Politique de confidentialité
Dernière mise à jour : 3 avril 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via le site shopmetrics.app et le service ShopMetrics est :
- [Votre raison sociale]
- [Adresse du siège social]
- Email : privacy@shopmetrics.app
2. Données collectées
Nous collectons les catégories de données suivantes :
2.1 Données d'identification
- Nom et prénom
- Adresse email
- Mot de passe (stocké sous forme de hash bcrypt, jamais en clair)
2.2 Données de connexion et techniques
- Adresse IP (pour la sécurité et la prévention des abus)
- Données de session (token JWT, durée de session)
- Navigateur et système d'exploitation (user-agent)
2.3 Données e-commerce (via vos intégrations)
- Données Shopify : commandes, produits, clients, chiffre d'affaires
- Données Meta Ads : dépenses publicitaires, impressions, clics, conversions
- Données Google Ads : dépenses publicitaires, métriques de performance
Important :Les tokens d'accès à vos comptes Shopify, Meta et Google sont chiffrés en AES-256-GCM avant stockage en base de données. Nous n'accédons à vos données e-commerce que dans le cadre strict de la fourniture du Service.
2.4 Données de paiement
Les données de paiement (numéro de carte bancaire, date d'expiration) ne sont jamais stockées sur nos serveurs. Le paiement est intégralement géré par Stripe(stripe.com), certifié PCI-DSS niveau 1. Nous ne conservons que l'identifiant client Stripe et le statut de l'abonnement.
3. Finalités et bases légales
| Finalité | Base légale | Durée |
|---|---|---|
| Gestion du compte utilisateur | Exécution du contrat | Durée du compte + 3 ans |
| Fourniture du dashboard analytique | Exécution du contrat | Durée de l'abonnement |
| Envoi de rapports quotidiens par email | Consentement (paramétrable) | Jusqu'au retrait du consentement |
| Gestion des paiements et facturation | Exécution du contrat + obligation légale | 10 ans (obligation comptable) |
| Sécurité et prévention des abus | Intérêt légitime | 12 mois |
| Amélioration du Service | Intérêt légitime | 26 mois (données anonymisées) |
4. Destinataires des données
Vos données personnelles sont susceptibles d'être transmises aux sous-traitants suivants :
- Vercel Inc. (hébergement — États-Unis, clauses contractuelles types)
- Neon Tech Inc. (base de données — serveurs UE, Francfort)
- Stripe Inc. (paiement — certifié PCI-DSS, clauses contractuelles types)
- Resend Inc. (envoi d'emails transactionnels)
- Google LLC (authentification OAuth — si vous choisissez la connexion Google)
Pour les transferts vers les États-Unis, nous nous appuyons sur les clauses contractuelles types de la Commission européenne (articles 46(2)(c) du RGPD) et/ou le Data Privacy Framework UE-US lorsque le prestataire est certifié.
Nous ne vendons, ne louons et ne communiquons jamais vos données personnelles à des tiers à des fins commerciales ou publicitaires.
5. Sécurité des données
Nous mettons en œuvre les mesures suivantes pour protéger vos données :
- Chiffrement des tokens d'accès API en AES-256-GCM
- Hachage des mots de passe avec bcrypt (12 rounds de salage)
- Communication exclusivement en HTTPS (TLS 1.3)
- En-têtes de sécurité HTTP (HSTS, X-Frame-Options, CSP)
- Limitation de débit (rate limiting) sur les endpoints sensibles
- Sessions JWT avec expiration automatique
- Vérification de signature sur les webhooks Stripe
- Base de données hébergée en UE avec accès restreint
6. Cookies
Le Service utilise uniquement des cookies strictement nécessaires :
- Cookie de session(next-auth.session-token) : nécessaire à l'authentification. Durée : session. Pas de consentement requis (cookie essentiel, article 82 de la loi Informatique et Libertés).
- Cookie CSRF (next-auth.csrf-token) : protection contre les attaques CSRF. Durée : session.
- Préférence de thème (localStorage) : choix clair/sombre. Pas un cookie au sens technique.
Nous n'utilisons aucun cookie de tracking, publicitaire ou analytique. Aucun consentement au sens du RGPD n'est requis pour les cookies strictement nécessaires.
7. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée, vous disposez des droits suivants :
- Droit d'accès (art. 15) : obtenir une copie de vos données personnelles
- Droit de rectification (art. 16) : corriger des données inexactes
- Droit à l'effacement (art. 17) : demander la suppression de vos données
- Droit à la limitation du traitement (art. 18)
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré
- Droit d'opposition (art. 21) : vous opposer à un traitement basé sur l'intérêt légitime
- Droit de retrait du consentement (art. 7) : retirer votre consentement à tout moment (ex: rapports par email)
Pour exercer ces droits, contactez-nous à privacy@shopmetrics.app. Nous répondrons dans un délai maximum de 30 jours.
En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL(Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr.
8. Données des clients finaux
Dans le cadre de l'utilisation du Service, nous traitons les données des clients de votre boutique Shopify (noms, emails, historique de commandes) en tant que sous-traitant au sens du RGPD. Vous restez le responsable de traitement pour ces données.
Nous nous engageons à ne traiter ces données que sur vos instructions documentées et dans le seul cadre de la fourniture du Service. Ces données sont supprimées lors de la résiliation de votre compte.
9. Modifications
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par email ou par notification dans le Service au moins 15 jours avant l'entrée en vigueur.