API astrologique GDPR prêt pour les développeurs de l'UE
Première API astrologique avec résidence complète dans l’UE. Si tu développes un produit B2C pour le marché européen, la question de la conformité au RGPD se pose avant même d’écrire la première ligne de code. AstroWay résout ce problème par défaut, sans frais supplémentaires ni gymnastique juridique.
Pourquoi est-ce important ?
Section intitulée « Pourquoi est-ce important ? »Les autres API astrologiques (DivineAPI, AstrologyAPI, Prokerala) sont hébergées aux États-Unis / en Inde. Cela signifie :
- Tes
birth.date,birth.time,birth.lat,birth.lon(=PII au sens du RGPD) transitent par les États-Unis/l’Inde. - La divulgation des sous-traitants pour ta politique de confidentialité : il faut lister leur juridiction.
- L’accord de traitement des données (DPA) — soit indisponible, soit réservé à l’Enterprise avec un contrat séparé.
- Risque d’audit par l’autorité européenne de protection des données : transfert transfrontalier sans SCC = amendes de 10M€+.
AstroWay, avec l’abonnement Pro à 59$/mois, te donne une résidence dans l’UE par défaut : toutes les données sont traitées sur Hetzner Nuremberg, sans transfert transfrontalier.
Stack technique
Section intitulée « Stack technique »| Couche | Localisation / fournisseur |
|---|---|
| Compute | Hetzner CPX32, Nuremberg (Allemagne) |
| Base de données | Résidente dans l’UE sur le même VPS — les données ne quittent pas l’infrastructure de Nuremberg |
| CDN / DNS | Cloudflare avec des règles de cache en région UE (les requêtes depuis l’UE sont servies par les edges UE) |
| Emails transactionnels | Brevo (anciennement Sendinblue), basé dans l’UE, SMTP conforme au RGPD |
| Stockage des PDF | Hetzner Storage Box (Nuremberg) — URL signées avec TTL de 24h, pas de réplication transfrontalière |
| Analytique | GA4 avec anonymizeIp + aucun donnée personnelle dans les événements (Plausible auto-hébergé dans la feuille de route) |
| Logs | JSON structuré, hashage des IP uniquement (pas d’IP brutes), rétention de 30 jours |
RGPD — ce que nous fournissons
Section intitulée « RGPD — ce que nous fournissons »Par défaut (pour toutes les clés Pro+)
Section intitulée « Par défaut (pour toutes les clés Pro+) »- ✅ Flux de données uniquement dans l’UE — les données de naissance ne quittent jamais Nuremberg
- ✅ Aucun transfert transfrontalier de données personnelles — confirmé par la configuration infra
- ✅ Hashage des IP — seuls le SHA-256 et les 16 premiers bits sont conservés dans les logs pour limiter la fréquence des requêtes
- ✅ Rétention des logs de 30 jours — après quoi les logs sont automatiquement supprimés
- ⚠️ Analytique anonymisée (GA4) — anonymize_ip + aucun donnée personnelle dans les événements. Plausible auto-hébergé (sans cookies) est dans la feuille de route. En attendant la migration, nous te recommandons d’ajouter ton propre bandeau de cookies sur ton frontend B2C.
- ✅ Droit à l’oubli :
DELETE /v1/me/account(Bearer JWT, body{"confirmation": "DELETE"}) — supprime immédiatement ton compte et toutes les données associées de notre système
Sur demande (abonnés Pro+)
Section intitulée « Sur demande (abonnés Pro+) »- 📄 DPA (Data Processing Agreement) — modèle standard conforme à l’art. 28 du RGPD, signé des deux côtés sous 5 jours ouvrés. Contacte-nous à
legal@astroway.info. - 📋 Liste des sous-traitants — liste complète (Hetzner, Cloudflare, notre fournisseur SMTP, Stripe pour les clients Stripe) avec les documents de conformité de chacun. Brevo, en tant que fournisseur SMTP, est mentionné dans l’annexe DPA pour les clients ayant signé.
- 🗂️ Accès au DPIA (Data Protection Impact Assessment) — si ton équipe juridique réalise un DPIA pour ton produit, nous fournissons une note technique de notre côté.
Pour les clients Enterprise (tarif personnalisé)
Section intitulée « Pour les clients Enterprise (tarif personnalisé) »- 🛡️ SOC 2 Type II — dans la feuille de route (le cabinet d’audit n’est pas encore choisi, ETA à confirmer). Si cela bloque ton intégration, contacte-nous à legal@astroway.info, nous sommes ouverts à une collaboration d’audit séparée.
- 🇪🇺 Entité juridique dans l’UE — notre forme juridique actuelle est un entrepreneur individuel ukrainien (Maxim Burkhan). Si ton service achats exige une GmbH allemande/estonienne, discutons-en au cas par cas via legal@astroway.info, processus de 4 à 8 semaines.
- 🔐 Infrastructure dédiée sur demande — VPS séparé à Nuremberg, base de données isolée, compute non partagé
- 📞 Canal direct avec la sécurité —
security@astroway.infopour la réponse aux incidents
Comparaison : AstroWay vs concurrents hébergés aux États-Unis
Section intitulée « Comparaison : AstroWay vs concurrents hébergés aux États-Unis »| Critère crucial pour un développeur dans l’UE | AstroWay Pro 59$ | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute dans l’UE | ✅ Hetzner Nuremberg | ❌ États-Unis | ❌ États-Unis | ❌ Inde |
| DPA standard disponible | ✅ sur Pro+ | ❌ seulement Enterprise | ❌ seulement Enterprise | ❌ seulement Enterprise |
| Conformité RGPD par défaut | ✅ au niveau de l’infrastructure | ⚠️ via SCC | ⚠️ via SCC | ⚠️ via SCC |
| Analytique sans cookies | ⚠️ GA4 anonymisé (Plausible dans la feuille de route) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Garantie de flux de données uniquement dans l’UE | ✅ par écrit | ❌ | ❌ | ❌ |
| Accès technique au DPIA | ✅ fourni | ❌ | ❌ | ❌ |
| Endpoint droit à l’oubli | ✅ DELETE /v1/me/account | ❌ via ticket | ❌ via ticket | ❌ via ticket |
Tarification
Section intitulée « Tarification »Résidence dans l’UE, DPA, conformité RGPD au niveau de l’infrastructure — tout est inclus dans l’abonnement Pro à 59$/mois. Pas de tarif séparé, pas de contact commercial, pas de tarification personnalisée.
C’est une stratégie délibérée : l’hébergement chez Hetzner ne nous coûte rien en plus (notre VPS est de toute façon à Nuremberg), et le DPA est un modèle standard signé en une fois par email. Pas besoin de payer pour la confidentialité ce qui devrait être la norme par défaut.
Puis-je utiliser l’abonnement Free pour un projet sensible au RGPD ?
Section intitulée « Puis-je utiliser l’abonnement Free pour un projet sensible au RGPD ? »Oui — l’abonnement Free utilise la même infrastructure (Hetzner Nuremberg), la même analytique anonymisée, la même rétention des logs de 30 jours. Le DPA n’est pas disponible sur Free (c’est une surcharge administrative qui n’est rentable qu’au niveau payant), mais techniquement les données sont traitées de la même manière.
Si ton juriste exige un DPA signé, l’abonnement Indie à 5$/mois ne le fournit pas non plus. La solution la moins chère incluant le DPA est Pro à 59$.
Que faire de l’arrêt Schrems II ? Votre CDN Cloudflare est une entreprise américaine ?
Section intitulée « Que faire de l’arrêt Schrems II ? Votre CDN Cloudflare est une entreprise américaine ? »Cloudflare est américain, mais nous utilisons des règles de cache en région UE (une requête depuis une IP UE est servie par un edge UE), et le serveur d’origine (où les données sont réellement traitées) est chez Hetzner Nuremberg. Les PII (données de naissance) transitent par l’edge Cloudflare dans la même région et ne sont pas stockées sur l’edge — seulement en transit.
Pour des scénarios critiques (applications médicales, B2G), tu peux contourner Cloudflare via un routage DNS vers l’origine — contacte-nous à legal@astroway.info.
À quelle vitesse puis-je obtenir le DPA après souscription à Pro ?
Section intitulée « À quelle vitesse puis-je obtenir le DPA après souscription à Pro ? »- DPA standard (notre modèle) — immédiat, le fichier
astroway-dpa-v1.pdfest disponible dans ton tableau de bord après le premier prélèvement. - Modifications personnalisées de ton juriste — 3 à 5 jours ouvrés. Nous ne négocions pas agressivement les clauses standard de l’art. 28.
Dois-je signer un DPA si je suis un développeur B2B sans PII en propre ?
Section intitulée « Dois-je signer un DPA si je suis un développeur B2B sans PII en propre ? »Si ton produit final traite des PII (et les données de naissance en sont), alors oui, ton juriste demandera probablement un DPA signé avec tous les sous-traitants. Nous le fournissons par défaut. Si ton intégration est interne (uniquement pour les employés), le DPA n’est probablement pas critique, mais il est préférable de le signer quand même.
Que fait AstroWay lorsque j’effectue DELETE /v1/me/account ?
Section intitulée « Que fait AstroWay lorsque j’effectue DELETE /v1/me/account ? »- Les clés API — sont doucement supprimées (période de grâce anti-abus)
- Le lien compte-clé — est rompu ; la clé ne peut pas être réassignée
- Le profil utilisateur — est marqué comme supprimé avec un horodatage
- Les logs d’utilisation — le hash de l’IP n’étant plus une PII, il reste pour l’audit de facturation
- L’historique des commandes — est conservé (rétention légale financière de 7 ans selon le RGPD art. 17 §3 e)
- Les emails transactionnels — sont automatiquement supprimés par notre fournisseur SMTP après 90 jours
Le flux complet est disponible sur demande via legal@astroway.info.
Contacts
Section intitulée « Contacts »- Juridique/DPA : legal@astroway.info
- Incidents de sécurité : security@astroway.info
- Liste des sous-traitants / DPIA : hello@astroway.info