Politique de Confidentialité

Le responsable du traitement des données personnelles collectées sur le site MetaVosgiens et dans l'espace client est :

Bichon Christopher
Forme juridique : Micro-entreprise (Auto-entrepreneur)
SIRET : 933 529 794 00010
Adresse : 13 rue du creux challot, 88410 Bleurville, France
Email : contact@krystdev.com

Nous distinguons plusieurs catégories de données selon votre interaction avec MetaVosgiens (visite du site public, échange avec l'assistant Kiara, demande de contact, ou utilisation de votre espace client).

2.1. Visiteurs du site public

• Adresse IP : prévention des abus, sécurité (logs serveur)
• Navigateur, appareil, résolution : compatibilité technique (logs)
• Pages visitées et durée : mesure d'audience via Google Analytics 4 (uniquement avec consentement)

2.2. Formulaire de contact

• Nom, email, sujet, message : pour traiter votre demande
• Adresse IP, date et heure : prévention spam et suivi interne

2.3. Conversations avec Kiara (assistant IA)

• Contenu de la conversation : questions et réponses échangées
• Adresse IP hashée SHA256 : votre IP n'est jamais stockée en clair
• Score de qualification : indicateur interne pour orienter la conversation
• Métadonnées techniques : durée de la conversation, modèle LLM utilisé, latence (logs AiLog)

Les conversations sont traitées par notre prestataire d'IA (voir §6) pour générer les réponses.

2.4. Compte client (espace client)

Si vous devenez client MetaVosgiens, un compte vous est créé pour accéder à votre espace client. Nous collectons :

• Identifiants : email, mot de passe (haché, non lisible)
• Identité : prénom, nom, raison sociale
• Coordonnées : email, téléphone, adresse postale
• Date de création, dernière connexion, statut du compte

2.5. Questionnaire d'onboarding (10 sections)

Lors de la phase de production de votre site, nous collectons via votre espace client :

• Identité entreprise : nom commercial, SIRET, forme juridique, activité, année de création, taille de l'équipe
• Coordonnées : adresse, téléphone, email de contact, zone d'intervention, horaires d'ouverture
• Services / produits : descriptions, tarifs indicatifs
• À propos : votre histoire, vos valeurs
• Nom de domaine : domaine existant le cas échéant, accès DNS si transmis
• Fiche Google Business : URL, accès gestionnaire
• Médias uploadés : logo, photos du lieu, photos du dirigeant et de l'équipe, photos de réalisations, moodboard d'inspirations
• Direction artistique : mots-clés style et ambiance, couleurs préférées (codes hexadécimaux), sites inspirants
• Témoignages clients : nom des auteurs, contenu des avis, notation (optionnel)
• Réseaux sociaux existants : URLs Facebook et Instagram

2.6. Données de paiement (Stripe)

• Quatre derniers chiffres de la carte, marque (Visa, Mastercard…), date d'expiration : pour affichage dans votre espace client
• Identifiants Stripe : customer_id, payment_method_id, subscription_id
• Historique des transactions : factures, montants, dates, statuts

Nous ne stockons JAMAIS le numéro complet de votre carte bancaire ni le cryptogramme. Ces données sont gérées exclusivement par Stripe (PCI-DSS niveau 1).

2.7. Modules Meta (Facebook / Instagram)

Si vous activez un Module Meta (Essentiel ou Active) pour la gestion automatisée de vos réseaux sociaux :

• Token OAuth long-lived (60 jours, renouvelable) : pour publier en votre nom
• Identifiants Page Facebook et compte Instagram Business liés
• Posts générés automatiquement (texte + image) : stockés sur nos serveurs
• Logs de publication : statuts, erreurs Meta, métriques de portée si disponibles

2.8. Cookies techniques et analytics

• Session PHP (PHPSESSID) : maintien de votre session
• CSRF Token : protection contre les attaques Cross-Site Request Forgery
• cookie_consent : mémorisation de votre choix concernant les cookies analytics (13 mois)
• Cookies Google Analytics 4 : _ga, _ga_8FQSPEB2ZC (13 mois, uniquement avec consentement)

Vos données personnelles sont traitées pour les finalités suivantes :

• Répondre à vos demandes via le formulaire de contact ou l'assistant Kiara
• Mesurer l'audience du site (Google Analytics 4, uniquement avec consentement)
• Exécuter le contrat de prestation de service web (création de site, hébergement, maintenance, modules réseaux sociaux)
• Gérer votre espace client (authentification, suivi du projet, support, facturation)
• Produire votre site internet à partir des informations de l'onboarding (textes, photos, identité visuelle)
• Générer automatiquement vos posts réseaux sociaux (texte + image) si vous avez souscrit à un Module Meta, en s'appuyant sur votre identité visuelle et vos services
• Encaisser les paiements (acompte, solde, abonnement) via Stripe
• Émettre les factures et respecter nos obligations comptables et fiscales
• Prévenir les abus et le spam (rate limiting, détection comportements anormaux)
• Assurer la sécurité du site et de votre espace client (logs techniques, analyse incidents)

Nous ne transmettons, ne vendons, ni ne louons vos données personnelles à des tiers à des fins commerciales ou publicitaires.

Le traitement de vos données repose sur les bases légales suivantes (RGPD Article 6.1) :

• Exécution du contrat (Article 6.1.b) : pour les données nécessaires à la fourniture de la prestation (compte client, onboarding, paiements, modules Meta).
• Consentement (Article 6.1.a) : formulaire de contact, conversations Kiara, cookies Google Analytics, activation des Modules Meta (OAuth Facebook/Instagram).
• Obligation légale (Article 6.1.c) : conservation des factures et documents comptables (10 ans, Code de commerce art. L123-22).
• Intérêt légitime (Article 6.1.f) : prévention des abus, amélioration de la sécurité, analyse des logs techniques.

Vos données sont conservées pendant les durées suivantes :

• Formulaire de contact : 24 mois après le dernier échange
• Conversations Kiara (logs serveur) : 30 jours, anonymisées au-delà
• Compte client : pendant toute la durée de la relation contractuelle, puis 6 mois après résiliation (sauf demande de suppression anticipée)
• Données du questionnaire d'onboarding : pendant la durée du contrat de maintenance, puis 6 mois après résiliation
• Photos et médias uploadés : idem données onboarding (pendant le contrat + 6 mois)
• Identifiants Stripe et historique des paiements : pendant la durée du contrat puis archivés
• Factures émises : 10 ans (obligation légale, Code de commerce)
• Tokens OAuth Meta : 60 jours (renouvelés automatiquement tant que le Module Meta est actif)
• Posts générés (texte + image) : pendant la durée d'activation du Module Meta, suppression progressive des posts publiés au-delà de 12 mois
• Logs serveur (techniques) : 30 jours maximum
• Cookies techniques : durée de session
• Cookie de consentement : 13 mois (recommandation CNIL)
• Cookies Google Analytics 4 : 13 mois maximum

Vos données personnelles sont destinées exclusivement à Bichon Christopher (responsable du traitement) et aux sous-traitants techniques suivants :

• IONOS SARL (France, UE) — hébergement des serveurs, stockage de la base de données et des fichiers uploadés. Conforme RGPD.
• Stripe Payments Europe, Limited (Dublin, Irlande, UE) — traitement sécurisé des paiements (acompte, solde, abonnement), tokenisation des cartes bancaires (PCI-DSS niveau 1). Conforme RGPD.
• Sendgrid / Twilio Inc. (États-Unis) — envoi des emails transactionnels (notifications, confirmations, factures). Encadré par les Clauses Contractuelles Types.
• OpenRouter Inc. (États-Unis) — fournisseur d'API pour les modèles d'intelligence artificielle utilisés par l'assistant Kiara et la génération de posts réseaux sociaux. Le contenu des prompts (questions utilisateur, données de votre onboarding utilisées pour la génération) est transmis à OpenRouter pour produire les réponses. Encadré par les Clauses Contractuelles Types.
• Meta Platforms Ireland Limited (Dublin, Irlande, UE) — uniquement si vous avez souscrit à un Module Meta. Publication automatique des posts sur votre Page Facebook et compte Instagram via l'API Graph. Encadré par les Clauses Contractuelles Types pour les transferts résiduels vers Meta Platforms Inc. (USA).
• Google Ireland Ltd (Dublin, Irlande, UE) — traitement des données d'audience via Google Analytics 4, uniquement avec votre consentement. Soumis à la politique de confidentialité de Google.

Nous ne vendons, ne louons, ni ne partageons vos données avec d'autres tiers à des fins commerciales ou publicitaires.

Conformément au RGPD (Chapitre III, Articles 12 à 23), vous disposez des droits suivants :

• Droit d'accès (Article 15) : obtenir une copie de vos données personnelles
• Droit de rectification (Article 16) : corriger vos données si inexactes
• Droit à l'effacement (Article 17) : supprimer vos données ("droit à l'oubli"), sous réserve des obligations légales (factures conservées 10 ans)
• Droit d'opposition (Article 21) : vous opposer au traitement (ex. retirer le consentement Modules Meta)
• Droit à la limitation (Article 18) : limiter le traitement
• Droit à la portabilité (Article 20) : recevoir vos données dans un format lisible (export possible des données de l'onboarding et du compte client)
• Droit de retirer votre consentement à tout moment (cookies analytics, OAuth Meta, conversations Kiara)

Comment exercer ces droits ?

• Par email : contact@krystdev.com
• Objet de l'email : "Exercice droits RGPD"
• Si vous avez un compte client : depuis votre espace client (rubrique Support)
• Délai de réponse : 1 mois maximum

Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une réclamation auprès de la CNIL : www.cnil.fr

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées :

• Chiffrement HTTPS/TLS 1.3 : communications sécurisées
• Hébergement en France (IONOS) : serveurs dédiés conformes RGPD
• Mots de passe hachés : algorithme bcrypt, jamais stockés en clair
• Backups chiffrés : sauvegardes automatiques quotidiennes (AES-256)
• Tokenisation des cartes bancaires : aucune donnée sensible Stripe ne transite par nos serveurs
• Authentification CSRF sur tous les formulaires
• Protection anti-spam : rate limiting sur le formulaire et les actions sensibles
• Isolation des données client : chaque client n'accède qu'à ses propres données (système de Voter Symfony)

En cas de violation de données, nous vous informerons dans les 72 heures conformément au RGPD (Article 34).

Cookies strictement nécessaires

• Session PHP (PHPSESSID) : maintien de session pour le formulaire et l'espace client
• CSRF Token : protection contre les attaques Cross-Site

Ces cookies sont exemptés de consentement car strictement nécessaires (Article 82 de la Loi Informatique et Libertés).

Cookies analytics — Google Analytics 4

• _ga : distingue les utilisateurs uniques (13 mois)
• _ga_8FQSPEB2ZC : maintient l'état de session GA4 (13 mois)

Ces cookies ne sont déposés qu'après votre consentement explicite via la bannière affichée lors de votre première visite.

Gestion des cookies

Gérez vos préférences via la bannière cookie affichée lors de votre première visite (boutons Accepter / Refuser). Pour modifier votre choix, supprimez le cookie cookie_consent dans les paramètres de votre navigateur.

Tous nos sous-traitants principaux ont leur entité responsable au sein de l'Union Européenne (IONOS en France, Stripe et Meta en Irlande, Google en Irlande). Certains traitements impliquent toutefois des transferts résiduels vers les États-Unis :

• Sendgrid / Twilio (USA) : envoi d'emails transactionnels. Encadré par les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne.
• OpenRouter Inc. (USA) : traitement des prompts par les modèles d'IA. Encadré par les Clauses Contractuelles Types. Les prompts incluent les contenus que vous saisissez dans Kiara, ainsi que les données de votre onboarding utilisées pour générer vos posts réseaux sociaux. Aucun numéro de carte bancaire ni mot de passe n'est jamais transmis à OpenRouter.
• Stripe Payments Europe (Irlande) → Stripe Inc. (USA) : transferts résiduels pour le traitement des paiements. Encadré par les Clauses Contractuelles Types. Stripe est certifié PCI-DSS niveau 1.
• Meta Platforms Ireland (Irlande) → Meta Platforms Inc. (USA) : pour les Modules Meta uniquement. Encadré par les Clauses Contractuelles Types.
• Google Analytics 4 (Google Ireland → Google LLC USA) : transferts résiduels pour les utilisateurs ayant accordé leur consentement. Encadré par les Clauses Contractuelles Types.

Le site intègre Kiara, un assistant conversationnel propulsé par des modèles d'intelligence artificielle.

• Fournisseur LLM : les modèles d'IA sont fournis via OpenRouter Inc. (USA), avec transferts encadrés par des Clauses Contractuelles Types (voir §10).
• Adresses IP hashées SHA256 : votre adresse IP n'est jamais stockée en clair dans nos systèmes.
• Logs internes (AiLog) : nous conservons des métadonnées techniques (modèle, latence, statut) et le contenu des conversations pour suivi qualité et amélioration de l'assistant. Ces données sont anonymisées au-delà de 30 jours.
• Indépendance Google Analytics : les conversations avec Kiara ne sont pas transmises à Google Analytics, même si vous avez accepté les cookies d'analyse.
• Pas de réutilisation pour entraîner des modèles publics : nous ne fournissons pas vos conversations Kiara à OpenRouter ou ses partenaires pour entraîner des modèles d'IA généralistes.

Si vous ne souhaitez pas utiliser Kiara, fermez simplement la fenêtre de chat — aucune donnée n'est collectée tant que vous n'envoyez pas de message.

Si vous devenez client, un espace client personnel et sécurisé vous est ouvert pour suivre votre projet, accéder à vos factures, créer des tickets de support et gérer vos services.

• Authentification : email + mot de passe (haché bcrypt, jamais lisible).
• Isolation des données : chaque client n'a accès qu'à ses propres données (mécanisme de Voter Symfony).
• Données accessibles : votre profil, votre projet d'onboarding, vos factures, votre abonnement, vos tickets de support, vos modules Meta si actifs (calendrier de posts, historique).
• Export de vos données : sur demande à contact@krystdev.com, nous vous fournissons un export structuré de toutes vos données (format JSON ou PDF) dans le cadre du droit à la portabilité (Article 20 RGPD).
• Suppression de votre compte : sur demande, votre compte et l'ensemble de vos données personnelles sont supprimés sous un mois, à l'exception des données légalement conservables (factures pendant 10 ans).

Tous les paiements (acompte, solde, abonnement mensuel ou autre fréquence) sont traités exclusivement par Stripe Payments Europe, Limited (Dublin, Irlande), certifié PCI-DSS niveau 1.

• Tokenisation : aucun numéro de carte bancaire ni cryptogramme ne transite par les serveurs MetaVosgiens. Stripe vous attribue un token unique par moyen de paiement, que nous stockons.
• Données stockées par MetaVosgiens : 4 derniers chiffres de la carte, marque, expiration, identifiants Stripe (customer_id, payment_method_id, subscription_id), historique des transactions et statuts.
• Factures : émises automatiquement et conservées 10 ans conformément au Code de commerce (article L123-22).
• Fréquences de prélèvement : vous choisissez la fréquence de votre abonnement (mensuel, trimestriel, semestriel, annuel) et pouvez la modifier à tout moment depuis votre espace client.
• Politique Stripe : stripe.com/fr/privacy

Si vous activez un Module Meta (Essentiel ou Active) pour la gestion automatisée de votre présence sur Facebook et Instagram, MetaVosgiens utilise l'API Graph de Meta avec votre consentement explicite via OAuth.

• Données collectées chez Meta : identifiant de votre Page Facebook, identifiant de votre compte Instagram Business lié, token d'accès long-lived valide 60 jours et renouvelé automatiquement tant que le module est actif.
• Permissions OAuth demandées : publication sur votre Page Facebook et votre compte Instagram, lecture des métriques de portée si disponibles.
• Posts générés automatiquement : le texte et les images sont créés à partir des informations de votre onboarding (activité, valeurs, identité visuelle, services). Vous pouvez les pré-valider depuis votre espace client avant publication.
• Stockage des images générées : les images produites par l'IA sont stockées sur les serveurs MetaVosgiens (IONOS, France).
• Retrait du consentement : vous pouvez révoquer l'accès Meta à tout moment depuis votre espace client (suppression du Module Meta) ou directement depuis vos paramètres Facebook (Paramètres → Outils Business).
• Politique Meta : facebook.com/privacy/policy

Nous nous réservons le droit de modifier cette politique à tout moment, notamment pour l'adapter aux évolutions légales, réglementaires ou techniques.

Toute modification sera publiée sur cette page avec mise à jour de la date.

Pour toute question concernant cette politique de confidentialité ou pour exercer vos droits :

• Par email : contact@krystdev.com
• Via notre formulaire de contact
• Si vous êtes client : depuis votre espace client (rubrique Support)