Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement au sens du Règlement général sur la protection des données (RGPD) est :

IMH Group, Inc.
8 The Green, Ste B
Dover, DE 19901
United States

Authorized representative: Christian Aberle
Contact général : info@imh-group.us, Téléphone : +1 (302) 212-0640

Demandes relatives à la protection des données (accès, effacement, rectification, opposition) : info@imh-group.us

Les informations sur l'entreprise sont également disponibles dans les Mentions légales ou Imprint – IMH Group Inc.

2. Finalité de l'application

YT Stream est un outil d'administration interne de IMH Group, Inc. pour la gestion des streams en direct YouTube (chaînes, playlists, plannings, médias). L'accès est réservé au personnel et aux administrateurs autorisés. Aucun cookie de suivi des visiteurs, de marketing ou d'analyse n'est utilisé.

3. Données traitées

• Comptes utilisateur : Nom d'utilisateur, hash du mot de passe (bcrypt), rôle (administrateur/personnel), statut d'activation, horodatage de création.
• Cookie de session : techniquement requis pour la connexion et l'autorisation (voir section 4).
• Configuration des chaînes et streams : Noms de chaînes, slugs, plannings, entrées de playlist (chemins/titres de fichiers), paramètres d'encodage.
• Clés de stream et jetons OAuth : stockés chiffrés dans la base de données (Fernet, dérivé du secret de l'application).
• Journal d'audit : Horodatage, nom d'utilisateur connecté, action (p. ex. créer, modifier, démarrer/arrêter), ID de chaîne optionnel et détail court (p. ex. nom de chaîne) — pas de mots de passe ni de clés de stream en clair.
• Sécurité / limitation de débit : Adresse IP lors de tentatives de connexion échouées, temporairement en mémoire (max. 15 minutes, non stockée de façon permanente).
• Journaux opérationnels et d'erreur : journaux techniques sur le serveur (Plesk EU), contenu selon la configuration du serveur.

Les rôles personnel ne peuvent pas consulter les clés de stream en clair ; les administrateurs peuvent gérer les clés. L'interface évite volontairement d'afficher des données personnelles inutiles dans les messages.

4. Cookies

Seul un cookie de session (nommé généralement session) est défini. Ce cookie est strictement requis pour la connexion et ne nécessite pas de consentement en vertu de l'article 25 TTDSG conjointement avec le considérant 28 du RGPD.

• HttpOnly : oui — pas d'accès via JavaScript dans le navigateur.
• SameSite : Lax (Starlette SessionMiddleware).
• Secure : en production avec HTTPS ou lorsque PUBLIC_BASE_URL utilise https:// ou que les en-têtes proxy de confiance sont activés.

La page de connexion indique que la connexion définit ce cookie. Il n'y a pas de bannière cookie pour le marketing ou l'analyse, car aucun n'est utilisé.

5. Bases juridiques (Art. 6 RGPD)

• Art. 6(1)(b) : Traitement pour exécuter la relation d'utilisation ou fournir le service interne aux utilisateurs autorisés.
• Art. 6(1)(f) : intérêt légitime à la sécurité informatique, à la traçabilité des modifications (journal d'audit), à la prévention des abus (limitation de débit de connexion).

6. Durée de conservation

• Comptes utilisateur : jusqu'à la désactivation ou la suppression par un administrateur ou sur demande écrite à info@imh-group.us.
• Session : jusqu'à la déconnexion ou la fin de la session du navigateur.
• Journal d'audit : jusqu'au nettoyage manuel ou à la suppression de la base de données ; généralement conservé plus longtemps pour la traçabilité opérationnelle. Les entrées relatives à un utilisateur peuvent être traitées sur demande.
• Limitation de débit de connexion (IP) : maximum 15 minutes en mémoire, puis suppression automatique.
• Journaux serveur : selon la politique de conservation de l'hébergeur (Plesk EU).

7. Destinataires et tiers

Les données ne sont pas partagées avec des services publicitaires ou d'analyse. YT Stream n'inclut aucun suivi intégré (p. ex. Google Analytics).

Lorsque des fonctionnalités optionnelles sont utilisées, des données peuvent être transmises à :

• YouTube / Google : lors de l'utilisation d'OAuth ou de l'API, conformément aux politiques de confidentialité de Google.
• Jellyfin : uniquement si configuré (requêtes de métadonnées).
• Hébergement (Plesk EU) : exploitation du serveur dans le cadre d'un accord de traitement des données avec le fournisseur.

Des ressources CDN externes (Tailwind, htmx) sont chargées pour l'interface ; les adresses IP peuvent techniquement être traitées par le fournisseur CDN. Des fichiers statiques locaux peuvent être utilisés à la place.

8. Mesures techniques et organisationnelles

• Les mots de passe sont hachés avec bcrypt, non stockés en clair.
• Les clés de stream et les jetons OAuth refresh sont stockés avec chiffrement Fernet dans la base de données.
• HTTPS est prévu en production ; les cookies de session reçoivent le flag Secure lorsqu'ils sont configurés.
• Les données de l'application (DATA_DIR : base de données, journaux, cache) sont en dehors de la racine web publique ou protégées par des règles serveur.
• Accès uniquement après authentification ; restrictions basées sur les rôles pour le personnel.
• Protection CSRF pour les actions basées sur des formulaires.

9. Vos droits

Vous disposez notamment des droits suivants vis-à-vis du responsable du traitement :

• Accès (Art. 15 RGPD)
• Rectification (Art. 16 RGPD)
• Effacement (Art. 17 RGPD)
• Limitation du traitement (Art. 18 RGPD)
• Opposition au traitement fondé sur des intérêts légitimes (Art. 21 RGPD)
• Portabilité des données, le cas échéant (Art. 20 RGPD)
• Introduire une réclamation auprès d'une autorité de contrôle (Art. 77 RGPD)

Suppression des comptes du personnel : Les administrateurs peuvent désactiver des comptes dans la gestion des utilisateurs ou supprimer entièrement les comptes du personnel. Pour toute autre demande, contactez info@imh-group.us.

10. Aucune obligation de fournir des données

L'utilisation de YT Stream nécessite une autorisation interne. Sans fournir les données requises pour la connexion, l'utilisation n'est pas possible.