Politique de confidentialité

Version applicable au 04/05/2026.

1. Responsable de traitement

Nexus Flow, agence de marketing digital, est responsable des traitements de données personnelles des Utilisateurs finaux du service Nexus Flow OS (administrateurs et collaborateurs des organisations clientes).

Pour les données des contacts CRM importés ou créés par les organisations clientes, Nexus Flow agit en qualité de sous-traitant au sens de l'article 28 du RGPD — voir notre DPA.

2. Données collectées et finalités

Compte utilisateur

• Email professionnel, prénom, nom (création de compte, login)
• Rôle dans l'organisation (gestion des permissions internes)
• Logs d'authentification via Clerk (sécurité)

Facturation

• Adresse de facturation, identifiant Stripe Customer (gestion de l'abonnement)
• Données carte bancaire jamais traitées par Nexus Flow — gérées exclusivement par Stripe (PCI-DSS Level 1)

Usage du service

• Logs techniques (audit RGPD art. 30, 90 jours)
• Métriques agrégées d'usage (KPIs business, anonymisées au-delà de 12 mois)

3. Bases légales

• Exécution du contrat (art. 6.1.b RGPD) — fourniture du Service
• Obligations légales (art. 6.1.c) — facturation, conservation comptable
• Intérêt légitime (art. 6.1.f) — sécurité, prévention de la fraude, amélioration produit

4. Durées de conservation

• Compte actif : pendant toute la durée du contrat
• Après résiliation : 30 jours d'accès puis suppression. Logs d'audit RGPD : 90 jours. Documents comptables : 10 ans (art. L123-22 Code de commerce).

5. Hébergement et localisation

Les données sont hébergées en Suisse (Infomaniak) et en Allemagne (Supabase / AWS Frankfurt), deux juridictions reconnues comme assurant un niveau de protection équivalent au RGPD (Suisse : décision d'adéquation 2000/518/CE).

Aucun transfert hors Union Européenne ou Suisse n'est effectué sans clauses contractuelles types ou décision d'adéquation.

6. Sous-traitants

• Clerk Inc. (USA) — authentification. Transfert encadré par Standard Contractual Clauses + Data Processing Addendum.
• Stripe Payments Europe (Irlande) — paiements uniquement
• Postmark / ActiveCampaign — délivrabilité email transactionnel et marketing
• Inngest Inc. (USA) — orchestration de tâches asynchrones
• Infomaniak (Suisse) — services AI souverains (transcription, analyse documents) en cas d'utilisation des fonctionnalités IA

7. Vos droits

Vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition concernant vos données personnelles. Pour l'exercer, contactez-nous à contact@agence-nexusflow.com. Nous répondons sous un mois.

Vous pouvez également introduire une réclamation auprès de la CNIL.

8. Cookies

Le service utilise un nombre minimum de cookies :

• Cookies de session (essentiels) — nécessaires au fonctionnement de l'authentification Clerk
• Cookies de préférences (optionnels) — mémorisation de tes choix d'affichage

Aucun cookie publicitaire ou de tracking tiers n'est déposé sans consentement explicite via le bandeau cookies.

9. Sécurité

Chiffrement TLS 1.3 en transit, chiffrement AES-256 au repos, hashing des secrets sensibles (HMAC-SHA256), audit log RGPD, isolation multi-tenant stricte au niveau base de données.

Note : ce document doit être validé par un Délégué à la Protection des Données ou un avocat spécialisé avant mise en production commerciale.