noayaConnexion ↗

/ legal · noaya

Confidentialité.

/ Dernière mise à jour : 5 mai 2026

Cette politique explique comment Noaya (le « Service ») collecte, utilise, protège et partage les données personnelles et professionnelles de ses utilisateurs (les « Marchands ») et des intégrations connectées (Shopify, Google Ads, Meta Ads, Google Analytics, etc.). Elle est conforme au RGPD et aux Google API Services User Data Policy.

1. Responsable du traitement

Le responsable du traitement est Nadya Jahan, opérant sous le nom Noaya, joignable à l'adresse hello@noaya.app.

2. Données collectées

Données de compte

  • Email, prénom, nom (création de compte)
  • Nom de l'organisation, secteur d'activité
  • Mot de passe haché (jamais stocké en clair)

Données issues des intégrations connectées

Lorsque tu connectes un service externe via OAuth (Shopify, Google Ads, Meta Ads, GA4), Noaya importe et stocke uniquement les données nécessaires au fonctionnement de ses agents IA :

  • Shopify : commandes, produits, statuts de livraison (read-only)
  • Google Ads : performances de campagnes, dépenses, conversions (read-only, GAQL)
  • Meta Ads : insights de campagnes, ad sets, ads (read-only)
  • Google Analytics 4 : sessions, conversions, attribution (read-only)

Aucune donnée personnelle des clients finaux du Marchand (acheteurs, prospects) n'est utilisée pour du marketing, du remarketing ou de l'entraînement d'IA partagée.

Données techniques

  • Logs serveur (IP, user-agent, timestamps) — conservés 30 jours pour la sécurité
  • Cookies strictement nécessaires : session d'authentification uniquement

3. Finalités & bases légales

  • Exécution du contrat — fournir le Service (comptes, intégrations, analyses, agents IA).
  • Consentement— pour chaque connexion d'intégration externe via OAuth, le Marchand consent explicitement à l'accès aux données dans l'écran de permissions du fournisseur tiers.
  • Intérêt légitime — sécurité, prévention de la fraude, amélioration du Service.
  • Obligation légale — facturation et conservation des justificatifs comptables (10 ans).

4. Sous-traitants & transferts

Noaya s'appuie sur les sous-traitants suivants :

  • Vercel Inc. (hébergement web) — États-Unis, garanties DPF
  • Supabase (base de données Postgres) — Union Européenne (eu-west-3, Paris)
  • Anthropic (LLM Claude pour les agents) — États-Unis, DPA en place. Les conversations sont envoyées à Claude avec un horizon de rétention de 30 jours côté Anthropic. Aucune donnée n'est utilisée pour entraîner les modèles.
  • Stripe (paiement) — Union Européenne

Noaya ne vend, ne loue, et ne partage aucune donnée à des fins publicitaires. Les données d'un Marchand ne sont jamais agrégées, croisées ou exposées à un autre Marchand.

5. Conservation

  • Données de compte : tant que ton compte est actif. Suppression dans les 30 jours suivant la résiliation.
  • Données d'intégrations : tant que la connexion est active. Déconnexion ou résiliation déclenche une suppression en cascade dans les 30 jours.
  • Logs : 30 jours.
  • Justificatifs comptables : 10 ans (obligation légale française).

6. Tes droits (RGPD)

Tu disposes des droits suivants sur tes données personnelles :

  • Accès, rectification, effacement
  • Limitation, opposition au traitement
  • Portabilité (export de tes données dans un format structuré)
  • Retrait du consentement à tout moment (déconnexion d'une intégration)
  • Réclamation auprès de la CNIL

Pour exercer ces droits : hello@noaya.app. Réponse sous 30 jours.

7. Sécurité

  • HTTPS sur toutes les communications
  • Tokens d'intégration chiffrés au repos
  • Row-Level Security (RLS) sur la base Postgres : isolation stricte par organisation
  • Authentification : mots de passe hachés (bcrypt), sessions httpOnly
  • Aucun accès humain en lecture aux données des Marchands sans demande explicite (support)

8. Cookies

Noaya n'utilise aucun cookie de tracking publicitaire ou analytique tiers. Seuls des cookies strictement nécessaires sont déposés :

  • session — authentification (durée : 30 jours)
  • Cookies temporaires OAuth pendant les flows de connexion (durée : 10 minutes)

9. Conformité Google API Services

L'usage par Noaya des données reçues via les API Google (Google Ads, Google Analytics) respecte la Google API Services User Data Policy, y compris les exigences sur les usages limités. Concrètement :

  • Les données Google Ads/Analytics ne sont utilisées que pour fournir et améliorer les fonctionnalités d'analyse explicitement demandées par le Marchand.
  • Aucune publicité personnalisée n'est dérivée de ces données.
  • Les données ne sont pas vendues, ni transférées à des tiers, sauf sous-traitants techniques (cf §4).
  • Aucune lecture humaine sauf consentement explicite, sécurité ou obligation légale.

10. Modifications

Cette politique peut évoluer. La date de dernière mise à jour est indiquée en haut de la page. Les changements substantiels seront notifiés par email aux Marchands actifs.

11. Contact

Pour toute question : hello@noaya.app