Politique de confidentialité

Statory est un service d'analyse Google Analytics 4, édité par Bwat.

Pour toute question relative à cette politique ou à vos données, vous pouvez nous contacter à dansl@bwat.fr.

Lorsque vous utilisez Statory, nous collectons et traitons les catégories de données suivantes :

• Informations de compte : adresse email, nom, photo de profil (lorsque vous vous connectez via Google) et mot de passe haché (connexion classique).
• Données Google Analytics 4 : statistiques agrégées de trafic, sessions, utilisateurs, pages vues, sources, devices, pays, événements, etc., récupérées via l'API Google Analytics avec votre consentement explicite (scopes analytics.readonly et analytics.manage.users).
• Données techniques : adresse IP, type de navigateur, logs serveur (utilisés uniquement à des fins de sécurité et de débogage).

• Afficher vos statistiques GA4 dans des dashboards lisibles.
• Vous identifier, gérer votre abonnement et vous contacter pour des communications de service (invitations, reset de mot de passe, problèmes de synchronisation).
• Maintenir et améliorer le service (corrections de bugs, optimisation des requêtes, sécurité).

Nous n'utilisons jamais vos données Google Analytics à des fins publicitaires, ne les vendons pas et ne les partageons pas en dehors des cas listés à la section 5.

L'utilisation par Statory des informations reçues des API Google respecte la Google API Services User Data Policy, y compris les exigences de Limited Use. Concrètement :

• Les données issues des API Google ne sont utilisées que pour fournir ou améliorer les fonctionnalités visibles par l'utilisateur.
• Aucune donnée Google n'est utilisée pour cibler de la publicité.
• Aucune donnée Google n'est partagée avec des tiers, sauf pour les sous-traitants techniques nécessaires (cf. section 5) ou si la loi l'exige.
• Aucun humain ne lit vos données Google, sauf si vous nous y autorisez explicitement (par exemple pour résoudre un bug que vous nous signalez), pour des raisons de sécurité ou pour nous conformer à la loi.

Pour faire fonctionner Statory, nous utilisons les sous-traitants techniques suivants :

• Google LLC — APIs Google Analytics & OAuth, hébergement des données GA4 (origine).
• Brevo — envoi d'emails transactionnels (invitations, reset mot de passe, notifications de synchronisation).
• Hébergement — serveurs situés dans l'Union européenne.

• Données de compte et analytics : conservées tant que votre compte est actif, et au maximum 2 ans après votre dernière connexion.
• Compte clôturé : votre compte passe en clôture (soft delete) immédiatement, vous ne pouvez plus vous connecter. Les données sont supprimées définitivement après 30 jours, sauf demande de réactivation entre-temps.
• Logs techniques : 30 jours maximum.

Conformément au Règlement Général sur la Protection des Données, vous disposez des droits suivants :

• Accès : demander une copie des données que nous détenons sur vous.
• Rectification : corriger toute information inexacte.
• Suppression : demander la suppression de vos données (clôture de compte intégrée dans l'application, ou demande à dansl@bwat.fr).
• Portabilité : récupérer vos données dans un format structuré.
• Opposition au traitement de vos données.
• Réclamation auprès de la CNIL en cas de litige non résolu.

Vous pouvez retirer à tout moment l'autorisation que vous avez accordée à Statory de lire vos données Google Analytics :

• Depuis Statory, en clôturant votre compte (Réglages → Mon compte) ou en détachant les propriétés concernées.
• Depuis Google directement : myaccount.google.com/permissions → trouver Statory → Supprimer l'accès.

Les communications entre votre navigateur et nos serveurs sont chiffrées en TLS (HTTPS). Les mots de passe sont stockés hachés (bcrypt). Les tokens OAuth Google sont stockés dans une base de données protégée par des accès restreints. Les sauvegardes quotidiennes sont chiffrées au repos.

Aucun système n'étant infaillible, nous nous engageons à vous informer sans délai en cas de violation de données qui vous concerne.

Nous pouvons faire évoluer cette politique de confidentialité. Tout changement substantiel sera communiqué par email aux utilisateurs avec un compte actif au moins 30 jours avant son entrée en vigueur.