Politique de confidentialité
Dernière mise à jour : 11 juin 2026
1. Présentation
Friday (« le Service ») est une plateforme analytique opérée par Confluent Digital (« nous », « notre ») et destinée à un usage interne pour ses clients agréés. La présente politique décrit comment Friday collecte, utilise, stocke et protège les données auxquelles le Service accède dans le cadre de sa mission de reporting marketing cross-canal.
2. Données collectées
Friday accède à deux catégories de données :
2.1 Données API marketing (lecture seule)
Avec l'autorisation explicite des annonceurs, Friday accède en lecture seule à des données de performance publicitaire agrégées via les APIs des plateformes suivantes :
- Google Ads API — métriques de performance des campagnes (impressions, clics, coût, conversions, valeur de conversion).
- Google Analytics 4 Data API — métriques de trafic et e-commerce agrégées (sessions, utilisateurs, transactions, revenu).
- Google Search Console API — métriques SEO agrégées (clics, impressions, position moyenne, mots-clés organiques).
- Meta Marketing API, Microsoft Advertising, TikTok Ads, Pinterest Ads — métriques équivalentes selon le canal.
Aucune donnée personnelle d'utilisateur final n'est collectée par ces APIs. Friday ne reçoit que des agrégats statistiques.
2.2 Données d'utilisation du Service
Pour les comptes des opérateurs agréés à utiliser le Service, Friday stocke :
- Adresse email et mot de passe haché (bcrypt cost 12).
- Secret TOTP chiffré (authentification à deux facteurs).
- Journal d'audit des actions sensibles (qui, quand, quelle ressource).
3. Finalité de l'utilisation
Les données collectées sont utilisées exclusivement aux fins suivantes :
- Production de tableaux de bord agrégés présentés aux opérateurs autorisés du compte annonceur correspondant.
- Génération de rapports mensuels au format PDF à destination des annonceurs.
- Émission d'alertes (email, Slack) sur seuils de performance définis par l'annonceur.
Friday n'utilise jamais les données accédées :
- Pour entraîner des modèles d'apprentissage automatique.
- Pour les revendre ou les transférer à un tiers.
- Pour de la publicité ciblée.
- Pour les analyser hors du périmètre du client propriétaire.
4. Stockage et sécurité
- Localisation : serveurs hébergés en Union européenne.
- Chiffrement au repos : les credentials d'accès aux APIs tierces (tokens OAuth, clés API) sont chiffrés via AES-256-GCM avec une clé stockée hors base de données.
- Chiffrement en transit : HTTPS obligatoire (TLS 1.3), HSTS activé.
- Architecture multi-tenant stricte : chaque table métier est cloisonnée par identifiant client. Les données d'un annonceur ne peuvent jamais être consultées par un opérateur d'un autre annonceur.
- Authentification forte : 2FA TOTP obligatoire pour les administrateurs.
- Rate-limiting sur les tentatives de connexion (lock IP après 15 échecs / 15 min).
- En-têtes de sécurité : X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
- Audit : toutes les actions de mutation sont journalisées avec horodatage, identifiant opérateur et adresse IP.
5. Durée de conservation
Les données de performance sont conservées tant que l'annonceur reste client de Confluent Digital, pour permettre les comparaisons année sur année. Elles sont entièrement supprimées en cascade dans un délai maximal de 30 jours à compter de la fin de la relation contractuelle, sur demande de l'annonceur, ou après 24 mois d'inactivité.
6. Accès, rectification et suppression
Conformément au RGPD, les opérateurs autorisés peuvent à tout moment :
- Exporter leurs données depuis l'écran
/profile/rgpd/exportau format JSON. - Supprimer définitivement leur compte depuis l'écran
/profile/rgpd/delete.
Les annonceurs peuvent à tout moment révoquer l'accès accordé à Friday depuis la console de leur compte Google (myaccount.google.com/permissions), Meta, Microsoft ou autre plateforme concernée. La révocation interrompt immédiatement la capacité de Friday à fetcher de nouvelles données.
7. Partage et sous-traitants
Friday ne partage jamais les données collectées avec des tiers, à l'exception des prestataires d'infrastructure nécessaires à l'opération du Service :
- Hébergement : serveurs en Union européenne.
- Email transactionnel (alertes, rapports envoyés par mail).
- Notifications Slack, uniquement vers les canaux explicitement configurés par l'annonceur.
Aucun cookie publicitaire ni tracker tiers n'est intégré au Service.
8. Conformité aux politiques tierces
L'utilisation des données accédées via les APIs Google par Friday respecte les Google API Services User Data Policy, et notamment l'exigence Limited Use.
9. Contact
Pour toute question relative à cette politique :
Confluent Digital
contact@confluent-digital.com
10. Modifications
Cette politique peut être mise à jour. La date de dernière modification est indiquée en haut du document. Les modifications substantielles sont communiquées aux annonceurs par email.