Politique de confidentialité

Cette politique décrit comment Varan Group (« nous »), opérateur du service Diwaller accessible à https://diwaller.app, traite les données personnelles de ses utilisateurs et des tiers dont les contenus sont modérés via l'application.

1. Responsable de traitement

• Varan Group
• 23 rue d'Anjou, 75008 Paris, France
• SIREN : 941 396 541 — SIRET (siège) : 941 396 541 00018
• Contact : [email protected]

2. Données que nous collectons

Données de compte (utilisateur Diwaller)

• Email professionnel et nom de la marque/chaîne saisis à l'inscription.
• Mot de passe stocké sous forme de hash bcrypt (cost 12).
• Secret TOTP et codes de récupération (hashés bcrypt) pour l'authentification à deux facteurs.
• Horodatage de dernière connexion, compteurs de tentatives échouées.

Données OAuth des plateformes connectées

Lorsque vous connectez un compte YouTube, Facebook, Instagram ou TikTok :

• Identifiant du compte/chaîne et nom public.
• Tokens OAuth (access_token, refresh_token) chiffrés au repos via Fernet (AES-128-CBC + HMAC).
• Scopes accordés.
• Vos propres identifiants client OAuth (modèle Bring Your Own OAuth App) chiffrés au repos.

Données de modération

• Commentaires récupérés via les API officielles des plateformes pour analyse et modération.
• Auteurs des commentaires (identifiant et nom public tels que renvoyés par la plateforme).
• Décisions de modération (conserver, supprimer, masquer, répondre) et journaux d'action.

Données techniques

• Adresse IP et User-Agent pour la limitation de débit, la prévention des abus et l'audit.
• Cookies de session (diwaller_session JWT signé, csrf_token anti-CSRF) — strictement nécessaires.
• Logs serveur (URL, statut HTTP, horodatage) — conservés 30 jours.

3. Finalités et bases légales (RGPD)

• Fournir le service (modération automatique, tableau de bord) — exécution du contrat (Art. 6.1.b RGPD).
• Authentification et sécurité (TOTP obligatoire, rate-limiting, audit) — intérêt légitime (Art. 6.1.f).
• Connexion aux plateformes tierces — consentement explicite via le flow OAuth (Art. 6.1.a).
• Améliorer le service via classification IA — intérêt légitime, sans entraînement de modèle sur vos données.

4. Destinataires des données

Vos données sont traitées exclusivement par Varan Group. Nous utilisons les sous-traitants techniques suivants, tous établis ou conformés au RGPD :

• Contabo GmbH (Allemagne, UE) — hébergement du serveur applicatif et de la base PostgreSQL.
• Cloudflare, Inc. — CDN, WAF et tunnel d'ingress (Cloudflare Tunnel). Cloudflare est certifié sous les Clauses Contractuelles Types et le Data Privacy Framework.

Aucune donnée n'est revendue ni partagée à des fins publicitaires.

5. Transferts hors Union européenne

Les données applicatives (compte, tokens chiffrés, commentaires modérés) sont stockées en Allemagne (UE). Cloudflare peut traiter du trafic en transit via ses points de présence mondiaux ; ce transfert est encadré par les Clauses Contractuelles Types de la Commission européenne.

6. Durée de conservation

• Données de compte : pendant la durée d'utilisation, supprimées sous 30 jours après suppression du compte.
• Tokens OAuth : jusqu'à révocation par vous ou jusqu'à expiration côté plateforme.
• Commentaires modérés : 12 mois glissants par défaut, configurable.
• Journaux d'audit (actions_log, db_admin_audit) : 12 mois.
• Logs serveur (uvicorn, loguru) : 30 jours.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Accès à vos données personnelles.
• Rectification des données inexactes.
• Effacement (« droit à l'oubli »).
• Limitation du traitement.
• Portabilité de vos données dans un format lisible par machine.
• Opposition au traitement basé sur l'intérêt légitime.
• Retrait du consentement à tout moment (déconnexion d'une plateforme).

Pour exercer ces droits, écrivez à [email protected]. Nous répondons sous 30 jours. Vous pouvez également déposer une réclamation auprès de la CNIL (www.cnil.fr).

8. Sécurité

• Mots de passe : bcrypt (cost 12).
• 2FA TOTP obligatoire pour les rôles owner/admin.
• Tokens OAuth chiffrés au repos (Fernet, clés rotables).
• Sessions JWT HS256 signées, cookie HttpOnly + Secure + SameSite=Lax.
• Headers HTTP de sécurité : HSTS, CSP, X-Frame-Options DENY.
• Protection CSRF (double-submit token).
• Isolation multi-tenant stricte (P1) appliquée à chaque requête.
• Sauvegardes chiffrées et journaux d'audit conservés.

9. Cookies

Diwaller n'utilise que des cookies strictement nécessaires au fonctionnement (authentification, anti-CSRF, persistance de la sélection de plage temporelle). Aucun cookie tiers à des fins publicitaires ou de tracking comportemental n'est posé.

10. Modifications

Nous pouvons modifier cette politique pour refléter des changements techniques ou légaux. Toute modification substantielle vous sera notifiée par email. La version en vigueur est toujours disponible à /privacy.