Politique de confidentialité
Dernière mise à jour : 16 juin 2026
La présente Politique de confidentialité décrit comment Monsa (« Monsa », « nous ») collecte, utilise, conserve et partage les données personnelles que vous nous fournissez lors de l'utilisation de monsa.app et de l'application web Monsa. Nous nous conformons au Règlement Général sur la Protection des Données (RGPD) de l'Union européenne et aux lois nationales applicables.
1. Qui est le responsable du traitement ?
Monsa est exploité par l'éditeur identifié dans les Mentions légales. Contact pour les questions de confidentialité : contact@monsa.app.
Si vous résidez dans l'UE et que nous ne pouvons pas résoudre votre demande, vous pouvez déposer une réclamation auprès de votre autorité de contrôle nationale (en France, la CNIL — cnil.fr).
2. Quelles données nous collectons
2.1 Données de compte
- Nom et adresse e-mail (fournis à l'inscription ou via OAuth)
- Identifiants d'authentification (mot de passe haché ou tokens OAuth de Google / GitHub lorsque vous vous connectez via une connexion sociale)
- Langue préférée (FR / EN / ES / IT / DE)
- Slug de l'organisation + rôles des membres
2.2 Données de vos projets e-commerce
Lorsque vous utilisez Monsa pour rechercher des produits, analyser des concurrents ou construire une offre, nous traitons :
- Les recherches, filtres et veilles (« watches ») que vous configurez sur les sources de découverte
- Les signaux produits, publicités, boutiques et avis que vous sauvegardez dans vos projets
- Les blueprints de conversion, pages de destination générées et leur historique de versions
- Les magasins concurrents que vous soumettez à l'analyse (URL publiques ; nous extrayons des tokens de design et la structure des sections, jamais les marques, logos ou textes protégés du concurrent)
2.3 Données de connexion Shopify
Lorsque vous connectez une boutique Shopify via OAuth, nous recevons, avec votre consentement explicite, les jetons d'accès nécessaires pour publier des pages et téléverser des fichiers en votre nom. Nous chiffrons ces jetons au repos avant de les stocker dans notre base de données et ne les utilisons que pour les actions de publication que vous déclenchez.
2.4 Contenu que vous créez
- Blueprints, pages de destination, PDF lead-magnets et créatives publicitaires générés
- Notes et annotations rédigées sur vos signaux et opportunités
- Fichiers, images et vidéos téléversés ou générés pour vos projets
2.5 Données de facturation
- Plan d'abonnement, période de facturation, statut de paiement, quotas consommés
- Nous ne voyons jamais votre numéro de carte bancaire. Le paiement est traité par Stripe, qui nous renvoie uniquement un identifiant client et un statut de transaction (voir § 4 Sous-traitants).
2.6 Télémétrie d'usage
- Pages visitées dans l'application, compteurs d'usage des fonctionnalités (pour l'analytique produit)
- Rapports d'erreurs (si vous y consentez)
- Nous n'utilisons pas de cookies de tracking tiers pour la publicité. Voir notre Politique de cookies.
3. Pourquoi nous utilisons vos données (base légale)
| Finalité | Base légale |
|---|---|
| Fournir le service Monsa (recherche de produits, analyse de concurrents, génération de blueprints et de landing pages, publication Shopify) | Exécution du contrat (Art. 6(1)(b) RGPD) |
| Traiter les paiements et gérer les abonnements et quotas | Exécution du contrat (Art. 6(1)(b) RGPD) |
| Envoyer les e-mails transactionnels (OTP de connexion, réinitialisation de mot de passe, facturation) | Exécution du contrat (Art. 6(1)(b) RGPD) |
| Améliorer le produit via des analytiques agrégées | Intérêt légitime (Art. 6(1)(f) RGPD) |
| Envoyer des e-mails marketing (newsletter, mises à jour produit) | Consentement (Art. 6(1)(a) RGPD) — désabonnement possible depuis chaque e-mail |
| Respecter les obligations légales (registres fiscaux, détection de fraude) | Obligation légale (Art. 6(1)(c) RGPD) |
4. Qui traite vos données pour notre compte (sous-traitants)
Nous utilisons les sous-traitants suivants pour exploiter Monsa. Tous ont signé des Accords de Traitement de Données garantissant des protections équivalentes au RGPD :
| Sous-traitant | Finalité | Région d'hébergement |
|---|---|---|
| Convex (convex.dev) | Base de données + backend serverless | États-Unis, avec répliques de lecture UE |
| Vercel (vercel.com) | Hébergement web (Edge runtime) | Réseau edge mondial |
| Stripe (stripe.com) | Traitement des paiements, facturation | États-Unis + UE |
| Resend (resend.com) | E-mails transactionnels | États-Unis |
| SociaVault (sociavault.com) | Découverte de produits et publicités multi-canal (TikTok Shop, TikTok Ads, Meta Ad Library, Instagram, YouTube, Google, Reddit, Pinterest) | États-Unis |
| Fournisseur IA | Inférence IA pour la génération de blueprints, de copy et de landing pages | États-Unis — les prompts sont traités sans entraîner les modèles sous-jacents, conformément aux conditions de l'API du fournisseur |
| Shopify (shopify.com) | Publication des pages et fichiers sur votre boutique, via OAuth | Canada / mondial |
| Gamma (gamma.app) | Génération de PDF lead-magnets | États-Unis |
| Runway (runwayml.com) | Génération de médias et créatives publicitaires localisés | États-Unis |
| Cloudflare R2 (cloudflare.com) | Stockage objet pour les fichiers téléversés et générés | Global, compatible S3 |
| Better Auth (better-auth.com) | Bibliothèque d'authentification — s'exécute dans Convex, pas un sous-traitant séparé |
Nous ne vendons pas vos données. Nous ne les partageons pas avec des annonceurs.
5. Transferts internationaux
Certains sous-traitants sont basés hors de l'Union européenne. Nous nous appuyons sur le Data Privacy Framework UE-US et les Clauses Contractuelles Types pour ces transferts, conformément à l'Art. 46 RGPD.
6. Combien de temps nous conservons vos données
| Donnée | Conservation |
|---|---|
| Données de compte | Jusqu'à la suppression du compte (Paramètres → Zone Dangereuse) |
| Jetons OAuth Shopify | Jusqu'à la déconnexion de la boutique ou la suppression de l'organisation |
| Signaux, opportunités et veilles sauvegardés | Jusqu'à leur suppression ou la suppression de l'organisation |
| Blueprints, landing pages et créatives générés | Jusqu'à leur suppression ou la suppression de l'organisation |
| Payloads bruts mis en cache (sources de découverte) | Conservés pour audit, puis purgés selon la durée de vie du cache |
| Registres de facturation | 10 ans (obligation légale, Code de Commerce français) |
| Analytiques agrégées | Indéfiniment, sous forme non-identifiante |
Suppression en un clic : Paramètres → Zone Dangereuse efface tous les enregistrements associés à votre organisation (compte, jetons Shopify, projets, signaux, opportunités, blueprints, landing pages, créatives). Les registres de facturation sont conservés selon l'obligation légale.
7. Vos droits
Conformément au RGPD, vous avez le droit de :
- Accès aux données personnelles que nous détenons sur vous
- Rectification de toute donnée inexacte ou incomplète
- Effacement de vos données (« droit à l'oubli »)
- Limitation ou opposition à certains traitements
- Portabilité — exporter vos données dans un format lisible par machine (JSON)
- Retrait du consentement à tout moment (sans affecter les traitements licites antérieurs)
- Réclamation auprès d'une autorité de contrôle
Pour exercer l'un de ces droits, contactez-nous à contact@monsa.app. Nous répondons sous 30 jours.
8. Sécurité
- Tout le trafic est chiffré en TLS 1.3 en transit.
- Les jetons OAuth (Shopify, connexions sociales) sont chiffrés au repos.
- Les mots de passe (lorsqu'ils sont utilisés) sont hachés via Better Auth selon des algorithmes standard de l'industrie.
- Les identifiants clients Stripe sont stockés, pas les données de carte.
- L'accès interne est restreint par rôle ; seuls les administrateurs plateforme peuvent accéder aux données d'une organisation, et uniquement pour les tâches de support que vous initiez.
9. Mineurs
Monsa n'est pas destiné aux utilisateurs de moins de 18 ans. Nous ne collectons pas sciemment de données de mineurs.
10. Modifications de cette politique
Nous vous notifierons par e-mail et afficherons une bannière dans l'application en cas de modification substantielle de cette politique. La date « Dernière mise à jour » en haut reflète la dernière révision.
11. Contact
Pour toute question concernant cette politique ou pour exercer vos droits, écrivez-nous à contact@monsa.app.