Politique de confidentialité.

XAgencyFlow respecte votre vie privée. Cette page explique, en clair, quelles données nous collectons, pourquoi, à qui nous les confions, combien de temps nous les gardons, et quels droits vous avez. Elle est conforme au Règlement Général sur la Protection des Données (RGPD, UE 2016/679).

§ 01 Responsable du traitement

§ 02 Données collectées et finalités

Donnée	Finalité	Base légale
Email + mot de passe (hashé)	Création et accès au compte	Exécution du contrat
Cookie de session (xagency_user)	Vous garder connecté entre sessions	Strictement nécessaire
Images uploadées (Spoofer, FlowMask)	Traitement par les outils IA	Exécution du contrat
Prompts texte (Générateur, FlowCaption)	Génération de contenus	Exécution du contrat
Hash de transaction crypto	Validation des paiements	Exécution du contrat + obligation légale (comptabilité)
Statistiques d'usage anonymisées	Amélioration du Studio	Intérêt légitime

Nous ne collectons aucune donnée sensible (santé, opinions politiques, religion, orientation sexuelle, etc.) au sens de l'article 9 du RGPD.

§ 03 Sous-traitants et transferts

Pour faire fonctionner le Studio, nous confions certaines données à des prestataires techniques (sous-traitants au sens du RGPD). Chacun est encadré par un accord respectant l'article 28 et, si transfert hors UE, par des clauses contractuelles types (CCT).

Prestataire	Rôle	Localisation
Hostinger Intl. Ltd.	Hébergement du serveur et de la base de données	UE (Chypre)
Replicate, Inc.	Modèles image-to-image (Spoofer)	États-Unis · CCT
Google LLC (Gemini)	Modèle de langage (Générateur, FlowCaption)	États-Unis / UE · CCT + DPF
NOWPayments OÜ	Traitement des paiements crypto	UE (Estonie)
Umami	Analytics auto-hébergé	Sur notre serveur (UE)

Nous ne vendons, louons ni n'échangeons vos données avec qui que ce soit. Aucun cookie tiers publicitaire n'est posé.

§ 04 Durées de conservation

• Compte utilisateur · tant que le compte est actif. Suppression sous 30 jours après demande.
• Images uploadées et générées · 24 heures, puis purge automatique. Aucune copie n'est conservée pour l'entraînement.
• Prompts texte · conservés liés à votre compte tant qu'il existe, pour vous permettre de consulter vos générations passées.
• Hash de transaction · 10 ans (obligation comptable légale).
• Logs serveur · 12 mois maximum, ensuite anonymisés ou supprimés.

§ 05 Vos droits

Vous disposez à tout moment des droits suivants sur vos données :

• Accès · obtenir une copie de toutes les données que nous avons sur vous.
• Rectification · corriger des informations inexactes.
• Effacement · demander la suppression complète de votre compte et de vos données (« droit à l'oubli »).
• Limitation · suspendre tout traitement pendant la durée d'une contestation.
• Portabilité · récupérer vos données dans un format structuré et lisible par machine.
• Opposition · vous opposer au traitement fondé sur l'intérêt légitime.

Pour exercer ces droits, écrivez-nous à contact@xagencyflow.cloud. Nous répondons sous 30 jours maximum. Une pièce d'identité peut être demandée en cas de doute raisonnable.

§ 06 Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr/fr/plaintes.

§ 07 Sécurité

Nous protégeons vos données par : connexion chiffrée (HTTPS/TLS 1.3), mots de passe stockés sous forme de hash, isolation VPN des services internes, sauvegardes chiffrées, et accès administrateur restreint avec authentification à deux facteurs. Aucun système n'est invulnérable — en cas d'incident affectant vos données, vous serez notifié sous 72 heures conformément à l'article 33 du RGPD.

§ 08 Modifications de la politique

Cette politique peut évoluer (nouveaux outils, nouveaux sous-traitants, évolutions légales). Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur.