Politique de Confidentialité
Dernière mise à jour : 10 février 2026
Version : 1.0
1. INTRODUCTION ET IDENTITÉ DU RESPONSABLE DE TRAITEMENT
La présente Politique de Confidentialité a pour objet d'informer les utilisateurs du service AgencyFlow (ci-après "le Service") de la manière dont leurs données personnelles sont collectées, traitées et protégées, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), notamment ses articles 13 et 14, et à la loi n° 78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés).
Responsable de traitement :
- Raison sociale : [À COMPLÉTER]
- Forme juridique : [À COMPLÉTER]
- SIRET : [À COMPLÉTER]
- Siège social : [À COMPLÉTER]
- Email de contact : [À COMPLÉTER]
Délégué à la Protection des Données (DPO) :
- Nom : [À COMPLÉTER]
- Email : [À COMPLÉTER - email DPO]
2. DONNÉES PERSONNELLES COLLECTÉES
2.1 Données fournies directement par l'Utilisateur
| Catégorie de données | Données spécifiques | Caractère obligatoire |
|---|---|---|
| Données d'identification | Email, nom, prénom | Obligatoire |
| Données de profil agence | Nom de l'agence, secteur d'activité, taille d'équipe | Obligatoire |
| Données de facturation | Informations de carte bancaire (gérées par Stripe, non stockées par AgencyFlow) | Obligatoire pour l'abonnement |
| Avatar | URL de la photo de profil (si fournie) | Facultatif |
2.2 Données collectées automatiquement
| Catégorie de données | Données spécifiques | Finalité |
|---|---|---|
| Données de connexion | Adresse IP, User-Agent | Sécurité, rate limiting, journaux d'audit |
| Données de session | Cookies d'authentification Supabase | Maintien de la session |
| Données d'utilisation | Horodatage des actions, logs d'exécution | Fonctionnement du Service |
| Données de diagnostic | Logs d'erreur, stack traces (via Sentry) | Résolution d'incidents |
2.3 Données provenant des services tiers (Providers OAuth)
Lorsque l'Utilisateur connecte un service tiers, les données suivantes sont collectées :
- HubSpot : ID hub, domaine, email utilisateur, deals, contacts
- Pipedrive : ID utilisateur, nom, email, deals, contacts, organisations
- Google Ads : ID utilisateur, nom, email, métriques publicitaires
- Meta Ads : ID utilisateur, nom, métriques publicitaires
- TikTok Ads, LinkedIn Ads : ID utilisateur, nom, métriques publicitaires
- Google Sheets, Google Drive : ID utilisateur, nom, email
- Slack : ID team, nom workspace
- Discord : ID utilisateur, nom
- Airtable, Notion : ID utilisateur, email
Important : Les tokens d'accès OAuth sont chiffrés par l'algorithme PGP (extension pgcrypto) avant stockage en base de données. Les tokens ne sont jamais stockés en clair.
3. FINALITÉS ET BASES LÉGALES DES TRAITEMENTS
Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale spécifique :
3.1 Traitements nécessaires à l'exécution du contrat (Art. 6.1.b RGPD)
- Gestion du compte utilisateur : Permettre l'accès au Service (email, nom, avatar)
- Gestion du profil agence : Personnaliser le Service
- Connexion OAuth aux Providers : Permettre l'automatisation des workflows
- Exécution des workflows : Automatiser les tâches marketing
- Facturation et paiement : Gérer l'abonnement
3.2 Traitements fondés sur l'intérêt légitime (Art. 6.1.f RGPD)
- Journalisation d'audit : Sécurité et traçabilité (conservation 365 jours)
- Monitoring des erreurs (Sentry) : Amélioration du Service (conservation 90 jours)
- Rate limiting : Protection contre les abus
- Statistiques agrégées anonymes : Optimisation du produit
3.3 Traitements fondés sur le consentement (Art. 6.1.a RGPD)
- Historique détaillé des exécutions : Conserver l'historique complet des workflows
- Statistiques anonymisées : Partager des métriques anonymes
- Communications marketing : Recevoir des emails sur les nouvelles fonctionnalités
Gestion des consentements : L'Utilisateur peut modifier ses consentements à tout moment depuis les paramètres de son compte. Les consentements sont enregistrés avec horodatage pour preuve. Par défaut, tous les consentements optionnels sont désactivés (privacy by default).
3.4 Traitements fondés sur une obligation légale (Art. 6.1.c RGPD)
- Conservation des factures : Obligations comptables (Code de commerce art. L.123-22) - 10 ans
- Réponse aux réquisitions judiciaires : Coopération avec les autorités - 1 an
4. DESTINATAIRES DES DONNÉES
4.1 Sous-traitants techniques
Conformément à l'article 28 du RGPD, les sous-traitants suivants traitent des données personnelles :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Supabase Inc. | Hébergement base de données, authentification | EU (Paris, France) |
| Vercel Inc. | Hébergement application web, CDN | US et EU |
| Stripe Inc. | Traitement des paiements | US (PCI-DSS niveau 1) |
| Sentry | Monitoring des erreurs | EU |
| n8n / self-hosted | Exécution des workflows | VPS self-hosted EU |
4.2 Providers OAuth
Les Providers auxquels l'Utilisateur connecte son compte (HubSpot, Google, Meta, etc.) sont des responsables de traitement indépendants. AgencyFlow accède à ces données en tant que tiers autorisé dans la limite des permissions accordées par l'Utilisateur.
4.3 Autres destinataires
- Autorités compétentes : en cas d'obligation légale (réquisition judiciaire, demande CNIL)
- Aucune vente de données : l'Éditeur ne vend, ne loue et ne cède jamais les données personnelles
5. TRANSFERTS DE DONNÉES HORS UNION EUROPÉENNE
Certains sous-traitants (Vercel, Stripe) sont établis aux États-Unis. Ces transferts sont encadrés par :
- Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision d'exécution 2021/914 du 4 juin 2021)
- Mesures supplémentaires conformément à l'arrêt Schrems II : chiffrement en transit (TLS 1.2+), minimisation des données transférées
- EU-US Data Privacy Framework le cas échéant
L'Éditeur s'engage à privilégier les hébergements en Union européenne. La base de données principale (Supabase) est hébergée en région EU (Paris).
6. DURÉES DE CONSERVATION
| Type de données | Durée de conservation | Suppression définitive |
|---|---|---|
| Données de compte | Durée de la relation contractuelle | 30 jours après suppression |
| Tokens OAuth | Durée de la connexion au Provider | Immédiate à la déconnexion |
| Historique d'exécution | 90 jours | Anonymisation après 30 jours |
| Journaux d'audit | 365 jours | Après 365 jours |
| Données de facturation | 10 ans (obligation légale) | Après 10 ans |
7. SÉCURITÉ DES DONNÉES
Conformément à l'article 32 du RGPD, l'Éditeur met en œuvre les mesures techniques et organisationnelles suivantes :
7.1 Mesures techniques
- Chiffrement des tokens OAuth : algorithme PGP (pgcrypto)
- Chiffrement en transit : TLS 1.2+ pour toutes les communications
- Chiffrement au repos : base de données Supabase chiffrée (AES-256)
- Row Level Security (RLS) : isolation des données entre utilisateurs
- Rate limiting : protection contre les attaques par force brute
- Fonctions SECURITY DEFINER : protection des fonctions sensibles
- Prévention d'escalade de privilèges : trigger de sécurité
- Hachage SHA-256 : des identifiants utilisateurs avant journalisation
- Authentification sécurisée : via Supabase Auth avec support OAuth 2.0
- Monitoring : Sentry (EU) pour la détection d'anomalies
7.2 Mesures organisationnelles
- Principe du moindre privilège : permissions selon nécessité
- Privacy by design et by default (art. 25 RGPD)
- Journalisation d'audit : traçabilité des actions sensibles
- Gestion des incidents : notification en cas de violation (art. 33-34 RGPD)
8. DROITS DES PERSONNES CONCERNÉES
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
8.1 Droit d'accès (Art. 15 RGPD)
Vous avez le droit d'obtenir la confirmation que des données personnelles vous concernant sont ou ne sont pas traitées, et d'en obtenir une copie. Cette fonctionnalité est accessible via les paramètres du compte (export des données en format JSON).
8.2 Droit de rectification (Art. 16 RGPD)
Vous pouvez rectifier vos données directement depuis les paramètres de votre compte (nom, email, informations d'agence).
8.3 Droit à l'effacement (Art. 17 RGPD)
Vous pouvez demander la suppression de votre compte et de vos données :
- Depuis les paramètres du compte : suppression planifiée avec délai de grâce de 7 jours
- Par email au DPO : pour une suppression immédiate
La suppression entraîne :
- La révocation de tous les tokens OAuth auprès des Providers
- La suppression de toutes les données personnelles
- L'anonymisation des journaux d'audit
- La suppression du compte d'authentification
8.4 Droit à la limitation du traitement (Art. 18 RGPD)
Vous pouvez demander la limitation du traitement de vos données dans les cas prévus par le RGPD. Contactez le DPO à [À COMPLÉTER - email DPO].
8.5 Droit à la portabilité (Art. 20 RGPD)
Vous pouvez obtenir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON). La fonctionnalité d'export est disponible dans les paramètres du compte.
L'export inclut :
- Informations du compte utilisateur
- Informations de l'agence
- Liste des connexions (providers, dates, statut)
- Configuration des workflows
- Historique des exécutions
- Consentements
8.6 Droit d'opposition (Art. 21 RGPD)
Vous pouvez vous opposer aux traitements fondés sur l'intérêt légitime en contactant le DPO. Pour les communications marketing, le retrait du consentement suffit (paramètres du compte).
8.7 Droit de retirer votre consentement (Art. 7.3 RGPD)
Vous pouvez retirer votre consentement à tout moment depuis les paramètres de votre compte, sans que cela n'affecte la licéité du traitement effectué avant le retrait.
8.8 Droit de définir des directives post-mortem
Conformément à l'article 85 de la loi Informatique et Libertés, vous pouvez définir des directives relatives au sort de vos données après votre décès en contactant le DPO.
8.9 Droit d'introduire une réclamation
Vous avez le droit d'introduire une réclamation auprès de la CNIL :
- En ligne : https://www.cnil.fr/fr/plaintes
- Par courrier : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
9. EXERCICE DES DROITS
Pour exercer vos droits, vous pouvez :
- Utiliser les fonctionnalités du compte : export de données, gestion des consentements, suppression du compte
- Contacter le DPO par email : [À COMPLÉTER - email DPO]
- Contacter le DPO par courrier : [À COMPLÉTER - adresse postale]
Nous nous engageons à répondre à toute demande dans un délai d'un (1) mois, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux (2) mois supplémentaires en cas de complexité, avec information préalable.
Une vérification d'identité pourra être demandée avant le traitement de toute demande.
10. COOKIES ET TRACEURS
Le Service utilise des cookies et traceurs décrits dans la Politique Cookies, accessible à l'adresse [À COMPLÉTER - URL]/cookies.
11. MODIFICATIONS DE LA POLITIQUE
La présente Politique peut être modifiée à tout moment. Les modifications substantielles seront notifiées aux utilisateurs par email au moins trente (30) jours avant leur entrée en vigueur.
La date de dernière mise à jour est indiquée en haut du présent document.
12. CONTACT
Pour toute question relative à la protection de vos données personnelles :
- DPO : [À COMPLÉTER - nom et email DPO]
- Email général : [À COMPLÉTER - email contact]
- Adresse postale : [À COMPLÉTER - adresse siège social]
La présente Politique de Confidentialité a été rédigée en conformité avec le Règlement (UE) 2016/679 (RGPD), la loi n° 78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés), et les recommandations de la CNIL.