Politique de confidentialité
Votre vie privée est notre priorité.
Nous accordons une grande importance à la confidentialité de vos données. La présente politique de confidentialité explique comment nous collectons, utilisons et protégeons vos informations personnelles lorsque vous visitez notre site Web ou achetez nos produits.
Dernière mise à jour : 11 mai 2026
1. Introduction
La présente Politique de confidentialité a pour objectif d’informer de manière claire et transparente les utilisateurs du site et du produit Autoya, opéré par The Next Stories SAS, sur la manière dont leurs données personnelles sont collectées, utilisées, stockées et protégées.
Autoya est une plateforme SaaS B2B d’intelligence artificielle générative, spécialisée dans la création de visuels photos et vidéos pour véhicules d’occasion À ce titre, certains traitements de données sont nécessaires au bon fonctionnement du service, à la gestion des comptes utilisateurs, à la sécurité et à l’amélioration continue de la plateforme.
L’utilisation du site ou des services implique l’acceptation de la présente Politique.
2. Responsable du traitement
Le responsable du traitement des données est :
The Next Stories SAS
Société par actions simplifiée
Siège social : 40 rue de la Tour d’Auvergne – 44200 Nantes (France)
RCS Nantes : 931 621 114
Email de contact : hello@thenextstories.com
Autoya est une marque déposée et un produit commercial édité par The Next Stories SAS.
Les rôles de The Next Stories au regard du RGPD sont les suivants :
pour les traitements relatifs au site web, à la relation commerciale, à la facturation, à la sécurité et à l’amélioration du service, The Next Stories agit en qualité de responsable de traitement ;
vis-à-vis des concessions clientes :
The Next Stories agit comme sous-traitant au sens de l’article 28 du RGPD pour les données fournies par le concessionnaire ou ses utilisateurs (par exemple : données de compte des utilisateurs, données relatives aux véhicules, photos/vidéos téléversées, contenus textuels, métadonnées fournies dans l’application) ;
The Next Stories agit comme responsable de traitement pour les données brutes générées par la plateforme, notamment les données de journalisation (logs), métadonnées techniques, données de sécurité et données statistiques d’usage, utilisées pour assurer le bon fonctionnement, la sécurité, la facturation, l’amélioration et le pilotage du service.
Lorsque The Next Stories agit en qualité de sous-traitant, le responsable de traitement demeure le client professionnel (par exemple la concession ou le négociant VO), qui détermine les finalités et les moyens principaux des traitements ; The Next Stories agit alors sur la base de contrats de sous-traitance conformes à l’article 28 du RGPD.
3. Personnes concernées
La présente Politique s’applique aux :
visiteurs du site web Autoya
prospects et clients professionnels
utilisateurs disposant d’un compte Autoya
toute personne interagissant avec les services proposés
Les services sont exclusivement destinés à des personnes majeures disposant de la capacité juridique requise.
Les services Autoya sont strictement B2B et destinés à des professionnels. Le consommateur final (acheteur du véhicule) est uniquement exposé aux contenus générés sur les canaux des concessionnaires ; The Next Stories n’a aucune relation directe avec lui. Des données le concernant peuvent néanmoins figurer dans les contenus générés (par exemple lorsqu’un véhicule est identifiable), sous la seule responsabilité du client professionnel (concessionnaire, vendeur de véhicules).
4. Données personnelles collectées
Selon l'utilisation des services, The Next Stories peut collecter les catégories de données suivantes :
données d'identité (nom, prénom)
données de contact (email, téléphone)
identifiants techniques de compte (identifiant utilisateur unique généré par AWS Cognito, dit « Cognito sub », tokens d'authentification)
données professionnelles (société, fonction)
données de facturation et de paiement
données relatives aux véhicules : caractéristiques techniques, références internes, informations descriptives, prix, localisation du véhicule, données d’annonce, ainsi que, le cas échéant, des éléments identifiants visibles sur les photos ou vidéos (par exemple plaques d’immatriculation, logos, badges, défauts, environnement immédiat) ;
photos et contenus visuels téléversés (uploadés) par l'utilisateur dans le cadre de l'utilisation des fonctionnalités de génération d'images Autoya (détourage, génération de décors, studios personnalisés, génération de vidéos, etc.). Ces images sont traitées pour produire le résultat demandé puis stockées de manière sécurisée sur l'infrastructure d'Autoya, dans l'espace privé de l'utilisateur, jusqu'à suppression manuelle ou clôture du compte, sous réserve des sauvegardes et journaux techniques nécessaires au bon fonctionnement et à la sécurité de la plateforme ;
contenus générés par la plateforme : photos retouchées, visuels « studio », vidéos, textes d’annonce, scripts, voix off le cas échéant ;
données de connexion et d'usage (logs, historiques, consommation de crédits)
données techniques (adresse IP, navigateur, système, cookies)
Aucune donnée sensible au sens du RGPD n’est intentionnellement collectée. Si de telles données étaient néanmoins téléversées ou rendues visibles par un utilisateur dans un contenu (par exemple via une photo), elles seraient traitées exclusivement pour fournir le service technique demandé, sans exploitation spécifique ni profilage sur cette base.
5. Finalités des traitements
Les données sont collectées et traitées pour les finalités suivantes :
création et gestion des comptes utilisateurs
fourniture et exploitation des services Autoya
facturation, gestion des abonnements et paiements
support client et communication opérationnelle
amélioration des performances et fonctionnalités de la plateforme : analyse statistique de l’usage, retours utilisateurs, tests et optimisation des parcours, amélioration de la qualité des modèles et des fonctionnalités, dans le respect du principe de minimisation. Les photos, vidéos et contenus visuels fournis par les clients ne sont pas réutilisés pour entraîner des modèles d’IA génériques au‑delà de ce qui est strictement nécessaire à la fourniture du service, sauf accord spécifique contraire ;
sécurité, prévention de la fraude et abus
respect des obligations légales et réglementaires
communication marketing (avec consentement)
6. Base légale des traitements
Les traitements reposent sur :
l’exécution du contrat liant l’utilisateur à The Next Stories
l’intérêt légitime de The Next Stories à améliorer ses services
le consentement explicite de l’utilisateur lorsque requis
le respect des obligations légales applicables
Lorsque The Next Stories agit en sous‑traitant pour le compte de ses clients professionnels, la base légale du traitement est déterminée par ces clients en leur qualité de responsables de traitement. The Next Stories traite alors les données uniquement sur la base de leurs instructions documentées.
7. Services d’intelligence artificielle
Autoya donne accès à des services d’intelligence artificielle via des API de fournisseurs tiers (notamment Anthropic, OpenAI / OpenRouter, Google Gemini, fal.ai, remove.bg, xAI Grok et d’autres partenaires spécialisés dans l’image, la vidéo et, le cas échéant, l’audio).
Dans ce cadre :
The Next Stories agit en intermédiaire technique
certaines données peuvent être transmises aux fournisseurs d’IA pour traitement
chaque fournisseur applique ses propres conditions et politiques de confidentialité
les données ne sont utilisées que pour fournir le service demandé
The Next Stories s’engage à sélectionner des fournisseurs conformes au RGPD et au Règlement européen sur l’IA (AI Act).
Les fournisseurs d’IA agissent en principe en tant que sous‑traitants de The Next Stories, dans le cadre d’accords de traitement de données (Data Processing Agreements) incluant, le cas échéant, des clauses contractuelles types et/ou le recours au EU–US Data Privacy Framework pour encadrer les transferts hors UE.
L’algorithme propriétaire de compositing utilisé pour générer les visuels studio n’est pas entraîné sur les données des clients.
Lorsque les fournisseurs le permettent, The Next Stories active systématiquement les options « no training » / opt‑out afin que les données et contenus de ses clients ne soient pas réutilisés pour entraîner des modèles d’IA génériques.
Chaque fournisseur applique ses propres conditions d’utilisation et politiques de confidentialité, que nous vous invitons à consulter.
8. Hébergement et sécurité
Les données d'Autoya sont hébergées principalement au sein de l'Union européenne, auprès des prestataires suivants :
Amazon Web Services EMEA SARL — région eu-west-1 (Irlande) : hébergement applicatif, stockage des photos et contenus générés (Amazon S3), bases de données, et authentification des utilisateurs via AWS Cognito. Cognito traite à ce titre l'adresse email, le mot de passe (chiffré), l'identifiant utilisateur unique (« sub »), les tokens de session et les métadonnées de connexion (date, adresse IP).
OVH SAS (France) : services d'infrastructure complémentaires.
Vercel Inc. : infrastructure applicative et diffusion du site web.
The Next Stories recourt également à :
- Stripe : prestataire de paiement en ligne ;
- des fournisseurs de services d’IA générative (Anthropic, OpenAI / OpenRouter, fal.ai, remove.bg, Google Gemini, xAI Grok, etc.) ;
- Google Workspace : outils collaboratifs internes (messagerie, stockage documentaire) ;
- GitHub : hébergement du code source et gestion des versions ;
- des DMS partenaires (Open Flex, Planet VO, Open Live, etc.) pour l’échange de données véhicule à la demande des concessions clientes.
Chacun de ces prestataires intervient en qualité de sous‑traitant au sens du RGPD ou, pour certains DMS, comme responsable de traitement distinct agissant sur instruction de la concession. The Next Stories a conclu avec ses sous‑traitants des accords de traitement de données incluant, le cas échéant, des clauses contractuelles types et/ou le recours au EU–US Data Privacy Framework pour encadrer les transferts hors UE.
Pour consulter les politiques de confidentialité de ces prestataires :
Des mesures techniques et organisationnelles conformes aux standards de l'industrie sont mises en œuvre pour protéger les données, incluant :
chiffrement des données en transit (TLS) et au repos
contrôle des accès et authentification renforcée
sauvegardes régulières
surveillance et audits de sécurité
isolation des espaces utilisateurs
Malgré ces mesures, aucun système n'est totalement exempt de risques. The Next Stories s'engage à notifier sans délai les utilisateurs concernés et la CNIL en cas de violation de données présentant un risque pour leurs droits et libertés.
9. Durée de conservation
Les données sont conservées uniquement pour la durée nécessaire aux finalités poursuivies :
données de compte : durée de l’inscription
données de facturation : 10 ans (obligation légale)
données d’usage : pendant la durée de la relation contractuelle, puis au maximum 3 ans après la dernière activité significative, sauf conflit ou obligation légale contraire
données issues de cookies : 13 mois maximum
données techniques, journaux et logs de sécurité : conservés pour des durées configurées par type de journal, avec un objectif d’harmonisation et une durée maximale de 12 mois sous forme pseudonymisée ou anonymisée, sauf obligation légale contraire ou nécessité liée à la défense de droits en justice.
Des durées plus longues peuvent s’appliquer en cas d’obligation légale ou de litige.
10. Destinataires des données
Les données peuvent être transmises aux destinataires suivants :
équipes internes habilitées de The Next Stories
prestataires techniques et d’hébergement
fournisseurs de services d’IA
prestataires de paiement
autorités administratives ou judiciaires si requis par la loi
Aucune donnée n’est vendue à des tiers. Les sous-traitants ne sont pas autorisés à utiliser les données pour leurs propres finalités marketing sans votre consentement ou celui de nos clients professionnels.
11. Cookies
Nous pouvons utiliser des cookies, des pixels de suivi (également appelés GIF clairs et balises Web), des kits de développement logiciels tiers (SDK) et d'autres technologies pour maintenir, fournir et améliorer notre site Web, nos applications et nos services.
Nous utilisons des cookies pour diverses raisons :
Cookies strictement nécessaires : Ces cookies sont nécessaires au bon fonctionnement de notre site Web et ne peuvent pas être désactivés dans nos systèmes. Ils ne sont généralement définis qu'en réponse à des actions que vous entreprenez, constitutives d'une demande de services, comme définir vos préférences de confidentialité, vous connecter ou remplir des formulaires. Vous pouvez configurer votre navigateur pour bloquer ces cookies ou vous alerter de leur présence, mais certaines parties du site Web ne fonctionneront pas.
Cookies fonctionnels : Ces cookies permettent au site Web de fournir une fonctionnalité améliorée et une personnalisation (par exemple : mémoriser vos préférences pour que vous n'ayez pas à les réinitialiser à chaque visite). Ils peuvent être définis par nous ou par des fournisseurs tiers dont les services ont été ajoutés à nos pages. Si vous n'autorisez pas ces cookies, certains ou tous ces services peuvent ne pas fonctionner correctement.
Cookies de performance et d'analyse : Ces cookies nous permettent de compter les visites et les sources de trafic afin que nous puissions mesurer et améliorer la performance de notre site Web. Ils nous aident à savoir quelles pages sont les plus et les moins populaires et à observer comment les visiteurs se déplacent sur le site Web. Si vous n'autorisez pas ces cookies, nous ne saurons pas quand vous avez visité notre site Web et ne pourrons pas surveiller ses performances.
Cookies de marketing et de ciblage : Ces cookies nous permettent de savoir si vous avez vu une publicité ou un type de publicité, comment vous avez interagi avec cette publicité, et combien de temps s'est écoulé depuis que vous l'avez vue pour la dernière fois. Nous utilisons également des cookies pour nous aider à gérer la publicité ciblée. Nous pouvons nous associer à des réseaux publicitaires et à d'autres fournisseurs de services publicitaires qui diffusent des publicités en notre nom et pour des tiers sur des plateformes non affiliées.
Lors de votre première visite sur notre site, un bandeau d’information vous permet de paramétrer vos choix relatifs aux cookies et autres traceurs. Les cookies non strictement nécessaires (fonctionnels, mesure d’audience, marketing et ciblage) ne sont activés qu’avec votre consentement, que vous pouvez retirer à tout moment via ce bandeau ou les paramètres de votre navigateur, conformément aux lignes directrices de la CNIL.
12. Droits des utilisateurs
Conformément au RGPD, les utilisateurs disposent des droits suivants :
droit d’accès
droit de rectification
droit d’effacement
droit à la limitation du traitement
droit à la portabilité
droit d’opposition
droit de retrait du consentement
droit de contester une décision automatisée
Les demandes peuvent être adressées à : hello@thenextstories.com
Un délai maximal d’un mois est garanti pour toute réponse.
Lorsque The Next Stories agit en qualité de sous-traitant pour le compte de ses clients professionnels (par exemple, une concession), nous invitons les personnes concernées à adresser leurs demandes en priorité au responsable de traitement concerné (leur employeur ou la concession). The Next Stories assistera le responsable de traitement pour traiter ces demandes dans les délais et conditions prévus par le RGPD.
Les utilisateurs disposent également du droit d’introduire une réclamation auprès de la CNIL.
13. Suppression de votre compte Autoya
Vous pouvez demander à tout moment la suppression définitive de votre compte Autoya et de l'ensemble des données personnelles associées.
Procédure depuis l'application mobile
Ouvrez l'application Autoya (iOS ou Android)
Rendez-vous dans Profil → Compte
Sélectionnez « Supprimer mon compte »
Confirmez votre choix
Procédure par email Si vous ne pouvez pas accéder à l'application, envoyez une demande à hello@thenextstories.com depuis l'adresse email associée à votre compte, avec pour objet « Suppression de compte ». Une vérification d'identité pourra vous être demandée.
Ce qui est supprimé
votre profil utilisateur (nom, email, identifiant Cognito)
vos photos et contenus générés stockés sur nos serveurs
votre historique d'utilisation et de consommation de crédits
vos préférences et paramètres
Ce qui peut être conservé
Conformément à nos obligations légales, certaines données peuvent être conservées au-delà de la suppression du compte :
les factures et données comptables : 10 ans (article L.123-22 du Code de commerce)
les logs de sécurité anonymisés : jusqu'à 12 mois
les données nécessaires à la défense de droits en justice le cas échéant
Les abonnements actifs souscrits via l'App Store ou Google Play doivent être annulés séparément depuis votre compte Apple ou Google avant la suppression du compte Autoya, faute de quoi la facturation se poursuivra côté store.
La suppression est effective sous 30 jours maximum. Une confirmation par email vous sera envoyée une fois la procédure terminée.
Les logs de sécurité et journaux techniques pseudonymisés ou anonymisés peuvent être conservés jusqu’à 12 mois, sauf obligation légale contraire ou nécessité liée à la défense de droits en justice.
14. Transferts hors Union européenne
Lorsque des données sont transférées hors de l’UE, notamment vers certains de nos prestataires techniques ou fournisseurs d’IA situés aux États-Unis (par exemple Vercel, certains fournisseurs de modèles d’IA, Stripe, GitHub, Google, etc.), The Next Stories met en œuvre des garanties appropriées, parmi lesquelles :
- la conclusion de clauses contractuelles types adoptées par la Commission européenne ;
- le recours, lorsque c’est possible, au EU–US Data Privacy Framework ;
- des mesures techniques et organisationnelles complémentaires (chiffrement, limitation d’accès, minimisation des données).**
Vous pouvez obtenir des informations supplémentaires sur ces garanties et, le cas échéant, une copie des clauses contractuelles types en nous contactant à l’adresse hello@thenextstories.com.
15. Modification de la Politique
La présente Politique peut être modifiée à tout moment.Les modifications entrent en vigueur 30 jours après leur publication, sauf obligation légale contraire.
Nous vous invitons à consulter régulièrement cette page pour prendre connaissance des éventuelles mises à jour.
16. Contact
Pour toute question relative à la protection des données :
📧 hello@thenextstories.com
📍 The Next Stories SAS – 40 rue de la Tour d’Auvergne – 44200 Nantes (France)