Politique de confidentialité
Cette politique explique quelles données Sepiola traite, pourquoi, où elles sont stockées, et quels sont vos droits. Sepiola est conçu autour d'un principe simple : vos données restent par défaut sur votre appareil. Le strict minimum transite par nos serveurs, et uniquement pour faire fonctionner le service que vous avez demandé.
1. Responsable du traitement
Sepiola (le « Service ») est édité par l'exploitant individuel joignable à support@sepiola.app. Pour toute question relative à vos données personnelles, écrivez à cette adresse.
2. Données traitées et finalités
| Donnée | Où | Finalité | Base légale (RGPD) |
|---|---|---|---|
| Vos annonces, dressing, ventes/achats, marges, photos | Localement, dans votre navigateur (IndexedDB / stockage de l'extension) | Faire fonctionner l'assistant. Ces données ne sont jamais envoyées à nos serveurs. | Exécution du service / intérêt légitime |
| Photos d'articles | Transmises à l'API Google Gemini pour analyse (directement, ou via notre backend en formule Pro/Free) | Générer titre, description, prix et attributs de l'annonce | Exécution du service (à votre demande explicite) |
| Photos envoyées depuis le téléphone (« import téléphone ») | Transitent chiffrées de bout en bout par notre relais (Cloudflare), puis sont supprimées après réception (max 15 min). La clé de déchiffrement reste sur votre téléphone et votre PC — nous ne pouvons pas lire ces photos. | Transférer vos photos du téléphone vers l'extension sur le PC | Exécution du service (à votre demande explicite) |
| Adresse e-mail | Notre backend (Cloudflare D1) + service d'envoi (Resend) | Connexion par lien magique (magic-link), gestion d'abonnement, support | Exécution du contrat |
| Identifiant Vinted (vintedUserId) | Notre backend, le cas échéant | Lutte contre l'abus du quota gratuit (détection de comptes multiples). Usage soft (incitation Pro), jamais de blocage automatique sec. | Intérêt légitime |
| Données d'abonnement (statut, plan, paiement) | Lemonsqueezy (processeur de paiement, Merchant of Record) + notre backend | Encaissement, facturation, accès à la formule Pro | Exécution du contrat / obligation légale (comptabilité) |
| Rapports d'erreur de sélecteur (optionnel, opt-in) | Notre backend | Détecter quand Vinted change son interface, pour pousser un correctif. Le contenu DOM est anonymisé (e-mails, identifiants longs et montants retirés) avant envoi. | Consentement (désactivable) |
| Compteur d'analyses IA (quota mensuel) | Notre backend | Appliquer les limites de quota par formule | Exécution du contrat |
3. Sous-traitants et transferts
Sepiola s'appuie sur les prestataires suivants, choisis pour leur conformité :
- Google (Gemini API) — analyse des photos. Les images peuvent être traitées sur des serveurs hors UE (États-Unis). Google ne les utilise pas pour entraîner ses modèles dans le cadre de l'API payante, et ne les conserve pas durablement. Transmission chiffrée (TLS).
- Cloudflare — hébergement du backend (Workers, base D1, cache KV). Données au repos chiffrées.
- Lemonsqueezy — paiement et facturation (Merchant of Record). Voir leur propre politique de confidentialité pour les données de paiement (Sepiola ne stocke jamais votre numéro de carte).
- Resend — envoi des e-mails transactionnels (lien de connexion, bienvenue).
Les transferts hors UE (Google, certains de ces prestataires) sont encadrés par les clauses contractuelles types de la Commission européenne et/ou le cadre Data Privacy Framework.
4. Ce que Sepiola ne fait pas
- Sepiola n'envoie aucune donnée Vinted (annonces, acheteurs, conversations) à ses serveurs.
- Sepiola ne revend pas vos données et n'en fait aucun usage publicitaire.
- Sepiola ne pose pas de cookie de pistage. Le site vitrine peut utiliser une mesure d'audience respectueuse de la vie privée (sans cookie d'identification).
- Sepiola n'agit jamais seul sur votre compte Vinted : c'est vous qui cliquez « Publier ».
5. Durée de conservation
- Données locales : conservées tant que vous ne les supprimez pas. Le bouton « Effacer mes données (RGPD) » dans Paramètres → Avancé les efface intégralement (IndexedDB + stockage local).
- Liens de connexion : expirent après 15 minutes, à usage unique.
- E-mail / compte : conservés tant que votre compte existe. Supprimés sur demande (voir §6).
- Compteur d'analyses : fenêtre glissante de 30 jours.
- Données de facturation : conservées 10 ans (obligation comptable légale).
6. Vos droits
Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité.
- Accès / portabilité : vos données locales sont exportables via la sauvegarde ZIP de l'extension. Pour les données côté serveur (e-mail, abonnement), écrivez-nous.
- Effacement : utilisez le bouton « Effacer mes données (RGPD) » dans l'extension pour les données locales, et écrivez à support@sepiola.app pour supprimer votre compte serveur.
- Réclamation : vous pouvez saisir la CNIL (cnil.fr) si vous estimez que vos droits ne sont pas respectés.
7. Sécurité
Les communications sont chiffrées (HTTPS/TLS). Les secrets (clés API) sont stockés côté serveur, jamais exposés à l'extension en formule Pro/Free. Le token de connexion n'est jamais stocké en clair (haché SHA-256). Aucune mesure n'est infaillible : nous vous invitons à protéger l'accès à votre appareil.
8. Mineurs
Sepiola n'est pas destiné aux personnes de moins de 16 ans et ne collecte pas sciemment leurs données.
9. Modifications
Cette politique peut évoluer. La date de dernière mise à jour en haut de page fait foi. En cas de changement substantiel, nous vous en informerons (dans l'extension ou par e-mail).
10. Contact
Pour toute question : support@sepiola.app.