Politique de confidentialité
Version 0.1 — 1er mai 2026. Document susceptible d'être mis à jour.
1. Identité du responsable de traitement
- WT-ART — Société par actions simplifiée (SAS)
- RCS Grenoble B 807 441 209 — SIRET 807 441 209 00010
- Siège social : 12 rue Aristide Bergès, 38800 Le Pont-de-Claix, France
- Présidente : Carine DE MOMIGNY
- Email DPO : dpo@arsence.fr
2. Données collectées
2.1 Données d'inscription
- Adresse email
- Nom et prénom
- Mot de passe (stocké sous forme de hash cryptographique, jamais en clair)
2.2 Données professionnelles
- Nom de l'organisation
- Numéro SIRET
- Secteur d'activité
- Ville
- Numéro de téléphone
2.3 Données de contenu
- Conversations avec Max (l'agent IA)
- Historique des Validations
- Contenus générés (textes, publications, devis, articles)
2.4 Données de navigation
- Logs d'accès (horodatage, pages consultées)
- Adresse IP anonymisée
- User agent (navigateur, OS)
2.5 Données de facturation
- Historique des transactions (montants, dates)
- Identifiant client Stripe
- Aucune donnée de carte bancaire n'est stockée par WT-ART SAS ; celles-ci sont gérées exclusivement par Stripe.
3. Finalités du traitement
| Finalité | Base légale (RGPD) |
|---|---|
| Fournir le Service (création de compte, génération de contenu, gestion de la présence en ligne) | Exécution du contrat (art. 6.1.b) |
| Facturation et gestion des abonnements | Exécution du contrat (art. 6.1.b) |
| Amélioration du Service (analyse d'usage anonymisée, performances) | Intérêt légitime (art. 6.1.f) |
| Communication marketing (newsletters, annonces produit) | Consentement (art. 6.1.a) — opt-in uniquement |
4. Destinataires des données
Les données peuvent être transmises aux sous-traitants suivants, dans le cadre strict de la fourniture du Service :
| Sous-traitant | Usage | Localisation |
|---|---|---|
| Anthropic (Claude API) | Traitement IA — génération de contenu par Max | Union Européenne |
| Supabase | Base de données PostgreSQL, authentification, stockage fichiers | Frankfurt, Allemagne |
| Stripe | Paiement et facturation | Irlande, UE |
| Vercel | Hébergement frontend | Union Européenne |
| Fly.io | Hébergement backend | Paris, France (région CDG) |
| Resend | Emails transactionnels | Union Européenne |
| Upstash | Cache Redis (rate limiting, sessions courtes) | Union Européenne |
| Plausible | Mesure d'audience anonyme (sans cookies, sans identifiant individuel, agrégats uniquement) | Union Européenne |
| PostHog | Analytics produit anonymisé, feature flags | Union Européenne |
| Honeycomb | Observabilité technique (traces serveur, sans PII) | États-Unis (clauses contractuelles types CCT) |
| Doppler | Gestion des secrets techniques (aucune donnée utilisateur) | États-Unis (clauses contractuelles types CCT) |
| Google LLC | Authentification fédérée SSO Google OAuth — uniquement si l'Utilisateur choisit « Continuer avec Google » | États-Unis (DPF certifié + CCT) |
Transferts hors UE (art. 44-49 RGPD)
Lorsque l'Utilisateur s'authentifie via Google, des données d'authentification (adresse email, nom d'affichage, photo de profil le cas échéant) transitent par Google LLC, établi aux États-Unis. Ce transfert est encadré par :
- les Clauses Contractuelles Types (CCT / SCC) adoptées par la Commission européenne dans sa décision d'exécution (UE) 2021/914 du 4 juin 2021, intégrées au Data Processing Addendum standard de Google ;
- la certification de Google LLC à la liste du Data Privacy Framework UE-US, couverte par la décision d'adéquation de la Commission européenne du 10 juillet 2023.
Données concernées : adresse email, nom et prénom, photo de profil (si l'Utilisateur a accordé le scope profile). Aucune donnée de contenu n'est transmise à Google. Finalité stricte : authentification fédérée.
Aucune cession de données à des tiers à des fins commerciales.
5. Durée de conservation
| Type de données | Durée |
|---|---|
| Compte actif | Durée de l'utilisation du Service |
| Compte inactif | 24 mois d'inactivité, puis suppression |
| Logs de navigation | 12 mois |
| Audit logs sécurité | 30 jours |
| Données de facturation | 10 ans (obligation légale comptable, art. L123-22 du Code de commerce) |
6. Droits des Utilisateurs (RGPD art. 12 à 23)
Conformément au RGPD, l'Utilisateur dispose des droits suivants :
- Droit d'accès (art. 15) : copie de l'ensemble des données détenues.
- Droit de rectification (art. 16) : correction des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : suppression du Compte via l'interface (
DELETE /api/profile/me). - Droit à la portabilité (art. 20) : export des données au format JSON, sur demande.
- Droit d'opposition (art. 21) : opposition au traitement fondé sur l'intérêt légitime.
- Droit à la limitation (art. 18) : limitation du traitement dans les cas prévus par le RGPD.
Pour exercer un droit : dpo@arsence.fr. WT-ART SAS s'engage à répondre dans un délai maximum de 30 jours.
7. Sécurité
- Chiffrement en transit : TLS (HTTPS) sur toutes les communications.
- Chiffrement au repos : données Supabase/PostgreSQL chiffrées at-rest, Row Level Security actif.
- Authentification : OAuth Google ou email + mot de passe avec hachage Argon2id.
- Tokens : JWT avec rotation régulière.
- Audit logs : actions sensibles tracées (connexion, modification profil, suppression).
8. Cookies
8.1 Cookies essentiels
Cookies nécessaires au fonctionnement du Service (authentification, session). Ces cookies ne nécessitent pas de consentement.
8.2 Mesure d'audience
Nous utilisons Plausible Analytics, une solution d'analytics respectueuse de la vie privée :
- Hébergée en Union Européenne (Allemagne)
- Aucun cookie déposé sur votre navigateur
- Aucun tracking individuel
- Aucune donnée personnelle collectée
- Statistiques agrégées et anonymes uniquement
Aucune autre solution de tracking, publicité ou cookies tiers n'est utilisée sur app.arsence.fr.
8.3 Cookies marketing
Aucun cookie marketing n'est utilisé dans la version actuelle du Service.
9. Modifications
WT-ART SAS se réserve le droit de modifier la présente Politique de confidentialité. Toute modification substantielle sera notifiée à l'Utilisateur au moins 30 jours avant son entrée en vigueur, par email ou notification dans le Service.
10. Réclamation
En cas de difficulté relative au traitement de vos données personnelles, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site web : www.cnil.fr
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07