v2 all Effective: February 2026

Politique de confidentialité

Date d'entrée en vigueur : 13 février 2026

Dernière mise à jour : 13 février 2026

Résumé

BlackLab Studio collecte uniquement les données personnelles nécessaires au fonctionnement de ses services (mastering audio IA, marketplace, API, token). Nous n'utilisons aucun outil d'analytique tiers (pas de Google Analytics, pas de pixels de suivi). Les fichiers audio soumis au mastering sont traités en temps réel et supprimés immédiatement après traitement. Les données sont hébergées en Suisse sur un serveur dédié. Nous respectons la nLPD suisse et, pour les utilisateurs situés dans l'UE/EEE, le RGPD. Pour exercer vos droits, contactez privacy@blacklab.studio.

1. Responsable du traitement

Responsable	BlackLab Studio [TODO À CONFIRMER : forme juridique]
Adresse	Suisse [TODO À CONFIRMER : adresse complète]
Contact données personnelles	privacy@blacklab.studio
DPO	Aucun délégué à la protection des données n'est actuellement désigné [TODO À CONFIRMER : désignation éventuelle d'un DPO]

2. Champ d'application

La présente politique s'applique à l'ensemble des traitements de données personnelles effectués dans le cadre de l'utilisation de la Plateforme BlackLab Studio, accessible via ses différents sous-domaines (blacklab.studio, app.blacklab.studio, market.blacklab.studio, api.blacklab.studio, developers.blacklab.studio, token.blacklab.studio).

Elle s'applique indépendamment du fait que vous soyez inscrit ou non, visiteur, acheteur, vendeur ou développeur.

3. Données collectées

3.1 Données fournies par l'Utilisateur

Catégorie	Données	Finalité
Inscription	Adresse email, nom d'utilisateur, mot de passe (haché bcrypt)	Création et gestion du Compte
Profil vendeur	Informations de paiement (compte PayPal ou coordonnées bancaires)	Versement des gains (payouts)
Achats	Historique d'achat, identifiants de transaction PayPal	Exécution des commandes, comptabilité
Marketplace	Descriptions de produits, métadonnées audio, avis (1-5 étoiles)	Fonctionnement de la marketplace
Support	Contenu des demandes d'assistance	Traitement des demandes
API	Clé API	Authentification et accès API

3.2 Données collectées automatiquement

Catégorie	Données	Finalité
Connexion	Adresse IP, date et heure, type de navigateur (User-Agent)	Sécurité, journaux d'audit
Authentification	Jetons JWT (access_token), jetons CSRF (csrf_token)	Authentification, protection CSRF
Stockage local	bl_token, bl_user, bl_cart (côté client)	Fonctionnement de l'application
Mastering	Hash SHA-256 des fichiers audio	Dédoublonnage uniquement

3.3 Données NON collectées

BlackLab Studio ne collecte pas :

de données d'analytique (pas de Google Analytics ni outil similaire) ;
de données de suivi publicitaire (pas de pixels, pas de cookies tiers de suivi) ;
de données de géolocalisation précise ;
de données biométriques ;
de données sensibles au sens de l'art. 5 let. c nLPD / art. 9 RGPD.

3.4 Fichiers audio (mastering)

Les fichiers audio soumis au service de mastering sont traités en temps réel et supprimés immédiatement après le traitement. Ils ne sont pas stockés sur nos serveurs. Seul un hash SHA-256 est conservé à des fins de dédoublonnage technique.

3.5 Fichiers marketplace

Les fichiers numériques mis en vente sur la marketplace sont stockés sur nos serveurs en Suisse pendant toute la durée de leur mise en vente, et aussi longtemps que nécessaire pour garantir l'accès aux acheteurs ayant acquis ces fichiers. Taille maximale : 500 Mo par fichier.

4. Bases juridiques et finalités

4.1 Droit suisse (nLPD)

En droit suisse, le traitement de données personnelles est licite sans consentement préalable, sauf exception. Les traitements effectués par BlackLab Studio sont fondés sur :

Finalité	Base juridique (nLPD)
Exécution des Services (compte, mastering, marketplace, API)	Exécution du contrat (art. 31 al. 2 let. a nLPD)
Sécurité, prévention de la fraude, journaux d'audit	Intérêt prépondérant (art. 31 al. 1 nLPD)
Respect des obligations comptables et légales	Obligation légale (art. 31 al. 2 let. b nLPD)
Amélioration des Services	Intérêt prépondérant (art. 31 al. 1 nLPD)

4.2 RGPD (utilisateurs UE/EEE)

Pour les personnes situées dans l'UE/EEE, les bases juridiques sont :

Finalité	Base juridique (RGPD)
Exécution des Services	Exécution du contrat (art. 6(1)(b) RGPD)
Sécurité, prévention de la fraude	Intérêt légitime (art. 6(1)(f) RGPD)
Obligations comptables et légales	Obligation légale (art. 6(1)(c) RGPD)
Cookies non essentiels (le cas échéant)	Consentement (art. 6(1)(a) RGPD)

5. Cookies et stockage local

Les détails complets sont disponibles dans notre Politique cookies.

5.1 Synthèse

BlackLab Studio utilise exclusivement des cookies et mécanismes de stockage strictement nécessaires au fonctionnement de la Plateforme :

Nom	Type	Durée	Finalité
`access_token`	Cookie	7-30 jours	Authentification JWT
`csrf_token`	Cookie	24 heures	Protection CSRF
`bl_token`	localStorage	Session	Authentification côté client
`bl_user`	localStorage	Session	Informations utilisateur côté client
`bl_cart`	localStorage	Persistant	Panier d'achat

Aucun cookie de suivi, d'analytique ou publicitaire n'est utilisé.

6. Tiers et sous-traitants

6.1 Sous-traitants

BlackLab Studio fait appel aux sous-traitants suivants :

Sous-traitant	Finalité	Localisation	Données concernées
[TODO À CONFIRMER : hébergeur]	Hébergement serveur dédié	Suisse	Toutes les données hébergées
PayPal (Europe) S.à r.l. et Cie, SCA	Traitement des paiements	Luxembourg (UE)	Données de transaction, email
Google Fonts (Google LLC)	Livraison de polices web	États-Unis	Adresse IP, User-Agent
unpkg.com (Cloudflare)	Livraison de bibliothèques JavaScript	États-Unis	Adresse IP, User-Agent

La liste détaillée et à jour est disponible dans notre Liste des sous-traitants.

6.2 Pas de vente de données

BlackLab Studio ne vend pas, ne loue pas et ne partage pas vos données personnelles à des fins commerciales ou publicitaires avec des tiers.

6.3 Communication à des tiers

Vos données peuvent être communiquées à des tiers uniquement dans les cas suivants :

avec votre consentement explicite ;
pour l'exécution des Services (sous-traitants listés ci-dessus) ;
en réponse à une obligation légale ou une réquisition d'une autorité compétente ;
pour protéger les droits, la propriété ou la sécurité de BlackLab Studio, de ses Utilisateurs ou du public.

7. Transferts internationaux

7.1 Principe

Les données sont hébergées en Suisse, pays reconnu par la Commission européenne comme offrant un niveau de protection adéquat (décision d'adéquation).

7.2 Transferts vers les États-Unis

L'utilisation de Google Fonts et unpkg.com implique un transfert limité de données techniques (adresse IP, User-Agent) vers les États-Unis. Ces transferts sont encadrés par :

les clauses contractuelles types (CCT) de la Commission européenne, le cas échéant ;
le EU-U.S. Data Privacy Framework, le cas échéant ;
les mesures supplémentaires appropriées au sens de l'art. 16 al. 2 nLPD.

[TODO À CONFIRMER : mécanisme de transfert exact applicable à chaque sous-traitant US].

8. Durées de conservation

Catégorie	Durée de conservation
Données de compte	Pendant la durée du Compte + 1 an après la suppression
Données de paiement / comptabilité	10 ans (obligation comptable suisse, art. 958f CO)
Journaux d'audit	7 ans
Journaux techniques	90 jours
Fichiers audio (mastering)	Supprimés immédiatement après traitement
Hash SHA-256 (mastering)	Durée indéterminée (dédoublonnage)
Fichiers marketplace	Durée de la mise en vente + durée nécessaire pour les acheteurs

À l'expiration des durées de conservation, les données sont supprimées ou anonymisées de manière irréversible.

9. Sécurité des données

BlackLab Studio met en oeuvre les mesures techniques et organisationnelles suivantes (art. 8 nLPD, art. 32 RGPD) :

Chiffrement des mots de passe : bcrypt avec salage ;
Protection CSRF : jetons CSRF sur les requêtes sensibles ;
Authentification sécurisée : JWT avec durée de validité limitée (7-30 jours) ;
Hébergement : serveur dédié en Suisse ;
Minimisation des données : seules les données strictement nécessaires sont collectées ;
Suppression en temps réel : les fichiers audio de mastering ne sont pas stockés.

Pour plus de détails, consultez notre Déclaration de sécurité.

9.1 Violation de données

En cas de violation de données personnelles, BlackLab Studio :

informera le Préposé fédéral à la protection des données et à la transparence (PFPDT) dans les meilleurs délais si la violation présente un risque élevé (art. 24 nLPD) ;
informera les personnes concernées si nécessaire (art. 24 al. 4 nLPD) ;
pour les personnes dans l'UE/EEE, respectera les obligations des art. 33 et 34 RGPD (notification dans les 72 heures à l'autorité de contrôle compétente).

10. Vos droits

10.1 Droit suisse (nLPD)

Conformément à la nLPD, vous disposez des droits suivants :

Droit d'accès (art. 25 nLPD) : obtenir confirmation du traitement de vos données et en recevoir une copie ;
Droit de rectification : demander la correction de données inexactes ;
Droit à l'effacement : demander la suppression de vos données, sous réserve des obligations légales de conservation ;
Droit à la portabilité (art. 28 nLPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
Droit d'opposition : vous opposer à un traitement fondé sur un intérêt prépondérant.

10.2 Droits complémentaires RGPD (utilisateurs UE/EEE)

Si vous résidez dans l'UE/EEE, vous bénéficiez en outre :

Droit à la limitation du traitement (art. 18 RGPD) ;
Droit de retirer votre consentement à tout moment (art. 7(3) RGPD), sans affecter la licéité du traitement antérieur ;
Droit de réclamation auprès de l'autorité de contrôle de votre pays de résidence ;
Droit de ne pas faire l'objet d'une décision automatisée (art. 22 RGPD).

10.3 Exercice de vos droits

Pour exercer vos droits, adressez votre demande à privacy@blacklab.studio en précisant :

votre identité (nom, adresse email du Compte) ;
le droit que vous souhaitez exercer ;
toute information utile pour traiter votre demande.

Nous répondrons dans un délai de trente (30) jours (nLPD) ou de un (1) mois (RGPD), sauf complexité justifiant une prolongation.

10.4 Autorités compétentes

Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT), Feldeggweg 1, 3003 Berne, https://www.edoeb.admin.ch
UE/EEE : l'autorité de contrôle de votre pays de résidence.

11. Mineurs

La Plateforme est destinée aux personnes âgées de 16 ans minimum [TODO À CONFIRMER : âge minimum retenu]. BlackLab Studio ne collecte pas sciemment les données de personnes de moins de 16 ans. Si nous apprenons qu'un mineur de moins de 16 ans a fourni des données personnelles, nous supprimerons ces données dans les meilleurs délais.

Si vous êtes un parent ou tuteur et pensez que votre enfant a créé un Compte, contactez-nous à privacy@blacklab.studio.

12. Modifications

BlackLab Studio se réserve le droit de modifier la présente politique à tout moment. Les modifications seront publiées sur la Plateforme avec indication de la date de mise à jour. En cas de modification substantielle, un préavis raisonnable sera accordé conformément à l'article 18 de nos Conditions Générales d'Utilisation.

13. Contact

Pour toute question relative à la protection de vos données personnelles :

Email	privacy@blacklab.studio
Contact général	contact@blacklab.studio
Support	support@blacklab.studio

La présente Politique de confidentialité complète les Conditions Générales d'Utilisation et la Politique cookies de BlackLab Studio.

Privacy Policy

Effective Date: February 13, 2026

Last Updated: February 13, 2026

Summary

This Privacy Policy explains how BlackLab Studio collects, uses, stores, and protects personal data when you use our Platform. BlackLab Studio is based in Switzerland and complies with the Swiss Federal Act on Data Protection (nFADP, SR 235.1) and, for users in the EU/EEA, the General Data Protection Regulation (GDPR, Regulation (EU) 2016/679). We collect only the data necessary to provide our services. We do not use analytics trackers, advertising pixels, or similar third-party tracking technologies. Audio files submitted for mastering are processed in real-time and deleted immediately after delivery -- they are not stored. All data is hosted on a dedicated server in Switzerland. We share data only with PayPal (for payment processing), Google Fonts (for font delivery), and unpkg.com (for JavaScript libraries). You have the right to access, correct, delete, and port your data. No Data Protection Officer has been appointed. For privacy inquiries, contact privacy@blacklab.studio.

Controller and Contact
Scope
Legal Bases for Processing
Data We Collect
How We Use Your Data
Cookies and Local Storage
Third-Party Services
Data Transfers
Data Retention
Data Security
Your Rights
Children and Minors
Automated Decision-Making
Changes to This Policy
Contact

1. Controller and Contact

The data controller responsible for the processing of your personal data is:

BlackLab Studio [TODO TO BE CONFIRMED: legal form]

[TODO TO BE CONFIRMED: full address], Switzerland

Privacy Contact: privacy@blacklab.studio

Data Protection Officer (DPO): No DPO has been appointed. [TODO TO BE CONFIRMED: assess whether a DPO must be appointed under nFADP Art. 10 or GDPR Art. 37.]

EU Representative (Art. 27 GDPR): [TODO TO BE CONFIRMED: if required, an EU representative must be designated for EU/EEA users.]

2. Scope

This Privacy Policy applies to all personal data processing activities carried out through:

blacklab.studio and all its subdomains (app.blacklab.studio, market.blacklab.studio, api.blacklab.studio, developers.blacklab.studio, admin.blacklab.studio, ops.blacklab.studio, token.blacklab.studio);
All interactions with BlackLab Studio, including email correspondence.

This policy applies to all Users regardless of location. Where specific provisions apply only to EU/EEA users under the GDPR, this is noted.

3. Legal Bases for Processing

3.1 Under Swiss Law (nFADP)

Under the nFADP, personal data may be processed unless it causes an unlawful interference with the personality of the data subject. Processing is lawful if it is based on the consent of the data subject, an overriding private or public interest, or is authorized by law (Art. 6 nFADP; Art. 31 nFADP).

3.2 Under GDPR (EU/EEA Users)

For users in the EU/EEA, we rely on the following legal bases under Art. 6(1) GDPR:

Purpose	Legal Basis
Account creation and management	Performance of a contract (Art. 6(1)(b))
Providing Services (mastering, marketplace, API)	Performance of a contract (Art. 6(1)(b))
Payment processing	Performance of a contract (Art. 6(1)(b))
Security (authentication, CSRF, fraud prevention)	Legitimate interest (Art. 6(1)(f))
Legal compliance (accounting, audit logs)	Legal obligation (Art. 6(1)(c))
Communication (support requests)	Performance of a contract / Legitimate interest

4. Data We Collect

4.1 Data You Provide

Data Category	Examples	Purpose
Account Data	Email address, username, password (bcrypt-hashed)	Account creation and authentication
Profile Data	Display name, bio, avatar (if provided)	Platform profile
Payment Data	PayPal account email, transaction IDs, purchase history	Payment processing and accounting
Content Data	Audio files, product listings, descriptions, metadata	Service delivery (mastering, marketplace)
Communication Data	Support emails, feedback	Support and service improvement
Review Data	Star ratings, review text	Marketplace review system
Seller/Creator Data	Payout details (PayPal or bank transfer information)	Payout processing
Developer Data	API keys, API usage data	API service delivery

4.2 Data We Collect Automatically

Data Category	Details	Purpose
Authentication Tokens	JWT tokens (7-30 day lifetime)	Secure session management
CSRF Tokens	Rotated every 24 hours	Security
Technical Logs	IP address, browser user-agent, request timestamps, endpoint accessed	Security, debugging, abuse prevention
Audit Logs	Account actions, payment events, administrative actions	Compliance and security
File Hashes	SHA-256 hash of uploaded audio files	Deduplication

4.3 Data We Do NOT Collect

We do not use Google Analytics or any analytics platform;
We do not use advertising pixels, tracking beacons, or retargeting technologies;
We do not sell, rent, or trade personal data;
We do not perform cross-site tracking;
We do not store audio files beyond the processing session (mastering service).

5. How We Use Your Data

We process personal data for the following purposes:

Service Delivery -- To create and manage your Account, process mastering requests, facilitate marketplace transactions, and provide API access.
Payment Processing -- To process Credit purchases, marketplace sales, and creator payouts via PayPal.
Security -- To authenticate users, prevent fraud, detect abuse, and protect the integrity of the Platform.
Legal Compliance -- To comply with Swiss accounting obligations (10-year retention of payment records), tax law, and any lawful requests from authorities.
Support -- To respond to your inquiries and resolve issues.
Platform Improvement -- To identify and fix bugs, improve functionality, and develop new features based on aggregated, non-identifying usage patterns.

6. Cookies and Local Storage

6.1 Cookies

The Platform uses the following cookies:

Cookie	Type	Purpose	Duration
`access_token`	Strictly necessary	Authentication	7-30 days
`csrf_token`	Strictly necessary	CSRF protection	24 hours

These cookies are strictly necessary for the functioning of the Platform and do not require consent under the nFADP, GDPR, or the ePrivacy Directive.

6.2 Local Storage

The Platform uses the following browser localStorage entries:

Key	Purpose
`bl_token`	Authentication token storage
`bl_user`	User session data
`bl_cart`	Shopping cart contents

6.3 No Third-Party Tracking Cookies

We do not set any third-party tracking cookies, advertising cookies, or analytics cookies.

For full details, see our Cookie Policy.

7. Third-Party Services

We share data with the following third-party service providers only:

7.1 PayPal

Provider: PayPal (Europe) S.a r.l. et Cie, SCA, Luxembourg
Purpose: Payment processing (Credit purchases, marketplace transactions, creator payouts)
Data Shared: Email address, transaction amounts, transaction IDs
Legal Basis: Performance of a contract
Privacy Policy: https://www.paypal.com/webapps/mpp/ua/privacy-full

7.2 Google Fonts

Provider: Google LLC, USA (or Google Ireland Limited for EEA users)
Purpose: Font delivery for the Platform UI
Data Shared: IP address, browser user-agent (transmitted automatically by the browser when fetching font files)
Legal Basis: Legitimate interest (consistent UI rendering)
Privacy Policy: https://policies.google.com/privacy
Note: Font files are fetched from Google servers. This results in your browser connecting to Google's servers and transmitting your IP address.

7.3 unpkg.com

Provider: unpkg.com (a CDN for npm packages)
Purpose: Delivery of JavaScript libraries
Data Shared: IP address, browser user-agent (transmitted automatically by the browser)
Legal Basis: Legitimate interest (platform functionality)

See our Subprocessor List for the complete list.

8. Data Transfers

8.1 Primary Hosting

All Platform data is hosted on a dedicated server located in Switzerland. Switzerland is recognized by the European Commission as providing an adequate level of data protection (EU adequacy decision).

8.2 Cross-Border Transfers

When data is shared with third-party services (see Section 7), transfers to countries outside Switzerland or the EU/EEA may occur:

Service	Location	Transfer Mechanism
PayPal	Luxembourg (EU)	EU adequacy / Contractual necessity
Google Fonts	USA	Standard Contractual Clauses (SCCs) / EU-US Data Privacy Framework
unpkg.com	USA	Legitimate interest / SCCs where applicable

BlackLab Studio ensures that any cross-border transfer is subject to appropriate safeguards in accordance with Art. 16-17 nFADP and Chapter V GDPR.

9. Data Retention

We retain personal data only for as long as necessary to fulfill the purposes described in this policy or as required by law.

Data Category	Retention Period
Account data	While account is active + 1 year after account deletion
Payment records	10 years after the transaction (Swiss accounting obligation, Art. 958f CO)
Audit logs	7 years
Technical logs	90 days
Audio files (mastering)	Deleted immediately after processing (not stored)
File hashes (SHA-256)	Retained for deduplication; deleted upon account deletion + 1 year
Marketplace product files	While listed + as needed for order fulfillment
Support correspondence	Duration of business relationship + 1 year

After the retention period expires, data is securely deleted or irreversibly anonymized.

10. Data Security

BlackLab Studio implements appropriate technical and organizational measures to protect personal data against unauthorized access, alteration, disclosure, or destruction. These measures include:

Authentication: JWT tokens with configurable expiry (7-30 days);
Password Security: bcrypt hashing (passwords are never stored in plaintext);
CSRF Protection: CSRF tokens rotated every 24 hours;
Infrastructure: Dedicated server hosted in Switzerland;
Access Control: Role-based access control; administrative access restricted;
Logging: Comprehensive audit and technical logs;
Data Minimization: Audio files are not stored beyond processing; only hashes are retained.

For further details, see our Security Statement.

Data Breach Notification

In the event of a personal data breach that is likely to result in a risk to your rights and freedoms, BlackLab Studio will:

Notify the relevant supervisory authority (FDPIC in Switzerland; or the relevant EU/EEA authority) within 72 hours of becoming aware of the breach (Art. 24 nFADP; Art. 33 GDPR);
Notify affected data subjects without undue delay where the breach is likely to result in a high risk (Art. 24(4) nFADP; Art. 34 GDPR).

11. Your Rights

11.1 Under Swiss Law (nFADP)

Under the nFADP (Art. 25-29), you have the right to:

Access your personal data (Art. 25 nFADP);
Rectification of inaccurate data (Art. 32(1) nFADP);
Deletion of your data ("right to be forgotten"), subject to legal retention obligations;
Data portability -- receive your data in a commonly used, machine-readable format (Art. 28 nFADP).

11.2 Under GDPR (EU/EEA Users)

If you are located in the EU/EEA, you have additional rights under the GDPR:

Right of access (Art. 15 GDPR);
Right to rectification (Art. 16 GDPR);
Right to erasure (Art. 17 GDPR);
Right to restriction of processing (Art. 18 GDPR);
Right to data portability (Art. 20 GDPR);
Right to object to processing based on legitimate interest (Art. 21 GDPR);
Right to withdraw consent at any time, without affecting the lawfulness of prior processing (Art. 7(3) GDPR);
Right to lodge a complaint with a supervisory authority (Art. 77 GDPR).

11.3 How to Exercise Your Rights

To exercise any of these rights, contact us at:

Email: privacy@blacklab.studio

We will respond within 30 days (nFADP) or one month (GDPR) of receiving your request. We may request identification to verify your identity before processing your request.

11.4 Supervisory Authorities

Switzerland: Federal Data Protection and Information Commissioner (FDPIC) -- https://www.edoeb.admin.ch
EU/EEA: The supervisory authority of the EU/EEA Member State in which you reside.

12. Children and Minors

The Platform is not intended for users under 16 years of age. We do not knowingly collect personal data from children under 16. If you believe a child under 16 has provided personal data to us, please contact privacy@blacklab.studio, and we will promptly delete such data.

13. Automated Decision-Making

13.1 AI Mastering

The AI Mastering service uses automated processing to generate mastered audio output. This processing is performed on audio data (not personal data) and does not produce legal effects or similarly significantly affect you as a data subject within the meaning of Art. 21 nFADP or Art. 22 GDPR.

13.2 No Profiling

We do not engage in profiling or automated decision-making that produces legal effects concerning you or similarly significantly affects you.

14. Changes to This Policy

We may update this Privacy Policy from time to time. The "Last Updated" date at the top will reflect the most recent revision. Material changes will be communicated through the Platform or by other reasonable means. Your continued use of the Platform after changes take effect constitutes acceptance of the updated policy.

15. Contact

For any privacy-related questions or to exercise your data subject rights:

Purpose	Contact
Privacy inquiries and data subject requests	privacy@blacklab.studio
General inquiries	contact@blacklab.studio
Technical support	support@blacklab.studio

BlackLab Studio

[TODO TO BE CONFIRMED: full postal address]

Switzerland

This Privacy Policy is effective as of February 13, 2026.