Politique de Confidentialite

Le portail portal.adnebula.studio est edite par Ad Nebula SARL, SIREN 931 882 492, dont le siege social est situe a Fontenilles (31470), Haute-Garonne, France. Ad Nebula SARL est responsable du traitement des donnees personnelles collectees via le Portail.

Nous collectons uniquement les donnees necessaires au service :

• Identification : nom, prenom, adresse email, role (client, collaborateur, admin)
• Organisation : nom de l'entreprise, secteur, site web, slug de l'espace
• Connexion : adresse IP, date/heure, navigateur (logs techniques et securite)
• Utilisation : reponses aux questionnaires, interactions avec les modules du tableau de bord, messages du chat
• Documents : fichiers que vous deposez ou que nous partageons via Google Drive (references uniquement en base, fichiers stockes chez Google)

Le Portail interroge plusieurs API Google pour enrichir votre espace. Selon les fonctionnalites activees, l'acces se fait soit via les identifiants serveur d'Ad Nebula (Service Account) sur des donnees publiques, soit via une autorisation OAuth que vous accordez explicitement pour vos donnees privees. Les deux modes sont decrits ci-dessous.

3.a Acces serveur (donnees publiques uniquement)

• Google Drive API — creation automatique de dossiers partages par client et gestion des fichiers (metadonnees : nom, type, taille, dates). Les references de dossiers sont stockees dans notre base ; les fichiers restent heberges chez Google.
• Google Places API — recuperation des donnees publiques de votre fiche etablissement (note, avis, adresse, horaires, categorie) a partir de son identifiant public.
• PageSpeed Insights API— analyse publique des performances, du SEO et de l'accessibilite de votre site web.
• Google AI Studio (Gemini / Gemma) — generation de contenus et recommandations personnalisees a partir des donnees de votre espace.

3.b Autorisations OAuth (donnees privees, sur consentement)

Pour donner acces aux donnees privees de vos comptes Google (audience, performance, gestion de fiche, gestion publicitaire), vous accordez une autorisation OAuth explicite via les ecrans de consentement Google standards. Les portees (scopes) demandees sont, selon le service active :

• Google Analytics (analytics.readonly) — lecture seule des metriques GA4 (audience, sources de trafic, conversions). Aucune ecriture.
• Google Search Console (webmasters.readonly) — lecture seule du positionnement organique, requetes, clics, impressions. Aucune ecriture.
• Google Business Profile (business.manage) — gestion de votre fiche etablissement (informations, photos, posts, reponses aux avis) sur action explicite de votre part dans l'interface Ad Nebula.
• Google Ads (adwords) — synchronisation des metriques de campagnes publicitaires et application de recommandations d'optimisation. Toute modification (mots-cles, budgets, annonces, enchères) est precedee d'une etape de validation par un administrateur Ad Nebula ; aucune ecriture automatique sans intervention humaine.

3.c Stockage des jetons OAuth

Lorsque vous accordez une autorisation OAuth, Google nous transmet un jeton de rafraichissement (refresh_token) que nous utilisons pour obtenir des jetons d'acces de courte duree (1 heure) lors de chaque appel a l'API. Ces jetons sont conserves de la maniere suivante :

• Les jetons de rafraichissement sont chiffres par Google Cloud Key Management Service (KMS), dans un module materiel de securite (HSM, certifie FIPS 140-2 niveau 3) heberge en region europe-west9 (Paris).
• Les jetons chiffres sont stockes dans une base locale isolee (google-collector) inaccessible aux autres composants du Portail. La cle de chiffrement reste chez Google et n'est jamais exposee a notre infrastructure.
• Toute delivrance de jeton est journalisee dans un audit interne (date, service appelant, portee, succes/refus), conservee 12 mois pour les besoins de securite et de conformite, puis automatiquement supprimee.
• Vous pouvez revoquer notre acces a tout moment depuis myaccount.google.com/permissions ou depuis votre espace Ad Nebula. La revocation est immediate et nous supprimons les jetons correspondants.

3.d Limited Use Policy

L'utilisation des informations recues des API Google par Ad Nebula respecte la Google API Services User Data Policy, y compris ses exigences Limited Use. Concretement, cela signifie que :

• Les donnees obtenues via les API Google sont utilisees exclusivement pour fournir ou ameliorer les fonctionnalites visibles dans votre espace Ad Nebula.
• Nous ne transferons jamais ces donnees a des tiers, sauf necessite operationnelle stricte (sous-traitants listes en section 5), conformite legale, ou a votre demande explicite.
• Nous n'utilisons pas ces donnees pour de la publicite ciblee ni pour entrainer des modeles d'IA generalistes.
• Aucun humain ne consulte ces donnees, sauf : avec votre consentement explicite, pour des besoins de securite (par ex. enquete sur un incident), pour respecter la loi, ou lorsque les donnees ont ete agregees et anonymisees au prealable.

Vos donnees sont traitees pour gerer votre compte et votre espace client, suivre vos projets, produire des recommandations personnalisees, communiquer avec vous, ameliorer nos services et respecter nos obligations legales. Les traitements reposent sur l'execution du contrat de prestation conclu avec Ad Nebula, sur notre interet legitime (securite, amelioration du service) et, le cas echeant, sur votre consentement.

Le Portail est heberge sur un serveur dedie situe en Union Europeenne. La base de donnees est geree par Supabase (region Francfort, Allemagne). Nos sous-traitants sont :

• Supabase — hebergement base de donnees et authentification (UE / Francfort)
• Resend — envoi d'emails transactionnels
• Sentry — supervision des erreurs applicatives (region UE / Francfort)
• Google LLC — APIs Drive, Places, PageSpeed, AI Studio, Analytics, Search Console, Business Profile, Ads (voir section 3)
• Google Cloud KMS — chiffrement materiel (HSM) des jetons OAuth, region Paris (UE)
• Backblaze B2 — sauvegardes chiffrees des donnees techniques (jetons OAuth deja chiffres + journaux d'audit), retention 14 jours / 8 semaines / 12 mois
• Axonaut — CRM (France)

L'acces aux donnees est strictement limite : chaque utilisateur ne voit que son propre espace grace a un controle d'acces par role applique au niveau de la base (Row Level Security). Seuls les collaborateurs Ad Nebula habilites peuvent acceder aux donnees clients, dans le cadre de leurs missions. Aucune donnee n'est vendue a des tiers. Les transferts hors UE vers Google sont encadres par les clauses contractuelles types de la Commission europeenne.

Vos donnees sont conservees pendant toute la duree de la relation commerciale, puis archivees pendant 3 ans a compter de la derniere interaction, conformement aux obligations legales. Les logs techniques sont conserves 12 mois maximum. Le journal d'audit des appels aux API Google (date, service appelant, portee, succes/refus) est conserve 12 mois pour les besoins de securite et de conformite, puis purge automatiquement. Les documents stockes sur Google Drive suivent la politique de conservation convenue dans votre contrat. En cas de revocation OAuth, les jetons correspondants sont supprimes immediatement.

Nous mettons en oeuvre des mesures techniques et organisationnelles adaptees : chiffrement TLS en transit, authentification par lien unique (OTP), controle d'acces par role, isolation par organisation au niveau base de donnees (Row Level Security), en-tetes de securite HTTP stricts (HSTS, CSP, Permissions-Policy), supervision des erreurs.

Les jetons OAuth Google sont protégés par une architecture multi-couches : chiffrement materiel via Google Cloud KMS (HSM FIPS 140-2 niveau 3, region Paris), stockage dans un service isole inaccessible aux autres composants, conteneur durci (systeme de fichiers en lecture seule, capacites Linux droppees, principe du moindre privilege), authentification inter-services par signatures HMAC, et limitation de debit. Trois secrets independants sont necessaires pour acceder aux jetons depuis une sauvegarde, ce qui limite considerablement le risque en cas de compromission partielle.

Le Portail utilise uniquement des cookies strictement necessaires au fonctionnement du service (session d'authentification). Aucun cookie de tracking, d'analyse comportementale ou publicitaire n'est depose.

Conformement au RGPD, vous disposez des droits suivants :

• Droit d'acces, de rectification et d'effacement de vos donnees
• Droit a la limitation et a l'opposition au traitement
• Droit a la portabilite de vos donnees
• Droit de retirer votre consentement a tout moment
• Droit de definir des directives relatives au sort de vos donnees apres votre deces

Pour exercer ces droits, ecrivez-nous a contact@adnebula.studio. Nous repondons sous 30 jours. Vous pouvez egalement introduire une reclamation aupres de la CNIL (www.cnil.fr).

Ad Nebula SARL — Fontenilles (31470), France.
Pour toute question relative a la protection de vos donnees : contact@adnebula.studio