Politique de confidentialité

1. Préambule

1.1.La présente Politique de confidentialité (la « Politique ») décrit la manière dont la société SCALEZEN AI(ci-après « Scalezen » ou « nous ») collecte, utilise, conserve et protège les données à caractère personnel des Clients et Utilisateurs (ci-après « vous ») de la plateforme accessible depuis scalezen.ai et de l'application iOS associée.

1.2.La Politique est rédigée conformément au Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et à la loi française n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et Libertés ».

2. Responsable du traitement

Le responsable du traitement est :

• SCALEZEN AI, SAS au capital de 1 000 €
• Siège social : 66 avenue des Champs-Élysées, 75008 Paris
• SIREN : 927 535 146 — RCS Paris
• Contact / Délégué à la Protection des Données (DPO) : contact@scalezen.ai

3. Données collectées

Nous ne collectons que les données strictement nécessaires à la fourniture du Service. Elles sont regroupées en catégories.

3.1 Données d'identité

• Adresse email
• Nom et prénom (lorsque fournis par Apple ou Google lors de l'authentification fédérée)
• Photo de profil (lorsque transmise par Apple ou Google lors de l'authentification fédérée)
• Identifiant opaque du fournisseur d'identité (Apple sub, Google sub) — jamais le mot de passe du compte tiers

3.2 Données de compte et de facturation

• Identifiant client Stripe (Stripe customer ID)
• Statut et historique des abonnements actifs
• Factures émises

Aucune donnée bancaire (numéro de carte, CVV, date d'expiration) ne transite par nos serveurs ni n'est stockée par Scalezen. Les paiements sont traités intégralement par Stripe Payments Europe Ltd.

3.3 Identifiants Instagram (fournis explicitement par l'Utilisateur)

• Nom d'utilisateur Instagram
• Mot de passe Instagram (utilisé exclusivement pour piloter le compte confié)
• Codes d'authentification à deux facteurs (2FA)
• Clé TOTP, lorsque fournie

Ces identifiants sont indispensables au fonctionnement du Service (pilotage automatisé du compte Instagram). Ils sont fournis librement et volontairement par l'Utilisateur, et leur traitement repose sur l'exécution du contrat (art. 6.1.b RGPD). Scalezen met en œuvre des mesures techniques et organisationnelles appropriées pour leur protection (cf. article 9), et l'accès à ces identifiants est restreint au personnel autorisé et journalisé.

3.4 Données techniques liées au Compte Instagram piloté

• Avatar public, biographie
• Nombre de followers, de comptes suivis, de publications
• Statistiques d'engagement (likes, follows, vues de stories effectués par le Service)

3.5 Données téléphoniques (optionnel, opt-in)

Si l'Utilisateur active les notifications WhatsApp, son numéro de téléphone au format E.164 est collecté afin d'envoyer des notifications via notre sous-traitant SendPulse.

3.6 Logs techniques et de sécurité

• Adresse IP au moment des connexions
• Horodatages des actions
• Identifiants techniques de l'appareil utilisé

Aucun traceur publicitaire, aucun identifiant publicitaire (IDFA) ni aucun pixel marketing tiers n'est utilisé. Nous ne pratiquons aucun suivi inter-applications au sens du framework AppTrackingTransparency d'Apple.

4. Finalités et bases légales

• Exécution du contrat (art. 6.1.b RGPD) : création et gestion du Compte Scalezen, fourniture du Service de pilotage automatisé Instagram, facturation des abonnements.
• Intérêt légitime (art. 6.1.f RGPD) : sécurité du Service (logs de connexion, détection de fraude), amélioration technique de la plateforme, prévention des abus.
• Consentement (art. 6.1.a RGPD) : envoi de notifications WhatsApp (opt-in révocable à tout moment).
• Obligations légales (art. 6.1.c RGPD) : conservation des données de facturation pour les obligations comptables et fiscales.

5. Sous-traitants et destinataires

Conformément à l'article 28 du RGPD, Scalezen recourt à des sous-traitants qui présentent des garanties suffisantes en matière de sécurité et de protection des données. Chacun est encadré par un contrat de sous-traitance (DPA). La liste exhaustive des sous-traitants en place à la date de la présente Politique est la suivante :

Scalezen ne vend, ne loue, ni n'échange à titre commercial les données personnelles. Aucune donnée n'est transmise à des tiers en dehors des sous-traitants listés ci-dessus, sauf obligation légale (réquisition judiciaire, par exemple).

6. Transferts hors Union Européenne

6.1.Les données traitées par Scalezen sont stockées et hébergées au sein de l'Union européenne (datacenter Helsinki, Finlande, opéré par Hetzner Online GmbH).

6.2.Toutefois, certaines opérations impliquent des transferts vers des sous-traitants situés hors de l'Espace Économique Européen, encadrés comme suit :

• Vers les États-Unis (Meta Platforms Inc., Apple Inc., Google LLC) : transferts encadrés par la décision d'adéquation Data Privacy Framework UE-USA (décision d'exécution (UE) 2023/1795 de la Commission du 10 juillet 2023). Les entités concernées sont certifiées DPF.
• Vers l'Ukraine (SendPulse) : transferts encadrés par les clauses contractuelles types de la Commission européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021), complétées par les mesures techniques supplémentaires nécessaires.

7. Durées de conservation

Les données sont conservées pendant la durée strictement nécessaire aux finalités du traitement, dans le respect des durées maximales imposées par la loi.

• Données du Compte Scalezen(email, identité, préférences) : pendant toute la durée de l'Abonnement actif, puis douze (12) mois après résiliation, pour répondre aux éventuelles demandes (réclamations, contentieux, obligations comptables — art. L123-22 du Code de commerce).
• Identifiants Instagram(nom d'utilisateur, mot de passe, codes 2FA, clé TOTP) : effacés immédiatement à la suppression du Compte Scalezen ou à la résiliation effective de l'Abonnement.
• Données techniques liées au Compte Instagram (statistiques, historique d'actions) : conservées pendant la durée de l'Abonnement, puis effacées à la résiliation.
• Logs de sécurité(IP de connexion, horodatages, identifiants d'appareil) : un (1) an maximum, conformément aux recommandations CNIL relatives aux traces et logs.
• Cookies de session(JWT d'authentification) : durée de la session, puis effacement automatique. Pas de cookie tiers, pas de cookie publicitaire ou analytique.
• Factures et données comptables : dix (10) ans, conformément à l'article L123-22 du Code de commerce et à l'article L102 B du Livre des procédures fiscales.
• Numéro de téléphone(si opt-in WhatsApp) : jusqu'au retrait de l'opt-in ou à la résiliation de l'Abonnement.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès à vos données personnelles (art. 15 RGPD)
• Droit de rectification des données inexactes ou incomplètes (art. 16 RGPD)
• Droit à l'effacement(« droit à l'oubli ») (art. 17 RGPD)
• Droit à la limitation du traitement (art. 18 RGPD)
• Droit à la portabilité des données (art. 20 RGPD)
• Droit d'opposition au traitement (art. 21 RGPD)
• Droit de retirer votre consentement à tout moment, lorsque le traitement repose sur ce dernier (art. 7 RGPD)
• Droit de définir des directives relatives au sort de vos données après votre décès (loi française n° 78-17 modifiée, art. 85)

8.1 Comment exercer vos droits

Ces droits peuvent être exercés à tout moment :

• En écrivant à contact@scalezen.ai en précisant votre demande et en joignant tout justificatif utile à l'identification (par exemple : adresse email du compte) ;
• En supprimant directement votre compte depuis la rubrique « Profil » de l'application iOS ou du dashboard web (droit à l'effacement effectif).

Scalezen s'engage à répondre à toute demande dans un délai maximal d'un (1) moisà compter de sa réception, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux (2) mois compte tenu de la complexité ou du nombre de demandes, l'Utilisateur étant alors informé dans le délai initial.

La suppression de compte entraîne l'effacement effectif (non un soft delete) des données personnelles associées, sous réserve des durées de conservation imposées par la loi (facturation, comptabilité).

8.2 Réclamation auprès de la CNIL

Vous disposez par ailleurs du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

9. Sécurité

Scalezen met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données :

• Chiffrement TLS 1.2+ pour tous les échanges réseau
• Mots de passe utilisateurs hachés en bcrypt (jamais stockés en clair)
• Stockage des tokens d'authentification dans le Keychain iOS (Secure Enclave) côté application
• Accès aux bases de données restreint au personnel autorisé, journalisé et audité régulièrement
• Sauvegardes chiffrées et monitoring permanent de la plateforme
• Procédures de gestion des incidents de sécurité et de notification aux autorités compétentes (CNIL) en cas de violation de données dans le délai de 72 heures prévu par l'article 33 du RGPD

10. Cookies et traceurs

Scalezen utilise uniquement des cookies strictement nécessaires au fonctionnement du Service : cookie de session et JWT d'authentification. Ces cookies sont exemptés de consentement au sens des lignes directrices de la CNIL et des recommandations du Comité européen de la protection des données.

Nous n'utilisons aucun cookie tiers, aucun outil de mesure d'audience non anonymisé, aucun pixel publicitaire (pas de Google Analytics, pas de Meta Pixel, pas de TikTok Pixel, pas de Hotjar).

11. Modifications

La présente Politique peut être modifiée pour refléter les évolutions techniques, organisationnelles ou réglementaires. Toute modification substantielle sera notifiée par email aux Utilisateurs actifs au moins quinze (15) jours avant son entrée en vigueur. La version applicable est en permanence accessible à l'adresse /legal/privacy.

12. Contact

Pour toute question relative à la présente Politique ou au traitement de vos données, vous pouvez contacter notre Délégué à la Protection des Données (DPO) :

Délégué à la Protection des Données de SCALEZEN AI — contact@scalezen.ai

Courrier : SCALEZEN AI — 66 avenue des Champs-Élysées, 75008 Paris, France.