Politique de confidentialité

1. Le responsable du traitement

Le responsable du traitement de tes données personnelles est ITAKECARE SRL (BCE BE 0795.642.894), établie au Avenue Général Michel 1/E, 6000 Charleroi, Belgique.

Pour toute question relative à la protection de tes données, écris-nous à hello@itakecare.be. On répond sous 7 jours ouvrables.

2. Quelles données on collecte

2.1 Données de compte

• Email, mot de passe haché (bcrypt), nom optionnel
• Organisation, rôle (owner / admin / member / viewer)
• Métadonnées techniques : IP, user-agent, dates de connexion

2.2 Données Meta connectées

Quand tu connectes un compte Meta Ads, on stocke :

• L'ID du compte publicitaire (act_xxx) et son nom
• Le token d'accès Meta (chiffré en base, accessible uniquement par AdiOS)
• Les insights agrégés que tu choisis de mettre en cache (impressions, clics, dépenses, conversions, etc.)
• Les méta-données de tes pubs (nom, statut, créa) — pas les contenus utilisateurs ciblés

2.3 Espionnage Ad Library

Pour le module concurrents, on stocke uniquement les données publiques que Meta expose dans son Ad Library : ID de la pub, page concurrente, créatif, dates, snapshot URL. C'est exactement ce que n'importe qui peut voir sur facebook.com/ads/library.

2.4 Données de paiement

On utilise un prestataire de paiement tiers (Stripe). On ne stocke jamais tes données de carte. On garde uniquement l'ID client Stripe pour rapprocher les factures.

3. Pourquoi on collecte ces données

• Fournir le service : analyser tes campagnes, générer des recommandations, te ping en cas d'anomalie. Base légale : exécution du contrat.
• Sécurité : détecter les abus, faire respecter les CGU. Base légale : intérêt légitime.
• Facturation : émettre les factures, gérer la comptabilité. Base légale : obligation légale.
• Communication produit (changelogs, alertes service) : si tu es client. Base légale : exécution du contrat.
• Newsletter marketing : uniquement si tu opt-in explicitement. Base légale : consentement, retirable à tout moment.

4. Avec qui on partage

On ne vend, ne loue, ne cède aucune donnée. On la partage uniquement avec des sous-traitants nécessaires au service :

• Hostinger / OVH (UE) — hébergement du VPS
• Anthropic (États-Unis, clauses contractuelles types) — appels Claude pour la génération de copy. Tes prompts ne sont pas utilisés pour entraîner leurs modèles (politique Anthropic API).
• Ideogram / Black Forest Labs (États-Unis, clauses contractuelles types) — génération d'images
• Meta Platforms — accès en lecture/écriture à ton ad account, via les API officielles
• Stripe (UE/US) — traitement des paiements

Aucun de ces tiers n'a accès à plus de données qu'il n'en faut pour faire son boulot.

5. Où vivent tes données

La base de données primaire (Postgres / Supabase self-hosted) est hébergée en Belgique sur le VPS d'iTakecare (Hostinger, datacenter UE). Les sauvegardes chiffrées sont conservées en Europe. Les seuls flux sortants vers des tiers hors UE sont les appels API vers Meta, Anthropic, Ideogram et Stripe — strictement nécessaires au service.

6. Durée de conservation

• Données de compte : tant que ton compte est actif, puis 30 jours après résiliation
• Insights Meta cachés : 90 jours glissants
• Logs techniques : 12 mois, anonymisés au-delà
• Factures : 7 ans (obligation comptable belge)

7. Tes droits (RGPD)

Tu as le droit, à tout moment :

• d'accéder à tes données (export en 1 clic depuis Paramètres)
• de les rectifier
• de les faire effacer (« droit à l'oubli »)
• de limiter ou de t'opposer à un traitement
• à la portabilité (export CSV / JSON)
• de retirer ton consentement à tout moment (newsletter)

Pour exercer ces droits : envoie un email à hello@itakecare.be depuis l'adresse de ton compte. On répond sous 30 jours.

En cas de désaccord, tu peux porter plainte auprès de l'Autorité de protection des données belge (APD / DPA).

8. Sécurité

On chiffre les tokens Meta en base, on hash les mots de passe (bcrypt), on isole les organisations via Row Level Security Postgres, et on diffuse tout en HTTPS (Let's Encrypt). Les accès admin au VPS sont protégés par clés SSH uniquement, sans mot de passe.

En cas de fuite de données affectant tes informations, on te prévient sans délai (≤ 72h, conformément à l'article 33 RGPD).

9. Cookies

On utilise un strict minimum de cookies fonctionnels (session d'auth). Détails dans notre politique cookies. Pas de tracking publicitaire, pas de Google Analytics, pas de Pixel Meta sur adios.pub.

10. Modifications de cette politique

On peut mettre à jour cette politique. En cas de changement important, on te prévient par email au moins 30 jours avant.

11. Contact