Politique de confidentialité

iCraft (« nous », « notre » ou « nos »), exploité via icraftnow.com, s'engage à protéger vos données personnelles. La présente Politique de confidentialité explique comment nous collectons, utilisons, stockons et partageons vos informations lorsque vous utilisez notre plateforme de génération d'images par intelligence artificielle, y compris notre site web, nos applications et nos services API (collectivement, les « Services »).

Nous sommes basés en France et traitons les données conformément au Règlement général sur la protection des données (UE) 2016/679 (« RGPD »), à la Loi Informatique et Libertés, et aux autres lois européennes applicables en matière de protection des données.

1. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

2. Données que nous collectons

Nous collectons les catégories suivantes de données personnelles :

2.1 Informations de compte

• Adresse e-mail — Requise pour la création de compte, la connexion et les communications transactionnelles.
• Nom complet — Requis pour l'identification du compte et la facturation.
• Nom de l'entreprise (facultatif) — Fourni volontairement pour les comptes professionnels et la génération de factures.
• Mot de passe — Stocké sous forme hachée ; jamais stocké en clair.

2.2 Données Google OAuth

Si vous vous connectez avec Google, nous recevons de Google votre nom, votre adresse e-mail et l'URL de votre photo de profil. Nous ne recevons ni ne stockons votre mot de passe Google. Nous utilisons ces données uniquement pour la création de compte et l'authentification.

2.3 Informations de paiement

Le traitement des paiements est entièrement géré par Stripe. Nous ne stockons pas votre numéro de carte bancaire complet, votre cryptogramme visuel (CVC) ni vos coordonnées bancaires. Nous recevons de Stripe : les quatre derniers chiffres de votre carte, la marque de la carte, la date d'expiration, l'adresse de facturation et l'historique des transactions associé à votre compte.

2.4 Données d'utilisation

• Prompts de génération et paramètres que vous soumettez à l'IA.
• Images générées et métadonnées associées.
• Utilisation des crédits et historique de génération.
• Journaux d'utilisation de l'API (point d'accès, horodatage, statut de réponse).

2.5 Données techniques

• Adresse IP (pour la sécurité et la prévention des abus).
• Type et version du navigateur.
• Type d'appareil et système d'exploitation.
• Pages visitées et source de référencement.

2.6 Données de comptes de réseaux sociaux

Lorsque vous connectez un compte de réseau social (Instagram, Facebook, X/Twitter, LinkedIn, YouTube) à iCraft pour la publication de contenu, nous collectons et stockons :

• Jetons d'accès OAuth et jetons de rafraîchissement— Chiffrés avec AES-256-GCM avant le stockage. Ces jetons nous permettent de publier du contenu en votre nom lorsque vous en faites explicitement la demande. Nous ne publions jamais sans votre action.
• Identifiants de compte— Identifiant utilisateur de la plateforme, nom d'utilisateur et nom d'affichage, utilisés pour identifier votre compte connecté dans notre tableau de bord.
• Informations de page/chaîne— Pour les plateformes prenant en charge les pages professionnelles ou les chaînes (Pages Facebook, Pages Entreprise LinkedIn, Chaînes YouTube), nous stockons le nom et l'identifiant de la page ou chaîne sélectionnée.
• Historique de publication— Enregistrements du contenu publié via iCraft, incluant l'identifiant de publication de la plateforme, l'horodatage de publication et le statut (publié, échoué).

Nous ne demandons que les permissions minimales nécessaires pour publier du contenu en votre nom. Nous ne lisons pas vos messages privés, n'accédons pas à vos listes d'abonnés et ne collectons pas de données analytiques de vos comptes de réseaux sociaux. Vous pouvez déconnecter n'importe quel compte à tout moment depuis votre tableau de bord, ce qui révoque immédiatement notre accès et supprime les jetons stockés.

2.7 Suppression de données sur demande de la plateforme

Les plateformes de réseaux sociaux (telles que Meta/Facebook) peuvent demander la suppression de vos données par le biais de rappels automatisés. Lorsque nous recevons une telle demande, nous supprimons rapidement toutes les connexions sociales, jetons d'accès et historiques de publication associés à la plateforme concernée. Nous fournissons un code de confirmation pour le suivi de l'état de la suppression.

3. Bases juridiques du traitement

En vertu du RGPD, nous traitons vos données personnelles sur les bases juridiques suivantes :

4. Cookies et gestion des sessions

Nous utilisons des cookies et des technologies similaires de la manière suivante :

Nous n'utilisons aucun cookie de suivi tiers, cookie publicitaire ou cookie analytique vous suivant d'un site à l'autre. Les seuls cookies que nous utilisons sont strictement nécessaires au fonctionnement de nos Services.

5. Sous-traitants tiers

Nous partageons vos données avec les sous-traitants tiers suivants, chacun étant lié par des accords de traitement des données :

6. Conservation des données

Nous ne conservons vos données personnelles que pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées :

• Données de compte : Conservées pendant la durée de votre compte. Supprimées dans les 30 jours suivant la demande de suppression du compte.
• Images générées : Conservées pendant la durée de votre compte ou jusqu'à ce que vous les supprimiez. Définitivement supprimées dans les 30 jours suivant la suppression du compte.
• Documents de paiement : Conservés pendant 10 ans conformément au droit fiscal et commercial français.
• Journaux d'utilisation de l'API : Conservés pendant 12 mois à des fins de sécurité et de débogage.
• Journaux d'accès au serveur : Conservés pendant 12 mois à des fins de sécurité.
• Jetons de réseaux sociaux : Conservés pendant la durée de votre connexion. Immédiatement supprimés lorsque vous déconnectez un compte ou lorsque la plateforme demande la suppression des données. Chiffrés au repos avec AES-256-GCM.

7. Vos droits en vertu du RGPD

En tant que personne concernée, vous disposez des droits suivants en vertu du RGPD. Vous pouvez exercer ces droits à tout moment en nous contactant à [email protected]:

Nous répondrons à votre demande dans un délai de 30 jours. Dans des circonstances exceptionnelles, nous pouvons prolonger ce délai de deux mois supplémentaires, auquel cas nous vous informerons de la prolongation et de ses motifs.

8. Transferts internationaux de données

Vos données sont principalement traitées et stockées au sein de l'Union européenne. Notre instance de base de données Supabase est hébergée dans la région UE.

Certains de nos sous-traitants tiers (Stripe et Google) peuvent transférer des données en dehors de l'UE/EEE. Ces transferts sont protégés par :

• Les décisions d'adéquation du Cadre de protection des données UE-États-Unis (DPF), le cas échéant.
• Les Clauses contractuelles types (CCT) approuvées par la Commission européenne.
• Des mesures supplémentaires complémentaires conformément aux recommandations du Comité européen de la protection des données.

9. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles, notamment :

• Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256).
• Hachage des mots de passe avec des algorithmes standards de l'industrie (bcrypt).
• Contrôles d'accès basés sur les rôles pour les systèmes internes.
• Évaluations de sécurité régulières et surveillance des vulnérabilités.
• Politiques de sécurité au niveau des lignes (RLS) Supabase pour isoler les données utilisateur.
• Expiration automatique des sessions et gestion sécurisée des jetons.

Bien que nous prenions toutes les précautions raisonnables, aucune méthode de transmission sur Internet ou de stockage électronique n'est sécurisée à 100 %. Si vous avez connaissance d'une vulnérabilité de sécurité, veuillez nous contacter immédiatement à [email protected].

10. Protection des données des mineurs

Nos Services ne sont pas destinés aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès d'enfants de moins de 16 ans. Si vous êtes un parent ou un tuteur et pensez que votre enfant nous a fourni des données personnelles, veuillez nous contacter à [email protected] et nous supprimerons rapidement ces données.

11. Modifications de la présente Politique de confidentialité

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre pour refléter les changements dans nos pratiques, notre technologie, les exigences légales ou d'autres facteurs. Lorsque nous apportons des modifications substantielles, nous :

• Mettrons à jour la date de « Dernière mise à jour » en haut de cette page.
• Vous notifierons par e-mail ou par un avis visible sur notre plateforme au moins 30 jours avant l'entrée en vigueur des modifications.
• Obtiendrons, lorsque la loi l'exige, votre consentement renouvelé avant d'appliquer les modifications.

12. Coordonnées et droit de réclamation

Pour toute question, demande ou préoccupation concernant la présente Politique de confidentialité ou nos pratiques de traitement des données, veuillez nous contacter :

Si vous estimez que vos droits en matière de protection des données ont été violés, vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle. Pour les utilisateurs en France, l'autorité compétente est :