous n'activons aucun cookie de mesure d'audience ou de marketing tant que vous n'avez pas cliqué sur « Tout accepter ». Si vous choisissez « Essentiels uniquement », seuls les cookies ci-dessus seront déposés.

Nous faisons appel à des prestataires techniques de confiance pour faire fonctionner le Service. Chacun est lié par un contrat de sous-traitance conforme à l'article 28 du RGPD.

• Google (Irlande / États-Unis) : authentification OAuth.
• Stripe (Irlande) : traitement des paiements et facturation.
• OpenAI (États-Unis) : génération d'images. Les selfies que vous importez sont envoyés temporairement à OpenAI pour la durée de la génération uniquement et ne sont pas conservés au-delà.
• Resend (Union européenne) : envoi des emails transactionnels.
• Railway (Europe) et Cloudflare (Europe) : hébergement et stockage.

Aucune donnée n'est vendue ou louée à un tiers. Les transferts hors UE sont encadrés par les clauses contractuelles types de la Commission européenne.

Rurk n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données concernant des mineurs. Si vous êtes parent ou tuteur et constatez qu'un mineur nous a transmis ses données, écrivez-nous à dpo@rurk.ai et nous procéderons à leur suppression.

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement en transit (HTTPS/TLS), accès restreint aux bases de données, journalisation des actions sensibles, sauvegardes régulières et tests réguliers de sécurité. Malgré ces précautions, aucun système n'est infaillible — en cas de violation de données susceptible d'engendrer un risque pour vos droits, nous vous en informerons sous 72 heures.

Cette politique peut être mise à jour pour refléter une évolution du Service ou de la réglementation. La date en haut de page indique la version en vigueur. En cas de changement substantiel, nous vous en informerons par email ou par une notification dans l'application.