Politique de confidentialité

Dernière mise à jour : 2026-04-18

La présente politique décrit comment AdCoach AI, exploitée par FV – Fitness Vendor SAS, traite vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD).

1. Responsable du traitement

FV – Fitness Vendor, SAS

  • RCS Cherbourg : 921 713 418
  • Capital social : 1 000 €
  • Siège : 41 Les Bertrands, 50470 Tollevast, France
  • Contact : contact@fitness-vendor.com
  • Directeur de publication : Nils Mazeaud

2. Rôle de la plateforme

AdCoach AI permet à un annonceur de visualiser, comprendre et piloter ses campagnes publicitaires Meta (Facebook, Instagram) via une interface unifiée et un coach conversationnel propulsé par IA. Nous traitons les données publicitaires du compte Meta de l'utilisateur pour son propre compte.

3. Données collectées

  • Données de compte : email (pour authentification via lien magique)
  • Données publicitaires Meta : comptes publicitaires, campagnes, ad sets, ads, créatifs, insights (performance), leads (formulaires Lead Ads) — via OAuth utilisateur
  • Conversations IA : messages échangés avec le coach IA (Phase 5+)
  • Logs techniques : adresses IP, user-agent, timestamps de connexion — finalité sécurité uniquement

Aucune donnée bancaire n'est collectée en Phase 1 (pas de facturation active).

4. Finalités du traitement

  • Afficher le tableau de bord de performance publicitaire
  • Générer des recommandations via l'IA coach (Phase 5+)
  • Tracker les leads et calculer le ROI réel
  • Garantir la sécurité (logs techniques, détection d'abus)
  • Envoyer le lien magique d'authentification (email transactionnel)

5. Base légale

  • Article 6.1.b RGPD (exécution du contrat) : traitement des données publicitaires et authentification
  • Article 6.1.f RGPD (intérêt légitime) : logs techniques de sécurité
  • Consentement (Article 6.1.a) : cookies analytics, le cas échéant (voir Politique de cookies)

6. Sous-traitants et transferts

AdCoach AI recourt aux sous-traitants suivants, strictement encadrés par un DPA et, le cas échéant, par des Clauses Contractuelles Types (SCCs) pour tout transfert hors UE :

| Sous-traitant | Finalité | Localisation | Transfert hors UE | |---------------|----------|--------------|-------------------| | Supabase Inc. | Base de données + authentification + stockage secret | AWS Paris (eu-west-3) — UE | Non | | Vercel Inc. | Hébergement de l'application web | Siège US — serveurs edge cdg1 (Paris, UE) | Oui (SCCs) | | Resend Inc. | Envoi des emails transactionnels (magic link) | US | Oui (SCCs) | | Anthropic PBC | API Claude pour l'IA coach (Phase 5+) — uniquement données agrégées/pseudonymisées | US | Oui (SCCs) | | Meta Platforms Ireland Ltd | OAuth + accès aux données publicitaires via Graph API (Phase 2+) | Irlande / US | Oui (SCCs) | | Inngest Inc. | Orchestration des jobs de synchronisation Meta (Phase 2+) | US | Oui (SCCs) |

Engagement Meta (pour l'App Review)

AdCoach AI accède aux données publicitaires Meta uniquement en lecture seule via les permissions suivantes :

  • ads_read : lecture des performances publicitaires
  • business_management : lecture du Business Manager et des comptes publicitaires associés
  • leads_retrieval : récupération des leads Lead Ads

Aucune donnée Meta n'est revendue à des tiers. Les données sont exclusivement utilisées pour leur affichage dans l'interface AdCoach AI au bénéfice de l'utilisateur propriétaire du compte.

Procédure de suppression Meta (data deletion callback) : l'utilisateur peut demander à tout moment la suppression de ses données Meta synchronisées en contactant contact@fitness-vendor.com. La suppression intervient sous 30 jours.

7. Durée de conservation

| Donnée | Durée | |--------|-------| | Insights Meta quotidiens | Archivage au-delà de 90 jours, suppression définitive à 365 jours | | Tokens OAuth Meta | Jusqu'à révocation par l'utilisateur ou expiration (60 jours par Meta) | | Leads Meta | Indéfiniment, sauf suppression explicite par l'utilisateur | | Conversations IA | ~90 jours glissants (Phase 5+) | | Logs techniques | 12 mois |

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès (Art. 15)
  • Droit de rectification (Art. 16)
  • Droit à l'effacement (Art. 17) — suppression de compte disponible dans les paramètres
  • Droit à la portabilité (Art. 20) — export CSV + JSON disponible (Phase 6)
  • Droit d'opposition et de limitation (Art. 21-22)

Délai de réponse : 30 jours. Contact : contact@fitness-vendor.com.

9. Sécurité

  • Chiffrement des tokens OAuth dans Supabase Vault (Phase 2+)
  • Row-Level Security (RLS) Postgres : isolement cryptographique de chaque utilisateur
  • HTTPS partout (TLS 1.3)
  • Hébergement UE (Paris) pour les données personnelles

10. Cookies

Voir notre Politique de cookies dédiée.

11. Modifications

Toute modification significative de la présente politique fait l'objet d'une notification par email au moins 30 jours avant son entrée en vigueur.

12. Réclamation

En cas de différend non résolu, vous pouvez saisir la CNIL (www.cnil.fr).