Politique de Confidentialité
Dernière mise à jour : mai 2026 — Conforme RGPD (UE) 2016/6791. Responsable du traitement
POULY NICOLAS
16 Rue du Tonnelier, 59890 Quesnoy-sur-Deüle — SIRET 911 125 615 00011
Contact DPO : nicolas.pouly.pro@gmail.com
2. Données collectées
| Catégorie | Données | Source |
|---|---|---|
| Compte commerçant | Adresse email, nom de la boutique, nom du propriétaire (si connexion Google), mot de passe hashé (bcrypt) | Saisie lors de l'inscription |
| Configuration boutique | Horaires d'ouverture, liste des prestations, message d'accueil, token bot Telegram | Saisie dans le tableau de bord |
| Conversations clients | Messages Telegram des clients (texte), prénom/nom Telegram, identifiant Telegram | Transmis par l'API Telegram |
| Messagerie Instagram | Messages Instagram des clients (texte), identifiant Instagram | Transmis par l'API Meta Instagram |
| Réservations | Service demandé, date, heure, statut, commentaires | Généré par le bot IA |
| Paiement | Identifiant client Stripe, statut d'abonnement — aucune donnée bancaire stockée par MyLOKI | Stripe (sous-traitant) |
| Cookies techniques | Cookie de session (httponly), cookie « remember me » (30j) | Générés à la connexion |
3. Finalités du traitement
| Finalité | Base légale |
|---|---|
| Fourniture du service (assistant IA, dashboard) | Exécution du contrat |
| Authentification et sécurité du compte | Intérêt légitime |
| Facturation et gestion des abonnements | Obligation légale / contrat |
| Envoi d'emails transactionnels (bienvenue, factures, alertes paiement) | Exécution du contrat |
| Amélioration du service (logs anonymisés) | Intérêt légitime |
4. Durée de conservation
- Données de compte : durée de l'abonnement + 3 ans après résiliation
- Conversations et réservations : 12 mois glissants
- Données de facturation : 10 ans (obligation comptable légale)
- Logs serveur : 30 jours
- Cookies de session : 7 jours (remember me : 30 jours)
5. Sous-traitants
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Railway | Hébergement de l'application et de la base de données | États-Unis (US-East) |
| OpenAI | Génération des réponses IA (messages clients traités) | États-Unis |
| Stripe | Paiement en ligne et gestion des abonnements | États-Unis / UE |
| Resend | Envoi d'emails transactionnels | États-Unis |
| Telegram | Canal de messagerie entre le bot et les clients finaux | Émirats Arabes Unis / UE |
| Meta (Instagram) | Réception et envoi de messages via l'API Instagram | États-Unis / UE |
| Google (Calendar API) | Synchronisation optionnelle des rendez-vous avec Google Calendar | États-Unis / UE |
Les transferts hors UE s'effectuent sur la base des clauses contractuelles types de la Commission européenne ou des garanties appropriées prévues par le RGPD.
6. Utilisation des données Google
Lorsque vous connectez votre Google Calendar à MyLOKI, nous accédons aux données suivantes via l'API Google Calendar :
- Adresse e-mail Google : uniquement pour identifier le compte connecté et l'afficher dans votre tableau de bord
- Événements de calendrier : lecture pour détecter les conflits horaires, création lors de la confirmation d'un rendez-vous, suppression lors de l'annulation d'un rendez-vous
Avec qui ces données sont-elles partagées ?
Les données Google ne sont jamais partagées, vendues ou transmises à des tiers à des fins publicitaires ou commerciales. Elles sont uniquement traitées par :
- Railway (hébergement) — pour stocker le token d'accès Google chiffré en base de données
- MyLOKI — pour créer, lire et supprimer des événements dans votre calendrier
OpenAI ne reçoit jamais de données Google Calendar.
Usage limité aux fonctionnalités de l'application
L'utilisation des données Google Calendar est strictement limitée à la synchronisation de vos rendez-vous MyLOKI avec votre agenda Google. Ces données ne sont utilisées à aucune autre fin, notamment pas pour de la publicité, du profilage ou de l'analyse marketing.
MyLOKI respecte la politique d'utilisation limitée des données Google (Google API Services User Data Policy).
Protection des données sensibles
- Les tokens d'accès Google sont stockés chiffrés en base de données (PostgreSQL sur Railway)
- Les tokens sont transmis exclusivement via HTTPS (TLS 1.2+)
- L'accès est restreint au seul serveur MyLOKI — aucun accès humain aux tokens
- Vous pouvez révoquer l'accès à tout moment depuis votre compte Google (myaccount.google.com/permissions) ou depuis les paramètres MyLOKI
- Les tokens sont supprimés de notre base dès que vous déconnectez Google Calendar
7. Cookies
MyLOKI utilise uniquement des cookies techniques strictement nécessaires au fonctionnement :
loki_session— cookie de session authentifiée (httponly, durée 7 jours)loki_remember— cookie de connexion persistante optionnelle (httponly, durée 30 jours)
Aucun cookie publicitaire, analytique ou de tracking tiers n'est utilisé.
8. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir une copie de vos données
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement (« droit à l'oubli ») : supprimer vos données
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition : vous opposer à certains traitements
- Droit à la limitation : suspendre temporairement un traitement
Pour exercer vos droits, contactez :
nicolas.pouly.pro@gmail.com
Vous disposez également du droit d'introduire une réclamation auprès de la
CNIL.