RGPD · GDPR Compliant

Politique de Confidentialité

Privacy Policy

Dernière mise à jour · Last updated: 13 mai 2026

Responsable du traitement · Data controller: Towerly[Adresse du siège — à compléter]

En résumé · TL;DR

Vos données sont utilisées uniquement pour faire fonctionner votre espace Towerly. Nous ne revendons rien. Vous pouvez exporter ou supprimer vos données à tout moment depuis votre tableau de bord ou par email. Hébergement exclusivement en Europe (UE).
Your data is used solely to power your Towerly workspace. We sell nothing to third parties. You can export or delete your data at any time from your dashboard or by email. EU-only hosting.

1. Qui sommes-nous ?

Who are we?

Towerly opère le service Towerly accessible à l'adresse towerly.fr.Towerly est une plateforme SaaS d'intelligence marketing IA destinée aux TPE, PME et agences.

Contact DPO / Data Protection enquiries: contact@towerly.fr

2. Données collectées

Data collected

Nous collectons les catégories suivantes · We collect the following:

Compte · Account

  • Nom, prénom, adresse email (inscription)
  • Mot de passe haché (bcrypt) — jamais stocké en clair
  • Nom de l'espace de travail (workspace)

Discovery Engine · Discovery Engine data

  • Données extraites de votre site WordPress via le plugin connecteur (titres, contenus, catégories)
  • Informations publiques indexées sur votre domaine (analyses web, mentions, présence réseaux sociaux publics)
  • Données Google Analytics 4 si vous accordez l'accès OAuth
  • Données Google Business Profile si vous accordez l'accès OAuth
  • Documents Google Drive dans le dossier que vous sélectionnez explicitement (scope drive.file)
  • Métriques Facebook/Instagram Business si vous accordez l'accès OAuth
  • Snapshots Discovery (résultats bruts) stockés dans discovery_snapshots
  • Profil espace de travail généré par l'IA (table workspace_profiles) — révisé par l'agence avant activation

Facturation · Billing

  • Plan d'abonnement, statut Stripe, identifiant client Stripe (stripe_customer_id)
  • Aucune donnée de carte bancaire stockée chez nous — traitement exclusif via Stripe (certifié PCI DSS)
  • Historique des abonnements et des paiements (via webhooks Stripe)

Usage · Usage

  • Logs d'utilisation des agents IA (nombre de runs, agent sélectionné, horodatage)
  • Contenu généré stocké dans content_items et associé à votre workspace
  • Adresse IP (rate limiting, sécurité — non conservée au-delà de 24h)

3. Bases légales du traitement

Legal bases (GDPR Art. 6)

  • Exécution du contrat — traitement de votre compte, accès aux agents IA, Discovery Engine. Contract performance.
  • Consentement explicite — connexion OAuth Google, Meta/Facebook, Drive. Révocable à tout moment. Explicit consent — revocable at any time.
  • Intérêt légitime — sécurité, prévention de la fraude, amélioration du service (données agrégées anonymisées). Legitimate interest — security and service improvement.
  • Obligation légale — conservation des factures et données comptables (durée légale). Legal obligation — invoice retention.

4. Partage des données

Data sharing

Nous ne vendons jamais vos données. Les sous-traitants suivants ont accès à des données strictement nécessaires à leur service : We never sell your data. The following processors have access only to data necessary for their service:

StripePaiement / Payment processingUSA (SCC)politique ↗
OpenAI / Anthropic / Google AIInférence LLM / LLM inference (prompts + réponses)USA (SCC)politique ↗
Hébergeur cloud UEHébergement base de données + application / DB + app hostingUE
Google OAuthAuthentification Google, GA4, Drive (si activé)USA (SCC)politique ↗
Meta/Facebook OAuthPages Facebook, Instagram Business (si activé)USA (SCC)politique ↗

SCC = Clauses Contractuelles Standard UE (transferts hors EEE conformes RGPD). SCC = EU Standard Contractual Clauses for GDPR-compliant extra-EEA transfers.

5. Durée de conservation

Retention periods

Données de compte actifDurée de l'abonnement + 30 jours après résiliation / Subscription + 30 days after cancellation
Snapshots Discovery24 mois glissants ou jusqu'à suppression manuelle / 24 rolling months or until manual deletion
Contenu généré (content_items)Durée de l'abonnement + 30 jours / Subscription + 30 days
Logs d'usage (agent runs)12 mois / 12 months
Factures et données comptables10 ans (obligation légale FR) / 10 years (French legal requirement)
Tokens OAuth (Google, Meta)Jusqu'à révocation par l'utilisateur / Until user revocation
Adresses IP (rate limiting)24 heures maximum / 24 hours max

6. Vos droits (RGPD Art. 15-22)

Your rights

Conformément au RGPD, vous disposez des droits suivants · Under GDPR, you have the following rights:

Accès

Access

Obtenir une copie de toutes vos données personnelles.

Rectification

Rectification

Corriger des données inexactes ou incomplètes.

Effacement

Erasure ("right to be forgotten")

Supprimer votre compte et toutes les données associées.

Portabilité

Data portability

Exporter vos données dans un format structuré (JSON/CSV).

Opposition

Objection

Vous opposer à certains traitements basés sur l'intérêt légitime.

Limitation

Restriction

Limiter le traitement en cas de contestation.

Pour exercer vos droits, contactez contact@towerly.fr. Délai de réponse : 30 jours (RGPD Art. 12). En cas de litige : CNIL (France).
To exercise your rights, contact us at the email above. Response time: 30 days (GDPR Art. 12). Supervisory authority: CNIL (France) or your local DPA.

7. Export et suppression des données

Data export and deletion

Export : Depuis votre tableau de bord → Paramètres → Données, vous pouvez télécharger l'intégralité de vos données au format JSON ou CSV à tout moment. From your dashboard → Settings → Data, export all your data as JSON or CSV at any time.

Suppression : Depuis Paramètres → Supprimer mon compte, toutes les données personnelles sont supprimées sous 30 jours (hors obligations légales de conservation). Les snapshots Discovery et le profil espace sont effacés immédiatement. Delete via Settings → Delete account. All personal data removed within 30 days (except legally-required retention). Discovery snapshots and workspace profile deleted immediately.

8. Sécurité

Security

  • Chiffrement TLS 1.3 en transit · TLS 1.3 encryption in transit
  • Chiffrement des données au repos (AES-256) · AES-256 encryption at rest
  • Isolation multi-tenant par RLS PostgreSQL (Row Level Security) · PostgreSQL Row Level Security (RLS) multi-tenant isolation
  • Mots de passe hachés bcrypt (coût 12) · bcrypt password hashing (cost 12)
  • Clés API LLM stockées chiffrées par workspace · LLM API keys stored encrypted per workspace
  • Tokens OAuth stockés chiffrés et jamais exposés côté client · OAuth tokens stored encrypted, never exposed client-side
  • Journalisation des accès sensibles · Sensitive access logging

9. Cookies

Cookies

Towerly n'utilise que des cookies strictement nécessaires au fonctionnement du service. Towerly uses only cookies strictly necessary for service operation.

next-auth.session-tokenSession d'authentification (HttpOnly, Secure, SameSite=Lax)Session
next-auth.csrf-tokenProtection CSRFSession

Aucun cookie publicitaire, aucun traceur tiers. No advertising cookies, no third-party trackers.

10. Modifications de cette politique

Changes to this policy

En cas de modification substantielle, nous vous notifierons par email et afficherons un bandeau dans l'application au moins 14 jours avant l'entrée en vigueur. For material changes, we will notify you by email and display an in-app banner at least 14 days before the change takes effect.

11. Contact

Contact

Pour toute question relative à vos données personnelles · For any data privacy question:

Email : contact@towerly.fr
Société : Towerly
Adresse : [Adresse du siège — à compléter]

← AccueilConditions d'utilisationGuide d'onboardingCommencer →