← Retour

Politique de confidentialité

Mis à jour : 31 mai 2026
English readers: Read this privacy policy in English → (the French version remains legally binding).

Cette politique décrit comment Karei Studio, éditeur du service OneStore, traite vos données personnelles lorsque vous utilisez onestore.so et l'application OneStore, conformément au RGPD.

Responsable du traitement : Karei Studio — contact : support@onestore.so.

1. Données collectées

  • Compte : email, nom, photo de profil (via OAuth Google/GitHub), identifiant utilisateur, préférences de langue.
  • Workspace : nom d'équipe, rôle, invitations, journal d'audit, abonnement et facturation (via Stripe).
  • Apps et stores : métadonnées de listing, screenshots, releases, avis, identifiants chiffrés Apple/Google, binaires (.ipa, .aab) stockés temporairement pour livraison aux stores.
  • Support : messages envoyés via le formulaire de feedback ou par email, pièces jointes optionnelles.
  • Technique : logs serveur (IP, user-agent, horodatage), événements d'erreur (Sentry), métriques d'usage sur le site public si vous acceptez la bannière cookies ; mesure produit dans l'application connectée (PostHog).

2. Finalités et bases légales

  • Fourniture du service, authentification, facturation — exécution du contrat.
  • Sécurité, prévention de la fraude, journalisation — intérêt légitime.
  • Support client — exécution du contrat / intérêt légitime.
  • Mesure d'audience produit (PostHog) — consentement sur le site public ; intérêt légitime / exécution du contrat dans l'app connectée.
  • Communications transactionnelles (confirmations, alertes de sécurité) — exécution du contrat.

3. Durée de conservation

  • Données de compte et workspace : durée du contrat, puis suppression ou anonymisation sous 30 jours après clôture.
  • Credentials stores : jusqu'à révocation ou suppression du workspace.
  • Binaires uploadés : durée nécessaire à la livraison et au dépannage (généralement quelques jours).
  • Logs techniques : 30 à 90 jours.
  • Données de facturation : durée légale de conservation comptable (10 ans en principe).

4. Destinataires et sous-traitants

Nous faisons appel aux prestataires suivants, avec des garanties contractuelles (dont clauses types UE le cas échéant) :

  • Vercel — hébergement applicatif (États-Unis / UE)
  • Neon — base de données PostgreSQL (UE / US selon région)
  • Cloudflare R2 — stockage de fichiers et binaires
  • Stripe — paiements et abonnements
  • Resend — emails transactionnels et support
  • Upstash — files d'attente et tâches planifiées
  • PostHog — analytics produit (site public si consentement ; app connectée)
  • Sentry — monitoring d'erreurs
  • Anthropic — génération de texte IA (réponses aux avis, suggestions)
  • Google / GitHub — authentification OAuth

La liste à jour est disponible sur demande et dans notre DPA.

5. Transferts hors UE

Certains sous-traitants sont situés aux États-Unis. Les transferts reposent sur les clauses contractuelles types de la Commission européenne et, le cas échéant, le Data Privacy Framework.

6. Vos droits

Vous disposez des droits d'accès, rectification, effacement, limitation, portabilité et opposition. Pour retirer votre consentement sur le site public, refusez via la bannière ou supprimez la clé os.analytics_consentdans votre navigateur. Dans l'application, contactez support@onestore.so. Réclamation possible auprès de la CNIL (France) ou de l'Andmekaitse Inspektsioon (Estonie).

7. Cookies

  • Strictement nécessaires : cookie de session d'authentification, préférence de langue (os_lang). Pas de consentement requis.
  • Analytics (PostHog) : mesure d'usage, funnels, enregistrements de session masqués (champs sensibles exclus). Sur le site public (landing, pages légales, connexion), activés uniquement après acceptation via la bannière. Dans l'application connectée (/app, onboarding, admin), mesure produit sans bannière séparée.
  • Vercel Analytics : métriques agrégées de performance web, sans profilage publicitaire.

Nous n'utilisons pas de cookies publicitaires tiers.

8. Sécurité

Chiffrement TLS en transit, credentials stores chiffrés AES-256-GCM au repos, accès restreint par rôle, journal d'audit pour les actions sensibles. Détails : page Sécurité.

9. Modifications

Nous mettons à jour cette politique lorsque le service évolue. La date en tête de page indique la dernière révision. Les changements substantiels vous seront notifiés par email ou in-app.