Politique de confidentialité

Introduction

La Factorie accorde une grande importance à la protection de vos données personnelles. Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos informations conformément au Règlement Général sur la Protection des Données (RGPD), dans le cadre du site vitrine lafactorie.app et des applications SaaS associées (fact-reviews, fact-expiry, etc.).

Responsable du traitement

Raison sociale : BIGAP SARL
Forme juridique : Société à responsabilité limitée (SARL)
SIREN : 539 365 544
RCS : Pontoise
Capital social : 1 000 €
Adresse : 38 rue du Maréchal Foch, 95120 Ermont, France
Gérant : Nicolas Gapaillard
Email : nicolas.gapaillard@bigap.fr

Données collectées

Via le formulaire de contact (site vitrine)

Lorsque vous nous contactez via notre formulaire, nous collectons :

• Nom complet (obligatoire)
• Adresse email (obligatoire)
• Numéro de téléphone (facultatif)
• Nom de société (facultatif)
• Message décrivant votre projet (obligatoire)
• Consentement marketing (case à cocher optionnelle)

Via Google OAuth (applications SaaS)

Lorsque vous vous connectez aux applications LaFactorie (fact-reviews, fact-expiry) via votre compte Google, nous accédons aux données suivantes avec votre consentement explicite :

• Adresse email Google et nom d'affichage (identification du compte)
• Données Google Business Profile (avis clients, établissements, réponses aux avis) — uniquement pour l'application fact-reviews
• Jetons d'accès OAuth (stockés de manière chiffrée, utilisés pour appeler les APIs Google en votre nom)

Les permissions OAuth demandées sont limitées au strict nécessaire au fonctionnement du service. Vous pouvez révoquer ces accès à tout moment depuis votre compte Google.

Données techniques

Nous collectons également de manière automatique :

• Adresse IP (pour la sécurité et anti-spam)
• User Agent (navigateur et système d'exploitation)
• Horodatage des requêtes
• Logs d'accès aux APIs (à des fins de diagnostic et sécurité)

Finalité du traitement

Vos données sont collectées pour les finalités suivantes :

• Répondre à votre demande de contact ou de devis (site vitrine)
• Authentification et gestion de votre compte (applications SaaS via Google OAuth)
• Gestion des avis Google Business Profile : import, affichage, suggestion de réponses (fact-reviews)
• Suggestions de réponse générées par IA : utilisation de modèles de langage (Gemini, Anthropic Claude) pour proposer des réponses aux avis — les suggestions ne sont pas publiées sans validation humaine
• Gestion des dates d'expiration (fact-expiry)
• Analyses et statistiques d'usage agrégées (amélioration du service)
• Archiver les échanges commerciaux (avec votre consentement)
• Envoyer des actualités (uniquement si vous avez coché la case correspondante)

Base légale

Le traitement de vos données repose sur :

• Le consentement : connexion via Google OAuth (vous accordez explicitement les permissions demandées) ; envoi d'actualités marketing (opt-in explicite)
• L'intérêt légitime : traitement des demandes de contact et de devis, sécurité des systèmes, amélioration du service
• L'exécution du contrat : fourniture du service SaaS auquel vous avez souscrit

Conservation des données

Données de contact : Conservées pendant 3 ans maximum à compter du dernier contact, sauf relation commerciale active (durée de la relation + 5 ans pour obligations comptables).
Données OAuth et tokens : Conservées tant que votre compte est actif. Supprimées dans les 30 jours suivant la résiliation ou la révocation de l'accès OAuth.
Données Google Business Profile : Conservées le temps nécessaire au fonctionnement du service. Supprimées sur demande ou à la résiliation.
Logs techniques : Conservés pendant 90 jours maximum pour des raisons de sécurité et de diagnostic.
Marketing (opt-in) : Conservées tant que vous ne vous désinscrivez pas (lien de désinscription dans chaque email).

Sous-traitants et destinataires des données

Vos données sont accessibles uniquement par les prestataires suivants, liés contractuellement par des clauses de protection des données :

• Google Cloud Platform (GCP) — hébergement des applications, régions européennes (EU) ; également fournisseur de l'API Google Business Profile et de l'IA Gemini
• Neon — base de données PostgreSQL hébergée en région EU
• Cloudflare — CDN, protection anti-spam, hébergement du site vitrine
• Anthropic — modèle de langage Claude pour la génération de suggestions de réponses (les avis transmis sont anonymisés autant que possible)
• Service d'emailing (MailChannels, Resend ou similaire) — envoi de notifications
• Firebase / Google Identity Platform — authentification OAuth

Aucune donnée n'est vendue, louée ou partagée avec des tiers à des fins commerciales.

Transferts hors UE

Certains de nos sous-traitants peuvent traiter des données hors de l'Union européenne :

• Google Cloud Platform : les données d'hébergement sont traitées dans des régions EU. Les APIs Google (Business Profile, Gemini) sont soumises aux conditions de transfert de Google, encadrées par des clauses contractuelles types approuvées par la Commission européenne.
• Anthropic : traitement aux États-Unis, encadré par des clauses contractuelles types.
• Cloudflare : réseau mondial, encadré par des clauses contractuelles types.
• Neon : région EU, pas de transfert hors UE.

Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement HTTPS (SSL/TLS) pour toutes les communications
• Tokens OAuth stockés chiffrés en base de données
• Authentification via Firebase (sans stockage de mot de passe en clair)
• Protection anti-spam sur les formulaires
• Accès restreint aux données (uniquement le personnel habilité)
• Logs horodatés et anonymisés après 90 jours
• Sauvegardes chiffrées

Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir une copie de vos données
• Droit de rectification : corriger des données inexactes
• Droit à l'effacement : demander la suppression de vos données
• Droit d'opposition : vous opposer au traitement de vos données
• Droit à la limitation : limiter le traitement de vos données
• Droit à la portabilité : recevoir vos données dans un format structuré
• Droit de retirer votre consentement : à tout moment (y compris la révocation de l'accès OAuth)

Pour exercer ces droits, contactez le responsable de traitement :

Nicolas Gapaillard — DPO BIGAP
Email : nicolas.gapaillard@bigap.fr
Adresse : 38 rue du Maréchal Foch, 95120 Ermont

Nous nous engageons à vous répondre sous 30 jours.

Révoquer l'accès Google OAuth

Vous pouvez révoquer l'accès de LaFactorie à votre compte Google à tout moment depuis la page de gestion des applications tierces Google :

https://myaccount.google.com/permissions

La révocation mettra fin à l'accès aux données Google Business Profile. Vos données déjà importées dans nos systèmes resteront présentes jusqu'à suppression explicite de votre compte (délai maximum 30 jours).

Réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :

CNIL
3 Place de Fontenoy
TSA 80715
75334 Paris Cedex 07
www.cnil.fr

Cookies

Le site vitrine lafactorie.app utilise uniquement :

• Cookies de session nécessaires au fonctionnement du site (anti-spam, sécurité)
• Aucun cookie de tracking tiers ni de publicité comportementale

Les applications SaaS (fact-reviews, fact-expiry) utilisent un cookie de session d'authentification Firebase, strictement nécessaire au maintien de votre connexion. Aucun tracking tiers n'est effectué au niveau applicatif.

Aucun consentement préalable n'est requis pour ces cookies strictement nécessaires.

Modifications de cette politique

Cette politique de confidentialité peut être modifiée à tout moment. La date de dernière mise à jour est indiquée ci-dessous. En cas de modification substantielle, nous vous en informerons par email si vous êtes utilisateur d'un de nos services SaaS.

Contact

Pour toute question concernant cette politique de confidentialité ou le traitement de vos données personnelles :

Email : nicolas.gapaillard@bigap.fr

Dernière mise à jour : 9 avril 2026