LockerfulLockerful.
/
← Back to home
Legal

Automated moderation policy

Working draft — final legal version under review.
These documents are currently only available in French. An English version will follow once the French text is finalised by counsel.

Politique de Modération Automatisée des Images — Lockerful

Version 0.1 — Mai 2026

⚠️ AVERTISSEMENT — DOCUMENT DE TRAVAIL

Le présent document est un brouillon préparatoire destiné à être relu, complété et validé par un avocat spécialisé en droit des données personnelles et en droit de l'IA avant toute mise en production. Il ne constitue pas un document juridique opposable en l'état.

Préambule

La Plateforme Lockerful permet aux Clubs et aux Sponsors de téléverser un logo destiné à apparaître dans les contenus diffusés (montages vidéo, conventions, justificatifs fiscaux, marketplace). Afin d'éviter la diffusion de contenus inappropriés (à caractère pornographique, violent, ou suggestif explicite) sur des supports destinés à un public sportif amateur incluant des mineurs, Lockerful met en œuvre un dispositif de modération automatisée au moment du téléversement.

La présente Politique décrit ce dispositif, en explicite la base juridique, les garanties offertes à l'utilisateur soumis à la décision automatisée, et les voies de recours.

Elle complète et s'appuie sur :

  • la Politique de Confidentialité (03_Politique_Confidentialite.md), section Module — Modération automatisée des logos ;
  • l'Accord de Sous-Traitance (02_DPA_Sous-traitance.md), Annexe 2, qui liste Google Cloud (Cloud Vision API) comme sous-traitant ultérieur autorisé.

Article 1 — Périmètre et déclenchement

1.1 Surfaces concernées

Le dispositif de modération automatisée s'applique exclusivement, à la date de la présente version, aux logos téléversés par :

  • les administrateurs de Club (logo du Club affiché dans les montages, sur la marketplace et dans les conventions) ;
  • les administrateurs de Sponsor (logo du Sponsor affiché dans les contenus diffusés et sur les justificatifs).

Les autres surfaces images (vignettes extraites des matchs, captures de rushes) ne font pas l'objet de cette modération à ce stade. Une décision distincte sera prise si une modération est jugée nécessaire sur la diffusion de contenus publiés (cf. À FAIRE).

1.2 Déclenchement technique

À chaque téléversement de logo finalisé, le serveur :

  1. télécharge l'image depuis Google Cloud Storage ;
  2. vérifie le format, la taille et les dimensions ;
  3. transmet l'URI gs:// à l'API Google Cloud Vision SafeSearch ;
  4. applique les règles de décision décrites à l'Article 3 ;
  5. journalise l'événement (cf. Article 5).

1.3 Donnée traitée

L'image transmise à Cloud Vision est le fichier-logo lui-même. Les logos d'organisation ne contiennent en règle générale pas de données à caractère personnel ni de visages identifiables ; toutefois, la prudence commande de considérer que tel pourrait être le cas dans des situations marginales (logo basé sur la photo d'un fondateur, etc.). Dans cette hypothèse, le traitement reste fondé sur les bases légales décrites à l'Article 4.

Article 2 — Qualification juridique

2.1 Décision individuelle automatisée (article 22 RGPD)

L'article 22.1 du Règlement (UE) 2016/679 (« RGPD ») reconnaît à toute personne le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant à son égard des effets juridiques ou l'affectant de manière significative de façon similaire.

Lockerful adopte la position prudente suivante :

  • La décision (acceptation/refus du logo) est prise sans intervention humaine.
  • Cette décision ne produit pas d'effets juridiques au sens strict : elle ne modifie ni la situation contractuelle, ni l'état des droits de l'utilisateur, ni un statut administratif.
  • Le caractère significatif est limité : un refus n'empêche pas l'utilisateur d'utiliser la Plateforme dans son ensemble. Il l'empêche uniquement d'utiliser ce fichier précis comme logo. L'utilisateur peut soumettre un autre fichier sans délai.
  • Le traitement n'opère aucun profilage au sens de l'article 4.4 RGPD : il évalue le contenu de l'image, non la personne.

Conclusion préliminaire : l'article 22.1 RGPD n'est, selon nous, pas strictement applicable au refus automatisé d'un logo. Néanmoins, par mesure de précaution et conformité par construction, Lockerful applique volontairement les garanties prévues à l'article 22.3 RGPD, à savoir :

  • la possibilité d'exprimer son point de vue (canal support) ;
  • la possibilité d'obtenir une intervention humaine (réexamen par un opérateur Lockerful) ;
  • la possibilité de contester la décision.

2.2 Bases légales applicables (articles 6 RGPD)

Le traitement de modération est fondé sur :

  • l'exécution du contrat au sens de l'article 6.1.b RGPD : les CGU prévoient que la Plateforme diffuse les logos téléversés sur des supports destinés à un public incluant potentiellement des mineurs ; la modération est nécessaire à l'exécution de cette prestation ;
  • l'intérêt légitime de Lockerful au sens de l'article 6.1.f RGPD : protéger les utilisateurs (notamment mineurs) et l'image de la Plateforme contre la diffusion de contenus inappropriés. Cet intérêt l'emporte sur l'atteinte limitée au droit de l'utilisateur (refus d'un fichier, possibilité immédiate de réessayer, voie de recours humain disponible).

À titre subsidiaire, et uniquement si l'article 22.1 RGPD devait s'appliquer, le traitement serait couvert par l'exception de l'article 22.2.a RGPD (« nécessaire à la conclusion ou à l'exécution d'un contrat »).

2.3 Règlement (UE) 2024/1689 (« AI Act »)

Le règlement européen sur l'intelligence artificielle (« AI Act »), pleinement applicable à compter d'août 2026, qualifie les systèmes d'IA selon leur niveau de risque.

(a) Annexe III (haut risque) — Le système de modération automatisée des logos via Cloud Vision SafeSearch n'entre dans aucune des huit catégories de l'Annexe III de l'AI Act. Il ne s'agit ni d'un système biométrique d'identification, ni d'un système d'évaluation de personnes (employabilité, crédit, accès aux services essentiels, justice, migration, etc.). Il est utilisé pour évaluer un objet (l'image), non une personne.

(b) Article 5 (pratiques interdites) — Le système ne relève d'aucune pratique interdite (pas de notation sociale, pas de manipulation, pas de reconnaissance des émotions sur le lieu de travail, pas d'identification biométrique à distance en temps réel).

(c) Article 50 (transparence) — L'article 50.1 AI Act impose, pour les systèmes d'IA destinés à interagir directement avec des personnes physiques, d'informer ces personnes qu'elles interagissent avec un système d'IA, sauf si cela ressort manifestement du contexte. Bien que le présent dispositif fonctionne en arrière-plan (l'utilisateur ne « converse » pas avec l'IA), Lockerful retient la lecture la plus protectrice : l'utilisateur doit être informé, en amont du téléversement et dans le message de refus, qu'une décision automatisée par un système d'IA peut être appliquée à son fichier. Cette obligation est mise en œuvre :

  • dans les CGU (à amender — cf. À FAIRE) ;
  • dans la Politique de Confidentialité (section dédiée — cf. 03_Politique_Confidentialite.md) ;
  • dans le message d'erreur affiché à l'utilisateur (cf. Article 6).

(d) Enregistrement — L'article 49 AI Act prévoit l'enregistrement, dans la base de données de l'UE, des systèmes d'IA à haut risque mentionnés à l'Annexe III. Le dispositif de modération de logos n'étant pas à haut risque, aucune obligation d'enregistrement ne s'applique.

(e) Article 26 (utilisateurs / déployeurs de systèmes IA à haut risque) — Sans objet ici, le système n'étant pas à haut risque. Lockerful n'en est pas moins soumis aux obligations générales de transparence de l'article 50.

Conclusion AI Act : système d'IA à risque limité, soumis à transparence (article 50) mais pas à enregistrement ni à obligations renforcées.

Article 3 — Règles de décision

3.1 Catégories évaluées

Cloud Vision SafeSearch retourne, pour chaque image, cinq scores de vraisemblance (likelihood) parmi : VERY_UNLIKELY, UNLIKELY, POSSIBLE, LIKELY, VERY_LIKELY. Les catégories sont :

CatégorieDescription (vulgarisée)
adultcontenu pornographique ou nudité explicite
violencescène de violence physique
racycontenu suggestif (tenue, posture) sans nudité explicite
medicalcontenu médical (sang, tissu humain, instruments)
spoofimage trafiquée à des fins humoristiques (mèmes, deepfakes basiques)

3.2 Matrice de seuils (en vigueur)

CatégorieSeuil de refus automatiqueJustification
adultLIKELYRisque inacceptable (mineurs sur la Plateforme).
violenceLIKELYIdem.
racyLIKELYIdem, niveau d'exigence aligné sur le caractère « tout public » du service.
medicalaucun refus auto.Faux positifs élevés (logos avec croix rouge, signe médical légitime). Journalisé.
spoofaucun refus auto.Non corrélé avec un risque de diffusion inappropriée. Journalisé.

3.3 Recommandation d'évolution

Lockerful recommande, dans une version ultérieure (cf. À FAIRE) :

  • de conserver le seuil ≥ LIKELY pour adult, violence et racy ;
  • d'introduire un seuil distinct ≥ VERY_LIKELY sur adult qui basculerait dans une logique fail-closed (cf. Article 4) ;
  • d'introduire une file de revue manuelle lorsque medicalVERY_LIKELY, plutôt que l'acceptation silencieuse actuelle. Cible : éviter qu'un logo à connotation choquante (image opératoire) passe en production sur des supports destinés à un public familial.

3.4 Absence de profilage individuel

Le dispositif analyse uniquement les pixels de l'image téléversée. Il ne croise aucune information sur l'utilisateur, n'accède à aucun historique, et ne construit aucun score lié à la personne. Aucune donnée n'est réinjectée dans un modèle d'apprentissage.

Article 4 — Comportement en cas de défaillance (fail-open / fail-closed)

4.1 État actuel : fail-OPEN

Si l'API Cloud Vision SafeSearch est indisponible ou retourne une erreur, l'image est acceptée et l'incident est journalisé avec decision: "error". L'argument produit est qu'une panne du sous-traitant de modération ne doit pas bloquer un Club légitime.

4.2 Position de la présente Politique

Cette posture est acceptable pour la phase de bêta privée mais comporte un risque résiduel : en cas de panne prolongée, un logo gravement inapproprié peut être accepté et diffusé. Le risque réputationnel et le risque vis-à-vis des mineurs l'emportent, dans une logique de conformité par construction, sur le risque opérationnel d'un blocage temporaire.

Recommandation : passer à un mode fail-CLOSED partiel :

  • en cas d'erreur Vision, l'image est mise en attente de revue manuelle (statut pending_manual_review) plutôt qu'acceptée silencieusement ;
  • l'utilisateur reçoit un message expliquant qu'une revue humaine est en cours et que sa demande sera traitée sous 24 heures ouvrées ;
  • les opérateurs Lockerful disposent d'un back-office minimal pour valider/refuser les éléments en attente.

À défaut de back-office disponible immédiatement, une variante intermédiaire consiste à conserver le fail-open uniquement pour les Clubs déjà actifs (qui ont déjà au moins un logo accepté) et à passer en fail-closed pour les premiers téléversements d'une organisation.

Article 5 — Journalisation et conservation

5.1 Contenu du journal

Chaque évaluation (qu'elle aboutisse à une acceptation, à un refus ou à une erreur) génère un événement écrit dans la collection Firestore moderationEvents, comportant :

  • l'horodatage decidedAt ;
  • l'URI GCS de l'image évaluée (gsUri) ;
  • la décision (allowed | rejected | error) ;
  • les scores bruts retournés par Cloud Vision pour les cinq catégories ;
  • les motifs de refus (par exemple ["adult:VERY_LIKELY"]) ;
  • le contexte : type d'image, type d'organisation, identifiant d'organisation, identifiant de l'utilisateur ayant téléversé.

5.2 Finalité du journal

Le journal sert à :

  • répondre à une demande d'explication de l'utilisateur sur le refus (article 22.3 RGPD, article 13.2.f RGPD) ;
  • permettre à Lockerful d'auditer le fonctionnement du dispositif (taux de faux positifs, dérive éventuelle) ;
  • documenter, à la demande d'une autorité de contrôle, les décisions automatisées prises.

5.3 Durée de conservation

Type d'événementDurée recommandée
rejected (refus)24 mois à compter de la décision
allowed (acceptation)12 mois à compter de la décision
error12 mois à compter de la décision

Justification :

  • les refus présentent un risque contentieux plus élevé (un utilisateur peut contester) — la durée est alignée sur le délai de prescription des actions courtes en droit belge des contrats (art. 2262bis C. civ. belge — délai abrégé de 5 ans en pratique inutile ici) et sur la durée raisonnable d'un litige ;
  • les acceptations ne servent qu'à l'audit du modèle ; 12 mois suffisent ;
  • la durée n'est pas alignée sur les 10 ans comptables : le journal de modération n'est pas une pièce comptable.

À l'expiration, les événements sont supprimés automatiquement (TTL Firestore — cf. À FAIRE pour la mise en place).

5.4 Données personnelles présentes dans le journal

Le journal contient l'uid utilisateur (identifiant Firebase Auth). Cette donnée est traitée pour la finalité d'audit décrite ci-dessus, sur le fondement de l'intérêt légitime (article 6.1.f RGPD). L'utilisateur peut en demander la suppression dans les conditions de l'Article 7.

Article 6 — Information de l'utilisateur

6.1 Information préalable (avant téléversement)

L'utilisateur est informé, avant de téléverser un logo, que :

  • son fichier sera analysé par un système d'IA de modération automatisée fourni par Google (Cloud Vision SafeSearch) ;
  • le système peut refuser le fichier si certains critères sont franchis ;
  • en cas de refus, l'utilisateur peut demander un réexamen humain.

Cette information figure dans :

  • la Politique de Confidentialité (section dédiée) ;
  • les CGU (à amender — cf. À FAIRE) ;
  • une note discrète sous le composant de téléversement (à implémenter — cf. À FAIRE).

6.2 Information lors du refus (article 13/22 RGPD, article 50 AI Act)

Le message affiché à l'utilisateur en cas de refus précise, de manière claire et concise :

  • que la décision a été prise par un système automatisé d'IA ;
  • la catégorie de motif (sans nécessairement révéler les scores bruts, qui peuvent être trompeurs ou exploitables pour contourner le filtre) ;
  • le canal de recours (adresse email support) ;
  • la possibilité de demander une revue humaine.

Les libellés validés par la présente Politique sont consignés dans apps/web/messages/{en,fr}.json sous logoUpload.error.inappropriate_content (cf. Article 8 pour la rédaction proposée).

6.3 Droit d'explication

Sur demande de l'utilisateur, Lockerful communique, dans le délai d'un mois prévu à l'article 12 RGPD :

  • la catégorie déclenchante (adult, violence, racy) ;
  • le niveau de likelihood (LIKELIHOOD ou VERY_LIKELIHOOD) ;
  • une description vulgarisée de cette catégorie ;
  • la logique générale du dispositif (telle qu'exposée dans la présente Politique) ;
  • la possibilité de soumettre un autre fichier ou d'obtenir une revue humaine.

Lockerful ne communique pas : (i) les scores bruts des autres catégories non déclenchantes, (ii) les seuils internes en deçà du seuil de refus, (iii) le détail technique des modèles Google. Cette retenue est justifiée par la nécessité d'éviter le contournement délibéré du filtre par un acteur malveillant.

Article 7 — Droits de la personne concernée

L'utilisateur dispose, sur l'événement de modération le concernant :

  • du droit d'accès (article 15 RGPD) — communication de l'événement ;
  • du droit de rectification (article 16 RGPD) — sans objet en pratique, le journal étant un constat factuel ;
  • du droit à l'effacement (article 17 RGPD) — supprimable sur demande, sous réserve de l'intérêt légitime de Lockerful à conserver l'événement le temps de la durée prévue à l'Article 5.3 en cas de litige potentiel ;
  • du droit d'opposition (article 21 RGPD) — fondé sur l'intérêt légitime, mais l'opposition au seul traitement de modération équivaut à renoncer au service de téléversement de logo, et n'est donc pas opérante ;
  • des droits spécifiques de l'article 22.3 RGPD — exprimer son point de vue, obtenir une intervention humaine, contester la décision.

L'exercice s'effectue auprès de dpo@lockerful.com ou de support@lockerful.com, selon les modalités décrites dans la Politique de Confidentialité.

Article 8 — Libellés utilisateur (proposition)

Les libellés actuels du message d'erreur sont jugés trop sommaires au regard des obligations d'information (articles 13, 14 et 22.3 RGPD ; article 50 AI Act). Une version plus complète est proposée ci-dessous.

8.1 EN (proposition)

Logo refused by automated AI moderation. An automated AI system (Google Cloud Vision SafeSearch) flagged this image as potentially inappropriate for our platform (adult, violent or suggestive content). You can:

  • upload a different file, or
  • request a human review by writing to support@lockerful.com — we'll get back to you within 5 business days.

8.2 FR (proposition, tutoiement BE-FR)

Logo refusé par notre modération automatisée par IA. Un système d'IA automatisé (Google Cloud Vision SafeSearch) a signalé cette image comme potentiellement inappropriée pour la plateforme (contenu adulte, violent ou suggestif). Tu peux :

  • téléverser un autre fichier, ou
  • demander une revue humaine en écrivant à support@lockerful.com — nous te répondons sous 5 jours ouvrés.

8.3 Information préalable au téléversement (microcopy à ajouter)

À placer sous le composant de téléversement de logo, EN + FR :

  • EN : Your logo is reviewed by an automated AI system (Google Cloud Vision) to detect inappropriate content. Learn more.
  • FR : Ton logo est analysé par un système d'IA automatisé (Google Cloud Vision) pour détecter les contenus inappropriés. En savoir plus.

Article 9 — Sous-traitance

Le service Cloud Vision SafeSearch est fourni par Google LLC / Google Ireland Limited dans le cadre de Google Cloud Platform. Google Cloud figure déjà à l'Annexe 2 du DPA (02_DPA_Sous-traitance.md) en qualité de sous-traitant ultérieur. La présente Politique précise que l'API Cloud Vision est l'un des services Google Cloud effectivement utilisés par Lockerful, en complément du stockage (GCS), de Vertex AI et de Cloud Run.

Localisation du traitement : Lockerful configure les appels Cloud Vision pour utiliser, dans la mesure permise par l'API, des points de terminaison européens (multi-régions UE). À défaut de garantie technique stricte sur l'absence de transfert (Cloud Vision n'offre pas, à la date de rédaction, un endpoint « EU only » strict pour SafeSearch — cf. À FAIRE), les transferts éventuels vers les États-Unis sont encadrés par les Clauses Contractuelles Types publiées par la Commission européenne (décision 2021/914) et par l'adéquation Data Privacy Framework (décision d'adéquation du 10 juillet 2023 sur les transferts UE → États-Unis pour les organisations certifiées DPF, dont Google LLC fait partie).

Article 10 — Évolution

La présente Politique est susceptible d'évoluer, notamment en fonction :

  • du déploiement éventuel de la modération sur d'autres surfaces (vignettes de match, publications sociales) ;
  • de la mise en place d'un back-office de revue manuelle ;
  • des évolutions de l'AI Act et de la doctrine des autorités de contrôle (CNIL, APD belge, EDPB) ;
  • de l'évolution des modèles Cloud Vision côté Google (changements de politique SafeSearch documentés par Google).

Toute évolution substantielle est notifiée aux Clubs et Sponsors par email ou via la Plateforme.

À FAIRE / À ARBITRER AVEC LE CONSEIL JURIDIQUE

Points juridiques à valider avant sortie de bêta privée

  • Confirmer la non-applicabilité stricte de l'article 22.1 RGPD au refus automatisé d'un logo (analyse à valider par conseil ; en cas de doute, retenir l'application volontaire — déjà prévue à l'Article 2.1).
  • Confirmer la qualification AI Act « risque limité » et l'absence d'obligation d'enregistrement (article 49 AI Act).
  • Valider la matrice de seuils de l'Article 3.2, notamment la non-action sur medical et spoof.
  • Valider la durée de conservation des événements de modération (24 mois pour les refus, 12 mois pour les acceptations et les erreurs).
  • Valider la position fail-open en bêta privée et la trajectoire vers fail-closed avant ouverture publique.
  • Valider les libellés EN/FR proposés à l'Article 8.
  • Vérifier la base légale Cloud Vision (DPA Google Cloud signé, signature de l'avenant CCT le cas échéant, Data Privacy Framework toujours en vigueur à la date de mise en production).
  • Mettre à jour les CGU (01_CGU_Lockerful.md) pour mentionner la modération automatisée des logos dans la description du service (Article 2) et dans les obligations de l'utilisateur (qualité du contenu téléversé).
  • Mettre à jour le DPA (02_DPA_Sous-traitance.md) — Annexe 2 — pour ajouter la ligne explicite « Google Cloud — Cloud Vision API » avec la finalité « modération automatisée des logos téléversés ».
  • Décider si une DPIA dédiée est requise pour ce seul module. Position retenue dans le présent document : non, l'analyse de risque est ici suffisamment documentée et le risque résiduel pour les personnes concernées est faible (pas de catégorie particulière, pas de profilage, intervention humaine garantie). Une DPIA globale Lockerful sera produite par le DPO lors de sa désignation et inclura une section « modération automatisée ».
  • Désigner un DPO (article 37 RGPD — non obligatoire dans tous les cas mais recommandé compte tenu de la sensibilité du public — mineurs).

Recommandations de modifications produit / code

Liste à reporter dans la backlog de l'équipe produit. Aucune modification de code n'est faite par le présent document.

  • Ajouter un TTL de 12/24 mois sur la collection moderationEvents (TTL Firestore par champ decidedAt, ou job de purge mensuel).
  • Affiner le message de refus utilisateur (apps/web/messages/{en,fr}.json clé logoUpload.error.inappropriate_content) avec les libellés proposés à l'Article 8.
  • Ajouter une microcopy d'information préalable sous le composant de téléversement de logo (Article 8.3).
  • Créer la page publique /legal/moderation qui rend la présente Politique (de la même façon que /legal/privacy, /legal/terms, /legal/dpa).
  • Étudier le passage en fail-closed partiel (Article 4.2) avec mise en file de revue manuelle.
  • Étudier l'ajout d'un seuil de revue manuelle pour medicalVERY_LIKELY (Article 3.3).
  • Mettre en place un back-office minimal permettant aux opérateurs Lockerful (i) de visualiser un événement rejected, (ii) d'override la décision, (iii) de purger un événement sur demande RGPD.
  • Documenter en interne la procédure de réponse à une demande d'explication (Article 6.3) — gabarit de réponse type à préparer.
  • Vérifier si Cloud Vision offre un endpoint régionalisé UE et, à défaut, ajouter explicitement la mention « transfert vers les États-Unis encadré par DPF + CCT » dans la Politique de Confidentialité.
  • Étendre le champ context.uid au journal pour inclure le hash de l'image (SHA-256) afin de permettre la déduplication et la mise à jour cohérente d'un même fichier réessayé.

Politique de Modération Automatisée des Images — version 0.1 — Mai 2026 Document de travail — à soumettre pour relecture à un avocat spécialisé en droit des données personnelles et en droit de l'IA avant mise en production.