Politique de confidentialité

INTEK CENTER SASU, immatriculée au 369Q Avenue de Verdun, 33700 Mérignac, France (RCS Bordeaux 844 849 174, TVA intracommunautaire FR02844849174), agit en qualité de Responsable de traitement au sens du Règlement (UE) 2016/679 (« RGPD ») et de la Loi n° 78-17 du 6 janvier 1978 (« Loi Informatique et Libertés »).

Contact pour la protection des données : le formulaire de support intégré.

Bien que la Société ne soit pas tenue de désigner un Délégué à la Protection des Données (article 37 RGPD), le contact ci-dessus sert de point de contact désigné pour toutes les questions relatives à la protection des données et traitera toutes les demandes avec la même diligence qu'un DPO formel.

2.1. Données de service

2.2. Données de compte (optionnel)

La création de compte est optionnelle. Le service gratuit de suppression du mot de passe propriétaire ne nécessite aucun compte ni email.

2.3. Données de paiement

La Société ne stocke pas les numéros de carte bancaire. Toutes les données de paiement sont traitées exclusivement par Stripe dans un environnement conforme PCI-DSS.

2.4. Données techniques

2.5. Données analytiques (consentement requis)

Les données analytiques sont collectées via Google Analytics 4 (GA4) uniquement après consentement explicite via le bandeau de consentement aux cookies.

Décision automatisée et profilage (art. 22 RGPD) : Le Service ne procède à aucune prise de décision automatisée ni à aucun profilage produisant des effets juridiques ou affectant de manière similaire significativement l'utilisateur.

Nous utilisons vos données exclusivement pour :

• Fournir, exploiter et améliorer le Service (récupération de mot de passe, déverrouillage de PDF).
• Extraire uniquement le hash de chiffrement des PDFs uploadés — nous ne lisons, n'indexons ni ne stockons jamais le contenu réel de vos documents.
• Traiter les paiements, générer les factures et gérer les remboursements via Stripe.
• Communiquer avec vous (notifications de fin de job, confirmations d'achat, réponses du support).
• Détecter et prévenir la fraude, les abus et les accès non autorisés (limitation de débit, vérification de webhooks).
• Respecter les obligations légales (comptabilité, fiscalité, demandes des autorités).
• Analyser les schémas d'utilisation avec des données anonymisées (uniquement avec consentement).

Nous ne vendons, ne louons et ne commercialisons jamais vos données personnelles.

Vos données peuvent être partagées avec les prestataires suivants, strictement aux fins décrites ci-dessus :

Nous ne travaillons qu'avec des sous-traitants offrant des garanties adéquates au sens du RGPD. Vos données ne sont jamais partagées avec des annonceurs, courtiers en données ou tout autre tiers.

Le stockage principal des données se fait au sein de l'Union européenne (Google Cloud, Belgique, europe-west1). Certains sous-traitants sont basés aux États-Unis. Ces transferts sont sécurisés par :

• Le EU-U.S. Data Privacy Framework (DPF), décision d'adéquation de la Commission européenne (10 juillet 2023), auquel nos sous-traitants américains adhèrent et sont certifiés.
• En l'absence de DPF, les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision 2021/914), complétées par des mesures techniques et organisationnelles appropriées (chiffrement en transit et au repos, contrôles d'accès, pseudonymisation).

En vertu du RGPD et du droit français, vous disposez des droits suivants :

• Accès (art. 15 RGPD) : Obtenir une copie de toutes les données que nous détenons à votre sujet.
• Rectification (art. 16) : Corriger des données inexactes ou incomplètes.
• Effacement (art. 17) : Demander la suppression (sous réserve des obligations légales de conservation).
• Limitation (art. 18) : Demander la limitation du traitement.
• Portabilité (art. 20) : Recevoir vos données dans un format structuré et lisible par machine.
• Opposition (art. 21) : Vous opposer au traitement fondé sur l'intérêt légitime.
• Retrait du consentement (art. 7) : Retirer votre consentement analytique/marketing à tout moment via « Gérer les cookies » en pied de page.
• Directives post-mortem (droit français) : Définir des directives relatives au sort de vos données après votre décès.

Pour exercer vos droits, contactez le formulaire de support intégré. Nous répondrons dans un délai de 30 jours (prorogeable à 60 jours pour les demandes complexes, avec notification).

Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle. En France : Commission Nationale de l'Informatique et des Libertés (CNIL) — cnil.fr.

Nous mettons en œuvre des mesures techniques et organisationnelles conformes aux standards de l'industrie :

• Toutes les communications chiffrées via TLS 1.2+ (HTTPS imposé par Firebase Hosting).
• Mots de passe des utilisateurs hachés — nous ne stockons jamais les mots de passe d'authentification en clair.
• Accès à la base de données contrôlé par des règles de sécurité Firestore strictes (principe du moindre privilège).
• Fichiers PDF stockés dans Firebase Storage avec TTL de suppression automatique (24 heures).
• Signatures de webhooks (Stripe) vérifiées cryptographiquement pour prévenir les altérations.
• Limitation de débit sur tous les endpoints API pour prévenir les attaques par force brute et les abus (5 uploads/heure par IP, 3 jobs simultanés max).
• Mots de passe PDF récupérés stockés chiffrés, supprimés automatiquement après 7 jours.
• Revues de sécurité régulières et mise à jour des dépendances.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures (art. 33 RGPD) et informerons les utilisateurs concernés dans les meilleurs délais (art. 34 RGPD).

9.1. Strictement nécessaires (pas de consentement requis)

• Session d'authentification — Maintient l'état de connexion (localStorage).
• Préférences d'interface — Thème (clair/sombre) et langue (clés localStorage : pdfunlock-theme, pdfunlock-locale).
• Choix de consentement — Enregistre votre décision relative aux cookies.

9.2. Analytiques (consentement requis)

• Google Analytics 4 — Cookies : _ga, _ga_*. Durée : jusqu'à 14 mois. Finalité : comprendre les schémas d'utilisation du site. Activé uniquement après consentement explicite.

9.3. Marketing (consentement requis)

• Google Ads — Cookies : _gcl_*. Finalité : mesurer l'efficacité des campagnes publicitaires via la liaison GA4.
• Microsoft Advertising (Bing UET) — Cookies : _uetmsclkid, _uetvid. Finalité : suivi des conversions.

Nous implémentons Google Consent Mode v2. Tous les traceurs analytiques et marketing sont bloqués par défaut (analytics_storage: denied, ad_storage: denied, ad_user_data: denied, ad_personalization: denied) et ne sont activés qu'après votre consentement explicite et affirmatif via le bandeau de cookies.

Vous pouvez modifier vos choix à tout moment en cliquant sur « Gérer les cookies » en pied de page.

Les événements côté serveur (purchase, refund) sont envoyés via le Measurement Protocol GA4 depuis notre backend (webhook Stripe) et ne sont pas soumis au consentement aux cookies, car ils n'impliquent pas de collecte de données personnelles côté client au-delà de la transaction elle-même.

Le Service n'est pas destiné aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles d'enfants. Si nous découvrons avoir collecté des données d'un enfant de moins de 16 ans sans consentement parental, nous les supprimerons rapidement. Si vous pensez que c'est le cas, contactez-nous via le formulaire de support intégré.

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre pour refléter les changements dans nos pratiques, la technologie, les exigences légales ou d'autres facteurs. Les modifications seront publiées sur cette page avec une date de « Dernière mise à jour » actualisée.

Pour les modifications substantielles affectant vos droits, nous notifierons les utilisateurs inscrits par email au moins 15 jours avant l'entrée en vigueur des modifications.