Privacy Policy / Politique de Confidentialité

1. Data Controller

The data controller responsible for your personal data is:

• Company name: [TO BE COMPLETED]
• Registered address: [TO BE COMPLETED]
• Registration number: [TO BE COMPLETED]
• Email: [TO BE COMPLETED]
• Data Protection Officer (DPO): [TO BE COMPLETED]

2. Data We Collect

We collect the following categories of personal data when you use the Service:

2.1 Account Data

When you create an account via Firebase Authentication, we collect:

• Full name
• Email address
• Password (stored securely and hashed by Firebase Authentication)
• Profile picture (if you sign in with Google)
• Google account identifier (if you sign in with Google)

2.2 Project Data

When you create and configure projects, we store in Firestore:

• Project names and descriptions
• Project settings (tone, length, target audience, brand voice)
• Generation history associated with each project

2.3 Generated Content

When you use our AI generation feature, we collect and store:

• Input data you provide for generation (product names, keywords, descriptions)
• Generated output (product titles, descriptions, bullet points, SEO metadata)
• Generation status and timestamps

Please note that the input data you provide is sent to the OpenAI API for processing. See Section 7 for details on third-party data sharing.

2.4 Usage Data

We track the following usage information:

• Generation counts and usage limits
• Account status and usage limits
• Feature usage patterns

2.5 Technical Data

We automatically collect certain technical data when you access the Service:

• IP address
• Browser type and version
• Device type and operating system
• Pages visited and time spent on the Service
• Referring URL
• Cookies and similar tracking technologies (see our Cookie Policy)

3. How We Use Your Data

We use your personal data for the following purposes:

• Provide the Service: Create and manage your account, store your projects, and deliver the core functionality of the platform.
• Process AI Generations: Send your input data to the OpenAI API (GPT-4o) to generate product descriptions, titles, bullet points, and SEO metadata.
• Track Usage: Monitor your generation usage against your monthly limits.
• Improve the Service: Analyze usage patterns, diagnose technical issues, and develop new features.
• Communicate: Send transactional emails (account creation, password reset) and, with your consent, marketing communications.
• Ensure Security: Detect and prevent fraud, abuse, and unauthorized access through Firebase security rules and access controls.
• Comply with Legal Obligations: Meet our obligations under applicable laws, respond to legal requests, and enforce our terms.

4. Legal Bases for Processing (GDPR Article 6)

We process your personal data on the following legal bases:

• Contract Performance (Art. 6(1)(b)): Processing is necessary to provide the Service, including account management, project storage, and AI generation.
• Legitimate Interests (Art. 6(1)(f)): We have legitimate interests in improving our Service, ensuring security, preventing fraud, and conducting analytics. We ensure these interests do not override your fundamental rights and freedoms.
• Consent (Art. 6(1)(a)): Where we rely on your consent (e.g., marketing communications, optional cookies), you may withdraw consent at any time without affecting the lawfulness of processing based on consent before its withdrawal.
• Legal Obligation (Art. 6(1)(c)): Processing may be necessary to comply with legal obligations such as tax regulations, accounting requirements, or responses to lawful governmental requests.

5. Your Rights Under GDPR

If you are located in the European Economic Area (EEA), the United Kingdom, or Switzerland, you have the following rights regarding your personal data:

• Right of Access (Art. 15): You have the right to obtain confirmation as to whether your personal data is being processed, and to request a copy of that data.
• Right to Rectification (Art. 16): You have the right to request correction of inaccurate personal data and completion of incomplete data.
• Right to Erasure (Art. 17): You have the right to request deletion of your personal data under certain circumstances, such as when the data is no longer necessary for the purpose for which it was collected.
• Right to Restriction of Processing (Art. 18): You have the right to request restriction of processing in certain circumstances, such as when you contest the accuracy of the data.
• Right to Data Portability (Art. 20): You have the right to receive your personal data in a structured, commonly used, and machine-readable format, and to transmit it to another controller.
• Right to Object (Art. 21): You have the right to object to processing based on legitimate interests or for direct marketing purposes.
• Right to Withdraw Consent: Where processing is based on consent, you may withdraw your consent at any time.
• Right to Lodge a Complaint: You have the right to lodge a complaint with a supervisory authority, in particular in the EU Member State of your habitual residence, place of work, or place of the alleged infringement.

To exercise any of these rights, please contact us at [TO BE COMPLETED]. We will respond to your request within 30 days.

6. Your Rights Under CCPA

If you are a California resident, you have the following rights under the California Consumer Privacy Act (CCPA) and the California Privacy Rights Act (CPRA):

• Right to Know: You have the right to request that we disclose the categories and specific pieces of personal information we have collected about you, the categories of sources, the business purposes for collecting it, and the categories of third parties with whom we share it.
• Right to Delete: You have the right to request that we delete personal information we have collected from you, subject to certain exceptions.
• Right to Opt-Out of Sale: We do NOT sell your personal data to third parties. If this practice ever changes, we will provide you with the right to opt out and update this policy accordingly.
• Right to Non-Discrimination: We will not discriminate against you for exercising any of your CCPA rights. You will not receive different pricing, quality of service, or levels of service for exercising your rights.
• Right to Correct: You have the right to request that we correct inaccurate personal information that we maintain about you.
• Right to Limit Use of Sensitive Personal Information: You have the right to limit the use and disclosure of sensitive personal information, if applicable.

To exercise your CCPA rights, please contact us at [TO BE COMPLETED]. We will verify your identity before processing your request and respond within 45 days.

7. Data Sharing & Third Parties

We share your personal data with the following third-party service providers who are essential to operating the Service. Each provider acts as a data processor on our behalf and is bound by contractual obligations to protect your data:

7.1 Firebase / Google Cloud Platform

We use Firebase (a Google Cloud service) for authentication, database (Firestore), and hosting. Your account data, project data, and generated content are stored on Firebase infrastructure. Google processes this data in accordance with their privacy policy.

Google Privacy Policy

7.2 OpenAI

We use the OpenAI API (GPT-4o model) to generate product descriptions. When you request a generation, the following data is sent to OpenAI's servers for processing:

• Product name and keywords you provide
• Product description input text
• Generation settings (tone, length, audience, brand voice)

OpenAI processes this data solely to generate the requested output and in accordance with their API data usage policies. We use the API configuration where data sent is not used to train OpenAI models.

OpenAI Privacy Policy

7.3 Stripe

Descryb is currently a free service and does not collect payment information. If payment processing is introduced in the future, this section will be updated accordingly.

Stripe Privacy Policy

7.4 No Sale of Personal Data

We do NOT sell, rent, or trade your personal data to any third parties. We only share data with the service providers described above, strictly for the purposes of operating the Service.

8. Data Retention

We retain your personal data only for as long as necessary to fulfill the purposes described in this policy:

• Account Data: Retained for as long as your account is active. Upon account deletion request, your data will be deleted within 30 days, except where retention is required by law.
• Project and Generated Content: Retained for as long as your account is active or as specified in our data retention policy. You may delete individual projects and generations at any time through the Service.
• Usage Data: Retained for the duration of your account and for the period required by applicable regulations thereafter.
• Technical Data: Server logs and technical data are retained for up to 90 days for security and diagnostic purposes.
• Backups: Backup copies of your data may persist for up to 30 days after deletion before being permanently removed.

9. International Data Transfers

Your personal data may be transferred to and processed in countries outside your country of residence, including the United States, where our third-party service providers operate:

• Firebase / Google Cloud: Data centers located globally, including in the United States.
• OpenAI: Servers located in the United States.
• Stripe: Servers located in the United States and other countries.

For transfers of personal data from the EEA, UK, or Switzerland to countries without an adequate level of data protection, we rely on appropriate safeguards including the European Commission's Standard Contractual Clauses (SCCs) and the EU-U.S. Data Privacy Framework, where applicable. You may request a copy of the applicable safeguards by contacting us.

10. Data Security

We implement appropriate technical and organizational measures to protect your personal data against unauthorized access, alteration, disclosure, or destruction:

• Encryption in Transit: All data transmitted between your browser and our servers is encrypted using TLS/SSL (HTTPS).
• Encryption at Rest: Data stored in Firebase/Firestore is encrypted at rest using Google Cloud's default encryption.
• Firebase Security Rules: Firestore security rules ensure that users can only access their own data. Server-side operations use the Firebase Admin SDK with appropriate access controls.
• Authentication Security: Firebase Authentication handles secure password hashing and session management. We support session cookies with secure, HTTP-only flags.
• Access Controls: Access to personal data is restricted to authorized personnel on a need-to-know basis.
• API Security: Server-side API routes validate input and authenticate requests before processing.

While we strive to protect your personal data, no method of transmission over the Internet or method of electronic storage is 100% secure. We cannot guarantee absolute security.

11. Children's Privacy

The Service is not intended for use by children under the age of 16. We do not knowingly collect personal data from children under 16. If you are a parent or guardian and believe that your child has provided us with personal data, please contact us at [TO BE COMPLETED]. If we become aware that we have collected personal data from a child under 16 without verification of parental consent, we will take steps to delete that information promptly.

12. Cookies & Tracking Technologies

We use cookies and similar tracking technologies to operate and improve the Service, including essential cookies for authentication and session management. For detailed information about the cookies we use, their purposes, and how to manage your preferences, please refer to our dedicated Cookie Policy.

13. Changes to This Policy

We may update this Privacy Policy from time to time to reflect changes in our practices, technology, legal requirements, or other factors. When we make material changes, we will:

• Update the "Last updated" date at the top of this page
• Notify you by email or through a prominent notice on the Service
• Where required by law, obtain your consent before applying changes

We encourage you to review this Privacy Policy periodically. Your continued use of the Service after changes are posted constitutes your acceptance of the updated policy.

14. Contact & Data Protection Officer

If you have any questions, concerns, or requests regarding this Privacy Policy or our data processing practices, please contact us:

• Email: [TO BE COMPLETED]
• Postal address: [TO BE COMPLETED]
• Data Protection Officer: [TO BE COMPLETED]

For EU residents, if you are not satisfied with our response, you have the right to lodge a complaint with your local Data Protection Authority.

1. Responsable du Traitement

Le responsable du traitement de vos données personnelles est :

• Raison sociale : [À COMPLÉTER]
• Siège social : [À COMPLÉTER]
• Numéro d'immatriculation : [À COMPLÉTER]
• Email : [À COMPLÉTER]
• Délégué à la Protection des Données (DPO) : [À COMPLÉTER]

2. Données que Nous Collectons

Nous collectons les catégories suivantes de données personnelles lorsque vous utilisez le Service :

2.1 Données de Compte

Lorsque vous créez un compte via Firebase Authentication, nous collectons :

• Nom complet
• Adresse email
• Mot de passe (stocké de manière sécurisée et hashé par Firebase Authentication)
• Photo de profil (si vous vous connectez avec Google)
• Identifiant de compte Google (si vous vous connectez avec Google)

2.2 Données de Projet

Lorsque vous créez et configurez des projets, nous stockons dans Firestore :

• Noms et descriptions des projets
• Paramètres des projets (ton, longueur, audience cible, voix de marque)
• Historique des générations associées à chaque projet

2.3 Contenu Généré

Lorsque vous utilisez notre fonctionnalité de génération par IA, nous collectons et stockons :

• Données d'entrée fournies pour la génération (noms de produits, mots-clés, descriptions)
• Résultats générés (titres de produits, descriptions, points clés, métadonnées SEO)
• Statut des générations et horodatages

Veuillez noter que les données d'entrée que vous fournissez sont envoyées à l'API OpenAI pour traitement. Consultez la Section 7 pour plus de détails sur le partage de données avec des tiers.

2.4 Données d'Utilisation

Nous suivons les informations d'utilisation suivantes :

• Nombre de générations et limites d'utilisation
• Statut du compte et limites d'utilisation
• Habitudes d'utilisation des fonctionnalités

2.5 Données Techniques

Nous collectons automatiquement certaines données techniques lorsque vous accédez au Service :

• Adresse IP
• Type et version du navigateur
• Type d'appareil et système d'exploitation
• Pages visitées et temps passé sur le Service
• URL de provenance
• Cookies et technologies de suivi similaires (voir notre Politique de Cookies)

3. Comment Nous Utilisons Vos Données

Nous utilisons vos données personnelles aux fins suivantes :

• Fournir le Service : Créer et gérer votre compte, stocker vos projets et fournir les fonctionnalités principales de la plateforme.
• Traiter les Générations IA : Envoyer vos données d'entrée à l'API OpenAI (GPT-4o) pour générer des descriptions de produits, titres, points clés et métadonnées SEO.
• Suivi d'Utilisation : Surveiller votre utilisation de générations par rapport à vos limites mensuelles.
• Améliorer le Service : Analyser les habitudes d'utilisation, diagnostiquer les problèmes techniques et développer de nouvelles fonctionnalités.
• Communiquer : Envoyer des emails transactionnels (création de compte, réinitialisation de mot de passe) et, avec votre consentement, des communications marketing.
• Assurer la Sécurité : Détecter et prévenir la fraude, les abus et les accès non autorisés grâce aux règles de sécurité Firebase et aux contrôles d'accès.
• Respecter les Obligations Légales : Remplir nos obligations au titre des lois applicables, répondre aux demandes légales et faire respecter nos conditions.

4. Bases Légales du Traitement (RGPD Article 6)

Nous traitons vos données personnelles sur les bases légales suivantes :

• Exécution du Contrat (Art. 6(1)(b)) : Le traitement est nécessaire à l'exécution du Service, y compris la gestion de compte, le stockage de projets et la génération par IA.
• Intérêts Légitimes (Art. 6(1)(f)) : Nous avons des intérêts légitimes à améliorer notre Service, assurer la sécurité, prévenir la fraude et réaliser des analyses. Nous veillons à ce que ces intérêts ne prévalent pas sur vos droits et libertés fondamentaux.
• Consentement (Art. 6(1)(a)) : Lorsque nous nous appuyons sur votre consentement (par exemple, communications marketing, cookies optionnels), vous pouvez retirer votre consentement à tout moment sans affecter la légalité du traitement fondé sur le consentement avant son retrait.
• Obligation Légale (Art. 6(1)(c)) : Le traitement peut être nécessaire pour respecter des obligations légales telles que les réglementations fiscales, les exigences comptables ou les réponses aux demandes gouvernementales légales.

5. Vos Droits au titre du RGPD

Si vous résidez dans l'Espace Économique Européen (EEE), au Royaume-Uni ou en Suisse, vous disposez des droits suivants concernant vos données personnelles :

• Droit d'Accès (Art. 15) : Vous avez le droit d'obtenir la confirmation que vos données personnelles sont traitées, ainsi que d'en demander une copie.
• Droit de Rectification (Art. 16) : Vous avez le droit de demander la correction de données personnelles inexactes et la complétion de données incomplètes.
• Droit à l'Effacement (Art. 17) : Vous avez le droit de demander la suppression de vos données personnelles dans certaines circonstances, notamment lorsque les données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.
• Droit à la Limitation du Traitement (Art. 18) : Vous avez le droit de demander la limitation du traitement dans certaines circonstances, par exemple lorsque vous contestez l'exactitude des données.
• Droit à la Portabilité (Art. 20) : Vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.
• Droit d'Opposition (Art. 21) : Vous avez le droit de vous opposer au traitement fondé sur des intérêts légitimes ou à des fins de prospection commerciale.
• Droit de Retrait du Consentement : Lorsque le traitement est fondé sur le consentement, vous pouvez retirer votre consentement à tout moment.
• Droit de Réclamation : Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle, en particulier dans l'État membre de l'UE de votre résidence habituelle, de votre lieu de travail ou du lieu de l'infraction alléguée. En France, l'autorité compétente est la Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr.

Pour exercer l'un de ces droits, veuillez nous contacter à [À COMPLÉTER]. Nous répondrons à votre demande dans un délai de 30 jours.

6. Vos Droits au titre du CCPA

Si vous êtes résident de Californie, vous disposez des droits suivants en vertu du California Consumer Privacy Act (CCPA) et du California Privacy Rights Act (CPRA) :

• Droit à l'Information : Vous avez le droit de nous demander de divulguer les catégories et les éléments spécifiques d'informations personnelles que nous avons collectés à votre sujet, les catégories de sources, les finalités commerciales de la collecte et les catégories de tiers avec lesquels nous les partageons.
• Droit à la Suppression : Vous avez le droit de demander la suppression des informations personnelles que nous avons collectées auprès de vous, sous réserve de certaines exceptions.
• Droit de Refus de la Vente : Nous ne vendons PAS vos données personnelles à des tiers. Si cette pratique venait à changer, nous vous fournirons le droit de refuser et mettrons à jour cette politique en conséquence.
• Droit à la Non-Discrimination : Nous ne vous discriminerons pas pour l'exercice de vos droits au titre du CCPA. Vous ne recevrez pas de tarification, de qualité de service ou de niveaux de service différents pour l'exercice de vos droits.
• Droit de Rectification : Vous avez le droit de demander que nous corrigions les informations personnelles inexactes que nous détenons à votre sujet.
• Droit de Limiter l'Utilisation des Données Sensibles : Vous avez le droit de limiter l'utilisation et la divulgation des informations personnelles sensibles, le cas échéant.

Pour exercer vos droits au titre du CCPA, veuillez nous contacter à [À COMPLÉTER]. Nous vérifierons votre identité avant de traiter votre demande et répondrons dans un délai de 45 jours.

7. Partage de Données & Tiers

Nous partageons vos données personnelles avec les prestataires de services tiers suivants, essentiels au fonctionnement du Service. Chaque prestataire agit en qualité de sous-traitant pour notre compte et est lié par des obligations contractuelles de protection de vos données :

7.1 Firebase / Google Cloud Platform

Nous utilisons Firebase (un service Google Cloud) pour l'authentification, la base de données (Firestore) et l'hébergement. Vos données de compte, données de projet et contenu généré sont stockés sur l'infrastructure Firebase. Google traite ces données conformément à sa politique de confidentialité.

Politique de Confidentialité de Google

7.2 OpenAI

Nous utilisons l'API OpenAI (modèle GPT-4o) pour générer les descriptions de produits. Lorsque vous demandez une génération, les données suivantes sont envoyées aux serveurs d'OpenAI pour traitement :

• Nom du produit et mots-clés que vous fournissez
• Texte de description du produit en entrée
• Paramètres de génération (ton, longueur, audience, voix de marque)

OpenAI traite ces données uniquement pour générer le résultat demandé et conformément à ses politiques d'utilisation des données API. Nous utilisons la configuration API selon laquelle les données envoyées ne sont pas utilisées pour entraîner les modèles d'OpenAI.

Politique de Confidentialité d'OpenAI

7.3 Stripe

Descryb est actuellement un service gratuit et ne collecte pas d'informations de paiement. Si un traitement de paiement est introduit à l'avenir, cette section sera mise à jour en conséquence.

Politique de Confidentialité de Stripe

7.4 Aucune Vente de Données Personnelles

Nous ne vendons, ne louons ni n'échangeons PAS vos données personnelles à des tiers. Nous ne partageons des données qu'avec les prestataires de services décrits ci-dessus, strictement aux fins de fonctionnement du Service.

8. Conservation des Données

Nous conservons vos données personnelles uniquement pendant la durée nécessaire à la réalisation des finalités décrites dans cette politique :

• Données de Compte : Conservées tant que votre compte est actif. En cas de demande de suppression de compte, vos données seront supprimées dans un délai de 30 jours, sauf lorsque la conservation est requise par la loi.
• Projets et Contenu Généré : Conservés tant que votre compte est actif ou conformément à notre politique de conservation des données. Vous pouvez supprimer des projets et générations individuels à tout moment via le Service.
• Données d'Utilisation : Conservées pendant la durée de votre compte et pendant la période requise par les réglementations applicables.
• Données Techniques : Les journaux serveur et données techniques sont conservés jusqu'à 90 jours à des fins de sécurité et de diagnostic.
• Sauvegardes : Les copies de sauvegarde de vos données peuvent persister jusqu'à 30 jours après suppression avant d'être définitivement effacées.

9. Transferts Internationaux de Données

Vos données personnelles peuvent être transférées et traitées dans des pays situés en dehors de votre pays de résidence, y compris les États-Unis, où nos prestataires de services tiers opèrent :

• Firebase / Google Cloud : Centres de données situés dans le monde entier, y compris aux États-Unis.
• OpenAI : Serveurs situés aux États-Unis.
• Stripe : Serveurs situés aux États-Unis et dans d'autres pays.

Pour les transferts de données personnelles depuis l'EEE, le Royaume-Uni ou la Suisse vers des pays ne bénéficiant pas d'un niveau adéquat de protection des données, nous nous appuyons sur des garanties appropriées, notamment les Clauses Contractuelles Types (CCT) de la Commission européenne et le Cadre de Protection des Données UE-États-Unis, le cas échéant. Vous pouvez demander une copie des garanties applicables en nous contactant.

10. Sécurité des Données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre l'accès, la modification, la divulgation ou la destruction non autorisés :

• Chiffrement en Transit : Toutes les données transmises entre votre navigateur et nos serveurs sont chiffrées à l'aide de TLS/SSL (HTTPS).
• Chiffrement au Repos : Les données stockées dans Firebase/Firestore sont chiffrées au repos grâce au chiffrement par défaut de Google Cloud.
• Règles de Sécurité Firebase : Les règles de sécurité Firestore garantissent que les utilisateurs ne peuvent accéder qu'à leurs propres données. Les opérations côté serveur utilisent le SDK Firebase Admin avec des contrôles d'accès appropriés.
• Sécurité de l'Authentification : Firebase Authentication gère le hachage sécurisé des mots de passe et la gestion des sessions. Nous prenons en charge les cookies de session avec les indicateurs secure et HTTP-only.
• Contrôles d'Accès : L'accès aux données personnelles est limité au personnel autorisé selon le principe du besoin d'en connaître.
• Sécurité de l'API : Les routes API côté serveur valident les entrées et authentifient les requêtes avant traitement.

Bien que nous nous efforcions de protéger vos données personnelles, aucune méthode de transmission sur Internet ni aucune méthode de stockage électronique n'est sûre à 100 %. Nous ne pouvons pas garantir une sécurité absolue.

11. Protection des Mineurs

Le Service n'est pas destiné aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès d'enfants de moins de 16 ans. Si vous êtes un parent ou un tuteur et pensez que votre enfant nous a fourni des données personnelles, veuillez nous contacter à [À COMPLÉTER]. Si nous apprenons que nous avons collecté des données personnelles d'un enfant de moins de 16 ans sans vérification du consentement parental, nous prendrons des mesures pour supprimer ces informations dans les meilleurs délais.

12. Cookies & Technologies de Suivi

Nous utilisons des cookies et des technologies de suivi similaires pour faire fonctionner et améliorer le Service, y compris des cookies essentiels pour l'authentification et la gestion des sessions. Pour des informations détaillées sur les cookies que nous utilisons, leurs finalités et comment gérer vos préférences, veuillez consulter notre Politique de Cookies.

13. Modifications de cette Politique

Nous pouvons mettre à jour cette Politique de Confidentialité de temps à autre pour refléter les changements dans nos pratiques, notre technologie, les exigences légales ou d'autres facteurs. En cas de modifications substantielles, nous :

• Mettrons à jour la date de « Dernière mise à jour » en haut de cette page
• Vous informerons par email ou par un avis visible sur le Service
• Le cas échéant et conformément à la loi, obtiendrons votre consentement avant d'appliquer les modifications

Nous vous encourageons à consulter régulièrement cette Politique de Confidentialité. Votre utilisation continue du Service après la publication des modifications constitue votre acceptation de la politique mise à jour.

14. Contact & Délégué à la Protection des Données

Si vous avez des questions, des préoccupations ou des demandes concernant cette Politique de Confidentialité ou nos pratiques de traitement des données, veuillez nous contacter :

• Email : [À COMPLÉTER]
• Adresse postale : [À COMPLÉTER]
• Délégué à la Protection des Données : [À COMPLÉTER]

Pour les résidents de l'UE, si vous n'êtes pas satisfait de notre réponse, vous avez le droit d'introduire une réclamation auprès de votre Autorité de Protection des Données locale. En France, vous pouvez contacter la CNIL :

• Site web : www.cnil.fr
• Téléphone : +33 (0)1 53 73 22 22
• Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France