Politique de Confidentialité

La présente Politique de Confidentialité (ci-après la « Politique ») décrit la manière dont Shl Industries IT (ci-après « nous », « notre » ou la « Société »), éditrice de l'application ShareClick accessible via shareclick.pro (ci-après l'« Application » ou le « Service »), collecte, utilise, conserve, protège et partage les données à caractère personnel des personnes utilisant le Service (ci-après les « Utilisateurs »).

La Société agit en qualité de responsable du traitement au sens du Règlement (UE) 2016/679 (ci-après le « RGPD ») et du California Consumer Privacy Act (ci-après le « CCPA»). Nous nous engageons à traiter vos données personnelles dans le respect strict de la réglementation applicable, en toute transparence et en garantissant la sécurité, la confidentialité et l'intégrité de ces données.

En utilisant l'Application, vous reconnaissez avoir lu et compris la présente Politique. Si vous n'acceptez pas l'une de ses dispositions, vous devez cesser immédiatement d'utiliser le Service.

Le responsable du traitement des données collectées via l'Application est :

Pour toute demande relative à la protection de vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données (DPO) à l'adresse dpo@shareclick.pro.

Aux fins de la présente Politique, les termes suivants ont la signification ci-dessous :

• Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.
• Traitement : toute opération effectuée sur des données personnelles (collecte, enregistrement, conservation, modification, consultation, transmission, effacement, etc.).
• Utilisateur : toute personne physique disposant d'un compte sur l'Application.
• Plateforme tierce : tout réseau social ou service externe auquel l'Utilisateur connecte son compte (TikTok, Instagram, YouTube, Snapchat, Facebook, Threads, X, LinkedIn, Pinterest).
• Sous-traitant : toute personne physique ou morale qui traite des données personnelles pour le compte de la Société.

Nous collectons uniquement les données strictement nécessaires à la fourniture du Service. Les catégories suivantes sont concernées :

3.1. Données fournies directement par l'Utilisateur

• Données de compte : adresse électronique, nom d'utilisateur, mot de passe (chiffré au moyen d'un algorithme de hachage bcrypt avec sel cryptographique).
• Données de facturation : nom, prénom, adresse de facturation, données de paiement (traitées exclusivement par notre prestataire de paiement certifié PCI-DSS, sans stockage sur nos serveurs).
• Contenus téléversés : fichiers vidéo, images, légendes, hashtags et métadonnées associées.
• Communications : messages adressés à notre support client ou via les formulaires de contact.

3.2. Données collectées via les Plateformes tierces (OAuth)

Lorsque l'Utilisateur autorise l'Application à se connecter à une Plateforme tierce via le protocole OAuth 2.0, nous collectons strictement les informations nécessaires à l'exécution du Service, dans le respect des conditions d'utilisation et politiques de chaque API officielle :

• TikTok Display API & Content Posting API : identifiant utilisateur, nom d'affichage, photo de profil, statistiques publiques (followers, likes, vues), jeton d'accès chiffré.
• Instagram Graph API & Meta Platforms : identifiant Business/Creator, nom, photo de profil, métriques agrégées (impressions, portée, engagement).
• YouTube Data API v3 : identifiant de chaîne, miniatures, statistiques publiques, jeton OAuth.
• Snapchat Marketing API : identifiant Snap, métadonnées de publication, jeton d'accès.
• Facebook, Threads, X (Twitter), LinkedIn, Pinterest : identifiants publics et jetons d'accès strictement limités aux portées (scopes) nécessaires à la publication.

Engagement explicite :nous n'accédons jamais à vos messages privés, conversations, listes de contacts, ni à toute donnée non strictement nécessaire à la finalité de publication automatisée.

3.3. Données collectées automatiquement

• Données techniques : adresse IP, type et version du navigateur, système d'exploitation, identifiant de session, fuseau horaire.
• Données d'utilisation : pages consultées, actions effectuées, fonctionnalités utilisées, historique des publications, consommation de crédits.
• Cookies et traceurs : uniquement les cookies strictement nécessaires au fonctionnement du Service (voir Section 9).

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale identifiée. Nous traitons vos données personnelles aux finalités suivantes :

• Fourniture du Service (publication multi-plateformes, programmation de posts, gestion des crédits) — Base légale : exécution du contrat (art. 6.1.b RGPD).
• Création et gestion du compte utilisateur — Base légale : exécution du contrat (art. 6.1.b RGPD).
• Génération d'analyses et de suggestions par intelligence artificielle (légendes, hashtags, recommandations stratégiques) — Base légale : exécution du contrat (art. 6.1.b RGPD).
• Facturation et gestion des paiements — Base légale : exécution du contrat et obligation légale (art. 6.1.b et 6.1.c RGPD).
• Sécurité du Service (prévention de la fraude, détection des intrusions, journalisation) — Base légale : intérêt légitime (art. 6.1.f RGPD).
• Communications opérationnelles (notifications de service, alertes de sécurité, mises à jour importantes) — Base légale : exécution du contrat (art. 6.1.b RGPD).
• Communications marketing (newsletters, offres commerciales) — Base légale : consentement (art. 6.1.a RGPD), révocable à tout moment.
• Respect des obligations légales et réglementaires — Base légale : obligation légale (art. 6.1.c RGPD).

Nous ne vendons jamais vos données personnelles à des tiers.Vos données ne sont communiquées qu'aux catégories de destinataires strictement nécessaires à la fourniture du Service :

• Personnel autorisé de la Société : uniquement les collaborateurs habilités, soumis à une obligation contractuelle de confidentialité.
• Plateformes tierces : les contenus que vous choisissez de publier sont transmis aux API officielles des plateformes sélectionnées (TikTok, Meta, Google, Snap, etc.), qui agissent comme responsables du traitement indépendants pour les données qu'elles reçoivent.
• Sous-traitants techniques : hébergement, base de données, services d'intelligence artificielle, paiement, courrier électronique transactionnel — tous liés par un accord de sous-traitance conforme à l'article 28 du RGPD.
• Autorités compétentes : sur réquisition judiciaire ou administrative valide, dans le respect strict du cadre légal applicable.

Liste de nos sous-traitants principaux

• Vercel Inc. (hébergement applicatif) — États-Unis, garanties Standard Contractual Clauses (SCC).
• Turso (ChiselStrike Inc.) (base de données distribuée, chiffrement au repos AES-256) — Union Européenne (Irlande, eu-west-1).
• Anthropic PBC (services d'intelligence artificielle Claude) — États-Unis, SCC. Les contenus transmis ne sont pas utilisés pour l'entraînement des modèles.
• Stripe Inc. (traitement des paiements, certifié PCI-DSS niveau 1) — États-Unis, SCC.

Certains de nos sous-traitants sont établis en dehors de l'Espace Économique Européen, notamment aux États-Unis. Lorsque tel est le cas, nous garantissons un niveau de protection adéquat de vos données personnelles par la mise en œuvre de l'un des mécanismes suivants :

• Décision d'adéquation de la Commission européenne (le cas échéant) ;
• Clauses Contractuelles Types (SCC) adoptées par la Commission européenne (Décision 2021/914) ;
• Mesures techniques et organisationnelles supplémentaires (chiffrement de bout en bout, pseudonymisation).

Vous pouvez obtenir une copie des garanties mises en œuvre en adressant une demande à dpo@shareclick.pro.

Conformément au principe de limitation de la conservation (art. 5.1.e RGPD), nous conservons vos données pour une durée strictement nécessaire à la finalité poursuivie :

• Données de compte actif : pendant toute la durée d'utilisation du Service, puis archivées 30 jours après suppression du compte.
• Fichiers vidéo téléversés : 30 jours maximum après la dernière publication, puis suppression automatique sécurisée.
• Jetons OAuth : jusqu'à révocation par l'Utilisateur ou expiration naturelle. Suppression immédiate en cas de déconnexion.
• Journaux techniques (logs) : 12 mois maximum à des fins de sécurité.
• Données de facturation : 10 ans, conformément aux obligations comptables et fiscales applicables.
• Données de support client : 3 ans à compter du dernier contact.

La Société met en œuvre l'ensemble des mesures techniques et organisationnelles requises par l'article 32 du RGPD pour garantir un niveau de sécurité adapté au risque, notamment :

• Chiffrement des données en transit via TLS 1.3 ;
• Chiffrement des données au repos via AES-256 ;
• Hachage des mots de passe via bcrypt avec sel cryptographique unique ;
• Stockage sécurisé des jetons OAuth dans une base chiffrée à accès restreint ;
• Cookies de session signés, HttpOnly, Secure et SameSite=Strict ;
• Authentification multi-facteurs (MFA) disponible pour les comptes Utilisateurs ;
• Contrôle d'accès basé sur les rôles (RBAC) pour le personnel autorisé ;
• Surveillance continue, journalisation des événements de sécurité et tests d'intrusion réguliers ;
• Procédure documentée de notification de violation conformément aux articles 33 et 34 du RGPD (notification à l'autorité de contrôle dans les 72 heures).

L'Application utilise exclusivement des cookies strictement nécessairesà son fonctionnement, exemptés de consentement préalable conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL :

• Cookie de session : maintien de l'authentification de l'Utilisateur pendant la navigation.
• Cookie de préférences : mémorisation de la langue et des paramètres d'interface.
• Cookie de sécurité (CSRF) : protection contre les attaques par falsification de requête inter-site.

Nous n'utilisons aucun cookie publicitaire, traceur tiers ou outil d'analyse comportementaleà des fins marketing. Aucun consentement n'est donc requis, mais vous pouvez à tout moment supprimer les cookies via les paramètres de votre navigateur.

Conformément aux articles 12 à 22 du RGPD, vous disposez des droits suivants à l'égard de vos données personnelles :

• Droit d'accès (art. 15) — obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie ;
• Droit de rectification (art. 16) — faire corriger des données inexactes ou incomplètes ;
• Droit à l'effacement (art. 17) — demander la suppression de vos données dans les conditions prévues par le RGPD ;
• Droit à la limitation du traitement (art. 18) ;
• Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON) ;
• Droit d'opposition (art. 21) — vous opposer à tout moment au traitement fondé sur l'intérêt légitime ;
• Droit de retirer votre consentement à tout moment, sans porter atteinte à la licéité du traitement antérieur ;
• Droit de définir des directives post-mortem relatives à la conservation, l'effacement et la communication de vos données après votre décès.

Pour exercer l'un de ces droits, adressez une demande accompagnée d'un justificatif d'identité à dpo@shareclick.pro. Nous y répondrons dans un délai maximal d'un (1) mois, conformément à l'article 12.3 du RGPD.

Vous disposez également du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente, notamment la Commission Nationale de l'Informatique et des Libertés (CNIL) en France (www.cnil.fr).

Les Utilisateurs résidant en Californie bénéficient en outre des droits prévus par le California Consumer Privacy Act (CCPA), tel qu'amendé par le California Privacy Rights Act (CPRA) :

• Right to Know : droit de connaître les catégories de données collectées et leurs sources ;
• Right to Delete : droit de demander la suppression de ses données ;
• Right to Correct : droit de rectification ;
• Right to Opt-Out of Sale/Sharing : nous ne vendons ni ne partageons vos données à des fins publicitaires ciblées ;
• Right to Non-Discrimination : aucune discrimination en cas d'exercice de ces droits.

Pour exercer ces droits, contactez privacy@shareclick.pro.

L'Application n'est pas destinée aux personnes âgées de moins de seize (16) ans dans l'Union Européenne, ni aux personnes âgées de moins de treize (13) ans aux États-Unis (conformément au Children's Online Privacy Protection Act, COPPA). Nous ne collectons pas sciemment de données personnelles de mineurs.

Si nous découvrons qu'un compte a été créé par un mineur en violation de ces seuils d'âge, nous procéderons à sa suppression immédiate. Tout parent ou tuteur légal qui constaterait que son enfant a fourni des données personnelles à la Société est invité à nous contacter sans délai à privacy@shareclick.pro.

L'Application utilise des modèles d'intelligence artificielle pour générer des suggestions de contenus (légendes, hashtags, recommandations stratégiques). Ces traitements ne constituent pas des décisions produisant des effets juridiques ou affectant significativement l'Utilisateur au sens de l'article 22 du RGPD : il s'agit uniquement d'outils d'assistance que l'Utilisateur reste libre d'accepter, de modifier ou de refuser.

La présente Politique peut être amenée à évoluer pour refléter les évolutions législatives, réglementaires, techniques ou opérationnelles. Toute modification substantielle sera notifiée aux Utilisateurs par courrier électronique et/ou via une bannière au sein de l'Application au moins trente (30) jours avant son entrée en vigueur.

La date de dernière mise à jour figure en tête du présent document. La poursuite de l'utilisation du Service postérieurement à toute modification vaut acceptation de la nouvelle version.

Pour toute question, demande d'information ou exercice de vos droits relatifs à la présente Politique, vous pouvez contacter :