Politique de confidentialité.

Le responsable du traitement des données collectées via le service SoloFlowly est :

• Matthieu Le Drian - micro-entrepreneur
• 14 rue du Clos Perrigault, A203, 35132 Vezin-le-Coquet, France
• SIRET 924 760 291 00014
• Email : contact@soloflowly.com

La présente politique précise la nature des données collectées, les finalités de leur traitement, leur durée de conservation et les droits dont dispose l'utilisateur, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.

Dans le cadre de l'exécution du Service, les catégories de données suivantes sont collectées :

• Données de compte : email, nom, mot de passe (haché), préférences linguistiques.
• Données de facturation : identité professionnelle, adresse, identifiants de paiement, historique de paiements.
• Données métier : données saisies par l'utilisateur dans les modules (clientèle, rendez-vous, factures, contenus, etc.).
• Données techniques : logs d'accès, adresse IP, type de navigateur, à des fins de sécurité et diagnostic.
• Identifiants de messagerie connectée : clé API Brevo de l'utilisateur et/ou jeton OAuth Google (Gmail), stockés chiffrés, utilisés pour piloter ses envois d'emails (Gmail ou Brevo, au choix de l'utilisateur) et de SMS (Brevo).

• Exécution du contrat (article 6.1.b RGPD) : gestion du compte, fourniture des modules, facturation, support.
• Obligation légale (article 6.1.c) : conservation des factures et registres comptables.
• Intérêt légitime (article 6.1.f) : prévention de la fraude, sécurité, amélioration du Service.
• Consentement (article 6.1.a) : communications optionnelles non transactionnelles, cookies non essentiels.

• Données de compte : pendant toute la durée du contrat, puis suppression dans un délai maximum de trente (30) jours suivant la résiliation, sous réserve des durées de conservation légales ci-dessous et des nécessités de sécurité ou de preuve. Une période d'archivage intermédiaire de trois (3) ans peut s'appliquer aux données utiles à la défense de droits en justice (CNIL, délibération 2016-264).
• Données de facturation et documents comptables : conservés pendant la durée légale applicable, soit dix (10) ans (obligation légale comptable, article L123-22 du Code de commerce). Les documents émis ne peuvent être supprimés à la demande avant ce terme.
• Données métier : pendant la durée du contrat. Des fonctions d'export sont proposées selon les modules ; il appartient à l'utilisateur de conserver, au fil de son usage, une copie des données nécessaires à son activité et à ses obligations. Aucun export intégral et exhaustif universel n'est garanti à ce seul titre.
• Logs techniques (logs d'accès applicatif, IP de connexion) : six (6) mois, conformément à la recommandation CNIL et à l'article L34-1 du Code des postes et des communications électroniques (durée maximale d'un (1) an autorisée pour les besoins de sécurité).

Les données sont accessibles aux sous-traitants suivants, intervenant pour le compte de l'éditeur dans le cadre de l'exécution du Service :

• Supabase Inc. - hébergement de la base de données, infrastructure UE (Frankfurt).
• Hostinger International Ltd - hébergement applicatif (Chypre, UE).
• ImageKit - stockage et diffusion des images publiées via le Service (galerie de la vitrine, visuels des masterclass), infrastructure UE (Frankfurt).
• Stripe Payments Europe Ltd - établissement de paiement régulé (siège à Dublin, Irlande). Intervient pour la facturation des abonnements SoloFlowly (paliers Starter, Pro, Full) une fois cette facturation activée : traitement des coordonnées bancaires de l'utilisateur, génération des factures, encaissement mensuel, gestion de la résiliation via le Customer Portal Stripe. Pendant la bêta privée, la facturation des abonnements n'est pas activée et aucune donnée n'est transmise à Stripe.
• Stancer - établissement de paiement français (groupe Iliad). Intervient uniquement lorsque l'utilisateur active le module Paiement (compte Stancer en propre, cf. ci-dessous), pour encaisser les paiements de ses propres clients finaux. SoloFlowly n'utilise pas Stancer pour facturer ses abonnements.
• Google Places API - import des avis Google, uniquement lorsque l'utilisateur active cette fonctionnalité, par transmission d'un identifiant de lieu (Place ID) et récupération des avis publics correspondants.
• YouTube - lecteur vidéo intégré aux pages de masterclass en mode de confidentialité avancée (domaine youtube-nocookie.com), uniquement lorsque l'utilisateur fournit une vidéo ; les ressources du lecteur sont alors chargées côté visiteur au moment de l'affichage de la page.
• Brevo SA (siège Paris, France) - utilisée par SoloFlowly comme prestataire d'emailing technique pour l'envoi d'emails transactionnels liés au compte (confirmation d'inscription, notifications de sécurité). Ce traitement est distinct des envois marketing qui passent par le compte Brevo propre de l'utilisateur (cf. ci-dessous).
• Have I Been Pwned (Royaume-Uni) - service indépendant de vérification anti-fuite de mots de passe. Lors de l'inscription, SoloFlowly transmet uniquement les 5 premiers caractères du SHA-1 du mot de passe choisi (procédé dit de k-anonymity) : aucun mot de passe en clair n'est transmis. La comparaison finale s'effectue localement.

Brevo : lorsque l'utilisateur connecte son propre compte Brevo via clé API pour l'envoi d'emails ou de SMS, Brevo agit en qualité de sous-traitant direct de l'utilisateur (et non de SoloFlowly) au sens de l'article 28 du RGPD. Les contacts marketing et historiques d'envoi restent hébergés chez Brevo, sous le contrat liant l'utilisateur à Brevo SA.

Google LLC (Gmail) : lorsque l'utilisateur connecte son propre compte Gmail via OAuth Google pour l'envoi d'emails, Google LLC agit en qualité de sous-traitant direct de l'utilisateur (et non de SoloFlowly) au sens de l'article 28 du RGPD. Les envois d'emails transitent par l'API Gmail sous le contrat liant l'utilisateur à Google LLC.

Stancer (module Paiement) : lorsqu'il active le module Paiement, l'utilisateur connecte son propre compte Stancer via clé API. Les données de paiement de ses clients (montants, références de transaction) sont traitées par Stancer en qualité de sous-traitant direct de l'utilisateur (et non de SoloFlowly), sous le contrat liant l'utilisateur à Stancer. SoloFlowly ne détient ni ne traite aucun moyen de paiement des clients finaux.

Certaines données peuvent être transférées hors de l'Union européenne, notamment vers les États-Unis (par exemple Google pour l'import d'avis ou, lorsque l'utilisateur connecte son compte Gmail, Google LLC pour l'envoi d'emails) ou le Royaume-Uni (Have I Been Pwned, vérification anti-fuite de mots de passe sous le régime d'adéquation UK reconnu par la Commission européenne). Pour les transferts hors zones d'adéquation, ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne, garantissant un niveau de protection équivalent à celui du RGPD.

L'éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre toute destruction, perte, altération, divulgation ou accès non autorisé : chiffrement en transit (TLS) et au repos, hachage des mots de passe, contrôle des accès, journalisation, sauvegardes régulières, séparation des environnements.

Conformément aux articles 15 à 22 du RGPD, l'utilisateur dispose des droits suivants :

• droit d'accès, de rectification et d'effacement des données ;
• droit à la limitation du traitement ;
• droit à la portabilité des données ;
• droit d'opposition au traitement ;
• droit de définir des directives relatives au sort des données après le décès.

Décision individuelle automatisée (art. 22 RGPD) : SoloFlowly ne procède à aucun profilage ni décision individuelle entièrement automatisée produisant des effets juridiques ou affectant significativement l'utilisateur, au sens de l'article 22 du RGPD.

Ces droits peuvent être exercés à tout moment par email à contact@soloflowly.com, accompagné d'un justificatif d'identité. L'éditeur s'engage à répondre dans un délai d'un (1) mois, prorogeable de deux (2) mois en cas de demande complexe.

En cas de réponse insatisfaisante, l'utilisateur peut introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, 75007 Paris - www.cnil.fr.

Lorsque l'utilisateur saisit dans SoloFlowly des données concernant ses propres clients (fiches CRM, rendez-vous, contacts), il agit en qualité de responsable du traitement de ces données. SoloFlowly intervient alors comme sous-traitantau sens de l'article 28 du RGPD.

Les données affichées au client final via le module Espace client (devis, factures, rendez-vous, signatures) sont les données déjà stockées dans les modules respectifs : il s'agit d'une présentation consolidée en lecture seule, sans duplication ni nouveau traitement de finalité distincte.

Un accord de traitement des données (DPA) formalise cette relation et répond aux exigences de l'article 28. Il fait partie intégrante des conditions générales et est consultable sur la page Accord de traitement des données (DPA).

La présente politique peut être modifiée pour tenir compte d'évolutions légales ou fonctionnelles. Toute modification substantielle est notifiée à l'utilisateur par email et dans le Service au moins trente (30) jours avant son entrée en vigueur.