Protection des données

Politique de
Confidentialité

Dernière mise à jour : 18 février 2026

1. Introduction

Bienvenue sur Auraseen. Nous nous engageons à protéger votre vie privée et vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne et à la loi Informatique et Libertés.

Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos informations lorsque vous utilisez notre service de gestion des mentions Instagram.

Responsable du traitement :
Auraseen est une marque d'YDCA
Contact : [email protected]

2. Données Collectées

2.1 Données de compte

  • Email : Pour l'authentification et les communications
  • Prénom et Nom : Pour personnaliser votre expérience
  • Mot de passe : Stocké de manière sécurisée (hashé avec bcrypt, 13 rounds)
  • Rôle organisationnel : ADMIN, MANAGER ou ANALYST selon vos permissions
  • Préférences newsletter : Si vous avez consenti à recevoir nos communications (opt-in)

2.2 Données d'organisation

  • Nom de l'organisation : Pour identifier votre espace de travail
  • Type : Agence ou Annonceur
  • SIRET/TVA : Pour la facturation (optionnel)
  • Adresse : Pour la facturation et les mentions légales
  • Plan d'abonnement : Starter, Pro, Enterprise ou Custom

2.3 Données Instagram

  • Tokens d'accès OAuth : Chiffrés avec AES-256-GCM (clé de 256 bits)
  • Identifiants de comptes Instagram : IGSID et identifiants webhook alternatifs
  • Noms d'utilisateur Instagram : Des comptes qui vous mentionnent
  • Nombre de followers : Pour les métriques d'analytics et le calcul du reach
  • Mentions de votre compte dans les stories : Métadonnées (expéditeur, horodatage, statut de traitement) et contenus visuels. Les médias originaux sont temporairement traités pour générer des vignettes basse résolution (400px) utilisées dans l'interface de gestion. Les médias originaux sont automatiquement supprimés de nos serveurs après 7 jours. Seules les vignettes de référence sont conservées pour le contexte de travail d'équipe, puis supprimées selon la durée de rétention du plan (voir Section 4)

2.4 Données techniques

  • Adresse IP : Pour la sécurité, le rate limiting et les logs d'audit
  • User-Agent : Pour les logs d'audit et la détection de sessions
  • Cookies de session : Pour maintenir votre connexion (HttpOnly, Secure)
  • Historique de connexion : Date, IP, navigateur pour chaque session

2.5 Données de paiement

Les informations de paiement (carte bancaire) sont traitées directement par Stripe et ne sont jamais stockées sur nos serveurs. Nous conservons uniquement l'identifiant client Stripe et l'historique des transactions.

3. Finalités du Traitement

Finalité Base légale (RGPD)
Authentification et gestion de compte Exécution du contrat (Art. 6.1.b)
Réception et gestion des mentions Instagram Exécution du contrat (Art. 6.1.b)
Analytics et métriques de performance Intérêt légitime (Art. 6.1.f)
Facturation et paiement Exécution du contrat (Art. 6.1.b)
Sécurité et prévention des fraudes Intérêt légitime (Art. 6.1.f)
Communications de service Exécution du contrat (Art. 6.1.b)
Newsletter et communications marketing Consentement (Art. 6.1.a)

4. Durée de Conservation

4.1 Cycle de vie des médias Instagram

  • Médias originaux (HD) : Automatiquement supprimés de nos serveurs 7 jours après réception. Ce traitement temporaire permet la consultation et le traitement par l'équipe
  • Vignettes de référence : Images basse résolution (400px) conservées pour le contexte visuel dans l'interface de gestion, supprimées avec le record selon la durée de rétention du plan
  • Previews vidéo : Extraits courts basse résolution conservés pour l'aperçu, supprimés avec le record selon la durée de rétention du plan
  • URL CDN Meta : Stockée comme métadonnée de traçabilité (non affichée dans l'interface), supprimée avec le record

4.2 Rétention par plan

La durée de conservation des métadonnées, vignettes et records dépend du plan d'abonnement :

  • Sans abonnement actif : 30 jours
  • Starter : 90 jours
  • Pro : 180 jours
  • Founder Plan (Lifetime Deal) : 180 jours (= Pro standard)
  • Enterprise : 365 jours
  • Custom : Jusqu'à 730 jours maximum (conformité RGPD)

La suppression est effectuée automatiquement par un processus planifié. Toutes les données associées (record en base, vignettes, previews, fichiers résiduels) sont supprimées de manière définitive et irréversible.

4.3 Autres données

  • Données de compte : Jusqu'à la suppression du compte + 30 jours
  • Tokens OAuth : Jusqu'à expiration (60 jours) ou révocation par l'utilisateur
  • Logs d'audit : 12 mois
  • Historique de connexion : 6 mois
  • Données de facturation : 10 ans (obligation légale française)

5. Sécurité des Données

Nous mettons en œuvre des mesures de sécurité robustes :

  • Chiffrement des tokens OAuth : AES-256-GCM avec clé dédiée (ENCRYPTION_KEY)
  • Hashage des mots de passe : bcrypt avec 13 rounds (OWASP 2024)
  • HTTPS obligatoire : TLS 1.3 pour toutes les communications
  • Rate limiting : Protection contre les attaques par force brute (login, API)
  • Content Security Policy (CSP) : Protection contre les injections XSS
  • Session timeout : Déconnexion automatique après 30 minutes d'inactivité
  • PKCE OAuth : Protection du flux d'authentification Instagram
  • Audit logs : Traçabilité des actions sensibles avec IP et User-Agent
  • Vérification des signatures : HMAC-SHA256 pour les webhooks Meta

6. Vos Droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès (Art. 15) : Obtenir une copie de vos données
  • Droit de rectification (Art. 16) : Corriger vos données inexactes
  • Droit à l'effacement (Art. 17) : Demander la suppression de vos données
  • Droit à la portabilité (Art. 20) : Recevoir vos données dans un format structuré (JSON/CSV)
  • Droit d'opposition (Art. 21) : Vous opposer à certains traitements
  • Droit de retirer votre consentement : À tout moment (newsletter, etc.)

Pour exercer vos droits :
• Via l'application : Paramètres > Confidentialité > Supprimer mon compte
• Par email : [email protected]
• Via l'API : POST /api/data-deletion avec confirmation
• Page de statut : /data-deletion-status

7. Révocation de l'accès Instagram

Vous pouvez révoquer l'accès d'Auraseen à votre compte Instagram à tout moment :

  • Depuis l'application : Comptes sociaux > Déconnecter
  • Depuis Instagram : Paramètres > Applications et sites web > Supprimer Auraseen
  • Depuis Facebook : Paramètres > Apps et sites web > Supprimer

Lorsque vous révoquez l'accès via Meta, nous recevons une notification automatique (callback de déauthorisation) et désactivons immédiatement le compte connecté.

8. Partage des Données

Nous ne vendons jamais vos données. Nous pouvons les partager avec :

  • Meta/Instagram : Via l'API Graph pour la collecte des stories (requis pour le service)
  • Stripe : Pour le traitement des paiements (certifié PCI-DSS)
  • Hébergeur : Nos serveurs sont hébergés en Union Européenne
  • Autorités légales : Si requis par la loi

Au sein de votre organisation, les données sont partagées selon les rôles : les Analysts ont un accès en lecture seule, les Managers peuvent gérer les marques, et les Admins ont un accès complet.

9. Cookies

Nous utilisons uniquement des cookies essentiels :

Cookie Finalité Durée
next-auth.session-token Session d'authentification 30 jours (HttpOnly, Secure)
currentOrganizationId Organisation active 30 jours (SameSite: Lax)
__Host-next-auth.csrf-token Protection CSRF Session

Aucun cookie de tracking, analytics tiers ou publicitaire n'est utilisé.

10. Transferts Internationaux

Vos données sont stockées sur des serveurs situés dans l'Union Européenne.

Les transferts vers des pays tiers sont limités à :

  • Meta (USA) : Pour l'API Instagram — couvert par le Data Privacy Framework UE-US
  • Stripe (USA) : Pour les paiements — certifié Privacy Shield et clauses contractuelles types

11. Mineurs

Notre service n'est pas destiné aux personnes de moins de 16 ans. L'inscription requiert une confirmation explicite de l'âge. Si vous êtes parent et découvrez que votre enfant nous a fourni des données, contactez-nous immédiatement pour les supprimer.

12. Modifications

Nous pouvons mettre à jour cette politique. Les modifications significatives seront notifiées par email au moins 30 jours avant leur entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.

Vous pouvez consulter l'historique des versions sur demande.

13. Contact

Pour toute question concernant cette politique ou vos données :

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07.

Retour à l'accueil