Cette politique décrit comment Freelance OS traite tes données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.

Responsable de traitement

MEIZ (EURL) (RCS Paris 854 034 683), éditeur de Freelance OS, représentée par Jean Saunie. Contact RGPD : contact@freelance-os.fr.

Aucun délégué à la protection des données (DPO) n'est désigné à ce jour. Le contact RGPD reste le canal officiel pour toute question relative à tes données.

Périmètre

Cette politique couvre :

Le site public freelance-os.fr et ses sous-pages
Le SaaS Kernel (kernel.freelance-os.fr) et l'application membre (app.freelance-os.fr et sous-domaines workspace *.freelance-os.fr)

Lorsque tu utilises un workspace administré par un tiers (par exemple solodevagency.fr), Freelance OS agit comme sous-traitant au sens du RGPD pour les données saisies dans ce workspace. Le tiers reste responsable de traitement pour ses utilisateurs finaux. Voir /dpa.

Données collectées

Données d'identité et de compte

Adresse email, prénom, nom (facultatif)
Mot de passe haché (jamais stocké en clair, via Supabase Auth)
Identifiant interne (UUID)
Rôle et appartenance workspace

Données de facturation

Email de facturation, adresse postale, raison sociale, numéro TVA
Identifiant client Stripe (stripe_customer_id)
Identifiants de paiement (jamais le numéro de carte, qui reste chez Stripe)
Historique des factures et abonnements

Contenu utilisateur

Brouillons et contenus créés dans Studio (drafts, idées, scripts)
Configurations de voix éditoriale, briefs, prompts IA
Documents Counsel (devis, contrats, factures)
Présentations, pages web publiées, items de knowledge base
Bookings et données d'invités externes (nom, email, fuseau horaire)
Threads de support et conversations multi-canal (DM, email)

Tokens d'intégrations tierces

Tokens OAuth (chiffrés AES-256-GCM, isolés par workspace) pour Google, Google Ads, YouTube, TikTok, TikTok Marketing API, Instagram, LinkedIn, LinkedIn Advertising API, Meta, Meta Ads, WhatsApp Business, Stripe Connect
Métadonnées de connexion (identifiant compte/advertiser, périmètre de scopes accordés, date d'expiration)
Les tokens sont supprimés immédiatement quand tu déconnectes une intégration depuis l'interface

Données récupérées via les APIs publicitaires

Quand tu connectes un compte Ads (Meta Ads, Google Ads, TikTok Marketing API, LinkedIn Advertising API), Freelance OS interroge périodiquement les APIs concernées pour synchroniser :

Comptes publicitaires que tu autorises (identifiant, nom, devise, fuseau horaire)
Campagnes, ad groups, ads que tu crées ou consultes depuis Kernel (objectif, budget, statut, ciblage, créatifs)
Métriques de performance agrégées (impressions, clics, conversions, dépense, CPM, CPC, CPA, ROAS) par campagne, ad group, ad, jour, démographie
Audiences personnalisées que tu configures (taille estimée, source, statut). Les hashs PII éventuellement uploadés (emails hashés SHA-256) sont transmis aux plateformes mais jamais conservés en clair côté Freelance OS
Catalogues produits et flux DPA (pour les annonces dynamiques)
Événements pixel et conversions serveur (CAPI) que tu envoies vers les plateformes, Freelance OS agit alors comme passerelle
Leads collectés via Lead Ads (champs du formulaire, horodatage) qui te sont restitués dans Kernel

Ces données sont stockées dans la région UE (Supabase Francfort) et associées exclusivement à ton workspace. Elles sont supprimées 30 jours après la déconnexion de l'intégration ou la clôture du compte.

Données techniques et télémétrie

Adresse IP (pour sécurité et logs auth)
User agent, navigateur, OS
Pages visitées, événements analytiques (si consentement)
Logs d'audit (actions super_admin, opérations sensibles)

Données saisies sur formulaires publics

Inscriptions waitlist et webinaires : email, prénom, téléphone (facultatif), pays
UTM, referer, locale, user agent au moment de la soumission

Finalités et base légale

Finalité	Base légale RGPD
Création et gestion du compte	Exécution du contrat (art. 6.1.b)
Facturation, paiement, comptabilité	Exécution du contrat + obligation légale (art. 6.1.b et c)
Fourniture des fonctionnalités SaaS (Studio, Counsel, etc.)	Exécution du contrat
Gestion des campagnes publicitaires multi-plateformes (Meta Ads, Google Ads, TikTok Marketing API, LinkedIn Advertising API)	Exécution du contrat
Génération de contenu par IA (Anthropic, Gemini, OpenAI)	Exécution du contrat
Envoi d'emails transactionnels (Resend)	Exécution du contrat
Sécurité, prévention de la fraude, journaux d'audit	Intérêt légitime (art. 6.1.f)
Mesure d'audience (Google Analytics 4)	Consentement (art. 6.1.a)
Inscriptions waitlist, webinaires, newsletter	Consentement
Réponse aux demandes RGPD et support	Obligation légale + intérêt légitime
Gestion du programme partenaires (candidature, attribution, commissions, versements)	Exécution du contrat + obligation légale (art. 6.1.b et c)

Programme partenaires

Si tu candidates ou participes au programme partenaires (partners.freelance-os.fr), nous traitons en complément : tes données de candidature (canaux et profils LinkedIn, TikTok, Instagram, YouTube, X, newsletter, site, taille d'audience, pays), ton code de recommandation, les filleuls suivis via ton lien grâce à un cookie d'attribution de 60 jours, ainsi que tes commissions. Les données de versement (identité, coordonnées bancaires, informations fiscales) sont collectées et traitées par Stripe via Stripe Connect. Le détail figure dans la politique de confidentialité du programme partenaires.

Destinataires et sous-traitants

Tes données sont accessibles aux salariés et collaborateurs habilités de Freelance OS, et aux sous-traitants techniques listés sur /sous-traitants (hébergement, paiement, email, IA, OAuth, analytics).

Tes données ne sont jamais vendues ni cédées à des fins publicitaires.

Transferts hors Union européenne

Certains sous-traitants sont localisés aux États-Unis ou opèrent une infrastructure US. Les transferts s'effectuent sur la base de Clauses Contractuelles Types approuvées par la Commission européenne (décision 2021/914), complétées par des mesures techniques (chiffrement en transit TLS 1.3, chiffrement au repos AES-256, isolation tenant).

Sous-traitants concernés par un transfert hors UE :

Stripe (paiements, US)
Anthropic, Google Gemini, OpenAI (IA générative, US)
Apify (scraping LinkedIn, US)
Fathom (transcripts de réunions, US)
Vercel (hébergement, US)
Meta, Meta Ads (Pixel, Conversions API, Marketing API, US)
Google Ads (Marketing API, US)
TikTok Marketing API (US/SG)
LinkedIn Advertising API (US)
Resend (email transactionnel, US/EU)

Voir /sous-traitants pour la liste exhaustive et les garanties associées.

Durée de conservation

Donnée	Durée
Compte actif	Toute la durée du compte
Compte clôturé	Suppression dans les 30 jours suivant la clôture
Documents Counsel (devis, contrats, factures)	10 ans à compter de l'émission (art. L123-22 Code de commerce)
Logs d'audit et de sécurité	12 mois
Adresses IP de connexion	12 mois (LCEN)
Email waitlist sans inscription suite	24 mois maximum
Cookies analytiques (GA4)	13 mois maximum
Données de prospection commerciale	3 ans à compter du dernier contact (CNIL)

Tes droits

Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants :

Accès : obtenir une copie de tes données
Rectification : corriger des informations inexactes
Effacement ("droit à l'oubli")
Limitation du traitement
Opposition au traitement fondé sur l'intérêt légitime
Portabilité : recevoir tes données dans un format structuré et lisible
Non-soumission à une décision automatisée ayant des effets juridiques
Retrait du consentement à tout moment (sans effet rétroactif)
Définition de directives post-mortem sur tes données

Pour exercer ces droits : contact@freelance-os.fr ou via la page /data-deletion. Réponse sous 30 jours maximum.

Politique de confidentialité