Dernière mise à jour : 21 avril 2026
Politique de confidentialité
La présente politique explique comment HubCreator, édité par Caliquo(ci-après « Nous »), traite les données personnelles de ses utilisateurs dans le cadre du service accessible à https://hubcreator.tech.
Nous nous engageons à respecter le Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et la Loi Informatique et Libertés.
1. Responsable de traitement
Caliquo
Adresse : 46 rue de l'Alma, 50100 Cherbourg-en-Cotentin, France
Email : contact@hubcreator.tech
Délégué à la protection des données (DPO) : contact@hubcreator.tech
2. Données collectées
2.1 Données fournies directement par l'utilisateur
- Identification : prénom, nom, email, mot de passe (haché via bcrypt, jamais stocké en clair)
- Organisation : nom d'espace de travail, timezone
- 2FA : secret TOTP chiffré, si l'utilisateur active la double authentification
- Paiement : aucune donnée bancaire stockée chez nous — tout passe par Stripe (PCI-DSS Level 1)
2.2 Données collectées via l'extension navigateur
- Credentials de plateformes tierces (cookies de session, tokens API) : chiffrés AES-256 côté backend
- Données intercepté : messages, listes d'abonnés, transactions, contenus publiés, UNIQUEMENT des comptes plateformes que l'utilisateur a connectés
- L'extension n'observe que les requêtes XHR sur les domaines autorisés (onlyfans.com, fansly.com, etc.), jamais autre chose
2.3 Données techniques
- Adresse IP (pour rate limiting et sécurité)
- User-agent, type de navigateur
- Logs d'accès (conservés 90 jours)
- Cookies de session JWT + préférences UI
2.4 Analytics
Si activé, Google Analytics 4 est utilisé avec anonymisation IP. L'utilisateur peut se désinscrire via son navigateur (DNT, bloqueurs de traceurs) ou en nous en faisant la demande.
3. Finalités du traitement
| Finalité | Base légale |
|---|---|
| Fournir le service (authentification, dashboard) | Exécution du contrat |
| Agréger les données plateformes via l'extension | Exécution du contrat, consentement |
| Facturation et comptabilité | Obligation légale |
| Sécurité (2FA, détection d'intrusion, audit logs) | Intérêt légitime |
| Amélioration du produit (analytics anonymisés) | Intérêt légitime |
| Programme affilié (calcul commissions) | Exécution du contrat |
| Communication transactionnelle (emails essentiels) | Exécution du contrat |
4. Durée de conservation
- Compte actif : durée de la relation contractuelle
- Compte résilié : 30 jours en lecture seule, puis suppression définitive
- Factures et pièces comptables : 10 ans (obligation légale)
- Logs d'accès et audit : 90 jours
- Données plateformes tierces : effacées 30 jours après déconnexion du compte plateforme
5. Destinataires
Les données sont accessibles uniquement :
- Aux utilisateurs de votre organisation que vous invitez (selon leurs rôles)
- À notre équipe technique (administration système, support)
- À nos sous-traitants (ci-dessous)
- Aux autorités légales sur réquisition judiciaire
Sous-traitants
| Prestataire | Rôle | Hébergement |
|---|---|---|
| Railway Corp (USA) | Hébergement applicatif | Europe (Frankfurt) |
| Supabase Inc. (USA) | Base de données Postgres (pour ShipFlow, pas HubCreator direct) | Europe (Zurich) |
| Stripe Payments Europe | Paiements | Europe |
| Resend (USA) | Emails transactionnels | USA (DPF) |
| Google LLC | Analytics (si activé) | USA (DPF) |
DPF = Data Privacy Framework. Tous nos sous-traitants sont conformes RGPD via adequacy decisions ou clauses contractuelles types.
6. Transferts hors UE
Certains sous-traitants (Stripe US, Google, Resend) traitent des données hors UE. Ces transferts sont encadrés par le Data Privacy Framework ou les Clauses Contractuelles Types de la Commission Européenne.
7. Droits des utilisateurs
Conformément au RGPD, vous disposez des droits suivants :
- Accès : obtenir une copie de vos données
- Rectification : corriger des données inexactes
- Effacement (« droit à l'oubli ») : supprimer votre compte
- Limitation : geler temporairement le traitement
- Portabilité : récupérer vos données dans un format structuré (JSON)
- Opposition : à certains traitements (prospection, analytics)
- Définir des directives post-mortem sur le sort de vos données
Pour exercer vos droits, contactez contact@hubcreator.tech. Nous vous répondons sous 1 mois maximum.
En cas de différend, vous pouvez introduire une réclamation auprès de la CNIL.
8. Sécurité
Mesures techniques mises en œuvre :
- Chiffrement en transit (TLS 1.3) et au repos (AES-256 pour les secrets sensibles)
- Authentification JWT + 2FA TOTP optionnel
- Audit logs des actions sensibles
- Sauvegardes quotidiennes chiffrées
- Mise à jour continue des dépendances, scan de vulnérabilités automatisé
9. Cookies
Nous utilisons les cookies suivants :
- hubcreator_token : session JWT, essentiel, expire après 7 jours
- hc_ref : code de parrainage temporaire, 30 jours, désactivable
- _ga / _gid : Google Analytics (si activé), 13 mois max
10. Modifications
Nous pouvons mettre à jour cette politique. Les changements importants seront notifiés par email. La date de mise à jour est indiquée en haut de page.