Politique de confidentialité
Conforme au RGPD · Dernière mise à jour : Juin 2026
⚡ Résumé en 4 points
1. Nous collectons uniquement les données strictement nécessaires au fonctionnement du service.
2. Vos clés API tierces (Shopify, Stripe, etc.) sont chiffrées de bout en bout : nous ne pouvons pas les lire.
3. Vos données sont hébergées en Union européenne (Francfort).
4. Vous pouvez exporter ou supprimer vos données à tout moment depuis votre espace.
2. Vos clés API tierces (Shopify, Stripe, etc.) sont chiffrées de bout en bout : nous ne pouvons pas les lire.
3. Vos données sont hébergées en Union européenne (Francfort).
4. Vous pouvez exporter ou supprimer vos données à tout moment depuis votre espace.
1. Responsable du traitement
Le responsable du traitement des données à caractère personnel collectées via Maestro est :
- Société : [Société à compléter]
- Adresse : [Siège social à compléter]
- Contact pour les questions de confidentialité : privacy@[domaine].fr
2. Données que nous collectons
2.1 Données d'inscription
- Email professionnel (obligatoire, sert d'identifiant unique)
- Mot de passe (haché bcrypt + salt, jamais stocké en clair)
- Prénom, nom, nom du commerce (fournis lors de l'inscription)
2.2 Données d'intégrations tierces
- Clés API et tokens d'accès (Shopify, Stripe, Amazon, SumUp, Cdiscount, etc.) : chiffrés via AES-GCM-256 dans votre navigateur avec une clé dérivée de votre mot de passe. Nous n'avons jamais accès à ces clés en clair.
- Métadonnées non-secrètes associées : URL de boutique, identifiants vendeurs publics, marketplace sélectionnée.
2.3 Données métier
- Catalogue produits saisi ou importé via vos intégrations
- Mouvements de stock et historique des ventes
- Préférences utilisateur (langue, fuseau horaire, plan d'abonnement)
2.4 Logs techniques et audit
- Date et heure de connexion, adresse IP, user agent du navigateur
- Actions sensibles (création/révocation de clé API, suppression de compte)
- Logs serveur Netlify et Supabase (durée de conservation max 90 jours)
3. Finalités et bases légales
- Exécution du contrat (article 6.1.b RGPD) : fournir le service de gestion de stock, synchroniser vos canaux, calculer vos prévisions.
- Obligations légales (article 6.1.c) : conservation des factures et journaux comptables (10 ans), logs de sécurité.
- Intérêt légitime (article 6.1.f) : sécurité du service, prévention de la fraude, amélioration produit (via logs anonymisés).
- Consentement (article 6.1.a) : envoi de communications produit non essentielles (newsletter, conseils) — case à cocher distincte, désinscription à tout moment.
4. Hébergement et sous-traitants
Nous faisons appel aux sous-traitants suivants, dans les conditions d'un accord de traitement de données (DPA) conforme à l'article 28 RGPD :
- Netlify, Inc. — hébergement du site web (États-Unis, clauses contractuelles types et certification DPF EU-US)
- Supabase Inc. — base de données et authentification, instance déployée à Francfort (Allemagne, eu-central-1)
Vos données métier (produits, stocks, intégrations) restent toujours dans l'Union européenne.
5. Durée de conservation
- Données de compte actif : jusqu'à la suppression du compte.
- Données comptables (factures, ventes) : 10 ans après émission, conformément au Code de commerce.
- Logs d'audit : 12 mois glissants.
- Logs techniques serveur : 90 jours maximum.
- Compte inactif (aucune connexion depuis 36 mois) : email d'avertissement puis suppression.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès (art. 15) : consulter les données vous concernant.
- Rectification (art. 16) : corriger les informations inexactes via votre espace Paramètres.
- Effacement (art. 17) : supprimer définitivement votre compte (bouton "Supprimer mon compte" dans Paramètres → Sécurité).
- Portabilité (art. 20) : exporter vos données au format JSON (bouton "Télécharger mes données" dans Paramètres → Sécurité).
- Limitation / opposition (art. 18 et 21) : contactez privacy@[domaine].fr.
- Réclamation à la CNIL : si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une plainte à la Commission Nationale de l'Informatique et des Libertés.
7. Sécurité
Mesures techniques et organisationnelles déployées :
- HTTPS/TLS 1.3 obligatoire sur l'ensemble du service.
- Chiffrement de bout en bout des clés API tierces (AES-GCM-256 + PBKDF2 250 000 itérations).
- Row-Level Security PostgreSQL : isolation stricte entre comptes au niveau de la base.
- Mots de passe hachés bcrypt avec sel unique.
- Headers HTTP de sécurité : HSTS, CSP, X-Frame-Options, Permissions-Policy.
- Audit log des actions sensibles, rate limiting sur les tentatives de connexion.
- Sauvegardes automatiques quotidiennes, chiffrées et géo-redondées dans l'UE.
8. Modifications
Nous pouvons être amenés à mettre à jour cette politique. Toute modification substantielle sera notifiée à l'adresse email associée à votre compte au moins 30 jours avant sa prise d'effet.
9. Contact
Pour toute question relative à vos données personnelles : privacy@[domaine].fr.
Délai de réponse maximal : 30 jours (article 12.3 RGPD).