Légal

Politique de
confidentialité

Dernière mise à jour : 1er janvier 2025
Conforme RGPD
Sommaire

1. Introduction et identité du responsable

ReportFlow est un service SaaS permettant aux agences web et aux consultants marketing de générer automatiquement des rapports PDF mensuels à partir des données Google Analytics et Google Search Console de leurs clients.

Le responsable du traitement des données est :

En utilisant ReportFlow, vous acceptez les pratiques décrites dans la présente politique. Si vous n'acceptez pas ces conditions, veuillez ne pas utiliser notre service.

2. Données collectées

2.1 Données des agences (utilisateurs directs)

Lors de la création d'un compte, nous collectons :

  • Nom de l'agence
  • Adresse email professionnelle
  • Mot de passe (stocké sous forme de hash bcrypt — jamais en clair)
  • Date d'inscription et informations de facturation (via Stripe)

2.2 Données des clients finaux (clients des agences)

Pour chaque client que l'agence gère dans ReportFlow, nous stockons :

  • Nom du client et URL du site web
  • Adresse email de destination pour les rapports
  • Identifiant de propriété Google Analytics 4 (format : properties/XXXXXXX)
  • URL Google Search Console du site
  • Tokens OAuth2 Google chiffrés (voir section 3)

2.3 Données de navigation

Nous collectons des données techniques anonymes pour assurer le bon fonctionnement du service : adresse IP, type de navigateur, pages visitées. Ces données ne sont pas utilisées à des fins publicitaires.

3. Accès aux APIs Google — GA4 et Search Console

Point essentiel : ReportFlow accède aux données Google Analytics et Search Console de vos clients uniquement avec leur consentement explicite, via le protocole OAuth2 de Google. L'accès est strictement limité à la lecture des données nécessaires à la génération du rapport mensuel.

3.1 Scopes demandés

ReportFlow demande les deux autorisations Google suivantes, et uniquement celles-ci :

ScopeAPI concernéeUtilisation
analytics.readonlyGoogle Analytics Data API (GA4)Lecture des sessions, utilisateurs, pages vues, sources de trafic et top pages pour générer la section Analytics du rapport mensuel.
webmasters.readonlyGoogle Search Console APILecture des clics, impressions, CTR, position moyenne et mots-clés pour générer la section SEO du rapport mensuel.

3.2 Ce que ReportFlow ne fait pas

  • ReportFlow ne modifie jamais les données Google Analytics ou Search Console d'un client. L'accès est en lecture seule (readonly) au niveau technique — il est impossible d'écrire ou de modifier des données avec ces scopes.
  • ReportFlow ne partage pas les données Google Analytics ou Search Console de vos clients avec des tiers, des partenaires publicitaires ou d'autres agences.
  • ReportFlow n'utilise pas les données de vos clients pour entraîner des modèles d'intelligence artificielle.
  • ReportFlow ne conserve pas les données brutes de l'API au-delà de ce qui est nécessaire pour générer le rapport du mois en cours.

3.3 Stockage des tokens OAuth

Lorsqu'un client final autorise ReportFlow via Google, un access_token (valide 1 heure) et un refresh_token (permanent sauf révocation) sont émis par Google. Ces tokens sont chiffrés avec l'algorithme AES-256-CBC avant d'être stockés dans notre base de données. La clé de chiffrement n'est jamais stockée avec les données chiffrées.

3.4 Révocation de l'accès

Le client final peut révoquer l'accès de ReportFlow à tout moment directement depuis les paramètres de son compte Google :

myaccount.google.com/permissions

Suite à la révocation, ReportFlow cesse immédiatement tout accès aux données. L'agence en est notifiée dans son dashboard. Les tokens stockés sont supprimés de notre base de données dans les 24 heures suivant la révocation.

3.5 Conformité avec la politique d'utilisation des APIs Google

ReportFlow respecte les Conditions d'utilisation des APIs Google et la Politique d'utilisation des données des services API Google. L'utilisation des données obtenues via les APIs Google est limitée à fournir et améliorer le service de génération de rapports, conformément au principe de minimisation des données.

4. Utilisation des données

Les données collectées sont utilisées exclusivement pour :

  • Générer les rapports PDF mensuels pour les clients des agences
  • Envoyer ces rapports par email aux destinataires désignés par l'agence
  • Afficher les métriques dans le dashboard de l'agence
  • Gérer les comptes et abonnements des agences
  • Envoyer des notifications techniques liées au service (ex : token expiré, rapport généré)
  • Améliorer le service ReportFlow (données agrégées et anonymisées uniquement)

Nous n'utilisons jamais les données de vos clients à des fins publicitaires, de profilage ou de revente. ReportFlow est financé par les abonnements des agences, pas par la publicité.

5. Partage et sous-traitants

ReportFlow ne vend jamais vos données. Nous faisons appel à des sous-traitants techniques pour faire fonctionner le service :

Sous-traitantRôleDonnées partagéesLocalisation
SupabaseBase de données et stockage des PDFsDonnées comptes, tokens chiffrés, PDFs générésEurope (AWS eu-west)
VercelHébergement frontendRequêtes HTTP anonymesEurope / USA
ResendEnvoi d'emailsEmail destinataire, PDF en pièce jointeUSA (données transitoires)
StripePaiement et facturationInformations de facturation agenceUSA / Europe

Tous nos sous-traitants sont sélectionnés pour leur conformité RGPD et disposent de garanties appropriées (clauses contractuelles types ou Privacy Shield).

6. Durée de conservation

  • Données du compte agence : conservées pendant toute la durée de l'abonnement, puis supprimées dans les 90 jours suivant la résiliation.
  • Données des clients (fiches) : conservées tant que l'agence est cliente, supprimées à la résiliation du compte agence.
  • Tokens OAuth Google : conservés tant que la connexion est active. Supprimés immédiatement en cas de révocation ou de suppression du client dans le dashboard.
  • PDFs générés : conservés 13 mois (pour permettre la comparaison annuelle), puis supprimés automatiquement.
  • Données brutes API Google : non conservées après génération du rapport. Seul le PDF final est stocké.
  • Logs techniques : conservés 30 jours.

7. Sécurité des données

ReportFlow applique les mesures de sécurité suivantes :

  • Chiffrement des tokens OAuth : algorithme AES-256-CBC avec vecteur d'initialisation aléatoire à chaque opération.
  • Authentification sécurisée : mots de passe hashés avec bcrypt (facteur de coût 12), sessions via JWT stockés dans des cookies httpOnly (inaccessibles au JavaScript).
  • Transport sécurisé : toutes les communications sont chiffrées via HTTPS/TLS.
  • Isolation des données : Row Level Security (RLS) activée sur toutes les tables de la base de données — chaque agence ne peut accéder qu'à ses propres données.
  • Accès minimal : les tokens OAuth Google sont chiffrés et ne sont déchiffrés que le temps d'un appel API, jamais exposés dans les logs ni dans les réponses frontend.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à vous notifier dans les 72 heures conformément à l'article 33 du RGPD.

8. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir une copie de toutes vos données personnelles que nous traitons.
  • Droit de rectification (art. 16) : corriger toute donnée inexacte vous concernant.
  • Droit à l'effacement (art. 17) : demander la suppression de vos données dans les cas prévus par le RGPD.
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
  • Droit d'opposition (art. 21) : vous opposer au traitement de vos données pour des motifs légitimes.
  • Droit à la limitation du traitement (art. 18) : demander la suspension temporaire du traitement de vos données.

Pour exercer ces droits, contactez-nous à privacy@myreportflow.app. Nous répondons dans un délai maximum de 30 jours. Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une réclamation auprès de la CNIL.

9. Cookies

ReportFlow utilise un nombre minimal de cookies :

CookieTypeDuréeFinalité
rf_sessionFonctionnel (httpOnly)7 joursMaintenir la session de connexion de l'agence. Inaccessible au JavaScript.

ReportFlow n'utilise pas de cookies publicitaires, de tracking tiers, ni de pixels de suivi. Aucune donnée n'est transmise à des régies publicitaires.

10. Contact et réclamations

Pour toute question relative à cette politique de confidentialité ou pour exercer vos droits, vous pouvez nous contacter :

Une question sur vos données ?

Notre équipe répond à toutes les demandes relatives à la protection des données dans un délai de 30 jours ouvrés.

privacy@myreportflow.app

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

Cette politique de confidentialité peut être mise à jour périodiquement. La date de dernière modification est indiquée en haut de cette page. En cas de modification substantielle, nous vous notifierons par email.

11. Suppression des données Meta / Facebook

Conformément aux exigences de la plateforme Meta, vous pouvez demander la suppression de toutes les données associées à votre compte Facebook / Instagram collectées via ReportFlow.

Comment demander la suppression

  1. Envoyez un email à privacy@myreportflow.app avec l'objet « Suppression données Meta » en indiquant l'adresse email associée à votre compte ReportFlow.
  2. Nous traiterons votre demande dans un délai de 30 jours et vous enverrons une confirmation par email.

Données supprimées

À la réception de votre demande, nous supprimons :

  • Les tokens d'accès Meta (Facebook / Instagram Ads) associés à votre compte
  • Les métriques Meta Ads conservées dans les rapports générés
  • Tout identifiant de compte publicitaire Meta lié à votre agence

Vous pouvez également révoquer l'accès de ReportFlow directement depuis vos paramètres Facebook → Applications et sites web.