Politique de confidentialité

1. Introduction

Flowctory (« nous », « notre » ou « nos ») s'engage à protéger votre vie privée. Cette Politique de confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos informations personnelles lorsque vous utilisez notre site web et nos services (collectivement, le « Service »).

En utilisant le Service, vous acceptez la collecte et l'utilisation des informations conformément à cette Politique de confidentialité. Si vous n'êtes pas d'accord avec nos politiques et pratiques, veuillez ne pas utiliser le Service.

Cette Politique de confidentialité doit être lue conjointement avec nos Conditions d'utilisation.

2. Informations que nous collectons

2.1 Informations de compte

Lorsque vous créez un compte Flowctory, nous collectons et stockons :

• Adresse e-mail : Votre adresse e-mail, utilisée pour l'identification du compte et la communication
• Mot de passe : Si vous vous inscrivez par e-mail, votre mot de passe est haché de manière sécurisée (nous ne stockons jamais les mots de passe en clair)
• Nom d'affichage : Votre nom, soit fourni par vous, soit obtenu de votre fournisseur de connexion sociale (Google)
• URL de l'avatar : L'URL de votre photo de profil, si fournie par votre fournisseur de connexion sociale
• Fuseau horaire : Vos préférences de fuseau horaire pour l'affichage des dates et heures

Vous pouvez vous inscrire et vous connecter en utilisant un e-mail et un mot de passe, ou via Google OAuth. Google OAuth est utilise uniquement pour l'authentification ; les comptes de stockage en nuage sont connectes separement.

2.4 Contenu multimédia

Nous traitons plusieurs types de contenu multimédia via le Service :

• Lorsque vous téléversez une vidéo ou une image, le fichier est temporairement stocké sur nos serveurs uniquement dans le but de fournir le Service. Les fichiers téléversés sont automatiquement supprimés de nos serveurs dans les 24 heures suivant le téléversement ou après traitement réussi.
• Vous pouvez téléverser des images et des vidéos dans une bibliothèque persistante stockée dans le stockage cloud Supabase. Ces fichiers sont conservés jusqu'à leur suppression par vos soins et peuvent être utilisés comme entrées pour les flux de génération de contenu par IA.
• Les images et vidéos générées via nos fonctionnalités Canvas IA sont stockées dans le stockage cloud Supabase et associées à votre compte. Le contenu généré est conservé jusqu'à sa suppression par vos soins ou la fermeture de votre compte.

2.5 Connexions de stockage cloud

Lorsque vous connectez un fournisseur de stockage cloud (Google Drive, Dropbox), nous collectons et stockons :

• Adresse e-mail : L'adresse e-mail associée à votre compte de stockage cloud
• Nom d'affichage : Votre nom d'affichage sur le fournisseur de stockage cloud
• Fournisseur de stockage : Les jetons d'accès et de rafraîchissement OAuth (chiffrés) pour accéder à votre stockage cloud en votre nom
• Vos préférences de dossiers pour la navigation de fichiers et les destinations de sauvegarde automatique

Les connexions de stockage cloud sont utilisées pour importer des fichiers dans Flowctory et optionnellement sauvegarder automatiquement le contenu généré dans votre dossier cloud préféré.

2.6 Données de contenu généré par IA

Lorsque vous utilisez nos fonctionnalités Canvas IA pour générer des images ou des vidéos, nous collectons et traitons :

• Les instructions textuelles et paramètres de génération que vous fournissez
• Les images que vous sélectionnez dans votre bibliothèque ou téléversez pour le traitement IA
• Les images et vidéos générées résultantes, stockées dans le stockage cloud Supabase
• Nous n'utilisons aucun de ces données d'entrée ou de sortie pour entraîner des modèles d'IA, et nos fournisseurs d'IA ont accepté de ne pas les utiliser pour entraîner des modèles d'IA généraux

Vos invites et images de référence sont transmises via TLS à nos fournisseurs de traitement IA (actuellement kie.ai et xAI) uniquement pour exécuter votre demande de génération. Les contenus générés sont stockés dans votre compte sur le stockage Supabase jusqu'à leur suppression par vos soins ou la fermeture de votre compte.

Voir la Section 5.3 (Fournisseurs de génération IA) pour la liste des fournisseurs de traitement IA et l'engagement de non-entraînement.

2.8 Données techniques et d'utilisation

Nous collectons automatiquement certaines informations techniques lorsque vous utilisez le Service :

• Adresse IP
• Type et version du navigateur
• Informations sur l'appareil
• Horodatages d'accès
• Journaux d'erreurs et données de diagnostic

Nous n'utilisons pas de services d'analyse tiers ni d'outils de suivi.

3. Base juridique du traitement (RGPD)

Si vous êtes situé dans l'Espace économique européen (EEE), au Royaume-Uni ou en Suisse, nous traitons vos données personnelles sur les bases juridiques suivantes :

3.1 Exécution du contrat

Le traitement est nécessaire pour vous fournir le Service, notamment :

• Créer et gérer votre compte Flowctory
• Téléverser et traiter votre contenu multimédia
• Connecter vos comptes de stockage cloud (Google Drive, Dropbox) pour l'import de fichiers et la sauvegarde automatique
• Connecter des services tiers (stockage en nuage, fournisseurs IA) en votre nom
• Générer des images et des vidéos via les fonctionnalités Canvas IA à partir de vos instructions
• Traiter les paiements et gérer les abonnements

3.2 Intérêts légitimes

Nous traitons certaines données sur la base de nos intérêts légitimes, notamment :

• Améliorer et sécuriser le Service
• Résoudre les problèmes techniques
• Prévenir la fraude et les abus

3.3 Obligations légales

Nous pouvons traiter vos données lorsque la loi l'exige, comme pour répondre à des demandes légales ou respecter les réglementations applicables.

3.4 Consentement

Lorsque cela est requis, nous obtiendrons votre consentement explicite avant de traiter vos données. Vous pouvez retirer votre consentement à tout moment.

4. Comment nous utilisons vos informations

Nous utilisons les informations que nous collectons pour :

• Fournir, maintenir et améliorer le Service
• Vous authentifier et gérer votre compte Flowctory
• Connecter des services tiers (stockage en nuage, fournisseurs IA) en votre nom
• Téléverser et traiter le contenu multimédia que vous soumettez
• Générer des images et des vidéos par IA via nos fonctionnalités Canvas
• Connecter vos comptes de stockage cloud pour l'import de fichiers et la sauvegarde automatique du contenu généré
• Traiter les paiements et gérer votre abonnement
• Afficher l'historique et le statut de génération de contenu dans l'application
• Résoudre les problèmes de téléversements échoués
• Communiquer avec vous concernant le Service (annonces de service, alertes de sécurité)
• Détecter, prévenir et résoudre les problèmes techniques, la fraude ou les abus
• Respecter les obligations légales

Nous n'utilisons pas vos informations personnelles à des fins publicitaires et ne les vendons pas à des tiers.

5. Comment nous partageons vos informations

Nous partageons vos informations uniquement dans les circonstances suivantes :

5.2 Fournisseurs de stockage cloud

Lorsque vous connectez un service de stockage cloud, nous partageons les données d'authentification nécessaires avec le fournisseur pour accéder à vos fichiers en votre nom :

Google Drive

Nous utilisons les API Google Drive pour parcourir vos fichiers et optionnellement sauvegarder le contenu généré. Le traitement de vos données par Google est régi par la Politique de confidentialité de Google.

Dropbox

Nous utilisons les API Dropbox pour parcourir vos fichiers et optionnellement sauvegarder le contenu généré. Le traitement de vos données par Dropbox est régi par la Politique de confidentialité de Dropbox.

5.3 Fournisseurs de génération de contenu par IA

Lorsque vous utilisez les fonctionnalités Canvas IA, vos invites, paramètres de génération et toutes images de référence téléversées sont transmis via TLS à l'un ou plusieurs des fournisseurs de traitement IA suivants, selon le modèle que vous sélectionnez :

kie.ai

kie.ai représente plusieurs familles de modèles IA (notamment Veo, Seedream, Runway et d’autres) pour la génération d’images et de vidéos. Vos invites, paramètres de génération et images de référence téléversées sont envoyés à kie.ai pour traitement. kie.ai traite vos données uniquement pour exécuter la demande de génération et ne les utilise pas pour entraîner des modèles d’IA généraux. Consultez les conditions et la politique de confidentialité de kie.ai sur kie.ai.

xAI (Grok Imagine)

xAI est utilisé pour la génération d’images et de vidéos Grok Imagine. Vos invites et images téléversées sont envoyées à xAI pour traitement. Conformément à la politique de données entreprise de xAI, les données d’entrée via l’API ne sont pas utilisées pour entraîner les modèles xAI par défaut. Consultez la politique de confidentialité de xAI sur x.ai/legal/privacy-policy.

Aucun entraînement sur vos données

Ni Flowctory ni aucun de nos fournisseurs de traitement IA n’utilise vos invites, images de référence téléversées ou contenus générés pour entraîner des modèles d’IA.

Conservation par les fournisseurs d’IA

Les fournisseurs d’IA conservent généralement les données d’entrée uniquement pour la durée du traitement plus une courte période de prévention des abus (généralement jusqu’à 30 jours), puis les suppriment. Nous stockons séparément les contenus générés que vous conservez, comme décrit à la Section 6 (Conservation des données).

Lieu de traitement IA

Les fournisseurs d’IA peuvent traiter vos données aux États-Unis ou dans d’autres juridictions hors EEE. Les transferts internationaux sont encadrés par des garanties appropriées (Clauses contractuelles types ou équivalent) comme décrit à la Section 9 (Transferts internationaux de données).

Systèmes de sécurité des fournisseurs

Les fournisseurs d’IA exploitent des systèmes automatisés de sécurité et de prévention des abus susceptibles d’examiner les invites et images de référence pour détecter des contenus interdits (par exemple, le matériel d’abus sexuel sur enfants). Ces systèmes sont gérés par les fournisseurs ; Flowctory ne les contrôle pas.

5.4 Prestataires de services

Nous utilisons des prestataires de services tiers de confiance pour nous aider à exploiter le Service :

• Processeur de paiement : Nous utilisons Stripe pour traiter les paiements et gérer les abonnements. Stripe reçoit directement vos informations de paiement (détails de carte, adresse de facturation). Nous ne stockons pas les détails complets de votre carte. Le traitement de vos données par Stripe est régi par la Politique de confidentialité de Stripe.
• Nous utilisons Supabase pour le stockage de fichiers dans le cloud. Vos fichiers de bibliothèque et votre contenu généré par IA sont stockés sur l'infrastructure Supabase. Le traitement de vos données par Supabase est régi par sa politique de confidentialité.
• Fournisseur d'hébergement : Nos serveurs sont hébergés sur une infrastructure qui peut avoir accès aux journaux de serveur et aux données techniques nécessaires pour fournir les services d'hébergement.
• Fournisseur de base de données : Nous utilisons PostgreSQL pour le stockage des données. Toutes les données sont chiffrées au repos.

Ces prestataires sont contractuellement tenus de protéger vos informations et ne peuvent les utiliser que pour nous fournir des services.

5.5 Exigences légales

Nous pouvons divulguer vos informations si la loi l'exige ou en réponse à des demandes légales valides des autorités publiques (par exemple, ordonnances judiciaires, assignations).

5.6 Transferts d'entreprise

Si Flowctory est impliqué dans une fusion, acquisition ou vente d'actifs, vos informations peuvent être transférées dans le cadre de cette transaction. Nous vous informerons de tout tel changement et de tout choix que vous pourriez avoir concernant vos informations.

5.7 Pas de vente de données personnelles

Nous ne vendons, louons ou échangeons pas vos informations personnelles à des tiers à des fins de marketing.

6. Conservation des données

Nous conservons vos informations aussi longtemps que nécessaire pour fournir le Service et remplir les objectifs décrits dans cette Politique de confidentialité :

7. Vos droits (RGPD)

Si vous êtes situé dans l'Espace économique européen (EEE), au Royaume-Uni ou en Suisse, vous avez les droits suivants en vertu du Règlement général sur la protection des données (RGPD) :

7.9 Exercer vos droits

Pour exercer l'un de ces droits, veuillez nous contacter à contact@flowctory.com. Nous répondrons à votre demande dans les 30 jours.

8. Droits de confidentialité en Californie (CCPA)

Si vous êtes un résident de Californie, vous avez des droits spécifiques en vertu du California Consumer Privacy Act (CCPA) :

8.1 Droit de savoir

Vous avez le droit de demander que nous divulguions :

• Les catégories d'informations personnelles que nous avons collectées à votre sujet
• Les catégories de sources à partir desquelles nous avons collecté les informations
• L'objectif commercial ou d'affaires de la collecte des informations
• Les catégories de tiers avec lesquels nous partageons les informations
• Les éléments spécifiques d'informations personnelles que nous avons collectés à votre sujet

8.2 Droit de suppression

Vous avez le droit de demander que nous supprimions les informations personnelles que nous avons collectées auprès de vous, sous réserve de certaines exceptions.

8.3 Droit de refuser la vente

Vous avez le droit de refuser la vente de vos informations personnelles. Cependant, Flowctory ne vend pas d'informations personnelles.

8.4 Droit à la non-discrimination

Nous ne vous discriminerons pas pour avoir exercé l'un de vos droits CCPA. Nous ne vous refuserons pas de biens ou de services, ne vous facturerons pas des prix différents et ne vous fournirons pas un niveau de service différent pour avoir exercé vos droits.

8.5 Exercer vos droits

Pour exercer vos droits CCPA, veuillez nous contacter à contact@flowctory.com. Nous vérifierons votre identité avant de traiter votre demande.

9. Transferts internationaux de données

Flowctory est basé en France (Union européenne). Si vous accédez au Service depuis l'extérieur de l'UE, veuillez noter que vos informations peuvent être transférées, stockées et traitées dans l'UE.

Lorsque nous transférons des données personnelles en dehors de l'EEE, nous nous assurons que des garanties appropriées sont en place, telles que :

• Transferts vers des pays bénéficiant d'une décision d'adéquation de l'UE
• Clauses contractuelles types approuvées par la Commission européenne
• Autres mécanismes de transfert légalement reconnus

Les fonctionnalités Canvas IA peuvent transmettre vos invites et images de référence à des fournisseurs de traitement IA situés aux États-Unis. Nous nous appuyons sur les garanties listées ci-dessus pour ces transferts.

Les services tiers avec lesquels nous nous integrons (fournisseurs de stockage en nuage, fournisseurs IA, Stripe) peuvent transferer vos donnees a l'international conformement a leurs propres politiques de confidentialite.

10. Cookies

Nous utilisons uniquement des cookies strictement nécessaires pour faire fonctionner le Service. Tous les cookies sont essentiels pour l'authentification et la sécurité. Nous n'utilisons pas de cookies de suivi, de publicité ou d'analyse.

10.1 Aperçu des cookies

Le tableau suivant répertorie tous les cookies utilisés par Flowctory :

Note : En production, les cookies d'authentification utilisent le préfixe __Secure- et les autres cookies utilisent le préfixe __Host- pour une sécurité renforcée, nécessitant HTTPS et empêchant l'accès inter-sites.

10.2 Cookies de session

Le cookie authjs.session-token maintient votre session authentifiée. Ce cookie :

• Est HTTP-only (non accessible via JavaScript) et sécurisé (HTTPS uniquement en production)
• Utilise SameSite=lax pour la protection CSRF
• Expiré après 30 minutes d'inactivité (session glissante)
• Contient un JWT signé avec votre identifiant utilisateur, e-mail et fuseau horaire
• Est strictement nécessaire au fonctionnement du Service

10.3 Cookies de flux OAuth

Lors de la connexion d'un service de stockage cloud, nous stockons temporairement l'etat OAuth et les donnees de verification dans des cookies (par exemple, gdrive_oauth_state, gdrive_code_verifier, dropbox_oauth_state, dropbox_code_verifier, flowctory_pending_connection). Ces cookies :

• Sont HTTP-only et sécurisés (en production)
• Expirent après 10 minutes
• Sont automatiquement supprimés une fois le flux OAuth terminé
• Protègent contre les attaques CSRF et assurent la sécurité OAuth (PKCE)

10.4 Pas de cookies de suivi

Nous n'utilisons pas de cookies de suivi, de cookies publicitaires ou d'analyses tierces.

10.5 Préférences de cookies

Puisque nous n'utilisons que des cookies strictement nécessaires au fonctionnement du Service, le consentement aux cookies n'est pas requis en vertu du RGPD. Cependant, vous pouvez configurer votre navigateur pour rejeter les cookies, mais cela vous empêchera d'utiliser le Service.

11. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos informations personnelles contre l'accès non autorisé, la modification, la divulgation ou la destruction :

• Chiffrement en transit : Toutes les communications utilisent le chiffrement HTTPS/TLS
• Chiffrement au repos : Les données sensibles sont chiffrées au repos avec AES-256-GCM dans notre base de données
• Authentification sécurisée : Les jetons OAuth sont stockés et gérés de manière sécurisée
• Contrôles d'accès : Acces limite aux donnees personnelles selon le besoin d'en connaitre. Le personnel de Flowctory n'accede pas aux donnees obtenues via les services API de Google, sauf lorsque : (a) vous avez donne votre consentement explicite pour consulter des donnees specifiques, (b) cela est necessaire a des fins de securite, comme l'investigation d'abus ou d'incidents de securite, ou (c) nous y sommes contraints par la loi applicable
• Mises à jour régulières : L'infrastructure et les dépendances sont régulièrement mises à jour

Bien que nous nous efforcions de protéger vos informations personnelles, aucune méthode de transmission sur Internet ou de stockage électronique n'est sécurisée à 100%. Si vous avez des raisons de croire que votre interaction avec nous n'est plus sécurisée, veuillez nous contacter immédiatement.

12. Confidentialité des enfants

Le Service n'est pas destiné aux enfants de moins de 16 ans dans l'Union européenne ou de 13 ans dans d'autres juridictions. Nous ne collectons pas sciemment d'informations personnelles auprès d'enfants de moins de ces âges.

Si vous êtes un parent ou un tuteur et pensez que votre enfant nous a fourni des informations personnelles, veuillez nous contacter à contact@flowctory.com. Si nous apprenons que nous avons collecté des informations personnelles d'un enfant sans vérification du consentement parental, nous prendrons des mesures pour supprimer ces informations.

13. Mises à jour de cette politique

Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre pour refléter les changements dans nos pratiques ou pour des raisons juridiques, opérationnelles ou réglementaires. Lorsque nous apportons des modifications :

• Nous mettrons à jour la date de « Dernière mise à jour » en haut de cette politique
• Pour les modifications importantes, nous fournirons un avis via le Service ou par e-mail
• Nous obtiendrons votre consentement lorsque la loi applicable l'exige

Nous vous encourageons à consulter régulièrement cette Politique de confidentialité pour rester informé de nos pratiques en matière de données.

14. Coordonnées

Si vous avez des questions, des préoccupations ou des demandes concernant cette Politique de confidentialité ou nos pratiques en matière de données, veuillez nous contacter à :