Politique de traitement des données personnelles
Gonggamgak (ci-après « la Société ») établit et publie la présente politique de traitement des données personnelles conformément à l’article 30 de la « Loi sur la protection des informations personnelles », afin de protéger les données personnelles du sujet de l’information et de traiter rapidement et efficacement les réclamations liées au traitement des données personnelles.
Article 1 (Objectifs du traitement des données personnelles)
- Inscription et gestion du compte : identification de l’utilisateur, liaison de connexion sociale, vérification de l’âge, gestion de session, prévention d’utilisation abusive
- Fourniture du service : recherche, aperçu, achat, consultation, téléchargement de partitions, lecture audio, bibliothèque, groupe, commande personnalisée et assistance client
- Contrat et paiement : commande, paiement, crédit, adhésion, remboursement, factures et gestion des autorisations
- Fonctions IA : traitement des entrées et fichiers joints selon le consentement de l’utilisateur, génération de résultats, vérification de sécurité, gestion des limites d’utilisation et des enregistrements
- Amélioration et analyse du service : statistiques d’utilisation, flux d’utilisation du service, analyse des erreurs et des performances, sous réserve du consentement de l’utilisateur
- Obligations légales et sécurité : conformité légale, réponse aux incidents de sécurité, gestion des litiges, prévention des atteintes aux droits et de l’utilisation abusive
- Marketing : fourniture d’événements et d’informations publicitaires uniquement avec consentement séparé
Article 2 (Catégories de données personnelles traitées et méthodes de collecte)
| Catégorie | Éléments traités | Méthode de collecte |
|---|---|---|
| Inscription et connexion sociale | Nom ou pseudo, e‑mail, image de profil, identifiant fourni par le fournisseur OAuth | Google, Kakao, Naver, Apple ou Meta OAuth |
| Identifiants d’accès délivrés par l’administrateur | Nom d’utilisateur, valeur de hachage unidirectionnelle du mot de passe | Délivrés uniquement pour les comptes approuvés par la Société, traités lors de la connexion |
| Inscription et paramètres du compte | Langue préférée, confirmation d’âge ≥ 14 ans et date de confirmation, historique de consentement et de retrait des conditions d’utilisation, de la politique de confidentialité et du traitement IA | Entrée de l’utilisateur et enregistrements du service |
| Commande et paiement | Numéro de commande, produit, montant, devise, pays, type de moyen de paiement, état du paiement/annulation/remboursement, historique de crédit/adhésion | Processus de paiement/achat et réponses du prestataire de paiement |
| Utilisation du service | Enregistrements d’achat, de consultation, de téléchargement, de groupe, de commande personnalisée, de demande, de recherche, d’interaction UI, d’erreurs et de sécurité | Générés lors de l’utilisation du service |
| IA et outils de création | Prompt, conversation, image/fichier téléchargé, résultat généré, modèle, utilisation, enregistrements de traitement de sécurité | Entrées ou créations de l’utilisateur lors de l’utilisation de la fonction |
| Informations techniques et d’analyse | Adresse IP, agent utilisateur, identifiants de cookie et de session, identifiant d’analyse généré aléatoirement, identifiant interne d’analyse pour les utilisateurs connectés, chemin de page, événements d’utilisation du service, paramètre de langue, horodatage de connexion | Collectés automatiquement pendant l’utilisation du web ou de l’application |
Article 3 (Durée de conservation et de traitement)
La Société détruit les données personnelles sans délai dès que les objectifs du traitement sont atteints. Toutefois, les informations suivantes peuvent être conservées séparément pendant la période requise par la loi, pour la gestion de litiges ou la prévention d’utilisations abusives.
| Information | Base de conservation |
|---|---|
| Compte et profil du membre | Jusqu’à la finalisation de la suppression du compte. Une fois la suppression effectuée, la session de connexion et l’accès au service sont immédiatement terminés, et les informations requises par la législation sont conservées pendant la période légale applicable |
| Enregistrements de contrat, de rétractation, de paiement et de fourniture | 5 ans selon la loi sur le commerce électronique |
| Enregistrements de réclamations ou de litiges de consommateur | 3 ans selon la loi sur le commerce électronique |
| Enregistrements d’affichage et de publicité | 6 mois selon la loi sur le commerce électronique |
| Journaux d’accès | 3 mois selon la loi sur la protection du secret des communications et autres lois pertinentes |
| Session de connexion active | Jusqu’à son expiration ou jusqu’à la déconnexion ou la suppression du compte |
| Historique de sauvegarde du profil IA, du poster et de l’outil Vision | 90 jours à compter de la création ou jusqu’à la suppression manuelle par l’utilisateur |
| Fichier d’exportation des données personnelles | 24 heures après création |
| Enregistrements de consentement, de retrait et de sécurité/audit | Durée nécessaire aux obligations légales et à la gestion des litiges ou des utilisations abusives |
Actuellement, la suppression du compte entraîne la terminaison immédiate de l’accès au service et de toute session active. Les enregistrements de transactions, de consentements et d’audits peuvent être conservés de façon limitée conformément aux exigences légales et aux besoins de gestion de litiges ; la suppression physique ou l’anonymisation du compte et du profil sont effectuées selon une politique de cycle de vie des données distincte. L’utilisateur peut consulter, exporter ou demander la suppression de ses données via le menu « Données personnelles et données » du compte.
Article 4 (Communication des données personnelles à des tiers)
En principe, la Société ne communique pas les données personnelles de l’utilisateur à des tiers. Elles ne sont communiquées que dans la mesure nécessaire avec le consentement séparé du sujet de l’information ou lorsqu’une base légale spécifique le justifie. Le traitement par des prestataires externes lié aux paiements, à l’hébergement, à l’authentification, aux e‑mails, à l’analyse et aux fonctions IA peut relever d’une sous‑traitance, d’une communication à des tiers ou d’un transfert à l’étranger selon le contrat et l’objectif du traitement, comme indiqué dans les articles suivants.
Article 5 (Traitement par des prestataires externes)
| Prestataire externe | Activité concernée |
|---|---|
| Toss Payments Co., Ltd. | Autorisation, règlement, annulation, remboursement et prévention de fraudes pour les paiements nationaux |
| PayPal, Inc. | Autorisation, règlement, annulation, remboursement et prévention de fraudes pour les paiements internationaux pris en charge |
| Cloudflare, Inc. | CDN, transmission et sécurisation du trafic web, exécution d’applications Workers, stockage d’objets R2, statistiques d’utilisation web basées sur le consentement, passerelle IA et traitement Workers IA |
| Neon, Inc. | Hébergement de bases de données PostgreSQL |
| Google LLC | Authentification et liaison de compte Google |
| Google LLC | Analyse statistique via Google Analytics 4 selon le consentement de l’utilisateur |
| Google LLC | Traitement des entrées et résultats de la fonction IA basée sur Gemini sélectionnée par l’utilisateur |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Authentification et liaison de compte via les connexions sociales choisies par l’utilisateur |
| Anthropic PBC | Traitement de la fonction Claude IA sélectionnée par l’utilisateur |
| OpenAI, L.L.C. | Traitement de la fonction IA OpenAI sélectionnée par l’utilisateur |
| Resend, Inc. | Envoi d’e‑mails transactionnels, de compte et de service |
Article 6 (Transfert transfrontalier des données personnelles)
La Société peut transférer et stocker à l’étranger les données personnelles suivantes dans le cadre de l’utilisation du service. Le transfert s’effectue de façon continue via un réseau chiffré TLS dès que l’utilisateur utilise la fonction concernée ou que le traitement contractuel le nécessite. La base juridique de chaque transfert repose sur le consentement, la conclusion ou l’exécution d’un contrat, ou la sous‑traitance, conformément à l’article 28‑8 de la loi sur la protection des informations personnelles et aux lois applicables.
| Destinataire et contact | Pays/région | Éléments transférés | Objet du transfert | Moment/méthode | Base juridique | Durée de conservation/utilisation | Méthode de refus et impact |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | États‑Unis et régions d’opération du réseau mondial de Cloudflare. Le lieu de traitement et de stockage varie selon le produit, les paramètres du compte et le chemin de la requête | Enregistrements de compte et de service, IP, informations d’appareil et d’analyse, fichiers d’objet, informations saisies par l’utilisateur dans l’IA | Hébergement, sécurité, stockage, analyse basée sur le consentement, passerelle IA | Transfert et stockage continus pendant l’utilisation du service, transmission TLS | Exécution du contrat et sous‑traitance | Conformément aux durées de conservation locales ou à la durée du contrat/paramètres du produit | L’analyse et les fonctions IA peuvent être refusées par retrait du consentement, mais cela limite les fonctions concernées. Refuser l’hébergement essentiel rend le service indisponible |
| Neon, Inc. (privacy@neon.tech) | Singapour (AWS ap‑southeast‑1) | Enregistrements de membres, transactions, consentements, utilisation du service | Stockage de base de données PostgreSQL | Transfert et stockage continus pendant l’utilisation du service, transmission TLS | Exécution du contrat et sous‑traitance | Conformément aux durées de conservation locales ou jusqu’à la fin du contrat de sous‑traitance | Refuser le stockage obligatoire empêche la fourniture du service basé sur le compte |
| Google LLC (googlekrsupport@google.com) | États‑Unis et autres régions de traitement Google | Informations d’identification OAuth, identifiants et événements d’analyse, ou entrées/sorties IA | Authentification OAuth, analyse GA4 basée sur le consentement, fonction Gemini sélectionnée | Transmission TLS lors de l’utilisation de la fonction concernée | Consentement fonctionnel ou exécution du contrat | Durée nécessaire à la fourniture de l’authentification, de l’analyse ou de la fonction, selon la politique Google | Chaque fonction peut être désactivée ou le consentement retiré, ce qui limite la fonction correspondante |
| Apple Inc., Meta Platforms, Inc. | États‑Unis et autres régions de traitement des fournisseurs | Identifiants du fournisseur, nom, e‑mail, informations de profil | Authentification OAuth et liaison de compte sélectionnées | Transmission TLS lors de la connexion et de la liaison | Exécution du contrat | Durée jusqu’à la désactivation du lien de compte, la suppression du compte ou selon la politique du fournisseur | L’utilisateur peut choisir de ne pas utiliser ce mode de connexion, auquel cas il ne pourra pas s’authentifier via ce fournisseur |
| PayPal, Inc. (privacy@paypal.com) | États‑Unis et autres régions de traitement PayPal | Informations d’identification du payeur, numéro de commande, montant, devise, état du paiement/annulation/remboursement | Traitement du paiement international choisi par l’utilisateur | Transmission TLS lors de la demande de paiement | Exécution du contrat | Durée de conservation prévue par la loi sur le commerce électronique et la politique PayPal | L’utilisateur peut choisir de ne pas recourir au paiement international, auquel cas ce moyen de paiement ne sera pas disponible |
| Anthropic PBC (privacy@anthropic.com) | États‑Unis | Informations d’entrée/sortie IA et données de traitement de sécurité | Fonction Claude IA sélectionnée | Transmission TLS lors de l’utilisation de la fonction | Consentement optionnel au traitement IA | Durée nécessaire à la fourniture de la fonction, selon le contrat et la politique Anthropic | L’utilisateur peut refuser ou retirer le consentement, ce qui limite la fonction IA correspondante |
| OpenAI, L.L.C. (privacy@openai.com) | États‑Unis | Informations d’entrée/sortie IA et données de traitement de sécurité | Fonction OpenAI IA sélectionnée | Transmission TLS lors de l’utilisation de la fonction | Consentement optionnel au traitement IA | Durée nécessaire à la fourniture de la fonction, selon le contrat et la politique OpenAI | L’utilisateur peut refuser ou retirer le consentement, ce qui limite la fonction IA correspondante |
| Resend, Inc. (privacy@resend.com) | États‑Unis | E‑mails reçus, nom, message et historique d’envoi | Envoi d’e‑mails transactionnels, de compte et de service | Transmission TLS lors de l’envoi | Exécution du contrat et sous‑traitance | Durée nécessaire à l’envoi et à la gestion des incidents, selon le contrat et la politique Resend | Refuser le traitement des e‑mails transactionnels et de compte peut rendre difficile la fourniture des services associés |
L’utilisateur peut refuser le transfert à l’étranger en ne recourant pas aux fonctions IA optionnelles, à l’analyse optionnelle ou aux paiements internationaux, ou en retirant le consentement correspondant. Refuser les traitements indispensables tels que l’authentification, l’hébergement, la base de données ou l’envoi d’e‑mails essentiels peut rendre le service ou certaines fonctions indisponibles. Les demandes de contact et de suppression de compte se font via le menu « Données personnelles et données » du compte ou à l’adresse support@sheetmusic.kr.
Article 7 (Traitement des données personnelles dans les fonctions IA)
- Les fonctions IA traitent les textes, images, fichiers saisis par l’utilisateur ainsi que les résultats générés, aux fins de fourniture du service, de vérification de sécurité, de gestion des erreurs et de contrôle des limites d’utilisation.
- L’utilisateur ne doit pas saisir d’informations sensibles, telles que le numéro d’identification nationale ou toute donnée personnelle confidentielle d’autrui, sans autorisation légale, conformément à la loi coréenne sur la protection des informations personnelles.
- Le service n’utilise pas les entrées ou sorties IA de l’utilisateur comme données d’entraînement pour des modèles généraux. La Société utilise les API des fournisseurs IA externes ou des configurations d’entreprise ; lorsque le paramètre le permet, les entrées et sorties ne sont pas utilisées pour l’entraînement des modèles généraux du fournisseur. Les durées de conservation et les méthodes de sécurité varient selon le fournisseur, le modèle choisi et les conditions contractuelles.
- Le consentement au traitement IA peut être retiré à tout moment depuis le menu « Données personnelles et données » du compte. Le retrait n’affecte pas la légalité du traitement effectué avant le retrait, mais les fonctions IA seront alors limitées.
- Les résultats IA inappropriés ou les réclamations relatives aux données personnelles peuvent être signalés à support@sheetmusic.kr.
Article 8 (Informations comportementales, cookies et stockage local)
- Le service utilise des cookies et le stockage local/session du navigateur pour la connexion, la sécurité, les paramètres de langue, le panier et la persistance de l’état des fonctions.
- Google Analytics 4 peut, avec le consentement de l’utilisateur, traiter un identifiant d’analyse généré aléatoirement, un identifiant interne d’analyse pour les utilisateurs connectés, le chemin de page, les événements d’utilisation du service, les paramètres de langue, les informations d’appareil/navigateur et l’horodatage de connexion.
- Cloudflare Web Analytics et les fonctions d’analyse de performance du service peuvent traiter les requêtes de page, les informations d’appareil/navigateur et de réseau ; les méthodes d’identification réelles et la portée de conservation dépendent des paramètres du produit appliqué.
- Le consentement à l’analyse peut être refusé ou retiré via la bannière ou le menu « Données personnelles et données ». Le refus n’empêche pas l’accès aux services essentiels.
- Les cookies peuvent être bloqués dans les paramètres du navigateur, mais le blocage des cookies essentiels peut empêcher la connexion, le paiement et d’autres fonctions.
Article 9 (Droits du sujet de l’information et du représentant légal)
- Le sujet de l’information peut, dans les limites prévues par la législation applicable, demander l’accès, la rectification, la suppression, la suspension du traitement et le retrait du consentement. Il peut également obtenir une copie de ses données via la fonction d’exportation fournie par la Société.
- Les demandes peuvent être effectuées via le menu « Données personnelles et données », par e‑mail ou par téléphone ; la Société les traitera après vérification de l’identité du demandeur ou de son représentant légal, conformément à la législation applicable.
- Si une obligation de conservation légale existe ou si la demande porte atteinte aux droits d’un tiers, la Société peut restreindre partiellement la demande et en informer le demandeur.
- Le service n’accepte pas l’inscription d’enfants de moins de 14 ans. Si la Société découvre qu’un enfant de moins de 14 ans s’est inscrit, elle procédera à une vérification d’âge, limitera l’utilisation du compte et supprimera les données personnelles, sauf les informations qui doivent être conservées selon la législation.
Article 10 (Destruction des données personnelles)
- Les informations dont la période de conservation est expirée ou dont l’objectif de traitement est atteint sont détruites sans délai.
- Les informations nécessitant une conservation légale sont stockées de façon sécurisée, avec un accès restreint, puis détruites à l’expiration de la période.
- Les fichiers électroniques contenant des données personnelles sont supprimés ou anonymisés de manière à rendre toute récupération ou reconstitution difficile.
Article 11 (Mesures de sécurité)
- Mesures administratives : limitation de l’accès aux données personnelles aux personnes nécessaires, gestion des procédures et des normes de protection.
- Mesures techniques : gestion des droits d’accès, authentification et contrôle d’accès, chiffrement TLS des transmissions, séparation et protection des informations critiques, vérifications de vulnérabilités.
- Mesures physiques : application de la sécurité physique et du contrôle d’accès des fournisseurs de cloud et de centres de données utilisés par la Société.
- Mesures de réponse aux incidents : détection d’incidents de sécurité, examen des journaux, sauvegarde/récupération et procédures d’évaluation et de réponse aux incidents.
Article 12 (Responsable de la protection des données personnelles et réception des demandes)
Responsable de la protection des données personnelles : Cho Chang‑hyun (représentant)
E‑mail : support@sheetmusic.kr
Téléphone : 070-4617-6352
Article 13 (Recours en cas de violation des droits)
- Centre de signalement des violations de données personnelles : 118, privacy.kisa.or.kr
- Commission de médiation des litiges relatifs aux données personnelles : 1833-6972, www.kopico.go.kr
- Procureur général : 1301, www.spo.go.kr
- Police : 182, ecrm.police.go.kr
Article 14 (Modification de la politique de traitement)
En cas de modification de la politique, la date d’entrée en vigueur et les principaux changements seront publiés dans l’historique du service et des politiques. Les modifications affectant de façon substantielle les droits ou obligations du sujet de l’information seront communiquées séparément avant la date prévue par la législation ou dans un délai raisonnable.
Dispositions complémentaires
La présente politique de traitement des données personnelles est applicable à compter du 20 juillet 2026.