Politique de confidentialité
Version 1.0 — Dernière mise à jour : 3 mars 2026
1. Qui sommes-nous ?
NarratIQ est un service SaaS d'analyse et de reporting pour les freelances et agences digitales. Le responsable du traitement est l'éditeur de NarratIQ (ci-après « nous » ou « NarratIQ »).
Contact : dpo@narratiq.fr
2. Données que nous collectons
2.1 Données de compte
- Adresse email (identifiant unique)
- Nom (optionnel)
- Date d'inscription et historique de connexion
- Informations de facturation (traitées par Stripe — nous ne stockons pas les numéros de carte)
2.2 Données clients que vous nous confiez
Lorsque vous connectez des comptes Google Analytics 4 ou Meta Ads de vos clients, NarratIQ accède uniquement aux métriques agrégées (sessions, impressions, dépenses, etc.). Ces données ne sont jamais stockées en base de données — elles sont mises en cache temporairement dans Redis (TTL de 6 à 24 heures maximum) puis supprimées automatiquement.
- Tokens OAuth GA4 et Meta Ads chiffrés en AES-256-GCM
- Métriques agrégées en cache Redis (TTL court)
- Rapports PDF générés (stockés sur Cloudflare R2 EU)
2.3 Données techniques
- Logs d'accès (adresse IP, user-agent, action) — conservés 90 jours maximum, puis supprimés automatiquement
- Cookies de session (authentification NextAuth)
3. Pourquoi nous traitons ces données (base légale)
| Finalité | Base légale |
|---|---|
| Fourniture du service (dashboard, rapports, alertes) | Exécution du contrat (CGU) |
| Facturation et gestion des abonnements | Exécution du contrat + obligation légale |
| Envoi d'emails transactionnels (rapports, alertes) | Exécution du contrat |
| Logs de sécurité et audit | Intérêt légitime (sécurité) |
| Conformité RGPD (DPA, acceptation) | Obligation légale |
4. Sous-traitants et transferts
Toutes nos données sont hébergées dans l'Union Européenne. Voici la liste de nos sous-traitants :
| Service | Rôle | Localisation |
|---|---|---|
| Neon PostgreSQL | Base de données principale | EU — Francfort |
| Upstash Redis | Cache métriques | EU — Francfort |
| Cloudflare R2 | Stockage PDFs | EU |
| Stripe | Paiements | EU (certifié PCI-DSS) |
| Resend | Emails transactionnels | EU |
| Vercel | Hébergement application | EU (région configurée) |
| Google (GA4 API) | Accès aux données analytiques | Lecture seule — DPA Google en vigueur |
| Meta (Marketing API) | Accès aux données publicitaires | Lecture seule — DPA Meta en vigueur |
5. Durée de conservation
- Données de compte : pendant la durée de votre abonnement, puis supprimées dans les 30 jours suivant la résiliation.
- Métriques GA4/Meta : uniquement en cache Redis, TTL 6–24h. Jamais stockées en base de données.
- Rapports PDF : conservés sur R2 pendant la durée de votre abonnement.
- Logs d'accès : 90 jours maximum, puis purgés automatiquement.
- Données de facturation : 10 ans (obligation légale comptable).
6. Vos droits RGPD
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès (Art. 15) : obtenir une copie de vos données via l'export JSON dans Paramètres.
- Droit de rectification (Art. 16) : modifier votre email ou nom dans les Paramètres.
- Droit à l'effacement (Art. 17) : supprimer votre compte depuis Paramètres → Zone dangereuse. Suppression en cascade dans les 72h.
- Droit à la portabilité (Art. 20) : export JSON de toutes vos données via Paramètres.
- Droit d'opposition (Art. 21) : vous pouvez vous opposer à tout traitement fondé sur l'intérêt légitime en nous contactant.
- Droit de réclamation : saisir la CNIL (cnil.fr) si vous estimez que vos droits ne sont pas respectés.
Pour exercer ces droits : dpo@narratiq.fr — Réponse sous 30 jours maximum.
7. Cookies
NarratIQ utilise uniquement des cookies strictement nécessaires au fonctionnement :
- Cookie de session (NextAuth) — authentification, durée de vie : session navigateur.
- Cookie CSRF — sécurité des formulaires.
Aucun cookie publicitaire, aucun tracker tiers. Aucun consentement requis pour ces cookies essentiels (Directive ePrivacy Art. 5.3).
8. Sécurité
- Chiffrement AES-256-GCM de tous les tokens OAuth au repos
- Connexions TLS 1.3 exclusivement
- Authentification par lien magique (pas de mot de passe stocké)
- Accès en lecture seule aux APIs Google et Meta
- Audit interne des accès, logs conservés 90 jours
9. Modifications
Toute modification substantielle de cette politique sera notifiée par email au moins 14 jours avant son entrée en vigueur. La version en vigueur est toujours accessible à cette URL. Version actuelle : 1.0 (3 mars 2026).