1. Responsable du traitement
Le responsable du traitement des données personnelles est Luna Corporation LTD, société de droit anglais immatriculée sous le numéro 16526908, dont le siège social est situé 71-75 Shelton Street, Covent Garden, London WC2H 9JQ, United Kingdom. Pour toute question relative à tes données personnelles : privacy@konvertpilot.com.
2. Données collectées
Données d'identification
- Nom et prénom
- Adresse email
- Mot de passe (chiffré)
Données de facturation
- Informations de paiement (traitées par Stripe, jamais stockées sur nos serveurs)
- Adresse de facturation
- Historique des transactions
Données d'utilisation
- Pages générées et leur contenu
- Boutiques connectées (URL, tokens d'accès OAuth)
- Statistiques d'utilisation (nombre de pages, vues, clics)
Données techniques
- Adresse IP
- Type de navigateur et système d'exploitation
- Pages visitées et durée de visite
- Cookies et identifiants de session
3. Finalités du traitement
| Finalité | Base légale | Durée |
|---|
| Gestion du compte utilisateur | Exécution du contrat | Durée du compte + 30 jours |
| Facturation et paiements | Obligation légale | 10 ans (obligation comptable) |
| Génération de landing pages | Exécution du contrat | Durée du compte + 30 jours |
| Emails transactionnels et séquences | Intérêt légitime | Jusqu'à désinscription |
| Amélioration du Service | Intérêt légitime | 26 mois (données anonymisées) |
| Mesure d'audience | Consentement | 13 mois |
4. Sous-traitants et transferts de données
Pour faire fonctionner KONVERT, LUNA CORPORATION LTD fait appel à des entreprises tierces (appelées "sous-traitants") qui traitent certaines de tes données pour notre compte, dans le strict cadre de la mission qu'on leur confie. C'est une obligation de transparence prévue par l'article 28 du RGPD. Chaque sous-traitant est contractuellement tenu de protéger tes données et de ne les utiliser que pour la finalité déclarée.
Lorsque des données sont transférées hors de l'Union européenne, ce transfert est encadré par un mécanisme juridique reconnu par la Commission européenne (articles 44 à 49 du RGPD) : soit une décision d'adéquation (le pays offre un niveau de protection équivalent à l'UE), soit les Clauses Contractuelles Types (CCT/SCC — des clauses juridiques standard approuvées par la Commission), soit le Data Privacy Framework (DPF — accord UE-USA en vigueur depuis juillet 2023).
| Sous-traitant | Finalité | Localisation |
|---|
| Supabase | Base de données et authentification | EU (Francfort) |
| Vercel | Hébergement (région cdg1 Paris) | France |
| Stripe | Paiement | EU / USA (SCC) |
| Resend | Envoi d'emails | USA (SCC) |
| Anthropic (Claude AI) | Génération de contenu | USA (SCC) |
Sous-traitants additionnels
DeepSeek (Hangzhou DeepSeek Artificial Intelligence Co., Ltd.)
- Finalité : Génération automatique de textes pour tes pages produit (copy, descriptions, accroches). DeepSeek est l'un des modèles de langage IA que KONVERT utilise pour produire du contenu à ta place.
- Données traitées : Prompts techniques contenant l'URL de la page produit à analyser, le nom du produit, la catégorie et les paramètres de génération choisis. Par défaut, aucune donnée permettant de t'identifier directement (email, nom, identifiant de compte) n'est incluse dans les prompts envoyés à DeepSeek. Nous appliquons une politique de minimisation des données : seul le strict nécessaire à la génération est transmis.
- Localisation : République populaire de Chine (serveurs en Chine) — avec capacité de traitement aux États-Unis selon leur infrastructure.
- Base légale du transfert (hors EU) : La Chine ne bénéficie pas d'une décision d'adéquation de la Commission européenne (RGPD Art. 44). En l'absence de SCC formellement signées avec DeepSeek à ce jour, le transfert repose sur la minimisation et l'anonymisation des données transmises. Une évaluation régulière du risque est effectuée. Si tu souhaites que tes pages soient générées sans recourir à DeepSeek, contacte-nous à privacy@konvertpilot.com.
- Durée de conservation : Les données transmises ne sont pas stockées de manière persistante par DeepSeek au-delà du temps de traitement nécessaire à la génération (durée de la requête API), selon leur politique de confidentialité.
- Politique DeepSeek : deepseek-privacy-policy.html
Meta Platforms (Conversions API — Meta CAPI)
- Finalité : Mesure de la performance des campagnes publicitaires Meta (Facebook, Instagram) via l'API Conversions server-side. Meta CAPI nous permet de transmettre les événements de conversion directement depuis nos serveurs, sans dépendre du navigateur.
- Données traitées : Événements de conversion (type d'action, horodatage, valeur), identifiants hachés (email haché en SHA-256, IP hachée) uniquement si tu as donné ton consentement explicite. Aucune donnée n'est transmise à Meta sans ton accord préalable.
- Localisation : États-Unis (Meta Platforms, Inc., 1 Meta Way, Menlo Park, CA 94025, USA) — entités européennes traitant les données EU : Meta Platforms Ireland Limited.
- Base légale du transfert (hors EU) : Data Privacy Framework UE-USA (DPF) — Meta est certifiée. + Clauses Contractuelles Types (SCC) via les Meta Data Processing Terms.
- Consentement requis : Oui. Le pixel Meta et Meta CAPI sont activés uniquement après ton accord explicite dans le bandeau cookies. Si tu refuses les cookies marketing, aucune donnée n'est transmise à Meta. Tu peux modifier ton choix à tout moment via notre page /legal/cookies.
- Durée de conservation : Selon la politique Meta — données publicitaires conservées 180 jours par défaut dans Meta Ads Manager.
- Lien DPA / Politique : facebook.com/legal/terms/dataprocessing
Google LLC (Analytics 4 — GA4)
- Finalité : Mesure d'audience et analyse du comportement des visiteurs sur konvertpilot.com. GA4 nous permet de comprendre quelles pages sont les plus visitées, d'où viennent les utilisateurs, et comment améliorer le service.
- Données traitées : Données de navigation (pages visitées, durée de session, actions cliquées), identifiant de session anonymisé, adresse IP tronquée (anonymisation activée — le dernier octet de l'IP est supprimé avant stockage), type de navigateur, pays de connexion. Aucun nom ni email n'est transmis à Google Analytics.
- Localisation : États-Unis (Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) — traitement EU disponible via la fonctionnalité de localisation des données GA4.
- Base légale du transfert (hors EU) : Data Privacy Framework UE-USA (DPF) — Google est certifiée. + Clauses Contractuelles Types (SCC) via les Data Processing Terms Google Analytics.
- Consentement requis : Oui. GA4 est activé uniquement après ton accord explicite dans le bandeau cookies (catégorie "Analytics"). Si tu refuses les cookies analytics, aucune donnée n'est transmise à Google Analytics. Tu peux modifier ton choix à tout moment via notre page /legal/cookies.
- Durée de conservation : 14 mois (paramétrage GA4 minimal retenu par KONVERT) — données anonymisées conservées 26 mois.
- Lien DPA / Politique : support.google.com/analytics/answer/3379636
TikTok for Business (TikTok Ads — pixel + Events API)
- Finalité : Mesure de la performance des campagnes publicitaires TikTok et ciblage publicitaire. Le pixel TikTok et l'Events API permettent de tracer les conversions (abonnements, essais) pour optimiser les campagnes.
- Données traitées : Événements de conversion (type d'action, horodatage, valeur de commande), identifiants hachés (email haché en SHA-256) uniquement avec ton consentement. Aucune donnée n'est transmise à TikTok sans ton accord préalable.
- Localisation : TikTok Technology Limited (Irlande) pour les utilisateurs EU/EEE — siège européen : Dublin, Irlande. Traitement possible également depuis Singapour (TikTok Pte. Ltd.) et États-Unis.
- Base légale du transfert (hors EU) : Clauses Contractuelles Types (SCC) via les TikTok Data Processing Terms pour les transferts hors EEE.
- Consentement requis : Oui. Le pixel TikTok est activé uniquement après ton accord explicite dans le bandeau cookies (catégorie "Marketing"). Si tu refuses les cookies marketing, aucune donnée n'est transmise à TikTok. Tu peux modifier ton choix à tout moment via notre page /legal/cookies.
- Durée de conservation : Selon la politique TikTok for Business — données événements conservées 13 mois maximum.
- Lien DPA / Politique : ads.tiktok.com — Data Processing Terms
Crisp (Crisp IM SAS)
- Finalité : Support client et chat en direct. Crisp est l'outil que tu utilises pour nous contacter directement via la bulle de chat en bas à droite de konvertpilot.com.
- Données traitées : Contenu des messages échangés avec le support, adresse email si tu la fournis dans le chat, adresse IP, informations de session (navigateur, page en cours au moment du contact).
- Localisation : France — Crisp IM SAS est une société française basée à Nantes. Les données sont hébergées en Europe.
- Base légale du transfert : Aucun transfert hors EU — Crisp est une société française, données hébergées en Europe.
- Durée de conservation : Conversations conservées pendant la durée du compte + 6 mois après résiliation. Tu peux demander la suppression de tes conversations via privacy@konvertpilot.com.
- Lien DPA / Politique : crisp.chat/fr/privacy/
Cette liste est mise à jour à chaque ajout ou changement de sous-traitant. Si tu veux savoir avec précision quelles données ont été transmises à quel sous-traitant en ton nom, tu peux exercer ton droit d'accès via privacy@konvertpilot.com.
5. Tes droits sur tes données (RGPD Art. 15 à 22)
Le RGPD te donne un ensemble de droits sur tes données personnelles. Tu peux les exercer à tout moment en nous écrivant à privacy@konvertpilot.com. On te répondra dans un délai maximum de 30 jours (délai légal, article 12 du RGPD). Si ta demande est complexe, ce délai peut être prolongé de 2 mois — on te prévient dans ce cas dans les 30 premiers jours.
- Droit d'accès (Art. 15) : tu peux demander une copie de toutes les données personnelles que KONVERT détient sur toi, dans un format lisible.
- Droit de rectification (Art. 16) : si des données sont incorrectes ou incomplètes, tu peux les faire corriger. Les informations de base (email, nom) sont modifiables directement depuis ton compte.
- Droit à l'effacement — "droit à l'oubli" (Art. 17) : tu peux demander la suppression de toutes tes données personnelles. Attention : certaines données de facturation doivent être conservées 10 ans par obligation légale comptable et ne peuvent pas être effacées avant ce délai.
- Droit à la portabilité (Art. 20) : tu peux recevoir tes données dans un format structuré et lisible par machine (JSON ou CSV) pour les transférer vers un autre service.
- Droit d'opposition (Art. 21) : tu peux t'opposer au traitement de tes données basé sur notre intérêt légitime (ex : amélioration du service, analytics non-consentis). Tu peux aussi te désinscrire de nos emails marketing à tout moment via le lien de désinscription présent en bas de chaque email.
- Droit à la limitation (Art. 18) : tu peux demander la suspension temporaire du traitement de tes données (par exemple, pendant que tu contestes leur exactitude).
- Droit de retirer ton consentement (Art. 7) : pour tous les traitements basés sur ton consentement (cookies analytics, cookies marketing), tu peux retirer ton accord à tout moment via notre page /legal/cookies. Le retrait n'affecte pas les traitements effectués avant.
Comment exercer tes droits : Envoie un email à privacy@konvertpilot.com en indiquant clairement le droit que tu souhaites exercer. Pour qu'on puisse vérifier ton identité et éviter toute usurpation, on te demandera une confirmation via l'adresse email associée à ton compte. Tu peux aussi passer par notre page /contact.
Mise en oeuvre technique en cours : Les routes d'export automatique de données (Art. 15 et 20) et de suppression de compte automatique (Art. 17) sont en cours de déploiement. En attendant, toutes les demandes sont traitées manuellement via privacy@konvertpilot.com dans le délai de 30 jours garanti.
Si tu estimes que le traitement de tes données ne respecte pas le RGPD, tu as le droit de déposer une plainte auprès d'une autorité de protection des données :
- En France : CNIL (Commission Nationale de l'Informatique et des Libertés) — cnil.fr
- Au Royaume-Uni : ICO (Information Commissioner's Office) — ico.org.uk
- Dans tout autre État membre de l'UE : l'autorité de contrôle de ton pays de résidence
6. Sécurité des données
Nous mettons en place les mesures suivantes pour protéger tes données :
- Chiffrement des données en transit (TLS 1.3) et au repos
- Authentification sécurisée avec hachage bcrypt des mots de passe
- Row Level Security (RLS) sur toutes les tables de la base de données
- Tokens d'accès OAuth chiffrés pour les intégrations tierces
- Revue régulière des accès et des permissions
7. Cookies
Notre utilisation des cookies est détaillée dans notre politique de cookies.
8. Modifications
Nous pouvons mettre à jour cette politique périodiquement. Toute modification substantielle sera notifiée par email ou par notification dans le Service au moins 15 jours avant son entrée en vigueur.
9. Intelligence artificielle et AI Act
KONVERT est un service de génération de contenu par intelligence artificielle. Les textes produits pour tes pages produit (descriptions, accroches, arguments de vente) sont générés automatiquement par des modèles de langage IA, notamment Claude (Anthropic) et DeepSeek.
Ce que ça veut dire concrètement :
- Les contenus générés par KONVERT sont produits par une IA, pas écrits par un humain.
- Tu restes le seul responsable des pages que tu publies — vérifie toujours que le contenu généré est exact, légal et conforme à ta réalité commerciale avant de le publier.
- KONVERT ne garantit pas l'exactitude des affirmations contenues dans les textes générés. Les chiffres, statistiques et allégations doivent être vérifiés par tes soins.
Conformité AI Act (Règlement UE 2024/1689) :Conformément à l'article 50 du Règlement européen sur l'intelligence artificielle (AI Act), une mention explicite "Contenu généré avec assistance IA" sera ajoutée de manière visible sur chaque page produit générée via KONVERT, à compter du 2 août 2026 (date d'entrée en vigueur de l'obligation de transparence).
Une métadonnée machine-readable sera également intégrée dans le code des pages générées (<meta name="ai-generated" content="true">) pour permettre une identification automatisée des contenus IA, conformément à l'article 50(2) du AI Act.
Nous conservons des logs de génération (horodatage, identifiant session, modèle utilisé, empreinte de l'output) pour permettre l'auditabilité de nos systèmes IA, conformément aux exigences du AI Act.