Politique de confidentialité

Données de compte : ton adresse email, ton nom (si fourni), la méthode d'authentification (email/mot de passe, Google OAuth, magic link), ta langue préférée, et les timestamps de création de compte et de dernière connexion.

Events d'audit : les events que tu nous envoies via le SDK ou l'API pour le compte de tes propres utilisateurs. Ils peuvent contenir les identifiants, emails, adresses IP, user agents et métadonnées personnalisées que tu choisis d'inclure.

Données de facturation : ton ID client Stripe, le statut de ton abonnement, ton plan, ta période de facturation. Nous ne voyons ni ne stockons jamais les détails de ta carte de paiement, ceux-ci sont gérés directement par Stripe.

Données techniques : adresse IP et user agent lors de tes accès au dashboard, utilisés pour la sécurité et le debug, conservés 30 jours.

Pour te fournir le Service auquel tu as souscrit : stockage, recherche et export de tes events d'audit.

Pour t'authentifier et sécuriser ton compte contre les accès non autorisés.

Pour te facturer et gérer ton abonnement via Stripe.

Pour t'envoyer des emails transactionnels (vérification, magic link, alertes de quota, confirmations d'abonnement). Nous n'envoyons pas d'emails marketing sauf si tu l'acceptes explicitement.

Pour nous conformer à nos obligations légales (comptabilité, fiscalité, réponses aux demandes légales des autorités).

Pour améliorer le Service de manière agrégée et anonymisée.

Exécution du contrat : fournir le Service auquel tu as souscrit, y compris la gestion du compte et la facturation.

Intérêt légitime : protéger notre infrastructure contre les abus, améliorer le Service, prévenir la fraude. Nous mettons en balance ces intérêts avec tes droits et libertés.

Obligation légale : documents comptables, déclarations fiscales, réponses aux demandes légales des autorités.

Consentement : pour tout traitement non couvert par ce qui précède, nous demandons ton consentement explicite que tu peux retirer à tout moment.

Tes données sont accessibles uniquement au personnel de Recalled, strictement quand cela est nécessaire pour le support, la facturation ou la sécurité.

Nous utilisons les sous-traitants suivants pour faire fonctionner le Service : Stripe (facturation), notre infrastructure (stockage), notre fournisseur SMTP pour les emails transactionnels, Umami analytics.

Tous les sous-traitants sont liés par des accords de traitement des données conformes à l'article 28 du RGPD. Une liste complète et à jour des sous-traitants est disponible sur demande à contact@recalled.dev.

Données de compte : conservées pendant la durée de ton abonnement plus 30 jours après résiliation pour permettre l'export, puis supprimées ou anonymisées de manière permanente.

Events d'audit : conservés selon le paramètre de rétention de ton plan (7 jours sur Free, 90 jours sur Starter, 1 an sur Pro, illimitée et configurable sur Scale). Passé ce délai, les events sont supprimés de manière permanente.

Au-delà de la fenêtre de rétention de ton plan, les events sont supprimés de Recalled sans possibilité de restauration. Les exports CSV et JSON restent disponibles depuis le dashboard et l'API à tout moment, avant ou après expiration pour les events encore en base, pour que tu puisses archiver toi-même si tu dois conserver un audit trail au-delà de la fenêtre de ton plan. Le plan Scale offre une rétention illimitée pour les cadres de conformité (SOC 2, ISO 27001, PCI-DSS) qui imposent une conservation longue durée.

Données de facturation : conservées 10 ans pour nous conformer au droit comptable français.

Logs techniques (accès dashboard) : conservés 30 jours, puis purgés.

Toutes les données sont hébergées exclusivement dans l'Union Européenne, dans un datacenter opéré par notre fournisseur de VPS.

Nous ne transférons pas de données d'audit en dehors de l'UE. Si cela devait changer (par exemple pour utiliser un sous-traitant hors-UE pour une fonctionnalité spécifique non critique), nous mettrons à jour cette Politique et le DPA, et nous nous appuierons sur les Clauses Contractuelles Types approuvées par la Commission Européenne.

Droit d'accès (Article 15) : tu peux demander une copie de toutes les données personnelles que nous détenons sur toi.

Droit de rectification (Article 16) : tu peux corriger toute donnée inexacte directement depuis les paramètres de ton dashboard, ou en nous contactant.

Droit à l'effacement (Article 17) : tu peux supprimer ton compte et toutes les données associées depuis le dashboard. Pour les events d'audit liés à tes utilisateurs finaux, un seul appel API DELETE /v1/actors/:id anonymise tous les events de cet acteur.

Droit à la limitation (Article 18) : tu peux nous demander d'arrêter de traiter tes données sous certaines conditions.

Droit à la portabilité (Article 20) : tu peux exporter tous tes events d'audit en CSV ou JSON depuis le dashboard ou via l'API.

Droit d'opposition (Article 21) : tu peux t'opposer à un traitement basé sur l'intérêt légitime.

Droit de réclamation : tu peux déposer une plainte auprès de la CNIL (l'autorité française de protection des données) sur cnil.fr.

Pour exercer l'un de ces droits, écris à contact@recalled.dev. Nous répondons sous 30 jours.

Recalled utilise uniquement des cookies strictement nécessaires : un cookie de session pour l'authentification (scopé à recalled.dev), un cookie de langue (NEXT_LOCALE) pour mémoriser ta préférence linguistique, et un cookie sidebar_state pour mémoriser la préférence d'affichage de ton dashboard.

Nous n'utilisons pas de cookies de tracking, de cookies publicitaires, ni de cookies d'analytics tiers sur le dashboard. Aucune bannière cookie n'est requise.

Toutes les données sont chiffrées au repos en AES-256 et en transit en TLS 1.3.

Les mots de passe sont hashés avec argon2. Les clés API sont stockées uniquement sous forme de hash SHA-256, jamais en clair.

Chaque event d'audit est signé cryptographiquement avec une hash chain, rendant toute modification détectable.

L'accès à l'infrastructure de production est restreint au personnel de Recalled via une authentification forte.

Nous effectuons des revues de sécurité régulières et patchons rapidement les vulnérabilités de nos dépendances.

Quand tu utilises Recalled pour logger des events concernant tes propres utilisateurs, tu agis en tant que responsable de traitement et Recalled en tant que sous-traitant.

Un DPA standard conforme à l'article 28 du RGPD est automatiquement en vigueur dès la souscription. Tu peux demander une copie contresignée à contact@recalled.dev.

Nous pouvons mettre à jour cette Politique de confidentialité périodiquement pour refléter des changements dans nos pratiques ou dans la loi. Les changements significatifs seront notifiés par email aux utilisateurs actifs au moins 30 jours avant leur entrée en vigueur.

Pour toute question sur cette Politique de confidentialité ou pour exercer tes droits, écris à contact@recalled.dev. Nous visons une réponse sous 5 jours ouvrés pour les questions générales et sous 30 jours pour les demandes RGPD formelles.