Version 2026-05-21-v2 - Entree en vigueur le 2026-05-21
Politique de confidentialite
Politique de confidentialite
1. Editeur et delegue
E-Corp est edite par Kevin Gachie, entrepreneur individuel etabli a Marseille (France), SIRET 89982392600022. En tant qu'auto-entrepreneur, Kevin Gachie est son propre referent RGPD : toute demande relative a la protection des donnees doit etre adressee a kevin@ecorp-agency.com.
2. Donnees collectees
E-Corp collecte les categories de donnees suivantes :
- Compte : adresse email, identifiant interne
user_id(UUID Supabase). - Telemetrie sanitisee : compteurs d'usage (nombre d'audits, version de l'application, OS, locale), distributions agregees (plateformes, pixels, fourchettes de prix), erreurs anonymisees (categorie et stack sans chaines sensibles, supprimees par le sanitizer local Z11).
- Acces (
app_access) : plan en cours, statut, date d'expiration, bound_host (le domaine de la premiere boutique auditee). - Facturation Stripe : abonnements (statut, periodes), factures (montants, URLs PDF), client Stripe (identifiant et email).
- Acceptance des conditions (
terms_acceptance) : identifiant utilisateur, version acceptee, timestamp. - Journal applicatif (
audit_log) : actions sensibles realisees sous role privilegie (downgrades automatiques, reconciliations Stripe, acceptance ToS).
3. Finalites
Les finalites de traitement sont :
- Execution du contrat (CGU acceptees) : creation du compte, gestion de l'acces, facturation, acceptance.
- Interet legitime : telemetrie sanitisee pour ameliorer le produit, prevention de la fraude via le journal applicatif, revocation acceleree d'acces.
- Utilisation de donnees agregees anonymisees pour ameliorer le produit ou produire des analyses de marche. Si une evolution du produit elargissait le perimetre de collecte, une nouvelle version des presentes serait soumise a acceptance.
4. Base juridique
- Consentement contractuel : acceptation des CGU au signup.
- Interet legitime : telemetrie agregee, anti-fraude, journal applicatif.
5. Droits de l'utilisateur
Conformement au RGPD, l'utilisateur dispose d'un droit d'acces, de rectification, d'effacement, de portabilite, d'opposition, et de limitation. Ces droits peuvent etre exerces :
- Depuis l'application : Reglages, Confidentialite, boutons "Effacer mes donnees de telemetrie" et "Supprimer mon compte E-Corp".
- Par email : kevin@ecorp-agency.com.
6. Cookies
- Application macOS : aucun cookie. La persistance locale utilise UserDefaults macOS (tokens d'authentification, preferences UX).
- Lors de la mise en ligne du portail web G.3 (statut a la date d'effet : non encore deploye) : cookies essentiels Supabase Auth (httpOnly, secure, SameSite=Lax). Aucun cookie de tracking publicitaire. Pas de Google Analytics ni de Meta Pixel sur le portail.
6 bis. Categories particulieres non collectees (Art 9 RGPD)
E-Corp ne collecte AUCUNE donnee revelant l'origine raciale ou ethnique, les opinions politiques, religieuses ou philosophiques, l'appartenance syndicale, ni de donnees genetiques, biometriques, de sante, ou concernant la vie sexuelle ou l'orientation sexuelle. Aucun traitement de donnees relevant de l'article 9 du RGPD n'est planifie a court ou moyen terme.
7. Hebergement et sous-traitants
- Supabase Inc. (region eu-west-3, Paris, France) : base de donnees Postgres, authentification, Edge Functions, stockage. Conformite RGPD certifiee (SOC2 Type II + DPA disponible). Aucun transfert hors Union europeenne.
- Stripe Payments Europe Ltd (Dublin, Irlande) : traitement des paiements. PCI DSS Level 1. DPA Stripe en place.
- Resend Inc. (US) : emails transactionnels (lien magique d'authentification, recus Stripe). Resend propose depuis 2024 une option de region europeenne ; E-Corp utilise cette option lorsqu'elle est disponible sur le plan en cours. Si la region effective est US, le transfert hors Union europeenne est encadre par les Clauses Contractuelles Types approuvees par la Commission europeenne (decision UE 2021/914), signees avec Resend, et strictement limite au contenu du message (lien magique d'authentification, recus Stripe). Aucune donnee de telemetrie ni de facturation detaillee n'est transmise a Resend.
- Vercel Inc. (region EU edge) : hebergement du portail web (statut a la date d'effet : non encore deploye, sous-projet G.3 a venir). Aucun trafic n'est servi par Vercel a la date d'effet des presentes.
8. Duree de conservation
- Compte, app_access : jusqu'a suppression par l'utilisateur, puis purge automatique apres 30 jours d'inactivite.
- Abonnements et factures : 10 ans (article L123-22 du Code de commerce).
- terms_acceptance : pas de purge (preuve d'acceptation conservee).
- audit_log : 12 mois glissants.
- Telemetrie : 90 jours glissants.
9. Securite
- Row Level Security Postgres sur toutes les tables sensibles (app_access, subscriptions, invoices, terms_acceptance).
- Toutes les mutations utilisateur transitent par des Edge Functions sous role privilegie.
- Sanitisation locale Z11 cote client AVANT envoi serveur.
- Verification d'ownership Z13 sur toute mutation (l'utilisateur du JWT doit etre le proprietaire de la ressource).
10. Modifications
L'editeur peut modifier la presente politique. Toute modification materielle entraine un bump de version et une nouvelle modale d'acceptance au prochain lancement de l'application.