Aller au contenu principal
AIFORYA

Politique de Confidentialité

1. Introduction et engagement

AIFORYA s'engage à protéger la vie privée de ses utilisateurs et clients. La présente Politique de Confidentialité (ci-après "la Politique") décrit comment AIFORYA collecte, utilise, protège, conserve et partage vos données personnelles. L'approche est minimaliste et respecte les principes de "Privacy by Design".

Cette Politique est conforme aux exigences du Règlement Général sur la Protection des Données (RGPD, Règlement UE 2016/679), du UK General Data Protection Regulation (UK GDPR), du California Consumer Privacy Act (CCPA) et du Lei Geral de Proteção de Dados (LGPD) au Brésil.

2. Responsable de traitement et DPO

  • Responsable de traitement : AIFORYA (entreprise individuelle), 1 rue de Stockholm, 75008 Paris, France. SIREN 498 592 104.
  • DPO : un Délégué à la Protection des Données a été désigné. Contact : dpo@aiforya.fr.

3. Données personnelles collectées — approche minimaliste

AIFORYA ne collecte que les données strictement nécessaires aux finalités définies ci-dessous.

| Finalité | Catégories de données | Base légale | Conservation | | :--- | :--- | :--- | :--- | | Gestion du compte et des abonnements | Email, nom, mot de passe haché, type d'abonnement, historique des transactions | Exécution du contrat | Durée de l'abonnement + 3 ans | | Facturation et comptabilité | Adresse postale, pays, numéro de TVA intracommunautaire (si applicable) | Obligation légale | 10 ans | | Support client | Contenu des échanges, identifiant client, historique du problème | Exécution du contrat / intérêt légitime | 5 ans après dernière interaction | | Sécurité et maintenance | Logs de connexion (IP, User-Agent, date, actions clés) | Intérêt légitime | 12 mois | | Analyse d'audience (anonymisée) | Données de navigation anonymisées | Consentement | 13 mois | | Newsletter | Adresse email | Consentement | Jusqu'au désabonnement |

4. Ce qui n'est JAMAIS collecté (Privacy by Design)

  • Les clés API de services tiers (BYOK) : les clés API que le client utilise pour les fournisseurs d'IA (Anthropic, OpenAI, Google, etc.) sont stockées chiffrées sur son installation WordPress et ne transitent jamais par les serveurs d'AIFORYA. AIFORYA n'y a aucun accès.
  • Le contenu généré via les extensions : les prompts envoyés aux modèles d'IA et les réponses sont échangés directement entre le serveur du client et le fournisseur d'IA. AIFORYA n'intercepte, ne lit, ne stocke et n'analyse jamais ces contenus.
  • Les données de paiement complètes : les informations de carte bancaire sont traitées directement par Stripe. AIFORYA ne stocke jamais les numéros de carte ni les CVV.
  • Le contenu des sites CMS : AIFORYA n'accède, ne lit et ne stocke jamais le contenu éditorial (articles, pages, données utilisateurs) des sites clients.

5. Destinataires et transferts internationaux

Les données sont partagées uniquement avec les sous-traitants essentiels :

| Sous-traitant | Pays | Rôle | Garantie de transfert | | :--- | :--- | :--- | :--- | | Stripe Inc. | USA / Irlande | Paiements et gestion des abonnements | EU-US Data Privacy Framework (DPF) / CCT | | Vercel Inc. | USA | Hébergement frontend, mesure d'audience après consentement | EU-US DPF / CCT | | Railway Corp | USA | Hébergement backend | Clauses Contractuelles Types (CCT) | | Supabase Inc. | USA | Base de données | EU-US DPF / CCT | | Axeptio (Sirdata) | France (UE) | Plateforme de gestion du consentement (CMP) | RGPD — pas de transfert hors UE | | Resend, Inc. | USA | Envoi d'emails transactionnels (confirmation contact, newsletter) | EU-US DPF / CCT | | Google LLC (Google Analytics 4) | USA | Mesure d'audience anonymisée (IP anonymisée) | EU-US DPF / CCT |

AIFORYA s'assure que tout transfert hors Espace Économique Européen s'effectue conformément aux exigences légales (CCT de la Commission Européenne ou cadre EU-US DPF).

6. Sécurité des données

  • Chiffrement : TLS pour toutes les communications, chiffrement des données sensibles au repos.
  • Contrôles d'accès : politique de moindre privilège.
  • Hachage : les mots de passe sont hachés avec des algorithmes robustes et non réversibles.
  • Audits : tests d'intrusion et audits de sécurité réguliers.
  • Sauvegardes : procédures de sauvegarde et restauration.

7. Droits RGPD / UK GDPR

  • Droit d'accès (art. 15) : obtenir une copie des données détenues.
  • Droit de rectification (art. 16) : corriger des données inexactes.
  • Droit à l'effacement (art. 17) : supprimer les données.
  • Droit à la limitation (art. 18).
  • Droit à la portabilité (art. 20).
  • Droit d'opposition (art. 21).

Pour exercer ces droits : dpo@aiforya.fr. Réponse sous 1 mois (prolongeable de 2 mois en cas de complexité). Une preuve d'identité peut être demandée.

Vous avez le droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr.

8. Droits spécifiques (CCPA, LGPD)

  • Californie (CCPA) : droits d'accès, de suppression et de non-discrimination. AIFORYA ne vend pas de données personnelles et respecte les signaux "Do Not Track".
  • Brésil (LGPD) : droits similaires au RGPD.

Contact : dpo@aiforya.fr.

9. Clauses spécifiques à l'IA générative et au modèle BYOK

AIFORYA opère sur un modèle Bring Your Own Key (BYOK). Les appels aux services d'IA générative sont effectués directement par l'extension depuis le serveur du client vers le fournisseur d'IA, en utilisant la clé API du client.

  • Flux de données : les prompts et réponses de l'IA ne transitent jamais par les serveurs d'AIFORYA.
  • Responsabilité : le client est l'unique responsable des données qu'il soumet aux fournisseurs d'IA et des contenus générés. Il doit s'assurer que ses usages respectent les politiques des fournisseurs et les lois applicables.

10. Connexion via Google (Google Sign-In) — Use of Google User Data

AIFORYA propose, en option, la connexion à son application web via Google Sign-In (OAuth 2.0 / OpenID Connect). Cette section décrit, de manière exhaustive et conformément à la Google API Services User Data Policy (incluant les exigences de la Limited Use), comment AIFORYA accède, utilise, stocke et partage les données utilisateur Google.

10.1. Champs d'application (scopes) demandés

AIFORYA demande uniquement les trois champs d'application non sensibles standards d'OpenID Connect :

  • openid — identifiant Google stable de l'utilisateur (claim sub)
  • email — adresse e-mail principale du compte Google
  • profile — nom complet, prénom, nom, locale et URL de la photo de profil

Aucun champ d'application sensible ni restreint n'est demandé. AIFORYA n'accède pas à Gmail, Drive, Calendar, Contacts, YouTube, Photos, ni à aucune autre API de produit Google contenant des données utilisateur.

10.2. Données effectivement collectées

À la connexion, AIFORYA collecte exclusivement, depuis Google :

  • l'identifiant Google (sub),
  • l'adresse e-mail vérifiée,
  • le nom d'affichage et, le cas échéant, l'URL de la photo de profil publique.

10.3. Finalité d'usage (Data Usage)

Ces données sont utilisées uniquement pour :

  • Authentifier l'utilisateur dans l'application web AIFORYA (vérification d'identité au moment du login) ;
  • Créer ou retrouver le compte AIFORYA correspondant à cet utilisateur ;
  • Afficher son nom et son adresse e-mail dans son tableau de bord et son interface "Mon compte".

Les données utilisateur Google ne sont jamais utilisées à des fins publicitaires, de profilage au-delà de l'authentification, de constitution de listes de contacts, d'évaluation de solvabilité, ni pour entraîner un quelconque modèle d'IA généralisé. Elles ne sont pas partagées avec des partenaires marketing.

10.4. Conservation et stockage

Les données utilisateur Google sont stockées dans une base PostgreSQL gérée par Supabase (région UE — Frankfurt, eu-central-1), avec chiffrement au repos et Row-Level Security. La conservation s'étend sur la durée de vie du compte utilisateur. L'utilisateur peut à tout moment supprimer son compte et l'ensemble des données associées via la page https://www.aiforya.fr/fr/mon-compte ; la suppression est effective dans un délai de 30 jours.

10.5. Partage et sous-traitants

Les données utilisateur Google ne sont jamais vendues, louées, transférées ni partagées avec des tiers à des fins publicitaires ou non liées à la finalité décrite ci-dessus. Le seul sous-traitant ayant un accès incident à ces données est notre fournisseur d'hébergement de base de données (Supabase, UE), encadré par un Data Processing Agreement (DPA) conforme RGPD.

10.6. Conformité Limited Use

L'utilisation et le transfert par AIFORYA, vers toute autre application, des informations reçues depuis les API Google se conforment strictement à la Google API Services User Data Policy, y compris ses exigences Limited Use.

10.7. Contrôle utilisateur

L'utilisateur peut, à tout moment :

  • Révoquer l'accès accordé à AIFORYA via la page de gestion de son compte Google : https://myaccount.google.com/permissions ;
  • Supprimer l'ensemble de ses données stockées par AIFORYA via la page "Mon compte" de l'application ;
  • Exercer ses droits RGPD (accès, rectification, effacement, portabilité, opposition) en contactant dpo@aiforya.fr (cf. section 7).

11. Cookies et traceurs

Le site aiforya.fr utilise des cookies et technologies similaires (notamment localStorage) pour son bon fonctionnement, la mesure d'audience et l'amélioration de l'expérience utilisateur.

11.1. Plateforme de gestion du consentement (CMP)

La gestion du consentement est assurée par Axeptio, CMP française certifiée. Le bandeau s'affiche au premier accès au site et permet à l'utilisateur d'accepter, refuser ou personnaliser ses choix par catégorie. Le bouton "Tout refuser" est aussi visible et accessible que le bouton "Tout accepter" (conformité CNIL). Les choix sont conservés 6 mois et peuvent être modifiés à tout moment via le lien "Gérer mes traceurs" dans le pied de page.

Google Consent Mode v2 est implémenté en mode "Basic" : tous les signaux de consentement (analytics_storage, ad_storage, ad_user_data, ad_personalization, functionality_storage, personalization_storage) sont définis à denied par défaut, jusqu'à ce que l'utilisateur exprime son choix.

11.2. Traceurs nécessaires (strictement essentiels)

Exemptés de consentement (Article 82 Loi Informatique et Libertés) car indispensables au fonctionnement : session utilisateur, préférences linguistiques, enregistrement du choix de consentement lui-même, mémorisation du thème (clair/sombre), polices web auto-hébergées (pas de transfert d'adresse IP vers des CDN tiers).

11.3. Mesure d'audience (analytics)

Soumis au consentement explicite, ces traceurs ne sont activés qu'après acceptation explicite de la catégorie "Mesure d'audience" dans le bandeau Axeptio :

  • Vercel Analytics : mesure anonymisée du trafic, sans identifiant personnel, durée 13 mois maximum.
  • Google Analytics 4 : mesure d'audience avec IP anonymisée (anonymize_ip: true), durée 14 mois maximum. Aucun partage avec Google Ads ou plateformes publicitaires.

Le Google Consent Mode v2 mode "Basic" est implémenté : si l'utilisateur refuse, aucun signal n'est envoyé à Google, aucune connexion à Google Analytics n'est établie.

11.4. Marketing et publicité

Aucun traceur publicitaire ou de remarketing n'est actuellement utilisé sur aiforya.fr. Cette catégorie est réservée pour de futures campagnes éventuelles (Google Ads, LinkedIn Ads), qui seraient également soumises au consentement avant tout dépôt.

12. Modifications de la politique

AIFORYA se réserve le droit de modifier cette Politique à tout moment. Toute modification sera publiée sur cette page avec une nouvelle date de mise à jour. En cas de modification substantielle, une information sera envoyée par email ou via une notification visible sur le site.

Politique de confidentialité | AIFORYA