Politique de confidentialité · Privacy Policy
Dernière mise à jour / Last updated : 2026-07-03 · RGPD (UE) 2016/679 & loi Informatique et Libertés.
1. Responsable du traitement / Data controller
[VOTRE NOM — YOUR NAME], éditeur du site (voir mentions légales) — contact : [contact@iotflux.fr]. Aucun DPO n'est désigné à ce stade ; les demandes sont traitées via l'adresse ci-dessus. / No DPO is appointed at this stage; requests are handled at the address above.
2. Données traitées / Data we process
Compte : e-mail, nom d'affichage, mot de passe (haché bcrypt) ou identité SSO (Keycloak). · Journal d'audit : actions effectuées, horodatage, identifiant utilisateur. · Télémétrie machines : données techniques envoyées par vos appareils (mesures, identifiants d'appareils) — en principe non personnelles ; vous en restez responsable de traitement, IoTFlux agit comme sous-traitant (voir DPA). · Facturation : gérée par Stripe ; nous ne stockons aucun numéro de carte. · Support : e-mails que vous nous adressez.
EN — Account (email, display name, bcrypt-hashed password or SSO identity), audit log (actions, timestamps), device telemetry (technical machine data — you remain controller; IoTFlux is processor, see DPA), billing via Stripe (no card numbers stored by us), support emails.
3. Finalités et bases légales / Purposes & legal bases
Fourniture du service et gestion du compte (exécution du contrat, art. 6-1-b) · sécurité, journalisation, prévention des abus (intérêt légitime, art. 6-1-f) · facturation et obligations comptables (obligation légale, art. 6-1-c) · statistiques anonymisées inter-clients pour l'amélioration des détections (intérêt légitime, opt-out dans les réglages ; aucune donnée brute, aucun identifiant).
EN — Service delivery (contract), security & audit logging (legitimate interest), billing (legal obligation), anonymized cross-tenant statistics with opt-out (legitimate interest; never raw data or identities).
4. Durées de conservation / Retention
Compte : durée d'utilisation du service, puis suppression à la clôture. · Télémétrie : selon la durée de rétention de votre offre (7 à 1825 jours), puis effacement automatique. · Journal d'audit : 12 mois. · Factures : 10 ans (obligation légale). · Sauvegardes chiffrées : expiration ≤ 35 jours après effacement des données sources.
EN — Account: life of the account. Telemetry: your plan's retention window. Audit log: 12 months. Invoices: 10 years (legal). Encrypted backups expire ≤ 35 days after source deletion.
5. Destinataires et sous-traitants / Recipients & processors
Hébergement : OVH SAS (France, UE). · Paiement : Stripe. · E-mails transactionnels : Brevo (France, UE). Les données sont hébergées exclusivement dans l'Union européenne ; aucun transfert hors UE n'est effectué par IoTFlux. Stripe peut opérer des transferts encadrés par des clauses contractuelles types (CCT).
EN — Hosting: OVH (EU). Payments: Stripe. Transactional email: Brevo (EU). Data is hosted in the EU; Stripe transfers, where any, rely on SCCs.
6. Vos droits / Your rights
Accès, rectification, effacement, portabilité, limitation, opposition (art. 15 à 21 RGPD) : écrivez à [contact@iotflux.fr]. Export self-service des données du tenant et suppression du tenant disponibles dans Réglages → Données. Vous pouvez saisir la CNIL (cnil.fr) si vous estimez vos droits non respectés.
EN — Exercise access, rectification, erasure, portability, restriction and objection rights at [contact@iotflux.fr]; self-service export/deletion in Settings → Data; you may lodge a complaint with the CNIL.
7. Sécurité / Security
TLS 1.2+ sur tous les échanges, isolation par tenant appliquée au niveau du moteur de base de données (row-level security), identifiants uniques par appareil (hachés), MFA disponible, journal d'audit, sauvegardes chiffrées en UE.
EN — TLS 1.2+ everywhere, engine-level tenant isolation (RLS), per-device hashed credentials, MFA, audit log, encrypted EU backups.
8. Cookies
Voir la politique cookies. / See the cookie policy.