Politique de confidentialité
Dernière mise à jour : 13 mars 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles est Pierre Staub, entrepreneur individuel (EI), exerçant sous le nom commercial PicAgent, joignable à l'adresse contact@picagent.fr et au +33 6 85 58 45 96.
2. Données collectées
Dans le cadre de l'utilisation du service, nous collectons les données suivantes :
- Données d'inscription : nom, prénom, adresse email
- Données professionnelles : nom de l'entreprise, SIRET, adresse professionnelle, régime fiscal
- Données d'utilisation : clients, projets, devis, factures, photos, notes, emails, questionnaires saisis par le client
- Données techniques : adresse IP, navigateur, cookies de session
- Données de paiement : traitées directement par Stripe, PicAgent ne stocke aucune donnée de carte bancaire
3. Finalités du traitement
Les données sont traitées pour :
- Fournir et maintenir le service PicAgent
- Gérer les comptes utilisateurs et l'authentification
- Traiter les paiements et gérer les abonnements
- Envoyer des communications liées au service (emails transactionnels)
- Améliorer le service et corriger les anomalies
- Mesurer l'audience des pages marketing (avec consentement)
- Respecter nos obligations légales
4. Base légale
- Exécution du contrat (article 6.1.b du RGPD) : fourniture du service
- Consentement (article 6.1.a du RGPD) : cookies analytiques (PostHog), session replay sur les pages marketing
- Intérêt légitime (article 6.1.f) : amélioration du service, sécurité, monitoring des erreurs
- Obligation légale (article 6.1.c) : conservation des données de facturation
5. Cookies
| Catégorie | Cookies | Finalité | Consentement |
|---|---|---|---|
| Essentiels | Supabase auth, session | Authentification et maintien de la session | Non requis |
| Essentiels | Préférences (thème) | Mémorisation des préférences utilisateur | Non requis |
| Analytiques | PostHog (eu.i.posthog.com) | Mesure d'audience des pages marketing | Requis |
Le consentement aux cookies analytiques est recueilli via la bannière de cookies affichée lors de la première visite. L'utilisateur peut retirer son consentement à tout moment en supprimant le cookie cookie_consent de son navigateur ou en cliquant sur le lien prévu à cet effet.
6. Session replay
Sur les pages marketing uniquement, PicAgent utilise la fonctionnalité de session replay de PostHog pour comprendre comment les visiteurs interagissent avec le site. Cette fonctionnalité :
- Est activée uniquement avec le consentement de l'utilisateur (cookie banner)
- Masque automatiquement tous les champs de saisie
- N'est pas active sur les pages du tableau de bord (dashboard)
- Concerne un échantillon limité de sessions (taux configurable, 10 % par défaut)
7. Durée de conservation
- Données du compte : conservées pendant la durée d'utilisation du service, puis supprimées dans les 30 jours suivant la demande de suppression du compte
- Données de facturation : conservées 10 ans conformément aux obligations comptables françaises
- Données techniques (logs) : conservées 12 mois maximum
- Données analytics (PostHog) : événements conservés 1 an, enregistrements de session conservés 1 mois
8. Sous-traitants
Nous faisons appel aux sous-traitants suivants pour le fonctionnement du service :
| Sous-traitant | Finalité | Localisation des données |
|---|---|---|
| Supabase | Base de données, authentification, stockage de fichiers | UE (Francfort, Allemagne) |
| Stripe | Paiements et facturation (certifié PCI-DSS) | UE / USA (clauses contractuelles types) |
| Resend | Envoi d'emails transactionnels | USA (clauses contractuelles types) |
| Vercel | Hébergement de l'application | UE / USA (clauses contractuelles types) |
| PostHog | Analytics comportementales | UE (eu.i.posthog.com — Francfort, Allemagne) |
| Sentry | Monitoring des erreurs (PII scrubbing actif, emails masqués, IP supprimées) | UE |
| Anthropic | Fournisseur IA — assistant, suggestions, extraction de données | USA (clauses contractuelles types) |
| OpenAI | Fournisseur IA alternatif (selon configuration administrateur) | USA (clauses contractuelles types) |
| Mistral AI | Fournisseur IA alternatif (selon configuration administrateur) | UE (France) |
Les fournisseurs IA actifs dépendent de la configuration choisie par l'administrateur de la plateforme. Les données transmises aux fournisseurs IA sont limitées à ce qui est strictement nécessaire au fonctionnement des fonctionnalités concernées et ne sont pas utilisées, selon les engagements contractuels applicables, pour l'entraînement de modèles d'intelligence artificielle.
9. Données des clients finaux
Lorsque le photographe saisit les données de ses propres clients dans PicAgent (nom, email, adresse, photos), le photographe est le responsable du traitement au sens du RGPD. PicAgent agit en tant que sous-traitant au sens de l'article 28 du RGPD.
Le photographe est tenu d'informer ses clients du traitement de leurs données et de s'assurer de la licéité de ce traitement. Les obligations respectives sont détaillées dans notre Accord de sous-traitance (DPA).
10. Transferts hors UE
Certains sous-traitants traitent des données en dehors de l'Union européenne. Ces transferts sont encadrés par les mécanismes suivants :
- Anthropic, OpenAI (USA) : clauses contractuelles types (CCT) de la Commission européenne (article 46.2.c du RGPD)
- Stripe, Resend, Vercel (USA) : clauses contractuelles types (CCT)
- Supabase, PostHog, Sentry, Mistral AI : données hébergées en UE — aucun transfert hors UE
11. Droits des utilisateurs
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir une copie de vos données
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : demander la suppression de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ; un export CSV est disponible depuis l'interface pour certaines données, et un export complémentaire peut être demandé à contact@picagent.fr
- Droit d'opposition : vous opposer au traitement de vos données
- Droit à la limitation : limiter le traitement dans certains cas
- Droit de retirer le consentement : pour les cookies analytiques, à tout moment
Pour exercer vos droits, contactez-nous à : contact@picagent.fr ou via notre formulaire de contact.
La suppression de votre compte et de vos données peut être effectuée directement depuis l'application (Paramètres > Supprimer mon compte).
12. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement des communications (HTTPS/TLS), chiffrement au repos (AES-256-GCM pour les données sensibles), isolation des données entre utilisateurs (filtrage par photographerId), authentification sécurisée par lien magique, hachage sécurisé des secrets d'authentification lorsque cela est applicable, headers de sécurité (CSP, HSTS), contrôle d'accès, journalisation, rate limiting.
13. Réclamation
Si vous estimez que le traitement de vos données n'est pas conforme au RGPD, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.