Politique de confidentialité — SaasToStore
Dernière mise à jour : 8 juin 2026
La version anglaise de cette Politique de confidentialité fait foi en cas de divergence d'interprétation.
1. Responsable du traitement
Méga Joule — Auto-entrepreneur (entreprise individuelle) Représenté par : Khalfallah MAHFOUD SIREN : 995 382 512 — SIRET : 995 382 512 00011 Code APE : 6201Z (Programmation informatique) Adresse : 3 allée Rouget de Lisle — 78300 Poissy, France E-mail : hello@saastostore.com
2. Données collectées et finalités
2.1 Données de compte
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse e-mail | Authentification, notifications transactionnelles, facturation | Exécution du contrat |
| Mot de passe (haché bcrypt, coût ≥ 12) | Sécurité du compte | Exécution du contrat |
| Date d'inscription | Gestion du compte, prévention de la fraude | Intérêt légitime |
| Préférence de langue | Interface utilisateur localisée | Intérêt légitime |
2.2 Données de projet
| Donnée | Finalité | Base légale |
|---|---|---|
| URL PWA / site web source | Analyse technique, compilation, pipeline de build | Exécution du contrat |
| Nom de l'application | Génération de la fiche store, configuration du build | Exécution du contrat |
| Nom de package Android | Identification unique de l'app sur Google Play | Exécution du contrat |
| Icône de l'app (téléchargée par l'utilisateur) | Assets Android, Desktop et store | Exécution du contrat |
| Captures d'écran (auto-générées) | Fiche Play Store / Microsoft Store | Exécution du contrat |
| Icônes générées | Artifacts Android et Desktop | Exécution du contrat |
| Description et textes de store | Fiche store (fournis par l'utilisateur ou générés par IA) | Exécution du contrat |
| Store(s) cible(s) sélectionné(s) | Routage du build et publication multi-store | Exécution du contrat |
| Configuration du build Desktop (largeur, hauteur) | Paramètres de build Tauri/Pake | Exécution du contrat |
2.3 Données de build et de publication
| Donnée | Finalité | Base légale |
|---|---|---|
| Fichier AAB / APK compilé | Publication sur les stores Android | Exécution du contrat |
| Fichiers compilés .msi / .dmg / .AppImage | Distribution via GitHub Releases | Exécution du contrat |
| Keystore Android (chiffré AES-256-GCM) | Signature de l'app pour les mises à jour et re-soumissions | Exécution du contrat |
| Logs de build | Débogage, support, sécurité | Intérêt légitime |
| Statut, horodatages et historique des builds | Suivi du pipeline, tableau de bord utilisateur | Exécution du contrat |
| Données de callback par plateforme Desktop | Reporting de progression en temps réel | Exécution du contrat |
2.4 Données de connexion aux stores
Google Play
| Donnée | Finalité | Base légale |
|---|---|---|
| Token de rafraîchissement OAuth 2.0 (chiffré AES-256-GCM) | Publication automatisée sur Google Play | Consentement explicite |
| E-mail du compte Google associé | Identification de la connexion | Consentement explicite |
| Date de dernière utilisation | Sécurité, détection d'anomalies | Intérêt légitime |
Le token de rafraîchissement n'est jamais accessible en clair depuis l'interface utilisateur. Il est déchiffré uniquement en RAM sur le serveur de build au moment de l'appel API.
Amazon Appstore
| Donnée | Finalité | Base légale |
|---|---|---|
| Client ID Amazon | Authentification API pour la publication sur l'Appstore | Consentement explicite |
| Client secret Amazon (chiffré AES-256-GCM) | Authentification API pour la publication sur l'Appstore | Consentement explicite |
Samsung Galaxy Store
| Donnée | Finalité | Base légale |
|---|---|---|
| ID de compte de service Samsung | Authentification API pour la publication sur Galaxy Store | Consentement explicite |
| Secret de service Samsung (chiffré AES-256-GCM) | Authentification API pour la publication sur Galaxy Store | Consentement explicite |
Microsoft Partner Center
| Donnée | Finalité | Base légale |
|---|---|---|
| ID de tenant Azure AD | Authentification API Microsoft Store | Consentement explicite |
| Secret client Azure AD (chiffré AES-256-GCM) | Authentification API Microsoft Store | Consentement explicite |
Snap Store
| Donnée | Finalité | Base légale |
|---|---|---|
| Identifiants snapcraft export-login (chiffrés AES-256-GCM) | Publication sur le Snap Store | Consentement explicite |
Flathub
| Donnée | Finalité | Base légale |
|---|---|---|
| Token d'accès personnel GitHub (chiffré AES-256-GCM) | Soumission de PR Flathub via l'API GitHub | Consentement explicite |
| ID d'application Flatpak (généré) | Identification du manifest Flathub | Exécution du contrat |
Toutes les identifiants de stores tiers sont chiffrés avec AES-256-GCM avec un vecteur d'initialisation (IV) aléatoire unique par entrée et stockés exclusivement dans la base de données SaasToStore. Ils ne sont déchiffrés qu'en RAM sur le serveur de build/publication au moment de l'appel API concerné.
2.5 Données de paiement
Les paiements sont traités exclusivement par Stripe Inc. SaasToStore ne stocke jamais de données bancaires (numéro de carte, CVV, IBAN, coordonnées bancaires). Les éléments suivants sont conservés pour la comptabilité et la gestion des crédits : identifiant client Stripe, identifiant du forfait souscrit, dates et montants des transactions, identifiants d'événements webhook Stripe (pour l'idempotence).
2.6 Données de navigation et techniques
SaasToStore peut collecter les données techniques suivantes :
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse IP (tronquée à /24 pour les utilisateurs UE) | Sécurité, prévention des abus | Intérêt légitime |
| Type et version du navigateur | Compatibilité, débogage | Intérêt légitime |
| Système d'exploitation | Analyses de compatibilité | Intérêt légitime |
| Pages visitées, temps passé sur la page | Analyse des performances, utilisation des fonctionnalités | Intérêt légitime |
| URL de référence | Analyse des sources de trafic | Intérêt légitime |
| Logs d'erreurs et rapports de crash | Stabilité du produit | Intérêt légitime |
Aucun cookie publicitaire ni outil de suivi comportemental tiers n'est utilisé.
3. Cookies et stockage local
SaasToStore utilise uniquement des cookies fonctionnels et des clés de stockage local strictement nécessaires au fonctionnement du Service. Aucun cookie publicitaire, de suivi comportemental ou de profilage tiers n'est utilisé.
3.1 Cookies
| Nom | Type | Durée | Finalité |
|---|---|---|---|
sb-<projet>-auth-token | Essentiel | Session (jusqu'à 7 jours) | Token de session d'authentification Supabase |
sb-<projet>-auth-token-code-verifier | Essentiel | Session | Vérificateur de code PKCE OAuth (flux d'authentification Google Play) |
3.2 Stockage local
| Clé | Durée | Finalité |
|---|---|---|
sts_locale | Permanent | Langue préférée de l'utilisateur (EN/FR/DE/ES/PT-BR) |
sts_redirected | Session | Prévention des boucles de redirection lors de la détection initiale de la locale |
3.3 Consentement aux cookies
Dans la mesure où SaasToStore ne déploie pas de cookies non essentiels (analytiques, publicitaires, réseaux sociaux), aucune bannière de consentement aux cookies n'est requise en vertu de la Directive ePrivacy 2002/58/CE et de ses transpositions nationales. Si des cookies non essentiels venaient à être introduits à l'avenir, les utilisateurs en seraient informés et un mécanisme de consentement serait mis en place.
4. Durées de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte actif | Durée de vie du compte |
| Configuration de projet et de build | 12 mois après le dernier build |
| Fichiers AAB / APK compilés | 30 jours après la compilation |
| Artifacts de build Desktop (GitHub Releases) | 90 jours après le build |
| Keystore Android | Durée de vie du compte + 30 jours après suppression |
| Identifiants de stores (Google, Amazon, Samsung, Microsoft, Snap, Flathub) | Jusqu'à révocation par l'utilisateur ou suppression du compte |
| Données de paiement et enregistrements de transactions | 10 ans (obligation légale comptable française — Art. L.123-22 C.com.) |
| Logs techniques et de build | 90 jours |
| Logs de navigation | 30 jours |
Après la suppression du compte, toutes les données personnelles sont effacées dans un délai de 30 jours, à l'exception :
- des données de paiement soumises à l'obligation légale de conservation comptable
- des données devant être conservées pour respecter une obligation légale ou se défendre contre une réclamation juridique
5. Destinataires et sous-traitants des données
5.1 Sous-traitants
SaasToStore fait appel aux prestataires de services suivants. Des Accords de traitement des données (DPA) sont en place ou la conformité SCCs/DPF est confirmée selon le cas :
| Prestataire | Rôle | Données partagées | Localisation |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification, stockage de fichiers, fonctions edge | Données de compte, données de projet, identifiants (chiffrés), jobs de build | Union européenne (AWS eu-west-3, Paris, France) |
| Ionos SE | Serveur de compilation AAB/APK (builds Android) | URL source, nom de l'app, icône, paramètres de build | Allemagne (UE) |
| GitHub Inc. (Microsoft Corp.) | Pipeline de build Desktop (GitHub Actions), stockage d'artifacts (GitHub Releases) | URL source, nom de l'app, URL d'icône, ID de job de build | États-Unis |
| Stripe Inc. | Traitement des paiements, gestion des abonnements | E-mail, montants des transactions, identifiants de forfaits | États-Unis (certifié PCI-DSS Niveau 1) |
| Resend Inc. | Livraison d'e-mails transactionnels (notifications de build, reçus) | Adresse e-mail, prénom (si fourni), données de résultat de build | États-Unis |
| Anthropic PBC | Génération de texte par IA (descriptions de store, CGU d'app générées par IA) | Nom de l'app, URL, catégorie | États-Unis |
| Google LLC (API Gemini) | Génération d'images par IA (icônes, assets visuels) | Nom de l'app, URL, schéma de couleurs | États-Unis |
| Browserless Inc. | Captures d'écran automatisées de PWA | URL source | États-Unis |
| Google LLC (Firebase) | Livraison de notifications push aux utilisateurs finaux des apps publiées | Tokens de souscription push, payloads de notification | États-Unis |
| PWABuilder / Microsoft | Génération de paquets .msix pour Microsoft Store | URL source, nom de l'app | États-Unis |
5.2 Transferts hors Union européenne
Certains sous-traitants sont établis aux États-Unis. Ces transferts internationaux sont effectués dans le cadre d'un ou plusieurs des mécanismes suivants :
- Clauses contractuelles types (CCT) adoptées par la Commission européenne (Décision 2021/914)
- Cadre de protection des données UE-États-Unis (décision d'adéquation du 10 juillet 2023) lorsque le sous-traitant est certifié
- Dérogations de l'article 49 du RGPD selon le cas
Vous pouvez demander des informations sur les mécanismes de transfert spécifiques applicables à chaque sous-traitant en contactant hello@saastostore.com.
5.3 APIs de stores tiers
Lorsque vous autorisez SaasToStore à publier sur un store en votre nom, les données nécessaires à la publication (binaire de l'app compilée, métadonnées, captures d'écran) sont transmises à l'API tierce concernée. Ces transmissions sont effectuées en votre nom, sur la base de votre autorisation explicite, et sont régies par les politiques de confidentialité propres à chaque store.
5.4 Absence de vente de données
SaasToStore ne vend, ne loue, n'échange ni ne transfère de données personnelles à des tiers à des fins commerciales ou publicitaires.
6. Sécurité des données
SaasToStore met en œuvre les mesures de sécurité techniques et organisationnelles suivantes :
- Chiffrement en transit : HTTPS/TLS 1.3 sur toutes les communications entre le client, le serveur et les API tierces
- Chiffrement au repos : tous les tokens OAuth, identifiants d'API de stores et keystores Android sont chiffrés avec AES-256-GCM avec un IV aléatoire unique par entrée ; les clés de chiffrement sont stockées séparément des données
- Sécurité des mots de passe : hachés avec bcrypt, facteur de travail ≥ 12 ; les mots de passe en clair ne sont jamais stockés ni journalisés
- Sécurité au niveau des lignes (RLS) : appliquée au niveau de la base de données — chaque utilisateur ne peut accéder qu'à ses propres données
- Moindre privilège : chaque composant du système n'a accès qu'aux données strictement nécessaires à son fonctionnement
- Contrôle d'accès : l'accès à l'infrastructure de production est restreint au personnel autorisé via authentification par clé SSH
- Sanitisation des logs : les logs filtrent et masquent automatiquement les mots de passe, identifiants de keystore, tokens et secrets
- Notification en cas de violation : en cas de violation de données susceptible de présenter un risque pour vos droits et libertés, SaasToStore notifiera l'autorité de contrôle compétente dans les 72 heures et les utilisateurs concernés sans délai excessif, conformément aux articles 33-34 du RGPD
7. Vos droits au titre du RGPD (résidents UE/EEE)
Conformément au Règlement (UE) 2016/679 (RGPD) et à la législation nationale applicable en matière de protection des données, les résidents de l'UE et de l'EEE disposent des droits suivants :
| Droit | Description | Comment l'exercer |
|---|---|---|
| Accès (Art. 15) | Obtenir la confirmation du traitement et une copie de vos données personnelles | Demande par e-mail à hello@saastostore.com |
| Rectification (Art. 16) | Corriger les données personnelles inexactes ou incomplètes | Par e-mail ou paramètres du compte |
| Effacement (Art. 17) | Demander la suppression de vos données personnelles (« droit à l'oubli ») | Demande par e-mail ou suppression du compte |
| Limitation (Art. 18) | Demander la suspension temporaire du traitement | Demande par e-mail |
| Portabilité (Art. 20) | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine | Demande par e-mail |
| Opposition (Art. 21) | S'opposer au traitement fondé sur l'intérêt légitime | Demande par e-mail |
| Retrait du consentement | Révoquer le consentement à tout moment sans préjuger du traitement antérieur | Paramètres du compte ou e-mail |
| Décision automatisée (Art. 22) | Ne pas faire l'objet d'une décision entièrement automatisée ayant des effets significatifs | N/A — aucun traitement de ce type actuellement |
Délai de réponse : Nous répondons à toutes les demandes dans un délai de 30 jours. Pour les demandes complexes ou nombreuses, ce délai peut être prolongé de deux mois supplémentaires, avec notification préalable.
Autorité de contrôle : Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer une plainte auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :
- Site web : https://www.cnil.fr
- Adresse : 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Les résidents UE/EEE peuvent également contacter l'autorité de contrôle de leur pays de résidence.
8. Vos droits au titre du UK RGPD (résidents du Royaume-Uni)
Les résidents du Royaume-Uni disposent de droits équivalents en vertu du UK General Data Protection Regulation et du Data Protection Act 2018. L'autorité de contrôle compétente est l'Information Commissioner's Office (ICO) :
- Site web : https://ico.org.uk
- Téléphone : 0303 123 1113
9. Vos droits au titre du CCPA/CPRA (résidents de Californie)
Si vous résidez en Californie, le California Consumer Privacy Act (CCPA), tel qu'amendé par le California Privacy Rights Act (CPRA), vous confère les droits suivants :
| Droit | Description |
|---|---|
| Droit de savoir | Demander la divulgation des catégories et des éléments spécifiques de données personnelles collectées à votre sujet |
| Droit de suppression | Demander la suppression des données personnelles collectées auprès de vous |
| Droit de rectification | Demander la correction des données personnelles inexactes |
| Droit d'opposition à la vente ou au partage | SaasToStore ne vend pas et ne partage pas de données personnelles à des fins de publicité comportementale |
| Droit de non-discrimination | Vous ne subirez aucune discrimination pour l'exercice de vos droits CCPA/CPRA |
Pour exercer vos droits californiens : adressez une demande vérifiable de consommateur à hello@saastostore.com. Nous répondrons dans un délai de 45 jours (prorogeable de 45 jours supplémentaires avec notification).
10. Vos droits au titre d'autres lois américaines sur la vie privée
Les résidents des États suivants disposent de droits en matière de protection de la vie privée en vertu de la loi applicable :
| État | Loi | Contact de supervision |
|---|---|---|
| Virginie | Consumer Data Protection Act (VCDPA) | Procureur général de Virginie |
| Colorado | Colorado Privacy Act (CPA) | Procureur général du Colorado |
| Connecticut | Connecticut Data Privacy Act (CTDPA) | Procureur général du Connecticut |
| Texas | Texas Data Privacy and Security Act (TDPSA) | Procureur général du Texas |
| Oregon | Oregon Consumer Privacy Act (OCPA) | Procureur général de l'Oregon |
Pour exercer ces droits, contactez hello@saastostore.com. Nous répondrons dans le délai prévu par la loi applicable.
11. Intelligence artificielle
Certaines fonctionnalités du Service utilisent des modèles d'intelligence artificielle pour générer du contenu :
- Anthropic Claude Haiku : génère des descriptions de store, des mots-clés et des politiques de confidentialité d'application. Données transmises : nom de l'app, URL, catégorie et brève description fournie par l'utilisateur.
- Google Gemini : génère des icônes d'application et des assets visuels. Données transmises : nom de l'app, URL, schéma de couleurs.
Important :
- Les données transmises aux fournisseurs d'IA sont limitées au strict nécessaire pour la génération de contenu.
- Aucune donnée personnelle sensible (identifiants, données de paiement, communications privées) n'est jamais transmise aux modèles d'IA.
- Le contenu généré par IA est fourni à titre de suggestion. L'utilisateur est seul responsable de la révision, de la validation et de la conformité juridique de tout contenu généré par IA avant sa publication sur un store.
- SaasToStore n'utilise pas vos données pour entraîner des modèles d'IA.
12. Notifications push
Si vous activez les notifications push pour des applications publiées via SaasToStore, le service de livraison des notifications push est fourni par Google LLC (Firebase Cloud Messaging). Les tokens de souscription push générés par les navigateurs/appareils des utilisateurs finaux sont traités par Firebase aux fins de livraison des messages. SaasToStore transmet le contenu des notifications et les tokens cibles à Firebase, mais ne conserve pas les tokens push des utilisateurs finaux dans sa propre base de données au-delà de ce qui est nécessaire à la livraison immédiate.
13. Mineurs
Le Service est destiné exclusivement aux utilisateurs âgés d'au moins 18 ans (ou de la majorité légale dans leur juridiction, si supérieure). SaasToStore ne collecte pas sciemment de données personnelles auprès d'enfants de moins de 13 ans. Si nous apprenons qu'un mineur a créé un compte ou fourni des données personnelles, nous procéderons rapidement à leur suppression. Si vous pensez qu'un mineur a créé un compte, contactez-nous à hello@saastostore.com.
14. Liens et intégrations tiers
Le Service peut contenir des liens vers des sites tiers (Google Play Console, portail de facturation Stripe, GitHub, etc.) ou intégrer des services tiers. La présente Politique de confidentialité ne s'applique pas à ces services tiers. Nous vous encourageons à consulter les politiques de confidentialité de tout service tiers auquel vous accédez via SaasToStore.
15. Notification en cas de violation de données
En cas de violation de données personnelles :
- SaasToStore notifiera la CNIL (ou l'autorité de contrôle compétente de l'UE) dans les 72 heures suivant la prise de connaissance de la violation, lorsque celle-ci est susceptible de présenter un risque pour vos droits et libertés (Art. 33 RGPD)
- Si la violation est susceptible d'entraîner un risque élevé pour vos droits et libertés, nous en informerons les utilisateurs concernés sans délai excessif (Art. 34 RGPD), par e-mail à l'adresse enregistrée sur votre compte
- Les utilisateurs américains seront notifiés conformément aux lois étatiques applicables en matière de violation de données
16. Modifications de la présente Politique
Nous pouvons mettre à jour cette Politique de confidentialité périodiquement. Toute modification substantielle sera communiquée par :
- Notification par e-mail aux utilisateurs enregistrés au moins 15 jours avant l'entrée en vigueur des modifications
- Avis visible sur le Service
La politique mise à jour indiquera la date de révision en haut du présent document. L'utilisation continue du Service après la date d'entrée en vigueur vaut acceptation de la politique révisée.
La version actuelle de cette politique est toujours accessible à l'adresse https://saastostore.com/privacy.
17. Contact — Protection des données
Pour toute question ou demande concernant la protection de vos données personnelles :
Khalfallah MAHFOUD Responsable du traitement — Méga Joule E-mail : hello@saastostore.com Adresse : 3 allée Rouget de Lisle — 78300 Poissy, France
Nous répondrons dans un délai de 30 jours à compter de la réception de votre demande. Pour les demandes complexes ou lorsqu'une prolongation est requise par la loi applicable, nous vous informerons du délai prolongé.