Politique de confidentialité
La présente Politique explique quelles données personnelles
linkrypt traite, pourquoi, pendant combien de temps,
et de quels droits vous disposez. Dernière mise à jour :
2026-05-23-v2.
1. Qui sommes-nous
linkrypt est exploité par IZZY.Agency (« nous »). Nous sommes le responsable de traitement pour les traitements décrits ci-dessous.
2. Ce que nous collectons
Nous collectons le minimum nécessaire au fonctionnement du service :
- Adresse e-mail — utilisée pour l'authentification par lien magique et les e-mails transactionnels (confirmation de suppression de compte, accusés de réception de signalement d'abus). Base légale : exécution du contrat.
- Métadonnées navigateur — adresse IP et User-Agent, tous deux hachés par HMAC avant stockage (nous ne stockons jamais l'un ou l'autre en clair). Utilisés pour la limitation de débit et la prévention des abus. Base légale : intérêt légitime (sécurité du service).
- Métadonnées de partage — valeurs opaques telles que la taille du chiffré, l'horodatage d'expiration, le HMAC de l'e-mail du destinataire. Nous ne voyons jamais le contenu en clair d'un partage. Base légale : exécution du contrat.
- Métadonnées de facturation (offre Pro) — ID client Stripe et état de l'abonnement. Stripe détient les données de carte ; pas nous. Base légale : exécution du contrat.
- Évènements d'audit — vos propres actions et toute action d'administrateur sur votre compte, consultables à /app/audit. Base légale : intérêt légitime (piste d'audit de sécurité) et obligation légale le cas échéant.
- Cookies strictement nécessaires — cookie de session et protection CSRF, toujours posés. Les cookies analytiques et marketing optionnels (Google Analytics 4 via Google Tag Manager) ne sont chargés qu'après votre acceptation dans la bannière Cookiebot. Voir le §7 pour l'inventaire complet des cookies et la procédure pour modifier votre choix à tout moment.
3. Ce que nous ne collectons pas
- Le contenu en clair des partages — le contenu est chiffré dans votre navigateur avant de nous parvenir ; nous ne pouvons pas le lire.
- L'identité des destinataires — nous savons qu'un destinataire a ouvert un partage (horodatage d'audit) mais pas qui il est ; la clé de déchiffrement vit uniquement dans le fragment d'URL, qui n'atteint jamais nos serveurs.
- Numéro de téléphone, adresse postale — jamais demandés.
- Données de carte — détenues par Stripe dans son environnement PCI-DSS, pas par nous.
4. Sous-traitants
- Cloudflare Inc. (Workers, D1, KV, R2) — calcul + stockage. Juridiction UE sélectionnée. Politique de confidentialité.
- Resend Inc. — distribution d'e-mails transactionnels. Politique de confidentialité.
- Stripe Inc. — traitement des paiements pour les abonnés à l'offre Pro uniquement. Politique de confidentialité.
5. Conservation
- Partages — supprimés automatiquement selon la fenêtre d'expiration de votre offre (7 jours en Free, 90 jours en Pro). Vous pouvez supprimer un partage plus tôt depuis le tableau de bord.
- Évènements d'audit — conservés 365 jours puis purgés par un balayage automatique.
- Données de compte — conservées tant que votre compte est actif ; effacées dans les 30 jours suivant la suppression du compte (le léger délai est la politique de cycle de vie R2 appliquée aux objets chiffrés).
- Données Stripe — conservées par Stripe selon sa propre politique ; nous ne la contrôlons pas.
6. Vos droits au titre du RGPD
- Droit d'accès (Art. 15) — demandez un export
JSON de vos données depuis le tableau de bord
(
GET /api/account/export). - Droit à l'effacement (Art. 17) — supprimez votre compte à /account/delete. Cela résilie tout abonnement Stripe actif, supprime vos enregistrements D1 et purge votre chiffré de R2.
- Droit de rectification (Art. 16) — contactez-nous à l'adresse du §11.
- Droits à la limitation, à la portabilité, à l'opposition (Art. 18, 20, 21) — contactez-nous à l'adresse du §11.
- Droit d'introduire une réclamation — auprès de votre autorité nationale de protection des données (en France : la CNIL).
7. Cookies
Cookies strictement nécessaires (toujours chargés) : jeton de session, protection CSRF. Sans ces cookies, le service ne peut pas fonctionner.
Cookies analytiques et marketing (nécessitent votre consentement) : Google Analytics 4 (GA4) via Google Tag Manager (GTM). Le consentement est géré par Cookiebot — la bannière affichée en bas de page lors de votre première visite. Vous pouvez modifier votre choix à tout moment via le badge de consentement Cookiebot qui apparaît dans le coin inférieur gauche de chaque page une fois que vous avez répondu à la bannière. Si vous devez joindre notre contact protection des données pour toute question relative aux cookies, contactez-nous à l'adresse indiquée au §11.
Si vous refusez les cookies analytiques, nous comptons tout de même les événements de conversion agrégés (compte créé, plan mis à niveau, compte supprimé) depuis nos serveurs — sans cookies, sans vous identifier. Ces comptages agrégés n'ont aucun lien avec votre compte individuel, de sorte qu'une option de désinscription par compte est inutile (vous ne pouvez pas être identifié dans nos analytics de toute façon). Si vous souhaitez vérifier ou consulter les données que nous détenons à votre sujet, exercez vos droits RGPD via le point d'export des données ou contactez l'adresse indiquée au §11.
8. Transferts internationaux de données
Cloudflare, Resend et Stripe peuvent traiter des données dans l'Union européenne et aux États-Unis. Les transferts internationaux vers les États-Unis s'appuient sur le cadre UE-États-Unis de protection des données (lorsque applicable) et sur les clauses contractuelles types adoptées par la Commission européenne.
9. Enfants
linkrypt n'est pas destiné aux enfants de moins de 15 ans. Si nous apprenons que nous avons collecté des données personnelles d'un enfant de moins de cet âge sans le consentement parental, nous supprimerons le compte.
10. Modifications de cette politique
Nous pouvons mettre à jour cette Politique de confidentialité. Les changements substantiels (ajout d'un sous-traitant, extension de ce que nous collectons, modification des durées de conservation) entraînent un nouvel identifiant de version et une nouvelle invite d'acceptation à votre prochaine connexion. L'identifiant de version actuel apparaît en bas de cette page.
11. Contact
Questions sur la confidentialité et demandes d'exercice des droits RGPD : privacy@linkrypt.sh. Renseignements généraux : hello@linkrypt.sh. Entité juridique : IZZY.Agency.