Dernière mise à jour : 15 octobre 2025
Nous collectons uniquement ce qui est nécessaire au fonctionnement du service : vos informations de compte (email, nom d'utilisateur), un mot de passe haché, vos préférences d'overlay (thème, position, style), vos sessions (jetons de rafraîchissement), et, si vous connectez Spotify, vos identifiants d'application et/ou votre jeton d'actualisation Spotify. Les informations de lecture en cours (titre, artiste, pochette) sont récupérées en temps réel via l'API Spotify et traitées à la volée. Nous calculons une couleur dominante à partir des pochettes uniquement pour l'affichage.
Vos données servent à vous authentifier, configurer vos overlays et les afficher dans vos outils de streaming (OBS, XSplit, etc.). Nous ne stockons pas votre historique d'écoute. Les données de lecture sont traitées en temps réel et ne sont pas conservées après utilisation. Nous pouvons conserver des informations de modération (avertissements/bannissements) si des actions sont prises sur votre compte.
MelodyHue se connecte à l'API Spotify pour récupérer vos informations de lecture en temps réel. Le client_id (non secret) peut être stocké en clair. Le client_secret et/ou le refresh_token sont chiffrés en base de données. Vous pouvez à tout moment déconnecter Spotify : nous effaçons alors le refresh_token de la base et la session Spotify en mémoire.
Nous ne vendons, ne louons ni ne partageons vos informations personnelles avec des tiers. Les données affichées dans vos overlays sont visibles uniquement dans votre logiciel de streaming (OBS, XSplit, etc.).
Nous utilisons des cookies HttpOnly pour la session : mh_access_token (court terme, env. 15 minutes) et mh_refresh_token (plus long terme, env. 30 jours). Ces cookies sont marqués HttpOnly (non lisibles par JavaScript) et configurés avec Secure/SameSite/Domain selon l'environnement. Nous n'utilisons pas le stockage local du navigateur pour l'authentification. Vos préférences d'overlay sont stockées côté serveur.
Les mots de passe sont hachés (Argon2). Les secrets Spotify (client_secret, refresh_token) sont chiffrés en base. Les jetons d'accès sont courts et transmis via cookie HttpOnly. Les communications sont chiffrées (HTTPS). Si vous activez la 2FA, un secret TOTP est stocké pour votre compte ; par sécurité, la 2FA est automatiquement désactivée lors d'une réinitialisation de mot de passe réussie (vous pouvez la reconfigurer ensuite).
Nous conservons vos informations de compte, préférences d'overlay, sessions (jetons de rafraîchissement), paramètres et, si applicable, les secrets Spotify et le secret 2FA tant que votre compte est actif. Les données de lecture sont traitées à la volée et non stockées. En cas de suppression de compte, nous supprimons les données associées (overlays, sessions, 2FA, secrets Spotify, paramètres, avertissements/bannissements).
Vous pouvez : vous déconnecter (nous effaçons les cookies de session), révoquer Spotify (nous effaçons le refresh_token), reconfigurer/désactiver la 2FA, demander la suppression de votre compte (effacement définitif des données associées), ou cesser d'utiliser le service. Vous pouvez aussi demander l'accès ou la rectification de vos informations (email, nom d'utilisateur).
Les pochettes, titres et artistes proviennent de l'API Spotify et sont soumis à la politique de Spotify. Nous n'altérons pas ces données et ne les stockons pas. Des emails transactionnels (ex. réinitialisation de mot de passe) peuvent être envoyés via un prestataire dédié, agissant en sous-traitant.
Pour toute question concernant cette politique de confidentialité, contactez-nous à privacy@melodyhue.com