1. Responsable de traitement
Le responsable du traitement de vos données personnelles est :
AGdev (société en cours d'immatriculation)
36 rue Keller, 75011 Paris, France
Contact : contact@getfama.app
Pour toute question relative au traitement de vos données ou à l'exercice de vos droits, vous pouvez nous écrire à contact@getfama.app. Nous nous engageons à vous répondre dans un délai maximum de 30 jours.
2. Données collectées et finalités
Nous ne collectons que les données strictement nécessaires au fonctionnement du service. Aucune donnée n'est revendue à des tiers.
| Catégorie | Données | Finalité | Base légale |
|---|---|---|---|
| Identité | Nom, prénom, email, photo de profil Google | Création et gestion du compte | Exécution du contrat (art. 6.1.b RGPD) |
| Connexion | Token d'accès Google OAuth (chiffré) | Synchronisation des avis Google Business Profile | Exécution du contrat (art. 6.1.b) |
| Établissement | Nom, adresse, identifiant Google de votre fiche | Affichage et gestion des établissements | Exécution du contrat (art. 6.1.b) |
| Avis | Avis Google récupérés, auteurs, notes, réponses publiées | Affichage, suggestions IA, statistiques | Exécution du contrat (art. 6.1.b) |
| Paiement | Statut d'abonnement, identifiants Stripe | Facturation, gestion de l'abonnement | Exécution du contrat + obligation légale (art. 6.1.b et c) |
| Notifications | Endpoint push (token VAPID anonyme) | Envoyer les notifications d'avis | Consentement (art. 6.1.a) |
| Connexion technique | Adresse IP, user-agent, logs d'erreur | Sécurité, debug, prévention de fraude | Intérêt légitime (art. 6.1.f) |
3. Durées de conservation
- Compte actif : tant que votre abonnement est en cours
- Après résiliation : 30 jours pour annulation possible, puis suppression complète des données utilisateur
- Factures : 10 ans (obligation légale comptable)
- Logs techniques : 12 mois maximum
- Avis Google synchronisés : supprimés en même temps que le compte
4. Sous-traitants (« processors »)
Pour faire fonctionner le service, nous transmettons certaines données à des sous-traitants soigneusement sélectionnés. Chacun est lié par un contrat de sous-traitance conforme à l'article 28 du RGPD.
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Render | Hébergement applicatif | Francfort (UE) | DPA, hébergement UE |
| Supabase | Base de données | Paris (UE) | DPA, hébergement UE, chiffrement au repos |
| Stripe | Traitement des paiements | Irlande + États-Unis | Clauses contractuelles types UE-US, certification DPF |
| Google (Business Profile API) | Récupération et publication des avis | UE + États-Unis | Clauses contractuelles types, certification DPF |
| Anthropic (Claude) | Génération de suggestions de réponse | États-Unis | Clauses contractuelles types UE-US, données non utilisées pour l'entraînement |
| Resend | Envoi des emails transactionnels | États-Unis | Clauses contractuelles types UE-US |
| Sentry | Suivi des erreurs (debugging) | États-Unis | Clauses contractuelles types, filtrage des données personnelles |
5. Transferts hors Union européenne
Certains sous-traitants (Anthropic, Sentry, partiellement Stripe et Google) traitent des données depuis les États-Unis. Ces transferts sont encadrés par :
- Les Clauses Contractuelles Types adoptées par la Commission européenne
- Le cadre EU-US Data Privacy Framework pour les entreprises certifiées
- Des engagements contractuels de chiffrement en transit et au repos
6. Vos droits
Conformément au RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès — savoir quelles données nous détenons sur vous
- Droit de rectification — corriger des données inexactes
- Droit à l'effacement (« droit à l'oubli ») — supprimer vos données
- Droit à la limitation — geler temporairement le traitement
- Droit à la portabilité — récupérer vos données dans un format lisible
- Droit d'opposition — refuser certains traitements
- Droit de retirer votre consentement — à tout moment, sans justification
- Droit de définir des directives post-mortem sur le sort de vos données
Pour exercer ces droits, écrivez-nous à contact@getfama.app en précisant votre demande et en joignant une copie d'un justificatif d'identité si nécessaire. Réponse sous 30 jours maximum.
Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) si vous estimez que le traitement de vos données n'est pas conforme : cnil.fr/fr/plaintes.
7. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :
- Connexion HTTPS obligatoire sur toutes les pages
- Mots de passe stockés avec algorithme de hachage moderne (bcrypt)
- Tokens OAuth Google chiffrés en base via la bibliothèque Lockbox
- Sauvegardes quotidiennes chiffrées chez Supabase
- Authentification à deux facteurs disponible sur tous les comptes admin
- Logs filtrés pour ne jamais exposer de données utilisateur sensibles
- Accès aux données restreint au strict nécessaire
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL sous 72 heures et à vous en informer dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.
8. Cookies
Fama n'utilise que des cookies strictement nécessaires (session d'authentification, jeton CSRF anti-fraude). Aucun cookie publicitaire, aucun cookie de mesure d'audience tiers, aucun cookie de profilage. Conformément à la délibération CNIL 2020-091, ces cookies essentiels ne nécessitent pas de consentement préalable.
9. Modifications
Cette politique peut être amenée à évoluer en fonction des évolutions légales et de nos services. Toute modification substantielle sera annoncée par email aux utilisateurs actifs au moins 30 jours avant entrée en vigueur. La version en vigueur est toujours accessible à cette adresse.