Politique de Confidentialité

1. Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées via la plateforme Engagr est :

Engagr — contact@engagr.fr

2. Données collectées

Engagr collecte uniquement les données strictement nécessaires au fonctionnement du service :

• Données de compte : adresse e-mail, date de création du compte.
• Données LinkedIn : profils de vos cibles (nom, titre, avatar, URL LinkedIn), publications détectées, commentaires générés et validés, historique d'invitations. Ces données sont importées via l'API Unipile avec votre compte LinkedIn.
• Données d'utilisation : logs d'activité (actions réalisées, erreurs), statistiques d'usage agrégées.
• Données de paiement : les informations de carte bancaire sont traitées exclusivement par Stripe et ne transitent jamais par nos serveurs. Nous conservons uniquement l'identifiant client Stripe et le statut d'abonnement.
• Données de communication : e-mails envoyés dans le cadre de l'onboarding ou du support (via Resend).

3. Finalités du traitement

Les données collectées sont utilisées pour :

• Fournir et améliorer le service Engagr.
• Gérer votre compte et votre abonnement.
• Vous envoyer des communications liées au service (onboarding, mises à jour, support).
• Assurer la sécurité et la stabilité de la plateforme.
• Respecter nos obligations légales.

Engagr ne vend, ne loue et ne partage pas vos données personnelles à des tiers à des fins commerciales.

4. Base légale du traitement

• Exécution du contrat : traitement des données nécessaire à la fourniture du service souscrit.
• Intérêt légitime : amélioration du service, sécurité, statistiques agrégées.
• Consentement : communications marketing optionnelles (désabonnement possible à tout moment).
• Obligation légale : conservation des données de facturation.

5. Sous-traitants et destinataires

Engagr fait appel aux sous-traitants suivants, chacun opérant sous des garanties contractuelles conformes au RGPD :

• Supabase (AWS eu-west-1) : hébergement de la base de données — politique de confidentialité.
• Stripe : traitement des paiements — politique de confidentialité.
• Anthropic : génération IA des commentaires (modèle Claude Haiku) — politique de confidentialité. Les données transmises sont limitées au contexte minimal nécessaire à la génération.
• Unipile : accès à l'API LinkedIn (profils, posts, commentaires, invitations) — politique de confidentialité.
• Resend : envoi d'e-mails transactionnels — politique de confidentialité.

6. Durée de conservation

• Données de compte : conservées pendant la durée de l'abonnement, puis supprimées dans un délai de 30 jours après résiliation sur demande.
• Données LinkedIn (cibles, posts, commentaires) : conservées pendant la durée active de l'abonnement. Les posts de plus de 48h sont purgés automatiquement par cron.
• Données de facturation : conservées 10 ans conformément aux obligations légales.
• Logs d'activité : conservés 90 jours à des fins de débogage.

7. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679), vous disposez des droits suivants :

• Droit d'accès : obtenir une copie des données vous concernant.
• Droit de rectification : corriger des données inexactes ou incomplètes.
• Droit à l'effacement : demander la suppression de vos données (« droit à l'oubli »).
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
• Droit d'opposition : vous opposer au traitement de vos données pour des motifs légitimes.
• Droit à la limitation : demander la suspension temporaire du traitement.

Pour exercer ces droits, contactez-nous à contact@engagr.fr. Nous répondrons dans un délai de 30 jours. En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL.

8. Cookies

Engagr utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

• Cookie de session (sb-access-token, sb-refresh-token) : authentification sécurisée via Supabase Auth (HttpOnly, SameSite=None, Secure). Durée : session + 30 jours pour le refresh token.

Aucun cookie publicitaire, de tracking tiers ou d'analyse comportementale n'est utilisé.

9. Sécurité

Engagr met en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement TLS de toutes les communications.
• Row-Level Security (RLS) au niveau de la base de données pour l'isolation stricte des données par utilisateur.
• Tokens d'API stockés de manière chiffrée, jamais exposés côté client.
• Authentification par cookie HttpOnly pour prévenir les attaques XSS.

10. Modifications de cette politique

Toute modification substantielle de la présente politique sera notifiée par e-mail avec un préavis de 14 jours. La version en vigueur est toujours accessible sur cette page.

11. Contact

Pour toute question relative à la protection de vos données : contact@engagr.fr