Politique de confidentialité

La présente politique de confidentialité (la « Politique ») décrit la manière dont la société Pulse Media, éditrice du service Klyrad, traite vos données personnelles, conformément au Règlement Général sur la Protection des Données (Règlement UE 2016/679, ci-après le « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés ».

Cette Politique s'applique à tous les visiteurs du site klyrad.com et à tous les utilisateurs du service Klyrad (ci-après les « Utilisateurs » ou « vous »).

Le responsable du traitement est :

• Raison sociale : Pulse Media (SAS, capital 100 €)
• Siège social : 1 Mail de l'Ourcq, 77270 Villeparisis, France
• RCS : Meaux 991 819 129 (le numéro RCS correspond au SIREN)
• Email de contact : info@klyrad.com

Pour toute question relative au traitement de vos données, vous pouvez écrire à l'adresse info@klyrad.com en précisant « RGPD » dans l'objet du message.

Nous appliquons un principe de minimisation : nous collectons uniquement les données strictement nécessaires à la fourniture du service Klyrad et à nos obligations légales.

3.1 — Données fournies directement par vous

• Lors de l'inscription : nom, prénom, adresse email professionnelle, mot de passe (chiffré), nom de l'entreprise
• Lors du paramétrage : URL de votre site internet, secteur d'activité, budget publicitaire envisagé, objectifs commerciaux
• Lors de la souscription payante : données de facturation (raison sociale, adresse, numéro de TVA), données de paiement (traitées exclusivement par notre prestataire Stripe — nous ne stockons jamais votre numéro de carte bancaire)
• Lors d'un échange avec le support : contenu des messages que vous nous envoyez

3.2 — Données collectées automatiquement

• Données techniques : adresse IP, type et version du navigateur, système d'exploitation, résolution d'écran, fuseau horaire, langue
• Données de navigation : pages visitées sur klyrad.com, durée de session, source de trafic, événements d'interaction (clics sur boutons, scroll, ouverture de fenêtres)
• Cookies et traceurs : voir notre Politique de cookies

3.3 — Données collectées via l'API Google Ads

Avec votre autorisation explicite (OAuth 2.0), Klyrad accède en lecture et écriture à votre compte Google Ads pour fournir le service. Les données concernées sont notamment :

• Identifiants du compte Google Ads (Customer ID, statut, devise)
• Structures de campagnes, groupes d'annonces, mots-clés, annonces
• Données de performance (impressions, clics, conversions, coût, ROAS)
• Données démographiques et géographiques anonymisées agrégées par Google

Aucun mot de passe Google n'est jamais stocké par Klyrad. L'accès se fait exclusivement via le protocole sécurisé OAuth 2.0 de Google, et vous pouvez le révoquer à tout moment depuis votre compte Google.

Périmètres d'autorisation (scopes) demandés

• https://www.googleapis.com/auth/adwords — création, lecture et optimisation des campagnes Google Ads dans votre compte (scope sensible / restricted)
• https://www.googleapis.com/auth/userinfo.email — identification de l'email associé à votre compte Google
• https://www.googleapis.com/auth/userinfo.profile — récupération de votre nom pour personnaliser l'interface

Vous pouvez révoquer ces autorisations à tout moment depuis Google Account – Connexions tierces. La révocation entraîne l'arrêt immédiat de toute opération automatisée par Klyrad sur votre compte Google Ads.

Conformité à la politique Google Limited Use

L'utilisation par Klyrad des informations reçues des API Google, ainsi que leur transfert vers toute autre application, respecte la Google API Services User Data Policy, notamment les exigences relatives à l'« Limited Use ». En particulier :

• Nous utilisons ces données exclusivement pour fournir les fonctionnalités du service Klyrad décrites ci-dessus ;
• Nous ne transférons pas ces données à des tiers, sauf si cela est nécessaire à la fourniture du service (par exemple, hébergement chiffré sur Supabase) ou requis par la loi ;
• Nous n'utilisons pas ces données à des fins publicitaires ;
• Nous n'utilisons pas ces données pour entraîner des modèles d'intelligence artificielle généralistes ou destinés à d'autres clients. Les optimisations IA sont strictement contenues au périmètre du compte du Client ;
• Aucun humain ne lit ces données, sauf : (i) avec votre consentement explicite, (ii) pour des raisons de sécurité (ex. enquête sur un abus), (iii) si la loi nous y oblige, ou (iv) sous forme agrégée et anonymisée pour le débogage technique.

Vos données personnelles sont traitées exclusivement pour les finalités suivantes :

• Fourniture du service Klyrad : création et gestion de votre compte, paramétrage, création et optimisation de vos campagnes Google Ads, supervision humaine, support technique
• Facturation et comptabilité : émission de factures, encaissement, recouvrement, tenue de la comptabilité
• Communication client : envoi d'informations relatives à votre compte, notifications de service, modifications contractuelles, alertes techniques
• Communication commerciale : envoi de newsletters, d'articles de blog, d'offres promotionnelles (uniquement avec votre consentement, et résiliable à tout moment)
• Amélioration du service : analyse statistique agrégée et anonymisée du comportement des utilisateurs sur klyrad.com, suivi des conversions, debugging
• Sécurité : prévention des fraudes, détection des intrusions, journalisation des accès
• Obligations légales : conservation des documents comptables, réponse aux demandes des autorités compétentes

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale précise :

• Exécution du contrat (art. 6.1.b) : création et gestion de votre compte, fourniture du service, facturation, support
• Obligation légale (art. 6.1.c) : conservation des factures (10 ans), réponse aux réquisitions
• Intérêt légitime (art. 6.1.f) : sécurisation du service, amélioration de nos produits, prospection commerciale B2B mesurée
• Consentement (art. 6.1.a) : newsletter marketing, cookies non essentiels, témoignages clients publiés

Lorsque le traitement repose sur votre consentement, vous pouvez le retirer à tout moment, sans que cela remette en cause la licéité du traitement effectué avant ce retrait.

Nous conservons vos données uniquement le temps nécessaire aux finalités décrites ci-dessus :

• Données de compte client actif : pendant toute la durée de votre abonnement
• Données après résiliation : 3 ans à compter de la fin de la relation contractuelle (durée légale de prescription commerciale)
• Données de facturation et comptables : 10 ans conformément à l'article L.123-22 du Code de commerce
• Prospects et formulaires de contact : 3 ans à compter du dernier contact
• Cookies : 13 mois maximum (recommandation CNIL)
• Logs techniques et de sécurité : 12 mois
• Demandes RGPD (exercice de droits) : 3 ans pour justifier de leur traitement

À l'expiration de ces durées, vos données sont définitivement supprimées ou anonymisées de manière irréversible.

Suppression sur révocation d'accès Google

Si vous révoquez l'autorisation OAuth depuis votre compte Google, ou si vous supprimez votre compte Klyrad, les tokens OAuth associés sont immédiatement et irréversiblement supprimés de nos systèmes. Les données historiques de campagnes (impressions, conversions agrégées) sont anonymisées sous 30 jours, sauf obligation légale de conservation comptable.

Vos données ne sont accessibles qu'à un nombre restreint de destinataires, soumis à une obligation stricte de confidentialité :

7.1 — Au sein de Pulse Media

• Les équipes Klyrad habilitées à accéder à vos données dans le strict périmètre de leurs missions (gestionnaires de compte certifiés Google Ads, support technique, équipes produit, équipe finance)

7.2 — Sous-traitants techniques (article 28 RGPD)

Tous nos sous-traitants sont liés par un accord de traitement (DPA) garantissant le respect du RGPD :

• Vercel Inc. (États-Unis) — hébergement du site klyrad.com. Transfert hors UE encadré par les Clauses Contractuelles Types de la Commission européenne
• Supabase (Union européenne — Frankfurt, Allemagne) — hébergement de la base de données applicative
• Stripe Payments Europe Ltd. (Irlande) — traitement sécurisé des paiements (PCI-DSS niveau 1)
• Google LLC (États-Unis) — API Google Ads pour le fonctionnement du service. Transfert encadré par les Clauses Contractuelles Types
• Prestataires email transactionnel (UE) — envoi des notifications de service

7.3 — Autorités légales

Vos données peuvent être communiquées aux autorités administratives ou judiciaires compétentes, sur réquisition légale.

Nous ne vendons jamais vos données personnelles à des tiers, à quelque fin que ce soit.

Certaines de nos opérations impliquent un transfert de données vers des pays situés hors de l'Union européenne, notamment les États-Unis (Vercel, Google, Stripe). Ces transferts sont encadrés par :

• Les Clauses Contractuelles Types adoptées par la Commission européenne (Décision 2021/914)
• Le cadre Data Privacy Framework UE–États-Unis pour les organismes qui y adhèrent
• Des mesures de sécurité supplémentaires : chiffrement en transit (TLS 1.2+) et au repos, contrôle d'accès, audits réguliers

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre l'accès non autorisé, la divulgation, l'altération ou la destruction :

• Chiffrement TLS 1.2+ pour toutes les communications
• Chiffrement au repos des données sensibles dans nos bases
• Stockage chiffré au repos des tokens OAuth Google (chiffrement symétrique AES-256, clés gérées via Supabase Vault) ; les tokens d'accès sont à durée limitée et automatiquement renouvelés via refresh-token ; aucun mot de passe Google n'est jamais transmis ni stocké
• Hachage cryptographique (bcrypt) des mots de passe — nous ne les stockons jamais en clair
• Contrôles d'accès stricts (principe du moindre privilège)
• Sauvegardes régulières et tests de restauration
• Monitoring et journalisation des accès aux données sensibles
• Politique de mots de passe forts et authentification à deux facteurs pour les équipes internes

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures et à vous informer dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès (art. 15) : obtenir confirmation que vos données sont traitées et en recevoir une copie
• Droit de rectification (art. 16) : corriger toute donnée inexacte ou incomplète
• Droit à l'effacement (art. 17) : obtenir la suppression de vos données dans les cas prévus par le RGPD
• Droit à la limitation (art. 18) : demander la suspension temporaire du traitement
• Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et couramment utilisé
• Droit d'opposition (art. 21) : vous opposer au traitement pour des raisons tenant à votre situation particulière
• Droit de retrait du consentement (art. 7) : retirer votre consentement à tout moment
• Droit de définir des directives post-mortem (loi Informatique et Libertés) : organiser le sort de vos données après votre décès

Pour exercer ces droits, contactez-nous à info@klyrad.com en précisant « Demande RGPD » dans l'objet. Nous pourrons vous demander un justificatif d'identité afin de prévenir toute usurpation. Nous répondons dans un délai d'un mois maximum.

Le service Klyrad utilise des algorithmes d'intelligence artificielle pour optimiser automatiquement vos campagnes Google Ads. Ces décisions automatisées concernent exclusivement les paramètres techniques de vos campagnes (enchères, ciblage, choix de mots-clés) et ne produisent pas d'effet juridique vous concernant.

Vous pouvez à tout moment intervenir manuellement sur vos campagnes depuis votre compte Google Ads, ou demander une supervision humaine renforcée auprès de votre gestionnaire de compte.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Téléphone : 01 53 73 22 22
• Site web : www.cnil.fr

Nous pouvons être amenés à modifier la présente Politique pour l'adapter à des évolutions légales, techniques ou commerciales. La version applicable est celle en vigueur lors de votre consultation. Toute modification substantielle vous sera notifiée par email avec un préavis raisonnable.

Pour toute question relative à cette Politique :

• Email : info@klyrad.com
• Courrier : Pulse Media — Référent données personnelles, 1 Mail de l'Ourcq, 77270 Villeparisis, France