Conformité · RGPD · RIAA · Deloy DNA

1. RGPD · Règlement européen de protection des données

Nous traitons les données des utilisateurs européens selon les exigences du RGPD. Cela signifie :

• Une base légale explicite pour chaque traitement (consentement, exécution de contrat, intérêt légitime, obligation légale).
• Minimisation : nous ne collectons que les données nécessaires à l'exploitation du service.
• Droits d'accès, de rectification, d'effacement, de portabilité, d'opposition et de retrait du consentement — exerçables via privacy@deloymusic.com.
• Notification des violations sous 72 heures à l'autorité de contrôle compétente et aux personnes concernées.
• Clauses Contractuelles Types (CCT) pour les transferts internationaux vers des prestataires hors EEE.
• DPO désigné pour les clients Enterprise ; contact disponible dans le contrat signé.

2. Recommandations de la RIAA sur l'IA générative

Nous partageons la position de l'industrie musicale sur l'IA : l'IA responsable est celle qui respecte la paternité humaine et le catalogue existant. C'est pourquoi :

• Nous n'entraînons pas de modèles sur des catalogues de tiers sans autorisation. Les Producteurs virtuels sont entraînés uniquement sur les références propres de l'utilisateur ou sur des catalogues sur lesquels le client Enterprise détient des droits démontrables.
• Traçabilité de la contribution de l'IA. Chaque export porte un certificat Deloy DNA qui explicite le pourcentage d'IA et de contribution humaine. Cela permet aux labels et aux plateformes de distinguer les œuvres assistées des œuvres majoritairement générées.
• Blocage du clonage vocal. Deloy n'offre pas de fonctionnalités de clonage vocal d'artistes reconnus. Les références servent à capter l'esthétique, pas à imiter des identités.
• Retrait à la demande. Si un ayant droit identifie un usage abusif de son matériel, nous le retirons du service sous un délai maximum de 7 jours à compter de la notification.

3. Deloy DNA · certificats cryptographiques de paternité

Chaque morceau exporté depuis Deloy porte un certificat signé en HMAC-SHA256 qui enregistre :

• Hash SHA-256 du fichier audio exporté.
• AI Score — pourcentage de contribution de l'IA mesuré au moment de la session, pas estimé à la fin.
• Timestamp UTC du moment de l'export.
• Identifiant du Producteur virtuel utilisé dans la session.
• Signature cryptographique validée avec une clé côté serveur.

Le certificat est vérifiable par des tiers : tout label, plateforme, distributeur ou régulateur peut interroger l'API publique de vérification pour confirmer l'authenticité sans accéder à ton contenu original.

Important : le certificat couvre ce que Deloy observe dans la session. Il ne certifie pas ce qui arrive au morceau après l'export, ni les stems importés en dehors de Deloy.

4. Traitement des données par les prestataires

Nous maintenons des accords de traitement des données (DPA) avec tous nos sous-traitants. Pour les clients Enterprise, le DPA spécifique est signé en annexe du contrat. Liste à jour des sous-traitants disponible sur demande à compliance@deloymusic.com.

5. Audits et reporting Enterprise

Les clients du plan Enterprise reçoivent :

• Des rapports trimestriels sur l'usage, les accès et les événements de conformité pertinents.
• Des logs auditables indiquant quels utilisateurs ont accédé à quels Producteurs virtuels et quand.
• La possibilité d'audits externes avec un préavis raisonnable.
• La suppression certifiée des données à la fin du contrat, avec confirmation écrite.

6. Demandes des autorités

Si nous recevons des réquisitions légales valides (décision de justice, commission rogatoire) exigeant de remettre les données d'un utilisateur, nous évaluons leur validité avant de nous y conformer. Lorsque nous le pouvons légalement, nous notifions l'utilisateur concerné avant de fournir l'information.

7. Contact conformité

Pour les questions de conformité, audits, DPA, exigences réglementaires ou retraits, écris à compliance@deloymusic.com. Nous répondons sous 5 jours ouvrés maximum.