1. Responsable du traitement
Le responsable du traitement est [Raison sociale] (éditeur de EcomDraft), joignable à l'adresse [adresse e-mail de contact]. Voir les mentions légales pour l'identification complète.
2. Principe : le strict minimum
EcomDraft est conçu pour minimiser les données conservées. Nous ne stockons pas le détail de vos commandes ni les données de vos clients : les indicateurs des pages « Pilotage » sont calculés à la demande en lisant l'API de votre boutique au moment où vous consultez la page, puis affichés sans être archivés sur nos serveurs.
3. Données que nous traitons
- Compte
- Adresse e-mail et identifiant de connexion (et nom si vous le renseignez), pour créer et sécuriser votre compte.
- Boutique connectée
- Domaine de la boutique (ex. maboutique.myshopify.com) et jeton d'accès chiffré, pour lire vos données de vente à la demande.
- Contenu généré
- Les textes, briefs et campagnes que vous créez dans Studio, enregistrés pour vous les restituer.
- Données techniques
- Journaux de connexion et données de fonctionnement (adresse IP, type de navigateur) à des fins de sécurité et de bon fonctionnement.
- Données de vente (transitoires)
- Commandes, produits et segments clients lus en direct depuis Shopify pour calculer vos KPI — affichés mais non conservés de façon persistante.
4. Finalités et bases légales
- Fourniture du service
- Donner accès au tableau de bord, au radar de tendances et au pilotage. Base : exécution du contrat (art. 6.1.b).
- Sécurité & prévention de la fraude
- Protéger les comptes et l'infrastructure. Base : intérêt légitime (art. 6.1.f).
- Amélioration du produit
- Comprendre l'usage agrégé pour améliorer les fonctionnalités. Base : intérêt légitime (art. 6.1.f).
- Obligations légales
- Facturation et comptabilité le cas échéant. Base : obligation légale (art. 6.1.c).
5. Sous-traitants et destinataires
Nous ne vendons pas vos données. Elles sont traitées par des sous-traitants strictement nécessaires au fonctionnement du service :
- Supabase
- Hébergement de la base de données et authentification — localisation : UE.
- Vercel
- Hébergement de l'application — localisation : UE / États-Unis.
- Shopify
- Source des données boutique (commandes, produits, clients) — lues à la demande — localisation : International.
- Anthropic
- Génération de contenu marketing par IA (Studio) — localisation : États-Unis.
Les transferts hors UE éventuels (ex. États-Unis) sont encadrés par des garanties appropriées (clauses contractuelles types de la Commission européenne et/ou Data Privacy Framework).
6. Données issues de Shopify
Lorsque vous connectez une boutique, EcomDraft demande uniquement des accès en lecture seule (read_orders, read_products, read_customers). Aucune écriture n'est effectuée sur votre boutique. Le jeton d'accès est conservé chiffré et n'est jamais exposé côté navigateur. Vous pouvez le révoquer à tout moment en vous déconnectant depuis la page Intégrations ou en désinstallant l'application depuis votre admin Shopify — le jeton est alors immédiatement supprimé.
7. Durée de conservation
Les données de compte sont conservées tant que votre compte est actif. À la fermeture du compte (ou à la désinstallation côté Shopify), le jeton d'accès et la liaison à la boutique sont supprimés. Les journaux techniques sont conservés pour une durée limitée à des fins de sécurité. Les données de vente n'étant pas archivées, il n'y a rien à purger de ce côté.
8. Vos droits
Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité, ainsi que du droit de définir des directives sur le sort de vos données après votre décès. Pour les exercer, écrivez à [adresse e-mail de contact]. Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).
9. Cookies
EcomDraft utilise uniquement des cookies strictement nécessaires au fonctionnement (session d'authentification, session boutique signée). Ces cookies ne servent pas à la publicité et ne nécessitent pas de consentement préalable. Aucun traceur marketing tiers n'est déposé sans votre accord.
10. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées : chiffrement en transit (HTTPS) et au repos, jetons d'accès chiffrés et confinés au serveur, cloisonnement des accès par règles de sécurité au niveau de la base (RLS), et principe du moindre privilège.
11. Modifications
Cette politique peut évoluer pour refléter des changements légaux ou techniques. La date de mise à jour figure en haut de page. En cas de modification substantielle, nous vous en informerons par les moyens appropriés.