Politique de confidentialité
Dernière mise à jour : 7 juillet 2026
Document en cours de finalisation. Certaines informations d'identification de l'éditeur seront complétées prochainement.
Responsable du traitement
Le responsable du traitement est [À COMPLÉTER — nom / raison sociale] (voir mentions légales). Pour toute question relative à vos données : [À COMPLÉTER — email de contact] ou le formulaire de contact.
Données collectées et finalités
- Compte utilisateur— adresse email et mot de passe (stocké haché par notre prestataire d'authentification, jamais en clair). Finalité : créer et sécuriser votre accès. Base légale : exécution du contrat.
- Comptes clients connectés — nom du client, clé API Klaviyo chiffrée AES-256-GCM au repos, déchiffrée uniquement au moment des appels à l'API Klaviyo, jamais transmise au navigateur (seuls les 4 derniers caractères sont affichés). Finalité : fournir le service. Base légale : exécution du contrat.
- Données Klaviyo agrégées — métriques de campagnes, flux, formulaires et délivrabilité (compteurs, taux, revenus) mises en cache temporairement pour la performance. KlaviBoard est en lecture seule et ne consulte pas les profils individuels des destinataires de vos clients.
- Facturation— le paiement est traité par Stripe ; KlaviBoard ne voit ni ne stocke jamais votre numéro de carte. Nous conservons uniquement l'identifiant client Stripe, l'offre souscrite et l'état de l'abonnement. Base légale : exécution du contrat et obligations comptables.
- Emails transactionnels— votre email est transmis à Resend pour l'envoi des alertes d'anomalies. Aucune prospection commerciale sans votre accord.
- Assistance IA (optionnelle, BYOK) — si vous configurez votre propre clé IA, elle est chiffrée comme les clés Klaviyo, et les données strictement nécessaires (métriques agrégées concernées) sont envoyées au fournisseur IA que vous avez choisi, uniquement quand vous déclenchez la génération.
- Formulaire de contact — nom, email et message, utilisés uniquement pour vous répondre.
Ce que KlaviBoard ne fait pas
- Aucune revente ni partage de données à des fins commerciales.
- Aucun cookie publicitaire, aucun traceur tiers, aucune régie publicitaire.
- Aucune écriture sur vos comptes Klaviyo (service strictement en lecture seule).
Cookies
Le service utilise exclusivement des cookies strictement nécessaires :
- Session (cookies
sb-*) — maintien de votre connexion. - Langue (
NEXT_LOCALE) — mémorisation de votre préférence FR/EN. - Démo (
kb-demo, cookie de session) — accès à la démonstration publique avec données fictives.
Ces cookies sont exemptés de consentement (art. 82 de la loi Informatique et Libertés, lignes directrices CNIL). Aucun cookie de mesure d'audience ou de publicité n'est déposé. La page d'accueil charge les polices depuis Google Fonts, ce qui transmet votre adresse IP à Google Ireland Ltd ; l'application elle-même sert ses polices localement.
Sous-traitants
- Vercel Inc.(États-Unis) — hébergement de l'application. Données encadrées par le Data Privacy Framework UE-US et des clauses contractuelles types.
- Supabase Inc. — base de données et authentification, hébergées en Union européenne (AWS eu-west-1, Irlande).
- Stripe Payments Europe Ltd (Irlande) — paiement.
- Resend(États-Unis) — envoi d'emails transactionnels (clauses contractuelles types).
- Fournisseur IA choisi par l'utilisateur— uniquement si vous activez l'assistance IA avec votre propre clé.
Durées de conservation
- Compte et clients connectés — tant que le compte est actif ; suppression du compte = suppression en cascade des clients, clés, caches, alertes et rapports associés.
- Caches de métriques — de 15 minutes (données courantes) à un an maximum (périodes passées figées).
- Données de facturation — 10 ans (obligation comptable), conservées par Stripe.
- Messages de contact — le temps du traitement de la demande, au maximum 12 mois.
Vos droits (RGPD)
Vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité sur vos données. Pour les exercer : [À COMPLÉTER — email de contact]. Vous pouvez également supprimer vous-même vos clients connectés (et leurs clés) à tout moment, ou supprimer définitivement l'intégralité de votre compte et de vos données depuis les réglages de l'application. Si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL (cnil.fr).
Sécurité
Chiffrement TLS en transit, chiffrement AES-256-GCM des clés API au repos, isolation des données par utilisateur au niveau de la base (row-level security), sessions expirant après 24 h d'inactivité, limitation de débit sur les points d'accès sensibles.