Date d'effet : 2026-03-06
Veleiras (« nous ») est une plateforme de mémoriaux numériques. Nous prenons très au sérieux la vie privée des personnes qui utilisent notre service — et des personnes dont elles se souviennent.
Le responsable du traitement de vos données personnelles est :
Eliana dos Santos Pereira (entreprise individuelle)
6020 Innsbruck, AT
Email: privacy@veleiras.com
As a micro-enterprise with fewer than 10 employees, we are not required to appoint a Data Protection Officer under Art. 37 GDPR. For privacy-related enquiries, contact us at: privacy@veleiras.com.
Lorsque vous créez un mémorial, nous collectons :
Nous ne collectons aucun nom, adresse e-mail ou information d'identification des visiteurs qui allument des bougies ou consultent un mémorial via un lien partagé.
En vertu de l'Art. 6(1) du RGPD, nous nous appuyons sur les bases juridiques suivantes pour chaque activité de traitement :
| Activité de traitement | Base juridique |
|---|---|
| Données de compte (e-mail, mot de passe) | Exécution du contrat — Art. 6(1)(b) |
| Contenu du mémorial (noms, dates, photos, histoires) | Exécution du contrat — Art. 6(1)(b) |
| Données de paiement (enregistrements de transactions) | Exécution du contrat — Art. 6(1)(b) + Obligation légale (conservation fiscale) — Art. 6(1)(c) |
| Registres de consentement aux cookies | Intérêt légitime (documentation de conformité) — Art. 6(1)(f) |
| Analyses côté serveur (agrégées) | Intérêt légitime (amélioration du service) — Art. 6(1)(f) |
| Notifications par e-mail | Exécution du contrat — Art. 6(1)(b) |
| Cookies de session (PHPSESSID, CSRF) | Strictement nécessaires — aucun consentement requis (Art. 5(3) Directive ePrivacy) |
Chiffrement au repos : Toutes les données personnelles sensibles — y compris les noms, adresses e-mail, épitaphes, récits de vie, messages du livre d'or et entrées d'appréciation (noms et histoires personnelles sur des personnes qui vous étaient chères) — sont chiffrées au repos à l'aide du chiffrement authentifié AES-256-GCM (via la bibliothèque defuse/php-encryption) avant d'être stockées dans notre base de données. Cela signifie que même en cas de violation de la base de données, les données sont illisibles sans les clés de chiffrement.
Hachage des mots de passe : Les mots de passe sont hachés avec Argon2id avec des paramètres exigeants en mémoire, rendant les attaques par force brute informatiquement irréalisables. Nous ne stockons jamais les mots de passe en clair.
Chiffrement en transit : Toute communication entre votre navigateur et nos serveurs est protégée par le chiffrement HTTPS/TLS. Nous imposons HTTPS sur toutes les pages et points d'accès API.
Les mémoriaux sont accessibles via des liens de partage cryptographiquement sécurisés, et non via un répertoire public. Il existe trois niveaux d'accès :
Sans lien valide, les visiteurs ne voient qu'une page minimale avec le prénom de la personne et une bougie. Aucune histoire, photo ou message n'est visible sans invitation.
Nous utilisons uniquement des cookies strictement nécessaires. Nous n'utilisons aucun cookie de suivi, d'analyse ou de publicité tierce.
| Cookie | Finalité | Durée |
|---|---|---|
| PHPSESSID | Gestion de session (état de connexion). Strictement nécessaire. | Expire à la fermeture du navigateur |
| Jeton CSRF | Protection contre les attaques CSRF. Strictement nécessaire pour la sécurité. | Session |
| __cf_bm et similaires | Définis par Cloudflare pour la gestion des bots et la protection DDoS. Strictement nécessaires pour la sécurité. | Jusqu'à 30 minutes |
Étant donné que tous les cookies que nous utilisons sont strictement nécessaires au fonctionnement et à la sécurité du service, ils sont exemptés des exigences de consentement en vertu de l'Art. 5(3) de la Directive ePrivacy.
Nous affichons une bannière de consentement aux cookies pour tous les visiteurs. Bien que nos cookies soient strictement nécessaires et ne requièrent pas de consentement, la bannière assure la transparence et permet de faire un choix éclairé. Votre préférence est stockée dans le localStorage de votre navigateur et enregistrée côté serveur pour notre documentation de conformité.
L'enregistrement de consentement côté serveur stocke : l'identifiant utilisateur (si connecté) ou un identifiant visiteur anonyme, l'action de consentement (accepter/refuser), la version du consentement, un hachage unidirectionnel de votre adresse IP (pas l'adresse IP elle-même) et les horodatages.
Les enregistrements de consentement aux cookies sont conservés pendant 3 ans conformément à l'Art. 7(1) du RGPD, qui exige que le responsable du traitement puisse démontrer que le consentement a été donné.
Nous collectons des statistiques de visites agrégées pour comprendre comment le service est utilisé et l'améliorer. Cela se fait entièrement côté serveur, sans cookies, sans suivi JavaScript et sans identification individuelle des visiteurs.
Nous stockons uniquement :
CF-IPCountry)Aucune adresse IP, empreinte de navigateur ou autre information personnellement identifiable n'est stockée dans le cadre des analyses. Les visiteurs individuels ne peuvent être identifiés ou suivis. Les données d'analyse sont conservées pendant 2 ans.
Tous les paiements sont traités par Stripe. Nous ne voyons, ne stockons ni ne traitons jamais les détails de votre carte bancaire. Stripe gère toutes les données de paiement en conformité avec la norme PCI DSS Niveau 1.
Nous conservons un enregistrement de votre transaction (ID de paiement Stripe, montant, date, statut) pour l'exécution du contrat et pour remplir notre obligation légale de conserver les registres financiers en vertu du droit fiscal autrichien (BAO §132). Les enregistrements de paiement sont conservés pendant 7 ans après la transaction.
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte (e-mail, hash du mot de passe) | Jusqu'à la suppression du compte + 30 jours |
| Données du mémorial (Plan Pour Toujours) | Aussi longtemps que Veleiras est en activité (voir les conditions du Plan Pour Toujours) |
| Données du mémorial (niveau gratuit) | Indéfini ; peut être archivé après 5 ans d'inactivité (préavis de 90 jours par e-mail au propriétaire) |
| Registres de paiement | 7 ans (droit fiscal autrichien, BAO §132) |
| Registres de consentement aux cookies | 3 ans (Art. 7(1) RGPD) |
| Analyses côté serveur | 2 ans |
| Données de session (PHPSESSID) | Jusqu'à la fermeture du navigateur |
| Demandes d'effacement (RGPD) | Données supprimées sous 30 jours ; le hash de l'e-mail est conservé pour éviter les problèmes de réinscription |
Si vous supprimez votre mémorial ou demandez l'effacement, toutes les données associées (photos, messages, histoires, bougies) sont définitivement supprimées de nos serveurs sous 30 jours.
Nous utilisons les prestataires tiers suivants (sous-traitants) pour exploiter Veleiras. Un accord de traitement des données (DPA) est en place avec chacun :
| Sous-traitant | Finalité | Localisation et garanties |
|---|---|---|
| Stripe, Inc. | Traitement des paiements | États-Unis — Clauses contractuelles types de l'UE (CCT) + DPA |
| Cloudflare, Inc. | CDN, protection DDoS, sécurité, stockage média (R2), base de données edge (D1) | Entreprise américaine — localisations de données UE, Cadre de protection des données UE-US + DPA |
| Hostinger International Ltd. | Hébergement web et base de données | Serveurs dans l'Union européenne — DPA |
Vos données sont stockées sur des serveurs dans l'Union européenne. Notre base de données principale est hébergée par Hostinger (UE), et Cloudflare D1 (base de données) et R2 (stockage média) sont configurés pour des localisations de données UE. Le CDN de Cloudflare peut acheminer les requêtes via des serveurs edge mondiaux pour des raisons de performance et de sécurité, mais les données stockées restent dans l'UE. Stripe (traitement des paiements) est basé aux États-Unis et certifié dans le cadre du Cadre de protection des données UE-US. Tous les transferts hors de l'UE sont protégés par des accords de traitement des données conformément au Chapitre V du RGPD.
Si vous êtes dans l'Espace économique européen, vous avez le droit de :
Pour exercer l'un de ces droits, contactez-nous à privacy@veleiras.com. Nous répondrons dans un délai de 30 jours conformément à l'Art. 12(3) du RGPD.
Nous ne pratiquons aucun profilage ni prise de décision automatisée au sens de l'Art. 22 du RGPD. Aucune décision vous concernant n'est prise par des moyens automatisés. Nous ne construisons pas de profils comportementaux des utilisateurs ou visiteurs.
Veleiras ne s'adresse pas aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès d'enfants. Les mémoriaux peuvent être créés pour des enfants par leurs parents ou tuteurs légaux.
Nous pouvons mettre à jour cette politique de temps en temps. Les modifications importantes seront communiquées par e-mail aux propriétaires de mémoriaux. La date d'effet en haut de cette page reflète toujours la dernière version.
Pour toute question ou demande relative à la confidentialité :
privacy@veleiras.com
Nous nous efforçons de résoudre toutes les préoccupations relatives à la confidentialité directement. Si vous n'êtes pas satisfait de notre réponse, vous avez le droit de déposer une plainte auprès de l'autorité de contrôle :
Autorité autrichienne de protection des données
(Österreichische Datenschutzbehörde)
Barichgasse 40-42, 1030 Vienna, Austria
Email: dsb@dsb.gv.at
Website: www.dsb.gv.at