Politique de confidentialité

LoopAds (SIREN 823 500 053) est l'éditeur du service.

Contact : contact@loopads.co.

Nous n'avons pas désigné de DPO : nous restons sous les seuils qui rendraient cette désignation obligatoire. Toute demande RGPD passe par l'email ci-dessus.

Données de compte : nom, prénom, email, rôle professionnel. Gérées via Clerk.

Données d'organisation : nom de l'organisation, configuration, membres.

Données de facturation : adresse de facturation et moyen de paiement tokenisé, traités par Stripe via Clerk Billing. Nous ne voyons jamais le numéro de carte.

Données Google OAuth (sign-in) : profil public (nom, email, photo). Utilisées uniquement pour vous identifier.

Données Meta OAuth (intégration prochaine via Marketing API) : scopes ads_read, ads_management, business_management. Nous collectons : identifiant du compte publicitaire, identifiants de campagnes, metrics agrégées (dépenses, reach, impressions, CTR, CPA), créatifs publiés (URLs image/vidéo, textes publicitaires). Nous ne collectons pas de données privées d'utilisateurs finaux (audiences personnalisées, listes clients, événements pixel).

Données techniques : logs, adresse IP, session d'authentification, traces LLM.

Exécution du contrat (art. 6.1.b RGPD) : fourniture du service, génération des analyses et des briefs, support.

Intérêt légitime (art. 6.1.f) : sécurité de la plateforme, logs techniques, amélioration produit sur données agrégées.

Consentement (art. 6.1.a) : scopes OAuth Google et Meta, explicitement accordés lorsque vous connectez un compte tiers.

Obligation légale (art. 6.1.c) : conservation des factures pendant 10 ans (article L.123-22 du Code de commerce).

Nous faisons appel aux sous-traitants suivants, encadrés par des Standard Contractual Clauses (SCC) lorsque le transfert hors UE est nécessaire.

Clerk — authentification et gestion d'organisations.

Stripe (via Clerk Billing) — traitement des paiements.

Supabase — base de données PostgreSQL.

Vercel — hébergement web et Vercel Analytics (cookieless).

Railway — hébergement du serveur MCP.

Anthropic — LLM Claude.

OpenAI / Requesty — LLM alternatif via gateway.

Google — OAuth sign-in.

Meta / Facebook — OAuth Marketing API (intégration à venir).

Plusieurs sous-traitants sont basés hors UE, principalement aux États-Unis. Les transferts sont encadrés par les Standard Contractual Clauses (SCC) et, lorsque le sous-traitant y est certifié, par l'EU-US Data Privacy Framework (DPF).

Données de compte : 90 jours après résiliation, puis suppression.

Factures : 10 ans (obligation comptable, article L.123-22 du Code de commerce).

Logs techniques : 13 mois maximum (recommandation CNIL).

Créatifs, analyses et briefs : supprimés à la demande ou automatiquement 90 jours après résiliation.

Données publicitaires Meta (agrégats via Marketing API) : fenêtre glissante de 90 jours, puis purge. Tokens OAuth Meta : révoqués immédiatement sur demande ou après 90 jours d'inactivité.

Nous n'utilisons aucun cookie tiers ni tracker publicitaire. Pas de Google Analytics, pas de Meta Pixel.

Vercel Analytics : cookieless, pas de consentement requis.

Cookies techniques Clerk : strictement nécessaires à l'authentification. Exemptés de consentement au titre de l'article 82 de la loi Informatique et Libertés (finalité exclusive d'authentification).

Si cette politique évolue, nous vous en informerons avant activation.

Vous disposez des droits RGPD suivants : accès, rectification, effacement, opposition, portabilité, limitation, retrait du consentement.

Pour exercer un droit : écrivez-nous à contact@loopads.co. Nous répondons sous un mois maximum (article 12 RGPD).

Pour une demande de suppression complète, consultez notre page dédiée /legal/data-deletion.

Vous avez également le droit de déposer une réclamation auprès de la CNIL : www.cnil.fr.

Chiffrement TLS sur toutes les connexions (HTTPS, PostgreSQL SSL).

Secrets stockés en variables d'environnement chiffrées (Railway, Vercel, Supabase).

Accès aux données limité au strict nécessaire.

Tokens OAuth chiffrés au repos.

En cas de violation de données, notification dans les 72 heures conformément à l'article 33 RGPD.

LoopAds's use of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.

Référence : https://developers.google.com/terms/api-services-user-data-policy#additional_requirements_for_specific_api_scopes

Les données Google que nous utilisons se limitent au profil (nom, email, photo) pour l'identification. Nous n'accédons pas à Gmail, Drive, Calendar ou tout autre service Google.

Notre usage de l'API Meta Marketing respecte les Meta Platform Terms et les Developer Policies.

Scopes utilisés (intégration à venir) : ads_read, ads_management, business_management.

Finalité : diagnostic créatif hebdomadaire du compte Meta Ads que vous connectez.

Nous ne vendons, ne louons ni ne partageons vos données Meta avec des tiers, à l'exception des sous-traitants listés à la section 4 et dans la stricte mesure nécessaire à la fourniture du service. Nous n'utilisons pas les données Meta à des fins publicitaires, de profilage ou de revente.

Nous ne stockons pas les données brutes Meta sur le long terme. Seuls des agrégats nécessaires au service sont conservés.

Vous pouvez révoquer notre accès à tout moment depuis business.facebook.com/settings/business-integrations. Les tokens OAuth sont alors invalidés immédiatement.

Cette politique peut évoluer. En cas de modification substantielle, nous vous notifierons par email et mettrons à jour la date en tête de cette page.

Contact : contact@loopads.co.