Politique de Confidentialité

1. Responsable du Traitement

2. Catégories de Données Collectées

Nous collectons et traitons les catégories de données suivantes :

• Données d'identification : nom, prénom, adresse e-mail, mot de passe (sous forme dérivée et chiffrée PBKDF2-SHA256), photo de profil le cas échéant.
• Données professionnelles (facultatives) : nom et taille de l'Organisation, fonction, secteur d'activité, numéro de TVA pour les Clients Professionnels.
• Données de connexion et techniques : adresse IP, identifiant de session, agent utilisateur (User-Agent), pays de connexion, date et heure des connexions, logs de sécurité.
• Données d'utilisation : carrousels et brand kits créés, prompts soumis à l'IA, conversations avec l'IA, historiques d'édition, préférences d'interface, locale, achievements, statut d'onboarding.
• Données relatives aux comptes liés : jetons OAuth (LinkedIn, Google, X, Threads, Instagram), identifiants utilisateurs distants, photo de profil distante, droits de publication accordés.
• Données de paiement : identifiant client Lemon Squeezy, identifiant d'abonnement, montant, devise, statut, type de moyen de paiement, quatre derniers chiffres de la carte (les coordonnées bancaires complètes sont stockées par Lemon Squeezy).
• Données de support : messages adressés via le formulaire de contact ou par e-mail, retours utilisateurs, captures d'écran transmises avec un signalement, évaluations de satisfaction.
• Données analytiques et comportementales : événements produit (PostHog), traces et erreurs (Sentry), enregistrements de session anonymisés (10 % du trafic, Sentry), tracking d'ouverture et de clic des e-mails (Mailpulse).
• Données de parrainage et d'affiliation : code de parrainage, identifiant d'affilié, paramètres UTM (source, medium, campagne) capturés via cookie.
• PrivacyPolicy.sections.data_collected.list.9

3. Finalités du Traitement

Vos données sont utilisées pour les finalités suivantes :

• Création, authentification et gestion du Compte et des Organisations ;
• Fourniture des fonctionnalités du Service (génération IA, édition, brand kits, exports, publication) ;
• Facturation, gestion des abonnements, prévention de la fraude au paiement ;
• Support utilisateur, gestion des réclamations et incidents ;
• Envoi de communications opérationnelles (sécurité, mises à jour, transactions) et, sur la base du consentement, communications marketing ciblées ;
• Animation du programme de parrainage, du programme d'affiliation et des opérations promotionnelles ;
• Mesures statistiques, analyse de performance et amélioration du Service (PostHog, Sentry) ;
• Sécurité du Service, prévention et détection d'usages abusifs (rate limiting, détection de fraude, modération IA) ;
• Respect des obligations légales et comptables (notamment conservation des factures pendant 10 ans, articles L.123-22 et suivants du Code de commerce).

4. Bases Légales (article 6 RGPD)

Chaque traitement repose sur une base légale appropriée :

• Exécution du contrat (art. 6.1.b) : création et gestion du Compte, fourniture du Service, facturation, support.
• Intérêt légitime (art. 6.1.f) : sécurité du Service, prévention de la fraude, mesure d'audience à des fins d'amélioration, communications opérationnelles.
• Consentement (art. 6.1.a) : communications marketing, cookies non essentiels, traceurs analytiques nécessitant un consentement.
• Obligation légale (art. 6.1.c) : conservation des factures, lutte contre la fraude, réponse aux réquisitions judiciaires.
• Sauvegarde des intérêts vitaux ou exécution d'une mission d'intérêt public : non concernés par notre Service.

5. Sous-traitants et Partenaires Techniques

L'Éditeur fait appel aux sous-traitants ci-dessous, dans le strict respect du RGPD et des Clauses Contractuelles Types lorsque des transferts hors de l'Union européenne sont effectués. Cette liste est synchronisée avec les intégrations effectivement actives dans le Service. Lorsqu'une intégration est désactivée par défaut ou progressivement déployée, le sous-traitant correspondant n'apparaît pas tant qu'il n'est pas réellement utilisé :

• Cloudflare, Inc. (États-Unis, infrastructure UE) : hébergement applicatif (Workers), base de données (D1), stockage (R2), cache (KV), proxy CDN. Données : ensemble des données traitées par le Service.
• Google LLC (États-Unis) : moteurs d'IA générative Gemini (texte, image, brand kit), authentification OAuth Google, fourniture de polices (Google Fonts), audits de performance (PageSpeed). Données : prompts utilisateurs, contenus de carrousels, brand kits, identifiants Google. Transferts hors UE encadrés par les Clauses Contractuelles Types et le Data Privacy Framework.
• Lemon Squeezy LLC (États-Unis) : traitement des paiements en qualité de Merchant of Record, facturation, gestion des abonnements, programme d'affiliation. Données : identité, adresse de facturation, e-mail, données de paiement (stockées chez Lemon Squeezy uniquement).
• Tavily, Inc. (États-Unis) : moteur de recherche web pour la fonctionnalité de recherche en ligne intégrée à la génération IA. Données : requêtes utilisateurs, URLs partagées dans les prompts. Activé uniquement pour les plans payants ayant choisi d'activer la recherche web.
• LinkedIn (Microsoft Ireland Operations Limited) : publication directe sur LinkedIn via OAuth. Données : jeton d'accès, identifiant LinkedIn, contenus publiés.
• X Corp. (États-Unis) : publication de fils sur X (Twitter) via OAuth, lorsque cette intégration est activée par l'Utilisateur. Données : jetons d'accès, identifiant distant, contenus publiés.
• ElevenLabs Inc. (États-Unis) : synthèse vocale pour les fonctionnalités d'export vidéo des plans payants. Données : texte des slides à vocaliser.
• Resend, Inc. (États-Unis) : service d'envoi d'e-mails transactionnels et marketing. Données : adresse e-mail, contenu des e-mails, événements de délivrabilité.
• PostHog Ltd. (région UE - eu.i.posthog.com) : analyse produit et expérimentation. Données : identifiant pseudonymisé, e-mail (lié aux Comptes), événements produit, propriétés UTM.
• Sentry GmbH (Allemagne - ingest.de.sentry.io) : supervision technique, suivi des erreurs, traces et enregistrements de session anonymisés (10 %). Données : stack traces, identifiants techniques, captures partielles d'interface.
• Mailpulse (service interne Lyten Agency) : tracking de délivrabilité et engagement des e-mails (pixel d'ouverture, redirections cliquables). Données : adresse e-mail, sujet, événements d'engagement.
• LaunchDarkly, Inc. (États-Unis) : gestion des feature flags côté client, conditionnant notamment l'activation des intégrations Threads et Instagram. Données : identifiant client SDK, attributs techniques.
• Discord, Inc. (États-Unis) : notifications internes (webhooks) à destination des équipes Lyten Agency lors d'événements clés (inscription, signalement, paiement). Aucune donnée n'est exposée publiquement.

Nous ne vendons jamais vos données à des tiers, et nous ne les utilisons pas à des fins de publicité comportementale ciblée.

6. Transferts hors Union Européenne

Certains de nos sous-traitants sont établis hors de l'Union européenne, notamment aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision 2021/914), par l'adhésion au Data Privacy Framework lorsque cela est applicable, et par des mesures techniques et organisationnelles complémentaires (chiffrement, contrôle d'accès, journalisation). Vous pouvez obtenir une copie des garanties applicables sur demande à contact@lyten.agency.

7. Stockage et Durées de Conservation

Vos données sont hébergées principalement en Europe (réseau Cloudflare avec infrastructure européenne pour la base de données D1 et le stockage R2 de l'Éditeur).

8. Cookies et Traceurs

Le Service utilise les catégories de cookies et traceurs suivantes :

• Cookies strictement nécessaires : authentification (better-auth.session_token), CSRF OAuth. Pas de consentement requis.
• Cookies fonctionnels : mémorisation de la langue, préférences d'interface.
• Cookies de mesure d'audience : PostHog (anonymisé, hébergement UE), Sentry (supervision technique). Soumis au consentement préalable.
• Cookies de marketing et d'attribution : referral_code, cg_attribution (UTM first-touch), lmsq_aff_id (affiliation Lemon Squeezy). Soumis au consentement préalable.
• Pixel de tracking e-mail (Mailpulse) : ouverture des e-mails et clics. Désactivable depuis le lien de désinscription présent dans chaque e-mail marketing.

L'Utilisateur peut accepter, refuser ou personnaliser le dépôt des cookies non essentiels via le bandeau de gestion des cookies présenté à la première visite, et modifier son choix à tout moment via la page Cookies accessible depuis le pied de page.

9. Vos Droits

Conformément aux articles 15 à 22 du RGPD, vous bénéficiez des droits suivants :

• Droit d'accès : obtenir une copie des données personnelles vous concernant.
• Droit de rectification : demander la correction de données inexactes ou incomplètes.
• Droit à l'effacement : demander la suppression de vos données, sous réserve des obligations légales de conservation (notamment factures).
• Droit à la limitation : demander la limitation temporaire d'un traitement contesté.
• Droit d'opposition : vous opposer à un traitement reposant sur l'intérêt légitime ou à des fins de prospection.
• Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, ou demander leur transfert direct à un autre responsable de traitement lorsque c'est techniquement possible.
• Droit de retirer votre consentement : à tout moment, sans que cela n'affecte la licéité du traitement antérieur.
• Directives post-mortem : conformément à l'article 85 de la loi Informatique et Libertés, vous pouvez définir des directives relatives au sort de vos données après votre décès.

Pour exercer ces droits, adressez votre demande à contact@lyten.agency. Une copie de votre pièce d'identité pourra être demandée en cas de doute raisonnable sur votre identité. Nous répondrons dans un délai d'un (1) mois, prorogeable de deux (2) mois en cas de demande complexe.

contact@lyten.agency

10. Sécurité

L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité, la confidentialité et l'intégrité des données :

• Chiffrement TLS/SSL des communications (HTTPS) ;
• Hashage des mots de passe via PBKDF2-SHA256 avec 100 000 itérations et sel aléatoire 16 octets ;
• Authentification gérée par Better Auth, sessions limitées à 7 jours et révocables ;
• Hébergement européen sur Cloudflare (D1, R2, KV, Workers) ;
• Politique de moindre privilège : accès aux données limité aux personnes dont la fonction le justifie ;
• Journalisation des opérations sensibles (logs d'audit, AiCostLog) ;
• Sauvegardes régulières et plans de continuité ;
• Filtrage de sécurité des modèles IA et limitation de débit (rate limiting) sur les endpoints critiques.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des Utilisateurs, l'Éditeur en informera la CNIL dans les 72 heures et, le cas échéant, les Utilisateurs concernés sans délai.

11. Mineurs

Le Service n'est pas destiné aux personnes âgées de moins de 16 ans. Pour les mineurs entre 16 et 18 ans, le consentement parental peut être requis selon la nature du traitement. Si nous apprenons qu'un mineur a fourni des données sans autorisation, nous procéderons à la suppression du Compte concerné dans les meilleurs délais.

12. Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou en ligne sur www.cnil.fr.

13. Modifications de la Politique

L'Éditeur se réserve le droit de modifier la présente Politique de Confidentialité afin de refléter l'évolution des fonctionnalités, des sous-traitants ou de la réglementation. Toute modification substantielle est notifiée aux Utilisateurs par e-mail ou par message dans le Service au moins quinze (15) jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en bas de page.