Politique de confidentialité
Version 2026-05 — dernière mise à jour le 11 mai 2026. Responsable de traitement : SYSNOT Lab. DPO : dpo@sysnot.fr.
1. Données collectées
- Compte : email, mot de passe (hash Argon2id, jamais en clair), date de création, acceptation des CGU.
- Profil : nom affiché, bio, avatar, cover, liens, vCard, thème personnalisé.
- Sessions : refresh token (hash), User-Agent, IP hashée (SHA-256 avec sel quotidien rotatif).
- Analytics : pour chaque visite d'une page publique, on stocke uniquement : timestamp, IP hashée, famille de navigateur (Chrome, Safari…), OS, type d'appareil, code pays (depuis l'IP, jamais stockée en clair), domaine du referer. Aucune empreinte numérique ni cookie tiers.
- Audit : événements sensibles (auth, modif sécurité, suppression) conservés à des fins légales.
2. Finalités
- Fournir le service Linkka.
- Sécuriser l'accès (auth, rate-limit).
- Mesurer la performance d'un profil (analytics owner-facing).
- Respecter les obligations légales (audit, RGPD).
3. Durée de conservation
| Donnée | Durée |
|---|---|
| Compte et profils actifs | Tant que le compte existe |
| Compte supprimé | 30 jours (grace period) puis effacement |
| Events analytics bruts (Free) | 30 jours |
| Events analytics bruts (Starter / Pro) | 90 / 365 jours |
| Agrégats analytics (compteurs jour/profil) | Conservés (pseudonymisés) |
| Logs d'audit | 3 ans |
4. Partage des données
Aucune donnée n'est vendue. Les sous-traitants utilisés sont strictement opérationnels : hébergeur (SYSNOT — France), service email transactionnel (à venir), service de paiement (Stripe — UE, future Phase 1). Les transferts hors UE sont évités.
5. Cookies et tracking
Linkka ne pose aucun cookie publicitaire ni de tracker tiers. Voir la page Cookies pour le détail. Le tracking analytique est intégralement server-side et conforme aux recommandations de la CNIL pour la dispense de consentement.
6. Vos droits
- Accès / portabilité : Paramètres → Mes données → Exporter (ZIP RGPD complet, lien valide 24h).
- Rectification : modification directe des informations dans le dashboard.
- Suppression : Paramètres → Suppression. La suppression prend effet après 30 jours (annulation possible jusqu'au dernier moment).
- Opposition / limitation : nous écrire à dpo@sysnot.fr.
- Réclamation CNIL : vous pouvez saisir la CNIL si vous estimez que vos droits ne sont pas respectés.
7. Sécurité
Mots de passe hashés Argon2id, tokens JWT signés HS256, IP toujours hashée avant stockage, RLS Postgres pour l'isolation multi-tenant, HTTPS obligatoire en production, CSP stricte, monitoring des fuites de secrets via gitleaks.
Document préparé en interne — à faire valider par un cabinet juridique avant publication commerciale.