Comment nous collectons, utilisons et protégeons vos données.
En résumé
NarratIQ est un service SaaS d'analyse et de reporting pour les freelances et agences digitales.
Responsable du traitement
Matheo Zimmer
Forme juridique
Micro-entrepreneur
SIRET
10504893800010
Adresse
10 Rue Carnot, 54550 Pont-Saint-Vincent, France
Contact DPO : dpo@narratiq.fr
Lorsque vous connectez des comptes Google Analytics 4 ou Meta Ads de vos clients, NarratIQ accède uniquement aux métriques agrégées (sessions, impressions, dépenses…).
| Finalité | Base légale |
|---|---|
| Fourniture du service (dashboard, rapports, alertes) | Exécution du contrat (Art. 6.1.b RGPD) |
| Facturation et gestion des abonnements | Exécution du contrat + obligation légale |
| Emails transactionnels (rapports, alertes, lien magique) | Exécution du contrat |
| Logs de sécurité et audit interne | Intérêt légitime (Art. 6.1.f RGPD) |
| Conformité RGPD (DPA, historique consentements) | Obligation légale (Art. 6.1.c RGPD) |
| Mesure d'audience de narratiq.fr (Google Analytics 4) | Consentement (Art. 6.1.a RGPD · Directive ePrivacy Art. 5.3) |
Toutes nos données principales sont hébergées dans l'Union Européenne. Les services américains ci-dessous encadrent les transferts par des Clauses Contractuelles Types (SCC).
| Service | Rôle | Localisation |
|---|---|---|
| Neon PostgreSQL | Base de données principale | EU · Francfort |
| Upstash Redis | Cache métriques (TTL court) | EU · Irlande (eu-west-1) |
| Cloudflare R2 | Stockage PDFs | EU |
| Stripe | Paiements (PCI-DSS certifié) | EU |
| Resend | Emails transactionnels | EU |
| Vercel | Hébergement application | EU · Frankfurt, Allemagne (fra1) |
| Vercel Analytics | Mesure d'audience sans cookies (données anonymisées côté serveur) | EU · Vercel Edge |
| Google Analytics 4 | Mesure d'audience narratiq.fr, avec consentement uniquement | USA (SCC Google) |
| Google (GA4 Data API) | Accès données analytiques clients, lecture seule | DPA Google · lecture seule |
| Meta (Marketing API) | Accès données publicitaires clients, lecture seule | DPA Meta · lecture seule |
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
Export JSON de toutes vos données via Paramètres.
Modifier votre email ou nom dans les Paramètres.
Suppression du compte depuis Paramètres → Zone dangereuse. Cascade sous 72h.
Export JSON de toutes vos données via Paramètres.
Opposition à tout traitement fondé sur l'intérêt légitime via dpo@narratiq.fr.
Saisir la CNIL (cnil.fr) en cas de traitement non conforme.
Pour exercer vos droits : dpo@narratiq.fr. Réponse sous 30 jours.
Chiffrement au repos
Tous les tokens OAuth (Google, Meta) sont chiffrés en AES-256-GCM avant tout stockage en base. La clé de chiffrement est stockée exclusivement en variable d'environnement serveur, jamais en base de données.
Chiffrement en transit
Toutes les communications client–serveur et serveur–API tierces utilisent TLS 1.3 exclusivement. Les connexions HTTP non chiffrées sont refusées.
Authentification sans mot de passe
NarratIQ utilise exclusivement l'authentification par lien magique (magic link). Aucun mot de passe n'est jamais stocké ou transmis.
Isolation des données utilisateur
Chaque utilisateur n'accède qu'à ses propres données. Les requêtes API vérifient l'identité côté serveur à chaque appel via la session NextAuth chiffrée.
Absence de stockage persistant GA4/Meta
Les métriques GA4 et Meta ne transitent que dans un cache Redis à TTL court (6–24h). Elles ne sont jamais écrites en base de données relationnelle ni dans des fichiers permanents.
Tokens jamais journalisés
Les tokens d'accès OAuth ne sont jamais inclus dans les journaux applicatifs ni dans les traces Vercel. Les journaux ne contiennent que des identifiants opaques anonymisés.
En cas de violation avérée ou suspectée de données personnelles, NarratIQ s'engage à :
NarratIQ utilise l'API Google Analytics Data (GA4) via OAuth 2.0. Les informations ci-dessous détaillent exactement comment les données Google sont traitées, conformément aux Règles d'utilisation des données API Google Services.
https://www.googleapis.com/auth/analytics.readonlyLecture seule des métriques GA4 de vos propriétés (sessions, pages vues, sources de trafic, etc.) afin de générer vos rapports NarratIQ.
https://www.googleapis.com/auth/userinfo.emailVérification de votre identité Google uniquement. Non stocké au-delà de l'authentification.
Usage limité
Les données GA4 obtenues via les scopes Google sont utilisées exclusivement pour générer les rapports et tableaux de bord demandés par l'utilisateur authentifié, propriétaire du compte GA4 concerné.
Pas de transfert à des tiers
Les données GA4 ne sont jamais vendues, cédées ou partagées avec des tiers. Elles ne sont pas utilisées pour de la publicité, du profilage ou de l'apprentissage automatique externe.
Pas de stockage persistant
Les métriques GA4 ne sont jamais stockées en base de données. Seul un cache Redis chiffré (TTL 6–24h) est utilisé pour éviter des appels API répétés. Il expire automatiquement.
Révocation immédiate
Vous pouvez révoquer l'accès à tout moment depuis la page Paramètres → Intégrations, ou directement depuis votre compte Google (myaccount.google.com/permissions). Les tokens sont supprimés immédiatement.
Lecture seule
NarratIQ n'écrit jamais dans vos propriétés GA4. L'accès est strictement limité à la lecture des métriques agrégées. Aucune modification de configuration GA4 n'est possible depuis NarratIQ.
Tokens chiffrés
Vos tokens OAuth Google (access token et refresh token) sont chiffrés en AES-256-GCM avant tout stockage en base. Ils ne sont déchiffrés qu'au moment de l'appel API serveur.
Toute modification substantielle sera signalée sur cette page via la date de mise à jour et, si possible, notifiée aux utilisateurs actifs. La version en vigueur est toujours accessible à cette URL.
Version actuelle : 1.3, mise à jour le 21 mai 2026.