Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via Reviews Hub est :

SMART AI, société par actions simplifiée, exploitant le service sous la marque « Reviews Hub » (Step UpAI)
49 rue de Prony, 75017 Paris, France — RCS Paris 990 035 701
Contact : contact@step-upai.com

2. Données collectées

Lorsque vous utilisez Reviews Hub, nous collectons les catégories de données suivantes :

• Données de compte : adresse e-mail, nom, identifiant Google (Google ID), préférences de langue.
• Données de paiement : identifiant client Stripe, identifiant d'abonnement, statut d'abonnement, date de fin d'essai. Les informations de carte bancaire ne transitent jamais par nos serveurs — elles sont traitées directement par Stripe.
• Données de fiche Google Business : identifiant de compte GBP, identifiant d'établissement GBP, nom commercial, type d'activité, ville, catégorie d'établissement. Notre accès à votre fiche est obtenu via le rôle Gestionnaire que vous nous accordez (révocable à tout moment depuis votre compte Google Business) — nous ne stockons aucun jeton d'accès OAuth lié à votre compte Google personnel ; seul votre identifiant public Google (Google ID), utilisé pour la connexion à votre espace client, est conservé.
• Données d'utilisation du service : avis Google reçus, identifiants d'avis, notes (étoiles), textes des avis, réponses générées par IA, statuts (en attente, approuvé, publié, rejeté).
• Données techniques : un cookie de session (nommé rh_session) strictement nécessaire au maintien de votre connexion.

2 bis. Données des auteurs d'avis Google (personnes tierces)

Pour fournir le Service à nos clients professionnels, Reviews Hub traite des données personnelles de personnes qui ne sont pas ses clientes : les auteurs des avis Google publiés sur les fiches des établissements utilisant le Service.

• Données traitées : nom d'affichage public, note (étoiles), texte et date de l'avis — telles que rendues publiques par leurs auteurs sur Google Maps.
• Source : exclusivement la fiche Google Business Profile de l'établissement concerné, via l'API officielle Google.
• Finalité : permettre à l'établissement de répondre aux avis le concernant.
• Base légale : l'intérêt légitime (article 6.1.f du RGPD) de l'établissement à répondre aux avis publics le concernant.
• Destinataires : le texte de l'avis et le nom d'affichage sont transmis à Anthropic, PBC (États-Unis) pour la rédaction de la réponse (voir §6 sur l'encadrement des transferts).
• Durée : le contenu issu de Google (texte de l'avis, nom d'affichage) est effacé de nos systèmes au plus tard 30 jours après sa récupération, conformément aux règles de l'API Google Business Profile.
• Vos droits : si vous êtes l'auteur d'un avis et souhaitez exercer vos droits (accès, effacement, opposition), écrivez à contact@step-upai.com. Vous pouvez aussi modifier ou supprimer votre avis directement sur Google, ce qui le retire de nos traitements au cycle suivant.

3. Finalités du traitement

• Exécution du service : lire les avis de votre fiche Google Business et y répondre en votre nom.
• Gestion de votre abonnement et de la facturation.
• Support client et communication relative au service.
• Amélioration du service (analyse agrégée et anonymisée de l'usage).
• Respect de nos obligations légales (comptabilité, lutte contre la fraude).

4. Base légale

Le traitement repose sur :

• L'exécution du contrat (article 6.1.b du RGPD) pour la fourniture du Service, y compris l'accès à votre fiche Google Business via le rôle Gestionnaire que vous nous accordez lors de l'inscription — révocable à tout moment depuis votre tableau de bord Google Business (la révocation interrompt le Service).
• Notre intérêt légitime (article 6.1.f) pour la sécurité, la prévention de la fraude et l'amélioration du service.
• Nos obligations légales (article 6.1.c) pour la comptabilité et la facturation.

5. Destinataires et sous-traitants

Vos données sont partagées avec les prestataires techniques suivants, sélectionnés pour leur conformité RGPD :

• Stripe, Inc. (paiement) — Politique de confidentialité Stripe
• Google LLC (authentification de votre compte Google et accès à l'API Google Business Profile via le rôle Gestionnaire) — Règles de confidentialité Google
• Anthropic, PBC (génération des réponses IA via Claude) — Politique de confidentialité Anthropic
• n8n GmbH (automatisation des flux de travail et stockage des données du service — hébergement en Europe) — Politique de confidentialité n8n
• Fly.io, Inc. (hébergement de l'application — serveurs situés en région Paris, France) — Politique de confidentialité Fly.io
• Resend, Inc. (envoi des e-mails transactionnels : bienvenue, fin d'essai, facturation) — Politique de confidentialité Resend

Aucune de vos données n'est vendue ni partagée à des fins publicitaires.

5 bis. Utilisation des données issues des API Google (« Limited Use »)

L'utilisation et le transfert par Reviews Hub des informations reçues des API Google respectent la Google API Services User Data Policy, y compris ses exigences de Limited Use : les données issues des API Google ne sont utilisées que pour fournir les fonctionnalités du Service visibles par l'utilisateur, ne sont jamais utilisées à des fins publicitaires, et ne sont jamais vendues. Le transfert à Anthropic est strictement limité à la rédaction des réponses aux avis, une fonctionnalité visible du Service.

6. Transferts hors Union européenne

Certains de nos prestataires sont des sociétés américaines. Les transferts de données hors de l'Union européenne sont encadrés comme suit :

• Stripe, Google et Resend sont certifiés au cadre EU-U.S. Data Privacy Framework (DPF), reconnu par décision d'adéquation de la Commission européenne.
• Anthropic n'est pas certifiée DPF : les transferts sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne.
• Fly.io héberge l'application dans sa région de Paris (France) ; tout transfert résiduel vers les États-Unis est encadré par les clauses contractuelles types.

Les données du service (clients, avis, réponses) sont stockées en Europe (n8n Cloud).

7. Durée de conservation

• Données de compte : pendant toute la durée de l'abonnement, puis 3 ans après résiliation pour gestion commerciale.
• Données de facturation : 10 ans (obligation comptable française).
• Contenu issu de Google (texte des avis, nom d'affichage des auteurs) : effacé de nos systèmes au plus tard 30 jours après sa récupération (règles de l'API Google Business Profile) ; nos métadonnées (identifiants, notes, statuts, réponses rédigées) sont conservées pendant la durée de l'abonnement, puis supprimées dans les 30 jours suivant la résiliation.
• Jetons d'accès Google : révocables à tout moment, supprimés dans les 30 jours suivant la résiliation.
• Journaux techniques (logs serveur) : conservés par notre hébergeur à des fins de sécurité et de diagnostic pour une durée limitée ; ils ne contiennent pas d'adresses e-mail en clair.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Accès à vos données personnelles.
• Rectification des données inexactes.
• Effacement (« droit à l'oubli »).
• Limitation du traitement.
• Portabilité de vos données dans un format structuré.
• Opposition au traitement fondé sur l'intérêt légitime.
• Retrait du consentement à tout moment (sans effet rétroactif).
• Directives post-mortem : définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès (article 85 de la loi Informatique et Libertés).

Pour exercer ces droits, écrivez-nous à contact@step-upai.com. Nous répondrons sous 30 jours maximum.

9. Cookies

Reviews Hub utilise uniquement un cookie strictement nécessaire (rh_session) pour maintenir votre session de connexion. Ce cookie est techniquement indispensable et ne nécessite pas votre consentement au titre de la directive ePrivacy et des lignes directrices CNIL.

Nous n'utilisons aucun cookie publicitaire, de tracking tiers, ni d'analytics. Les polices Inter sont hébergées sur nos propres serveurs : aucune requête n'est faite vers des CDN tiers lors du chargement de nos pages.

10. Réclamations

Si vous estimez que le traitement de vos données ne respecte pas le RGPD, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :

CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr

11. Modifications

Cette politique peut évoluer. En cas de changement significatif, nous vous en informerons par e-mail au moins 30 jours avant l'entrée en vigueur. La version en vigueur est toujours accessible sur cette page.