Politique de confidentialité

1. Introduction

Flowctory (« nous », « notre » ou « nos ») s'engage à protéger votre vie privée. Cette Politique de confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos informations personnelles lorsque vous utilisez notre site web et nos services (collectivement, le « Service »).

En utilisant le Service, vous acceptez la collecte et l'utilisation des informations conformément à cette Politique de confidentialité. Si vous n'êtes pas d'accord avec nos politiques et pratiques, veuillez ne pas utiliser le Service.

Cette Politique de confidentialité doit être lue conjointement avec nos Conditions d'utilisation.

2. Informations que nous collectons

2.1 Informations de compte

Lorsque vous créez un compte Flowctory, nous collectons et stockons :

• Adresse e-mail : Votre adresse e-mail, utilisée pour l'identification du compte et la communication
• Mot de passe : Si vous vous inscrivez par e-mail, votre mot de passe est haché de manière sécurisée (nous ne stockons jamais les mots de passe en clair)
• Nom d'affichage : Votre nom, soit fourni par vous, soit obtenu de votre fournisseur de connexion sociale (Google)
• URL de l'avatar : L'URL de votre photo de profil, si fournie par votre fournisseur de connexion sociale
• Fuseau horaire : Vos préférences de fuseau horaire pour la planification des publications

Vous pouvez vous inscrire et vous connecter en utilisant un e-mail et un mot de passe, ou via Google OAuth. Vos chaines de réseaux sociaux (TikTok, YouTube) sont connectées séparément (voir section 2.2) et ne sont pas utilisées pour l'authentification de connexion.

2.2 Informations de chaines de réseaux sociaux

Lorsque vous connectez vos chaines de réseaux sociaux à Flowctory (une étape distincte de l'inscription), nous recevons et stockons les informations suivantes de chaque plateforme :

TikTok

Lorsque vous connectez votre chaine TikTok, nous recevons :

• Open ID TikTok : Un identifiant unique pour votre chaine TikTok (pas votre nom d'utilisateur)
• Nom d'affichage : Votre nom d'affichage TikTok
• URL de l'avatar : L'URL de votre photo de profil TikTok

YouTube

Lorsque vous connectez votre chaine YouTube, nous recevons :

• Identifiant de chaîne YouTube : L'identifiant de votre chaîne YouTube
• Nom de chaîne YouTube : Le nom de votre chaîne YouTube
• Miniature de chaîne YouTube : L'URL de la miniature de votre chaîne YouTube

Vous pouvez connecter plusieurs chaines sur différentes plateformes à votre compte Flowctory pour gérer le contenu sur différents profils.

2.3 Jetons d'authentification des plateformes

Nous stockons les jetons d'accès et de rafraîchissement OAuth nécessaires pour communiquer avec l'API de chaque plateforme en votre nom. Ces jetons nous permettent de publier du contenu sur vos chaines connectées (TikTok, YouTube) sans stocker vos mots de passe. Les jetons sont chiffrés et stockés par chaine connectée.

2.4 Contenu multimédia

Nous traitons plusieurs types de contenu multimédia via le Service :

• Lorsque vous téléversez une vidéo ou une image pour publication, le fichier est temporairement stocké sur nos serveurs uniquement dans le but de le transférer vers la plateforme cible (TikTok, YouTube). Les fichiers téléversés sont automatiquement supprimés de nos serveurs après publication réussie ou dans les 24 heures, selon la première éventualité.
• Vous pouvez téléverser des images et des vidéos dans une bibliothèque persistante stockée dans le stockage cloud Supabase. Ces fichiers sont conservés jusqu'à leur suppression par vos soins et peuvent être utilisés comme entrées pour les flux de génération de contenu par IA.
• Les images et vidéos générées via nos fonctionnalités Canvas IA sont stockées dans le stockage cloud Supabase et associées à votre compte. Le contenu généré est conservé jusqu'à sa suppression par vos soins ou la fermeture de votre compte.

2.5 Connexions de stockage cloud

Lorsque vous connectez un fournisseur de stockage cloud (Google Drive, Dropbox), nous collectons et stockons :

• Adresse e-mail : L'adresse e-mail associée à votre compte de stockage cloud
• Nom d'affichage : Votre nom d'affichage sur le fournisseur de stockage cloud
• Fournisseur de stockage : Les jetons d'accès et de rafraîchissement OAuth (chiffrés) pour accéder à votre stockage cloud en votre nom
• Vos préférences de dossiers pour la navigation de fichiers et les destinations de sauvegarde automatique

Les connexions de stockage cloud sont utilisées pour importer des fichiers dans Flowctory et optionnellement sauvegarder automatiquement le contenu généré dans votre dossier cloud préféré.

2.6 Données de contenu généré par IA

Lorsque vous utilisez nos fonctionnalités Canvas IA pour générer des images ou des vidéos, nous collectons et traitons :

• Les instructions textuelles et paramètres de génération que vous fournissez
• Les images que vous sélectionnez dans votre bibliothèque ou téléversez pour le traitement IA
• Les images et vidéos générées résultantes, stockées dans le stockage cloud Supabase

Vos instructions et images sont transmises à notre fournisseur d'IA uniquement dans le but de générer le contenu demandé. Les contenus générés sont stockés dans votre compte jusqu'à leur suppression par vos soins.

2.7 Métadonnées de publication

Nous stockons des informations sur vos publications, notamment :

• Légendes et descriptions des vidéos
• Paramètres de confidentialité que vous sélectionnez (public, amis, privé, abonnés uniquement)
• Paramètres d'interaction (préférences d'activation/désactivation de Duo, Assemblage et Commentaires)
• Heures de publication planifiées
• Horodatages de téléversement
• Statut de la publication (en attente, traitement, publiée, échouée)
• Identifiants de publication de la plateforme pour les publications réussies
• La chaine de plateforme sélectionnée pour chaque publication

2.8 Données techniques et d'utilisation

Nous collectons automatiquement certaines informations techniques lorsque vous utilisez le Service :

• Adresse IP
• Type et version du navigateur
• Informations sur l'appareil
• Horodatages d'accès
• Journaux d'erreurs et données de diagnostic

Nous n'utilisons pas de services d'analyse tiers ni d'outils de suivi.

3. Base juridique du traitement (RGPD)

Si vous êtes situé dans l'Espace économique européen (EEE), au Royaume-Uni ou en Suisse, nous traitons vos données personnelles sur les bases juridiques suivantes :

3.1 Exécution du contrat

Le traitement est nécessaire pour vous fournir le Service, notamment :

• Créer et gérer votre compte Flowctory
• Connecter et authentifier vos chaines de réseaux sociaux (TikTok, YouTube)
• Téléverser et planifier votre contenu multimédia sur les plateformes connectées
• Connecter vos comptes de stockage cloud (Google Drive, Dropbox) pour l'import de fichiers et la sauvegarde automatique
• Générer des images et des vidéos via les fonctionnalités Canvas IA à partir de vos instructions
• Traiter les paiements et gérer les abonnements
• Afficher votre historique de publications

3.2 Intérêts légitimes

Nous traitons certaines données sur la base de nos intérêts légitimes, notamment :

• Améliorer et sécuriser le Service
• Résoudre les problèmes techniques
• Prévenir la fraude et les abus

3.3 Obligations légales

Nous pouvons traiter vos données lorsque la loi l'exige, comme pour répondre à des demandes légales ou respecter les réglementations applicables.

3.4 Consentement

Lorsque cela est requis, nous obtiendrons votre consentement explicite avant de traiter vos données. Vous pouvez retirer votre consentement à tout moment.

4. Comment nous utilisons vos informations

Nous utilisons les informations que nous collectons pour :

• Fournir, maintenir et améliorer le Service
• Vous authentifier et gérer votre compte Flowctory
• Connecter vos chaines de réseaux sociaux (TikTok, YouTube) et communiquer avec leurs API
• Téléverser et planifier du contenu multimédia sur les plateformes connectées en votre nom
• Générer des images et des vidéos par IA via nos fonctionnalités Canvas
• Connecter vos comptes de stockage cloud pour l'import de fichiers et la sauvegarde automatique du contenu généré
• Traiter les paiements et gérer votre abonnement
• Afficher votre historique et statut de publication dans l'application
• Résoudre les problèmes de téléversements échoués
• Communiquer avec vous concernant le Service (annonces de service, alertes de sécurité)
• Détecter, prévenir et résoudre les problèmes techniques, la fraude ou les abus
• Respecter les obligations légales

Interactions avec les API des plateformes

En plus du televersement de contenu, le Service effectue les appels API suivants vers les plateformes connectees en votre nom :

• Avant chaque session de publication, nous interrogeons l'API de TikTok pour recuperer les capacites actuelles de votre chaine, notamment les options de confidentialite disponibles, les parametres d'interaction (Duo, Assemblage, disponibilite des commentaires) et la duree maximale des videos. Ces donnees sont utilisees en temps reel pour configurer vos options de publication et ne sont pas stockees au-dela de la session.
• Apres avoir soumis du contenu a TikTok, nous verifions periodiquement le statut de publication de votre publication pour vous fournir des mises a jour indiquant si votre contenu a ete publie avec succes ou a rencontre une erreur.
• Nous recevons des notifications automatisees (webhooks) de TikTok lorsque le statut de votre publication change (par exemple, publie, echoue ou retire de la vue publique). Ces notifications contiennent des identifiants de publication et des informations de statut utilises pour mettre a jour votre historique de publication dans le Service.
• Nous actualisons periodiquement vos jetons d'authentification de plateforme pour maintenir votre connexion sans necessiter de nouvelle autorisation de votre part.

Nous n'utilisons pas vos informations personnelles à des fins publicitaires et ne les vendons pas à des tiers.

5. Comment nous partageons vos informations

Nous partageons vos informations uniquement dans les circonstances suivantes :

5.1 Plateformes de réseaux sociaux

Votre contenu multimédia et les métadonnées associées sont transmis aux plateformes sur lesquelles vous choisissez de publier :

TikTok

Le contenu vidéo et les métadonnées sont transmis à TikTok via leur API de publication de contenu. Le traitement de vos données par TikTok est régi par la Politique de confidentialité de TikTok.

YouTube

Le contenu vidéo et les métadonnées sont transmis à YouTube via les YouTube API Services. Le traitement de vos données par YouTube est régi par la Politique de confidentialité de Google.

5.2 Fournisseurs de stockage cloud

Lorsque vous connectez un service de stockage cloud, nous partageons les données d'authentification nécessaires avec le fournisseur pour accéder à vos fichiers en votre nom :

Google Drive

Nous utilisons les API Google Drive pour parcourir vos fichiers et optionnellement sauvegarder le contenu généré. Le traitement de vos données par Google est régi par la Politique de confidentialité de Google.

Dropbox

Nous utilisons les API Dropbox pour parcourir vos fichiers et optionnellement sauvegarder le contenu généré. Le traitement de vos données par Dropbox est régi par la Politique de confidentialité de Dropbox.

5.3 Fournisseurs de génération de contenu par IA

Lorsque vous utilisez les fonctionnalités Canvas IA, vos instructions et images sont transmises à notre fournisseur de traitement IA :

Fournisseur de génération IA

Nous utilisons un fournisseur tiers d’IA pour la génération d’images et de vidéos. Vos instructions textuelles, paramètres de génération et images sont envoyés à ce fournisseur pour traitement. Le contenu généré nous est retourné et stocké dans votre compte. Notre fournisseur d’IA traite vos données uniquement pour répondre aux demandes de génération.

5.4 Prestataires de services

Nous utilisons des prestataires de services tiers de confiance pour nous aider à exploiter le Service :

• Processeur de paiement : Nous utilisons Stripe pour traiter les paiements et gérer les abonnements. Stripe reçoit directement vos informations de paiement (détails de carte, adresse de facturation). Nous ne stockons pas les détails complets de votre carte. Le traitement de vos données par Stripe est régi par la Politique de confidentialité de Stripe.
• Nous utilisons Supabase pour le stockage de fichiers dans le cloud. Vos fichiers de bibliothèque et votre contenu généré par IA sont stockés sur l'infrastructure Supabase. Le traitement de vos données par Supabase est régi par sa politique de confidentialité.
• Fournisseur d'hébergement : Nos serveurs sont hébergés sur une infrastructure qui peut avoir accès aux journaux de serveur et aux données techniques nécessaires pour fournir les services d'hébergement.
• Fournisseur de base de données : Nous utilisons PostgreSQL pour le stockage des données. Toutes les données sont chiffrées au repos.

Ces prestataires sont contractuellement tenus de protéger vos informations et ne peuvent les utiliser que pour nous fournir des services.

5.5 Exigences légales

Nous pouvons divulguer vos informations si la loi l'exige ou en réponse à des demandes légales valides des autorités publiques (par exemple, ordonnances judiciaires, assignations).

5.6 Transferts d'entreprise

Si Flowctory est impliqué dans une fusion, acquisition ou vente d'actifs, vos informations peuvent être transférées dans le cadre de cette transaction. Nous vous informerons de tout tel changement et de tout choix que vous pourriez avoir concernant vos informations.

5.7 Pas de vente de données personnelles

Nous ne vendons, louons ou échangeons pas vos informations personnelles à des tiers à des fins de marketing.

6. Conservation des données

Nous conservons vos informations aussi longtemps que nécessaire pour fournir le Service et remplir les objectifs décrits dans cette Politique de confidentialité :

Donnees YouTube : Vous pouvez revoquer l'acces de Flowctory a vos donnees YouTube a tout moment via les parametres de securite Google a l'adresse security.google.com/settings/security/permissions.

Lorsque vous deconnectez une chaine YouTube dans Flowctory, les donnees YouTube associees sont supprimees sous 7 jours. Si vous revoquez l'acces via les parametres de securite Google, les donnees YouTube sont supprimees sous 30 jours.

7. Vos droits (RGPD)

Si vous êtes situé dans l'Espace économique européen (EEE), au Royaume-Uni ou en Suisse, vous avez les droits suivants en vertu du Règlement général sur la protection des données (RGPD) :

7.9 Exercer vos droits

Pour exercer l'un de ces droits, veuillez nous contacter à contact@flowctory.com. Nous répondrons à votre demande dans les 30 jours.

8. Droits de confidentialité en Californie (CCPA)

Si vous êtes un résident de Californie, vous avez des droits spécifiques en vertu du California Consumer Privacy Act (CCPA) :

8.1 Droit de savoir

Vous avez le droit de demander que nous divulguions :

• Les catégories d'informations personnelles que nous avons collectées à votre sujet
• Les catégories de sources à partir desquelles nous avons collecté les informations
• L'objectif commercial ou d'affaires de la collecte des informations
• Les catégories de tiers avec lesquels nous partageons les informations
• Les éléments spécifiques d'informations personnelles que nous avons collectés à votre sujet

8.2 Droit de suppression

Vous avez le droit de demander que nous supprimions les informations personnelles que nous avons collectées auprès de vous, sous réserve de certaines exceptions.

8.3 Droit de refuser la vente

Vous avez le droit de refuser la vente de vos informations personnelles. Cependant, Flowctory ne vend pas d'informations personnelles.

8.4 Droit à la non-discrimination

Nous ne vous discriminerons pas pour avoir exercé l'un de vos droits CCPA. Nous ne vous refuserons pas de biens ou de services, ne vous facturerons pas des prix différents et ne vous fournirons pas un niveau de service différent pour avoir exercé vos droits.

8.5 Exercer vos droits

Pour exercer vos droits CCPA, veuillez nous contacter à contact@flowctory.com. Nous vérifierons votre identité avant de traiter votre demande.

9. Transferts internationaux de données

Flowctory est basé en France (Union européenne). Si vous accédez au Service depuis l'extérieur de l'UE, veuillez noter que vos informations peuvent être transférées, stockées et traitées dans l'UE.

Lorsque nous transférons des données personnelles en dehors de l'EEE, nous nous assurons que des garanties appropriées sont en place, telles que :

• Transferts vers des pays bénéficiant d'une décision d'adéquation de l'UE
• Clauses contractuelles types approuvées par la Commission européenne
• Autres mécanismes de transfert légalement reconnus

Les services tiers avec lesquels nous nous intégrons (TikTok, YouTube/Google, Dropbox) peuvent transférer vos données internationalement selon leurs propres politiques de confidentialité.

10. Cookies

Nous utilisons uniquement des cookies strictement nécessaires pour faire fonctionner le Service. Tous les cookies sont essentiels pour l'authentification et la sécurité. Nous n'utilisons pas de cookies de suivi, de publicité ou d'analyse.

10.1 Aperçu des cookies

Le tableau suivant répertorie tous les cookies utilisés par Flowctory :

Note : En production, les cookies d'authentification utilisent le préfixe __Secure- et les autres cookies utilisent le préfixe __Host- pour une sécurité renforcée, nécessitant HTTPS et empêchant l'accès inter-sites.

10.2 Cookies de session

Le cookie authjs.session-token maintient votre session authentifiée. Ce cookie :

• Est HTTP-only (non accessible via JavaScript) et sécurisé (HTTPS uniquement en production)
• Utilise SameSite=lax pour la protection CSRF
• Expiré après 30 minutes d'inactivité (session glissante)
• Contient un JWT signé avec votre identifiant utilisateur, e-mail, fuseau horaire et statut de connexion aux plateformes
• Est strictement nécessaire au fonctionnement du Service

10.3 Cookies de flux OAuth

Lors de la connexion d'une chaine de réseau social ou d'un service de stockage cloud, nous stockons temporairement l'état OAuth et les données de vérification dans des cookies. Ceux-ci incluent des cookies spécifiques à chaque plateforme (par exemple, tiktok_oauth_state, tiktok_code_verifier, flowctory_pending_youtube_connection, youtube_code_verifier, gdrive_oauth_state, gdrive_code_verifier, dropbox_oauth_state, dropbox_code_verifier, flowctory_pending_connection). Ces cookies :

• Sont HTTP-only et sécurisés (en production)
• Expirent après 10 minutes
• Sont automatiquement supprimés une fois le flux OAuth terminé
• Protègent contre les attaques CSRF et assurent la sécurité OAuth (PKCE)

10.4 Pas de cookies de suivi

Nous n'utilisons pas de cookies de suivi, de cookies publicitaires ou d'analyses tierces.

10.5 Préférences de cookies

Puisque nous n'utilisons que des cookies strictement nécessaires au fonctionnement du Service, le consentement aux cookies n'est pas requis en vertu du RGPD. Cependant, vous pouvez configurer votre navigateur pour rejeter les cookies, mais cela vous empêchera d'utiliser le Service.

11. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos informations personnelles contre l'accès non autorisé, la modification, la divulgation ou la destruction :

• Chiffrement en transit : Toutes les communications utilisent le chiffrement HTTPS/TLS
• Chiffrement au repos : Les données sensibles sont chiffrées dans notre base de données
• Authentification sécurisée : Les jetons OAuth sont stockés et gérés de manière sécurisée
• Contrôles d'accès : Accès limité aux données personnelles selon le besoin d'en connaître
• Mises à jour régulières : L'infrastructure et les dépendances sont régulièrement mises à jour

Bien que nous nous efforcions de protéger vos informations personnelles, aucune méthode de transmission sur Internet ou de stockage électronique n'est sécurisée à 100%. Si vous avez des raisons de croire que votre interaction avec nous n'est plus sécurisée, veuillez nous contacter immédiatement.

12. Confidentialité des enfants

Le Service n'est pas destiné aux enfants de moins de 16 ans dans l'Union européenne ou de 13 ans dans d'autres juridictions. Nous ne collectons pas sciemment d'informations personnelles auprès d'enfants de moins de ces âges.

Si vous êtes un parent ou un tuteur et pensez que votre enfant nous a fourni des informations personnelles, veuillez nous contacter à contact@flowctory.com. Si nous apprenons que nous avons collecté des informations personnelles d'un enfant sans vérification du consentement parental, nous prendrons des mesures pour supprimer ces informations.

13. Mises à jour de cette politique

Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre pour refléter les changements dans nos pratiques ou pour des raisons juridiques, opérationnelles ou réglementaires. Lorsque nous apportons des modifications :

• Nous mettrons à jour la date de « Dernière mise à jour » en haut de cette politique
• Pour les modifications importantes, nous fournirons un avis via le Service ou par e-mail
• Nous obtiendrons votre consentement lorsque la loi applicable l'exige

Nous vous encourageons à consulter régulièrement cette Politique de confidentialité pour rester informé de nos pratiques en matière de données.

14. Coordonnées

Si vous avez des questions, des préoccupations ou des demandes concernant cette Politique de confidentialité ou nos pratiques en matière de données, veuillez nous contacter à :