Skip to main content

Politique de confidentialité

Dernière mise à jour : mars 2026

1. Responsable du traitement

Astero (micro-entreprise, Marseille, France) est responsable du traitement de vos données personnelles. Contact DPO :

2. Données collectées

  • Compte : email, nom d'utilisateur, mot de passe hashé avec bcrypt (coût 14) — le mot de passe en clair n'est jamais stocké
  • OAuth Discord (si connexion via Discord) : identifiant Discord (snowflake), username Discord, avatar URL Discord. Les jetons d'accès et de rafraîchissement Discord sont chiffrés AES-256-GCM en base.
  • MFA (si activé) : secret TOTP chiffré et codes de récupération chiffrés
  • Bots créés : token Discord du bot (chiffré AES-256-GCM), application ID Discord, configuration JSON par module activé, logs d'activité
  • Serveurs Discord liés : identifiant de la guilde (snowflake), nom, icône, configuration par module (modération, niveaux, tickets, etc.). Pour les modules de modération AI, des messages des membres peuvent être analysés en temps réel (sans stockage long-terme sauf score de réputation utilisateur)
  • Transcripts de tickets : si vous activez le module Tickets, le contenu des messages échangés dans un ticket Discord est archivé dans nos bases (afin de fournir l'historique au staff). Conservation selon votre plan (voir §4)
  • Paiements : données de facturation via Stripe. Nous stockons uniquement un identifiant Stripe Customer ID, jamais le numéro de carte (PAN). Les factures Stripe contiennent nom et adresse fiscale fournis par l'utilisateur lors du paiement
  • Préférences : langue choisie (parmi 11 locales), thème (clair/sombre), préférences de notifications
  • Logs techniques : adresses IP, user-agent, timestamps et URL des requêtes vers l'API. Conservés pour la sécurité (anti-abus, debug) et la facturation (rate-limits)
  • Logs de modération : historique des actions de modération sur vos serveurs (sanctions, warnings) — conservés selon votre plan (voir §4)

Ce que nous ne collectons PAS : numéro de carte bancaire (PAN — géré par Stripe), localisation GPS, identifiants biométriques, données de santé, opinions politiques / religieuses, données sensibles au sens de l'article 9 du RGPD.

3. Finalités et bases légales

FinalitéBase légale
Création et gestion de compteExécution du contrat
Fourniture du service SaaS (bots)Exécution du contrat
Facturation et paiementsExécution du contrat + obligation légale
Amélioration du service (analytics)Intérêt légitime
Support clientIntérêt légitime
Notifications produit (opt-in)Consentement

4. Durée de conservation

  • Données de compte actif : durée de l'abonnement + 3 ans après dernier accès
  • Données de facturation (factures, paiements, paiements sortants) : 10 ans (obligation comptable, Code de commerce L123-22)
  • Logs applicatifs et de modération : 14 à 90 jours selon votre plan (Free 14j, Starter 30j, Pro 60j, Growth 90j, Enterprise illimité). Voir /docs/plans.
  • Logs techniques (adresses IP, user-agent associés aux requêtes serveur) : 30 jours glissants sur les serveurs applicatifs
  • Sauvegardes chiffrées (PostgreSQL, Redis) : 30 jours glissants en stockage froid
  • Après suppression de votre compte : les champs personnels (email, nom, identifiants Discord, secrets MFA, tokens OAuth) sont effacés immédiatement ; les enregistrements financiers (factures, paiements) sont conservés 10 ans conformément à la loi

5. Sous-traitants

  • Hetzner Online GmbH — hébergement des VPS (PostgreSQL, Redis, serveurs applicatifs) en Allemagne (UE)
  • Stripe — traitement des paiements et facturation (USA / UE)
  • Discord — OAuth2 + plateforme bot (USA)
  • Cloudflare — CDN, protection DDoS, terminaison TLS (mondial)
  • Backblaze B2 — stockage des sauvegardes chiffrées en stockage froid S3-compatible (USA)
  • Zoho Mail — envoi d'emails transactionnels (confirmation de compte, notifications) — région UE / USA / Inde selon configuration du compte Zoho
  • Sentry — error tracking (UE, Frankfurt — contexte de requête uniquement, sans PII des bodies)
  • Twitch — webhooks EventSub pour notifications créateurs (USA)
  • Vertex AI / Gemini (Google) — modération IA + chat (UE, europe-west1 ou europe-west4)

Liste détaillée des pratiques de sécurité et engagements de chaque sous-traitant sur notre page Security & Compliance.

6. Transferts hors Union Européenne

Certains de nos sous-traitants sont établis hors de l'Union Européenne. Les transferts de données sont encadrés par les garanties suivantes (article 44 et suivants du RGPD) :

  • Hetzner (Allemagne) : traitement intégralement dans l'UE — aucun transfert hors UE
  • Sentry (Allemagne, Frankfurt) : traitement intégralement dans l'UE
  • Google Vertex AI / Gemini (UE — région europe-west1 ou europe-west4) : traitement dans l'UE par défaut
  • Stripe (USA) : adhérent au cadre Data Privacy Framework (DPF) UE-USA
  • Discord (USA) : clauses contractuelles types (CCT) de la Commission européenne
  • Cloudflare (mondial) : adhérent au DPF UE-USA + CCT
  • Backblaze B2 (USA) : clauses contractuelles types (CCT) — les données sauvegardées sont chiffrées avec GPG (clé AES-256) avant upload, donc même en cas d'accès au stockage, les données restent illisibles sans la clé qui ne quitte jamais nos serveurs
  • Zoho Mail (UE / USA / Inde selon configuration du compte) : DPF UE-USA pour les datacenters US ; option de datacenter européen disponible
  • Twitch (USA, propriété d'Amazon) : adhérent au DPF UE-USA

7. Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (art. 15) : obtenir une copie de vos données. Endpoint : GET /api/users/data-export (depuis le tableau de bord)
  • Droit de rectification (art. 16) : corriger des données inexactes via votre tableau de bord ou par email
  • Droit à l'effacement (art. 17) : supprimer votre compte et vos données. Endpoint : DELETE /api/users/account ou demande à [email protected]
  • Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré JSON via le data-export
  • Droit à la limitation (art. 18) : geler temporairement le traitement de vos données
  • Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime (analytics, support)

Pour exercer vos droits : . Délai de réponse : 1 mois (extension possible à 3 mois pour les demandes complexes, conformément à l'article 12 RGPD).

Droit de réclamation auprès de la CNIL : si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés via cnil.fr/fr/plaintes.

8. Retrait du consentement

Conformément à l'article 7 §3 du RGPD, vous avez le droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur cette base légale (par exemple : notifications produit opt-in). Le retrait du consentement ne compromet pas la licéité du traitement effectué avant ce retrait.

Pour retirer votre consentement à un traitement spécifique :

  • Notifications email / produit : via les paramètres de votre tableau de bord ou le lien de désinscription présent dans chaque email
  • Autres traitements : par email à

9. Décisions automatisées et profilage

Conformément à l'article 22 du RGPD, vous êtes informé des traitements automatisés suivants effectués par Astero :

  • AI Moderator (modération assistée par IA) : si vous activez ce module, un score de réputation utilisateur est calculé automatiquement par notre service AI Moderator pour identifier les comportements toxiques. Ce score peut influencer les seuils de détection automatique sur vos serveurs (mémoire de réputation partagée entre serveurs gérés par le même propriétaire de bot). Aucune sanction automatique n'est appliquée sans validation : l'AI signale uniquement, la décision finale (avertissement, mute, ban) reste sous le contrôle du staff humain du serveur.
  • AutoMod : si vous activez les filtres automatiques (anti-spam, anti-raid, mots interdits), des actions automatiques (warning, mute temporaire) peuvent être déclenchées selon les règles que vous avez configurées. Vous pouvez les ajuster ou désactiver à tout moment depuis le tableau de bord.

Vous avez le droit de ne pas faire l'objet d'une décision exclusivement automatisée produisant des effets juridiques (article 22§1 RGPD). Si vous estimez avoir été affecté par une décision automatisée d'Astero, vous pouvez nous contacter à pour obtenir une intervention humaine et contester la décision.

10. Mineurs

Le service Astero est destiné à un usage par des personnes âgées d'au moins 13 ans (limite imposée par Discord pour l'utilisation de sa plateforme). En France, conformément à l'article 8 du RGPD et à la loi Informatique et Libertés, le consentement d'un parent ou tuteur légal est requis pour les utilisateurs de moins de 15 ans. Si vous êtes parent ou tuteur et constatez qu'un mineur de moins de 15 ans a créé un compte sans consentement, contactez pour la suppression immédiate du compte et des données associées.

11. Délégué à la protection des données (DPO)

Astero étant une micro-entreprise dont l'activité principale ne comprend pas le suivi régulier et systématique de personnes concernées à grande échelle au sens de l'article 37 du RGPD, la désignation d'un DPO formel n'est pas obligatoire à ce stade. Toutes les demandes liées à la protection des données sont traitées par le responsable du traitement (le fondateur d'Astero) à l'adresse . La nomination d'un DPO sera envisagée lorsque Astero atteindra le seuil de traitement à grande échelle.

12. Cookies

Astero utilise uniquement des cookies strictement nécessaires au fonctionnement du service (authentification JWT, préférence de langue). Aucun cookie publicitaire ou de tracking tiers n'est déposé. Détail complet sur notre politique de cookies.