Sécurité et traitement des données

Screenshots.live est un service exploité depuis l'Allemagne. Cette page décrit comment vos données de compte, vos modèles et vos captures d'écran rendues sont stockés, traités et protégés. Dernière mise à jour : 2026-05-05.

Où les données sont-elles hébergées ?

Les serveurs applicatifs et le pipeline de rendu fonctionnent sur une infrastructure cloud située dans l'UE (principalement Hetzner, régions de Francfort et d'Helsinki). Le primaire PostgreSQL, le cache Redis et le stockage objet compatible S3 résident tous dans l'UE. Aucune donnée client ne quitte l'UE en fonctionnement normal.

Comment les données sont-elles chiffrées ?

Tout le trafic entre votre client et Screenshots.live est en TLS 1.3. Les connexions de base de données depuis les serveurs applicatifs vers PostgreSQL utilisent TLS. Le stockage objet utilise HTTPS. Les sauvegardes sont chiffrées au repos. Les clés API sont stockées sous forme de hachages bcrypt — seul le préfixe (p. ex. sa_live_…) est conservé en clair pour l'affichage.

Où les captures d'écran rendues sont-elles stockées ?

Les rendus sont écrits dans un bucket compatible S3 chez Hetzner sous un préfixe par utilisateur. Chaque rendu dispose d'une URL signée unique valide 24 heures par défaut. Les rendus du niveau Trial sont supprimés après 24 heures. Les rendus des niveaux Standard et Pro sont conservés 30 jours. Vous pouvez supprimer manuellement n'importe quel rendu via l'API ou le tableau de bord.

Que se passe-t-il quand je supprime un compte ?

La suppression d'un compte retire toutes les données du compte (enregistrement utilisateur, modèles, éléments, rendus, polices, clés API) dans un délai de 24 heures. Une tâche nocturne de nettoyage des orphelins retire tout objet de stockage qui n'est plus référencé par un enregistrement actif. La rétention des sauvegardes est de 30 jours ; les données dans les sauvegardes sont purgées selon la rotation standard.

Quelle est votre posture GDPR ?

Screenshots.live traite les données de compte au titre de l'article 6(1)(b) du GDPR (nécessité contractuelle). Nous signons des accords de traitement des données (DPA) sur demande — contactez eric.isensee@icloud.com. Les droits des personnes concernées (accès, rectification, effacement, portabilité) peuvent être exercés via le tableau de bord ou en envoyant un e-mail à la même adresse.

Collectez-vous des analytiques ?

Les analytiques du site marketing (Microsoft Clarity, GA4 optionnel) sont chargées uniquement après consentement explicite aux cookies et respectent prefers-reduced-motion et les signaux Do-Not-Track. La télémétrie côté application est limitée à des métriques opérationnelles (taux de requêtes, durée de rendu, nombre d'erreurs) et ne suit pas le comportement des utilisateurs individuels.

Comment gérez-vous les incidents ?

Les incidents en production sont suivis en interne ; les pannes importantes et tout incident lié aux données sont communiqués aux utilisateurs concernés par e-mail dans les 72 heures suivant l'impact confirmé. Nous ne maintenons pas actuellement de page de statut publique ; contactez l'adresse e-mail si vous observez un comportement dégradé.

Y a-t-il des sous-traitants tiers ?

Les sous-traitants incluent Hetzner (hébergement), Stripe (paiements) et Microsoft Clarity (analytiques optionnelles). Stripe ne reçoit que l'e-mail de facturation et le jeton du moyen de paiement ; les détails de carte de paiement ne touchent jamais les serveurs Screenshots.live. La liste complète des sous-traitants est disponible sur demande.

Et SOC 2 / ISO 27001 ?

Screenshots.live n'est actuellement pas certifié SOC 2 ni ISO 27001. Pour les clients entreprise nécessitant une assurance formelle, nous serions ravis de présenter nos contrôles internes et de signer un questionnaire de sécurité personnalisé. Envoyez un e-mail à eric.isensee@icloud.com pour entamer la conversation.

Comment signaler une vulnérabilité ?

Envoyez un e-mail à eric.isensee@icloud.com avec les détails. Nous nous engageons à accuser réception sous 48 heures et à travailler de bonne foi avec les rapporteurs. Nous n'opérons actuellement pas de programme de bug bounty rémunéré, mais créditerons publiquement les rapporteurs avec leur permission.