Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées via le service Kemavio est :

• Dénomination : Sandrine Jaume (EI en cours d'immatriculation — les informations légales seront mises à jour après immatriculation)
• Forme juridique : Entreprise individuelle
• SIRET : en cours d'attribution
• Adresse : France (adresse communiquée sur demande)
• E-mail de contact :

2. Données collectées

Dans le cadre de l'utilisation du service, les données suivantes peuvent être collectées :

2.1 Données de compte

• Adresse e-mail
• Nom et/ou prénom
• Mot de passe (stocké sous forme hachée, jamais en clair)

2.2 Authentification via Google OAuth

Si vous choisissez de vous connecter via votre compte Google, nous recevons de Google les informations suivantes (avec votre autorisation) :

• Adresse e-mail associée au compte Google
• Nom d'affichage
• Photo de profil (avatar)

Nous ne recevons pas votre mot de passe Google. La gestion de l'authentification OAuth est opérée conformément aux conditions de Google.

2.3 Données de paiement

Les paiements sont entièrement traités par notre prestataire Stripe. Nous ne stockons jamais vos coordonnées bancaires (numéro de carte, CVV, IBAN) sur nos serveurs. Seul un identifiant de client Stripe est conservé pour la gestion des abonnements.

2.4 Données d'usage et de navigation

• Pages visitées et fonctionnalités utilisées au sein de l'application
• Journaux techniques (logs) : adresse IP, horodatage, type de navigateur
• Événements d'interaction (clics, formulaires soumis)

2.5 Données publicitaires importées

Dans le cadre de l'utilisation du service, vous pouvez importer vos données de campagnes Amazon Ads (performances, mots-clés, budgets, enchères) via fichier CSV, ou via connexion directe Amazon Ads selon les conditions d'accès définies par Amazon. Les données issues d'Amazon Ads sont traitées exclusivement pour vous fournir les fonctionnalités du service (analyses, recommandations d'aide à la décision, dashboard). Elles ne sont utilisées à aucune autre fin, ni partagées avec des tiers à des fins commerciales. L'utilisateur garantit que les données importées sont utilisées conformément aux conditions applicables, notamment celles d'Amazon. La présente politique sera mise à jour si de nouvelles finalités de traitement sont introduites.

3. Finalités du traitement

Vos données sont collectées et traitées pour les finalités suivantes :

• Fourniture du service : création et gestion de votre compte, accès aux fonctionnalités d'optimisation de campagnes, génération de recommandations à titre indicatif.
• Gestion de l'abonnement et facturation : traitement des paiements, émission de factures, gestion des changements et annulations de plan.
• Support utilisateur : traitement de vos demandes, résolution des problèmes techniques.
• Amélioration du service : analyse des usages agrégés et anonymisés pour améliorer les fonctionnalités et l'expérience utilisateur.
• Sécurité : détection de fraudes, prévention des abus, journalisation des accès.
• Communication : envoi de notifications liées au service (expiration d'essai, changements importants), sous réserve de vos préférences.

4. Bases légales du traitement

Conformément au Règlement général sur la protection des données (RGPD — Règlement UE 2016/679), chaque traitement repose sur l'une des bases légales suivantes :

• Exécution d'un contrat (art. 6.1.b) : création de compte, fourniture du service, gestion de l'abonnement.
• Consentement (art. 6.1.a) : dépôt de cookies analytiques optionnels, communications marketing non indispensables au service.
• Intérêt légitime (art. 6.1.f) : sécurité du service, prévention des fraudes, amélioration des fonctionnalités (données agrégées et anonymisées).
• Obligation légale (art. 6.1.c) : conservation des données de facturation conformément aux obligations comptables et fiscales françaises.

Les traitements principaux (fourniture du service, gestion de l'abonnement) reposent sur la base légale de l'exécution du contrat et de l'intérêt légitime.

5. Sous-traitants et destinataires

Nous faisons appel à des sous-traitants pour l'exploitation du service. Ceux-ci n'ont accès qu'aux données nécessaires à l'accomplissement de leur mission et sont liés par des engagements contractuels de confidentialité conformes au RGPD.

5.1 Stripe — Paiement en ligne

Stripe, Inc. assure le traitement des paiements par carte bancaire et, le cas échéant, via Apple Pay (disponible selon votre appareil et navigateur). Stripe agit en qualité de sous-traitant pour la collecte des données de paiement. Pour plus d'informations : politique de confidentialité de Stripe.

5.2 Hébergeur

Le site vitrine (pages d'information publiques) est hébergé chez Netlify, Inc. — 2325 3rd Street, Suite 215, San Francisco, CA 94107, USA. L'application SaaS (comptes utilisateurs, données de campagnes, infrastructure applicative) est hébergée via la plateforme Emergent, s'appuyant sur des infrastructures cloud tierces. La localisation précise des données dépend de ces prestataires techniques et peut inclure des traitements au sein ou en dehors de l'Union européenne. La liste des sous-traitants d'infrastructure est disponible sur demande à .

5.3 E-mails transactionnels

Les e-mails transactionnels (confirmation d'inscription, réinitialisation de mot de passe, notifications de service) sont envoyés via un prestataire d'envoi spécialisé (Resend). Ce prestataire agit en qualité de sous-traitant et s'engage contractuellement à protéger vos données conformément au RGPD.

5.4 Autres

Nous ne vendons ni ne louons vos données à des tiers à des fins commerciales ou publicitaires.

5.5 Monitoring et sécurité

Le service utilise Sentry pour le suivi des erreurs et la sécurité applicative. Les données techniques associées (logs, erreurs) sont hébergées dans l'Union européenne (datacenter UE de Sentry). Ces données ne sont utilisées qu'à des fins de maintenance et d'amélioration du service.

6. Durée de conservation

Principe général : les données sont conservées tant que le compte existe et supprimées lors de la suppression du compte.

• Données de compte et de campagnes : conservées tant que le compte est actif. La suppression du compte entraîne la suppression définitive de l'ensemble de ces données.
• Données de facturation : 10 ans à compter de l'émission de la facture, conformément aux obligations légales comptables et fiscales françaises — indépendamment de la suppression du compte.
• Journaux techniques (logs) : 12 mois maximum à des fins de sécurité et de débogage.
• Cookies analytiques : durée maximale de 13 mois à compter du dépôt, conformément aux recommandations de la CNIL.

Vous pouvez demander la suppression de votre compte à tout moment en écrivant à . La suppression entraîne la suppression définitive de vos données, sous réserve des obligations légales de conservation (facturation).

7. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables pour protéger vos données contre l'accès non autorisé, la perte, l'altération ou la divulgation, notamment :

• Chiffrement des communications via HTTPS (TLS)
• Hachage des mots de passe (jamais stockés en clair)
• Isolation des données par espace utilisateur (workspace individuel)
• Authentification sécurisée (email/password et Google OAuth)
• Accès aux systèmes de production restreint et journalisé

Aucun système informatique n'est infaillible. En cas d'incident de sécurité susceptible d'affecter vos droits, nous nous engageons à vous en informer dans les délais prévus par le RGPD.

8. Vos droits (RGPD)

Conformément au Règlement général sur la protection des données, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès : obtenir une copie des données vous concernant que nous traitons.
• Droit de rectification : corriger des données inexactes ou incomplètes.
• Droit à l'effacement : demander la suppression de vos données (sous réserve de nos obligations légales de conservation).
• Droit à la limitation du traitement : restreindre temporairement l'utilisation de vos données.
• Droit d'opposition : vous opposer à certains traitements basés sur l'intérêt légitime.
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine (applicable aux traitements fondés sur le consentement ou le contrat).
• Droit de retirer votre consentement : à tout moment, pour les traitements basés sur votre consentement, sans que cela remette en cause la licéité des traitements antérieurs.

Comment exercer vos droits ?

Pour exercer l'un de ces droits, vous pouvez nous contacter par e-mail à : . Nous vous répondrons dans un délai d'un mois à compter de la réception de votre demande (délai pouvant être étendu à 3 mois en cas de demande complexe, avec information préalable).

Une pièce d'identité pourra vous être demandée afin de vérifier votre identité avant traitement de la demande.

9. Cookies et traceurs

9.1 Cookies essentiels

Ces cookies sont indispensables au fonctionnement du service (maintien de votre session, sécurité, préférences). Ils ne nécessitent pas de consentement.

9.2 Cookies analytiques (optionnels)

Nous pouvons utiliser des outils de mesure d'audience pour analyser le trafic et améliorer l'expérience utilisateur. Ces cookies sont désactivés par défaut et ne sont déposés qu'après recueil de votre consentement.

Si un outil analytique est mis en place, cette politique sera mise à jour et votre consentement recueilli via la bannière de gestion des cookies.

9.3 Cookies tiers

Stripe peut déposer des cookies nécessaires au traitement sécurisé des paiements. Ces cookies relèvent de la politique de confidentialité de Stripe.

10. Transferts hors Union européenne

Certains de nos sous-traitants peuvent être établis ou stocker des données en dehors de l'Union européenne (notamment aux États-Unis). Dans ce cas, nous veillons à ce que des garanties appropriées soient en place, telles que :

• Les clauses contractuelles types (CCT) adoptées par la Commission européenne ;
• Toute autre garantie reconnue par le RGPD (décisions d'adéquation, codes de conduite approuvés, etc.).

Stripe est notamment certifié dans le cadre des mécanismes de transfert applicables. Pour plus d'informations, consultez la documentation de chaque sous-traitant.

11. Réclamations auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés ou que notre traitement de vos données n'est pas conforme au RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

• Commission Nationale de l'Informatique et des Libertés (CNIL)
• 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
• Site web : www.cnil.fr

12. Modifications de la présente politique

La présente politique de confidentialité peut être mise à jour à tout moment pour refléter les évolutions de nos pratiques, du service ou de la réglementation applicable. En cas de modification substantielle, nous vous en informerons par e-mail ou par notification dans l'application avec un préavis d'au moins 30 jours. La date de dernière mise à jour figure en haut de ce document.