POLITIQUE DE CONFIDENTIALITÉ

Le responsable du traitement des données à caractère personnel collectées sur le site https://lumipost.app est :

Droid FACTORY, EURL — Capital social de 1 000 euros

Immatriculée au RCS de Toulouse sous le numéro B 912 234 150

13 rue Sainte Ursule, 31000 Toulouse, France

Contact : contact@lumipost.app

Dans le cadre de l'utilisation du service LumiPost, nous collectons les données suivantes :

Données d'identité : nom complet, adresse e-mail.

Données d'authentification : mot de passe chiffré (bcrypt), codes OTP à usage unique (non stockés après vérification).

Données de profil : mots-clés de veille, secteur d'activité, mandat de curation, préférences de calendrier.

Données de facturation : informations de paiement traitées exclusivement par Stripe (nous ne stockons pas vos données bancaires).

Données d'usage : articles consultés, enregistrés, scores IA, activité de connexion.

Données techniques : adresse IP lors de la connexion (conservation limitée à des fins de sécurité).

Vos données sont traitées pour les finalités suivantes :

Fourniture du service : authentification, génération des flux d'actualité personnalisés, calcul des scores de pertinence par IA.

Gestion de l'abonnement : traitement des paiements, gestion des accès selon le plan souscrit (Starter ou Pro).

Sécurité : prévention des accès non autorisés, limitation des tentatives de connexion (rate limiting).

Amélioration du service : analyse agrégée et anonymisée de l'utilisation via PostHog (analytics).

Communication : envoi des codes OTP par e-mail, notifications relatives à votre abonnement.

Les traitements reposent sur les bases légales suivantes au sens du RGPD (Règlement UE 2016/679) :

Exécution du contrat (art. 6.1.b) : traitement nécessaire à la fourniture du service souscrit.

Intérêt légitime (art. 6.1.f) : sécurité de la plateforme, prévention de la fraude, amélioration du service.

Obligation légale (art. 6.1.c) : conservation des données de facturation conformément aux obligations comptables françaises.

Données de compte : conservées pendant la durée de l'abonnement actif, puis 3 ans après la résiliation pour les besoins légaux.

Données de facturation : 10 ans conformément aux obligations comptables (Code de commerce).

Logs de connexion et OTP : 90 jours maximum.

Données d'usage (flux, scores) : conservées pendant la durée de l'abonnement, supprimées dans les 30 jours suivant la clôture du compte.

À l'expiration de ces durées, vos données sont supprimées ou anonymisées de façon irréversible.

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès : obtenir une copie des données vous concernant.

Droit de rectification : corriger des données inexactes ou incomplètes.

Droit à l'effacement : demander la suppression de vos données (« droit à l'oubli »).

Droit à la limitation : restreindre le traitement dans certains cas.

Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.

Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.

Pour exercer ces droits, contactez-nous à l'adresse ci-dessous. Nous répondons dans un délai maximal de 30 jours. En cas de litige, vous pouvez saisir la CNIL (www.cnil.fr).

LumiPost utilise des cookies et technologies similaires pour les finalités suivantes :

Cookie de session (lumi_session) : cookie HttpOnly indispensable à l'authentification. Durée : 7 jours. Aucun consentement requis (strictly necessary).

Analytics (PostHog) : mesure d'audience anonymisée, hébergée sur les serveurs européens de PostHog (eu.i.posthog.com). Aucune donnée personnelle identifiable n'est transmise.

Aucun cookie publicitaire ou de tracking tiers n'est utilisé sur LumiPost.

Vous pouvez configurer votre navigateur pour refuser les cookies. Le refus du cookie d'analytique n'affecte pas le fonctionnement du service.

LumiPost fait appel aux sous-traitants suivants, tous soumis à des garanties contractuelles conformes au RGPD :

Supabase Inc. (base de données, hébergement EU) — https://supabase.com/privacy

Mistral AI SAS (traitement IA des articles, France) — https://mistral.ai/privacy

Stripe Inc. (paiements, Privacy Shield / SCC) — https://stripe.com/privacy

PostHog Inc. (analytics, serveurs EU) — https://posthog.com/privacy

Webshare Inc. (proxies de collecte) — https://www.webshare.io/privacy-policy

Aucun transfert de données hors UE n'est effectué sans garanties appropriées (clauses contractuelles types ou décision d'adéquation).