Politique de confidentialité
Dernière mise à jour : 13 mai 2026
La présente politique de confidentialité décrit la manière dont LocalPatron(ci-après « nous », « LocalPatron ») collecte, utilise et protège les données personnelles des utilisateurs de la plateforme localpatron.app, conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679).
1. Responsable du traitement
Fabrice Dal Maso — LocalPatron
Autónomo (travailleur indépendant)
NIF : Z0414929Z
calle Zurbaran 22, 03187 Los Montesinos, Alicante, Espagne
E-mail : contact@localpatron.app
2. Données collectées
Nous collectons uniquement les données strictement nécessaires au fonctionnement du service :
| Catégorie | Données | Source |
|---|---|---|
| Compte utilisateur | Adresse e-mail, mot de passe (haché — jamais stocké en clair) | Directement par l'utilisateur |
| Établissement | Nom, ville, secteur, mots-clés SEO, ton préféré, description (optionnel), fuseau horaire, abonnement aux notifications push (optionnel) | Directement par l'utilisateur |
| Avis Google | Auteur (prénom/nom public Google), note, contenu, date — données publiques de votre fiche | API Google Business Profile (après connexion OAuth) |
| Token OAuth Google | Token d'accès et de rafraîchissement OAuth 2.0 (chiffré AES-256-GCM, serveur uniquement) | API Google lors de la connexion |
| Réponses générées | Contenu des réponses, score SEO, statut (brouillon / validé / publié), dates | Généré par le service d'IA à partir des avis |
| Usage | Actions effectuées, nombre de générations IA utilisées, coût estimé | Automatiquement lors de l'utilisation |
| Paiement | Identifiant client Stripe (nous ne stockons jamais de données de carte bancaire) | Stripe |
3. Finalités et bases légales
| Finalité | Base légale (RGPD art. 6) |
|---|---|
| Fourniture du service (génération de suggestions, publication après validation) | Exécution du contrat (art. 6.1.b) |
| Transmission du contenu des avis au service de génération IA pour créer des suggestions de réponses personnalisées | Exécution du contrat (art. 6.1.b) |
| Gestion des abonnements et facturation | Exécution du contrat (art. 6.1.b) |
| Sécurité et prévention de la fraude | Intérêt légitime (art. 6.1.f) |
| Notifications push (si activées) | Consentement explicite (art. 6.1.a) |
| Amélioration du service (logs d'usage anonymisés) | Intérêt légitime (art. 6.1.f) |
| Respect des obligations légales et comptables | Obligation légale (art. 6.1.c) |
Note sur les services de génération IA : LocalPatron utilise actuellement Groq Inc. (modèle llama-3.3-70b-versatile) et intégrera Anthropic PBC (modèles claude-haiku / claude-sonnet) après validation de l'API Google Business Profile — ce provider a été retenu pour la qualité rédactionnelle de ses modèles et sa politique contractuelle de non-entraînement sur données clients. Les données transmises à ces services sont limitées au strict nécessaire : contenu de l'avis, secteur d'activité, mots-clés SEO configurés, et prénom public de l'auteur de l'avis. Aucun de ces prestataires n'utilise les données transmises pour entraîner ses modèles d'IA.
4. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur actif | Durée de l'abonnement + 30 jours après résiliation |
| Token OAuth Google | Durée de la connexion active — suppression immédiate à la déconnexion ou suppression du compte |
| Avis Google importés | 12 mois maximum (suppression automatique) |
| Logs d'usage | 12 mois (suppression automatique) |
| Logs d'audit (sécurité) | 24 mois (suppression automatique) |
| Données de facturation | 6 ans (obligation comptable espagnole — Código de Comercio art. 30) |
5. Sous-traitants (sous-processeurs)
Nous faisons appel aux prestataires suivants. Chacun agit en tant que sous-traitant au sens du RGPD et a signé les garanties contractuelles appropriées (Clauses Contractuelles Types pour les transferts hors UE) :
| Prestataire | Rôle | Localisation |
|---|---|---|
| Supabase Inc. | Base de données et authentification | États-Unis (CCT UE) |
| Groq Inc. | Génération de suggestions de réponses par IA — provider actuel (modèle : llama-3.3-70b-versatile). Ne conserve pas les données après génération. N'entraîne pas ses modèles sur les données transmises. | États-Unis (CCT UE) |
| Anthropic PBC | Génération de suggestions de réponses par IA — provider post-validation API Google (modèles : claude-haiku / claude-sonnet), sélectionné pour la qualité rédactionnelle et sa politique contractuelle de non-entraînement sur données clients. N'entraîne pas ses modèles sur les données transmises. | États-Unis (CCT UE) |
| PostHog Inc. | Analyses statistiques d'usage : pages vues, actions utilisateur, navigation dans l'interface. Aucun enregistrement de session. Hébergé exclusivement sur serveurs Union Européenne (eu.i.posthog.com). | Union Européenne (eu.i.posthog.com) |
| Google LLC (API Business Profile) | Publication des réponses validées, lecture des avis et données établissement | États-Unis (Google API Services Terms) |
| Stripe Inc. | Paiement et abonnements | États-Unis / Irlande |
| Vercel Inc. | Hébergement de l'application | États-Unis (CCT UE) |
| Resend Inc. | Envoi d'e-mails transactionnels | États-Unis (CCT UE) |
| Web Push API (navigateur) | Notifications push PWA | Traitement local — aucun tiers |
Groq Inc. et Anthropic PBC agissent en tant que sous-traitants au sens du RGPD. Chacun s'engage contractuellement à ne pas utiliser les données transmises pour entraîner ses modèles d'intelligence artificielle, et à ne pas conserver ces données au-delà du traitement nécessaire à la génération de la réponse.
6. Données Google Business Profile et token OAuth
6.1 Données accessibles via l'API Google
Lorsque vous connectez votre compte Google Business Profile, LocalPatron accède aux données suivantes via l'API officielle :
| Donnée Google | Utilisation dans LocalPatron |
|---|---|
| Avis clients (publics) | Affichage, génération de suggestions de réponses par IA |
| Informations et attributs de l'établissement | Audit de fiche, calcul du score d'optimisation |
| Token OAuth d'accès | Publication des réponses validées par l'utilisateur |
Le scope OAuth demandé lors de la connexion est : https://www.googleapis.com/auth/business.manage. Ce scope est le minimum requis pour lire les avis et publier des réponses via l'API officielle Google Business Profile. LocalPatron n'accède pas à votre messagerie Gmail, vos contacts, votre agenda, ni à aucune autre donnée Google en dehors de votre fiche Business Profile.
6.2 Stockage du token OAuth
Votre token d'accès et de rafraîchissement Google est :
- Chiffré au repos dans notre base de données (AES-256-GCM)
- Jamais exposé côté client (stockage serveur uniquement)
- Renouvelé automatiquement avant expiration
- Immédiatement supprimé en cas de déconnexion depuis LocalPatron
6.3 Contrôle humain complet avant publication
Aucune donnée n'est envoyée à Google sans votre accord explicite et répété. Le processus de publication comprend quatre étapes humaines obligatoires :
- Génération : vous déclenchez la génération. Rien n'est publié.
- Validation du contenu : vous lisez, modifiez si besoin, enregistrez en brouillon. Toujours rien de publié.
- Confirmation : vous cliquez « Publier sur Google » et un écran de confirmation s'affiche.
- Publication effective : vous confirmez. L'API Google est appelée uniquement à ce moment.
LocalPatron ne publie jamais automatiquement sur votre fiche Google.
6.4 Révocation de l'accès Google
Via LocalPatron : Paramètres → Google Business Profile → Déconnecter
Via Google : myaccount.google.com/permissions → LocalPatron → Supprimer
Après révocation, vos données LocalPatron sont conservées selon les durées définies en section 4. Les réponses déjà publiées sur Google restent sur votre fiche.
6.5 Conformité Google API Services User Data Policy
L'utilisation par LocalPatron des informations reçues via les API Google est conforme à la Google API Services User Data Policy, y compris les exigences d'utilisation limitée (Limited Use requirements).
Plus précisément, LocalPatron s'engage à ce que les données issues des API Google :
- Soient utilisées uniquement aux fins explicitement décrites dans le présent document — assistance à la rédaction de réponses aux avis et audit de fiche.
- Ne soient jamais vendues, louées ni cédées à des tiers, quelles que soient les circonstances.
- Ne soient jamais utilisées à des fins publicitaires, de profilage marketing ou de ciblage comportemental.
- Ne soient transmises à des tiers que dans le cadre strict de l'exécution du Service, aux sous-traitants listés en section 5, et uniquement pour les finalités décrites.
- Ne soient jamais utilisées pour entraîner des modèles d'intelligence artificielle.
- Soient accessibles via les scopes OAuth strictement nécessaires au fonctionnement du Service.
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles.
- Droit de rectification : corriger des données inexactes.
- Droit à l'effacement (« droit à l'oubli ») : supprimer vos données sous certaines conditions.
- Droit à la portabilité : recevoir vos données dans un format structuré.
- Droit d'opposition : vous opposer aux traitements fondés sur l'intérêt légitime.
- Droit à la limitation : suspendre temporairement un traitement.
- Retrait du consentement : retirer à tout moment votre consentement (ex. : notifications push) sans affecter les traitements antérieurs.
Pour exercer ces droits : contact@localpatron.app. Nous répondons dans un délai d'un mois (deux mois si la demande est complexe).
Vous avez également le droit de déposer une plainte auprès de l'AEPD (Agencia Española de Protección de Datos) : www.aepd.es.
8. Cookies et traceurs
LocalPatron utilise les traceurs suivants :
| Traceur | Finalité | Base légale |
|---|---|---|
| Cookie de session (Supabase) | Authentification et maintien de la session utilisateur — strictement nécessaire au fonctionnement du Service | Nécessaire (exempt de consentement — art. 82 Loi Informatique et Libertés) |
| PostHog Analytics | Analyses statistiques d'usage : pages vues, actions utilisateur, navigation dans l'interface. Aucun enregistrement de session (Session Replay désactivé). Hébergé sur serveurs UE (eu.i.posthog.com). | Intérêt légitime (art. 6.1.f RGPD) — amélioration du Service |
| Vercel Analytics | Données de performance agrégées et anonymisées (Core Web Vitals, temps de chargement) — aucun cookie déposé sur le terminal | Données anonymes — hors champ RGPD |
Aucun cookie publicitaire. Aucun tracker à fins publicitaires. Aucune régie publicitaire. Vous pouvez vous opposer à l'analyse PostHog à tout moment en nous contactant à contact@localpatron.app.
9. Sécurité
Nous appliquons les mesures suivantes :
- Chiffrement en transit (HTTPS/TLS 1.3) et au repos.
- Row Level Security (RLS) : chaque utilisateur ne peut accéder qu'à ses propres données.
- Mots de passe hachés (bcrypt) — jamais stockés en clair.
- Clés API serveur jamais exposées côté client.
- Tokens d'accès Google chiffrés au repos (AES-256-GCM) et jamais exposés côté client.
- Rotation automatique des tokens d'accès avant expiration.
- Journaux d'audit pour détecter les accès anormaux.
9bis. Conformité aux politiques des plateformes tierces
Google API Services : L'utilisation par LocalPatron des informations reçues via les API Google est conforme à la Google API Services User Data Policy, y compris les exigences d'utilisation limitée (Limited Use requirements) — disponible sur developers.google.com/terms/api-services-user-data-policy. LocalPatron n'utilise pas les données Google à des fins publicitaires, ne les revend pas, ne les partage pas avec des tiers à des fins autres que celles décrites dans ce document, et limite strictement leur usage aux fonctionnalités de gestion de réputation décrites dans la présente politique.
Services de génération IA (Groq Inc. et Anthropic PBC) : Les données transmises à nos prestataires de génération de réponses par intelligence artificielle ne sont pas utilisées pour entraîner des modèles IA. Ces prestataires agissent en tant que sous-traitants au sens du RGPD et s'engagent à ne pas conserver les données au-delà du traitement nécessaire à la génération, et à ne jamais utiliser ces données à des fins autres que la génération de la suggestion de réponse demandée.
10. Modifications
Toute modification substantielle de cette politique sera notifiée par e-mail au moins 30 jours avant son entrée en vigueur. La version en vigueur est toujours disponible sur cette page.
11. Contact
Pour toute question relative à cette politique : contact@localpatron.app