Esmy · esmy.ai

Politique de confidentialité

Dernière mise à jour : mai 2026

FR·EN

En résumé. Vos données et celles de vos clients ne sont jamais vendues, ni partagées avec des tiers à des fins commerciales. Aucune publicité. Les données issues de Google ne servent qu'à faire fonctionner votre tableau de bord. Vous pouvez révoquer l'accès et demander la suppression de vos données à tout moment.

1 Qui sommes-nous

Esmy (esmy.ai) est un projet en cours de constitution dont le responsable est domicilié en France. Le responsable de traitement est le fondateur d'Esmy, joignable à privacy@esmy.ai ou contact@esmy.ai.

2 Données collectées

2.1 Données des commerçants (utilisateurs du tableau de bord)

  • Nom, prénom, adresse email professionnelle
  • Nom et adresse de l'établissement
  • Token OAuth Google Business Profile (chiffré, jamais exposé au navigateur)
  • Données de facturation (traitées par Stripe — non stockées par Esmy)
  • Logs d'utilisation de la plateforme

2.2 Données des clients finaux (visiteurs de la page de jeu)

  • Adresse email (optionnelle — uniquement si le client la saisit volontairement)
  • Résultat du jeu (lot gagné, code de récompense)
  • Date et heure de participation
  • Aucune donnée de localisation précise n'est collectée

2.3 Données issues de l'API Google Business Profile

  • Avis Google publiés (texte, note, pseudo du rédacteur, date)
  • Réponses aux avis (publiées uniquement avec votre accord explicite)
  • Informations de l'établissement (nom, adresse, catégorie)

Ces données sont accédées via l'API officielle Google Business Profile, exclusivement après autorisation OAuth explicite du commerçant.

3 Intégration de l'API Google Business Profile

Conformité — Limited Use. L'utilisation et le transfert par Esmy, vers toute autre application, des informations reçues des API Google respectent la Google API Services User Data Policy, y compris ses exigences de Limited Use.

Périmètre OAuth demandé

Esmy demande uniquement le périmètre (scope) suivant :

https://www.googleapis.com/auth/business.manage

Endpoints utilisés

  • accounts.list — identifier le compte Google Business du commerçant
  • locations.get — récupérer le nom et l'adresse de l'établissement
  • reviews.list — lire les avis publiés (lecture seule)
  • reviews.updateReply — publier une réponse (uniquement après approbation du commerçant)

Utilisation des données Google

  • Afficher les avis dans le tableau de bord Esmy du commerçant concerné
  • Générer puis publier des réponses aux avis, après approbation explicite du commerçant
  • Produire des statistiques internes au seul compte de ce commerçant

Les données issues de l'API Google ne sont jamais : partagées entre différents commerçants, vendues ou transférées à des tiers, utilisées à des fins publicitaires, ni utilisées pour entraîner des modèles d'intelligence artificielle généralisés ou indépendants de l'humain.

Les données d'avis sont supprimées 90 jours après la fin du contrat. Le commerçant peut révoquer l'accès à tout moment depuis son compte Google ou depuis son espace Esmy.

4 Finalités du traitement

  • Fourniture du service Esmy (tableau de bord, réponses IA, gamification)
  • Communication relative au compte (alertes, notifications)
  • Facturation et gestion du compte
  • Amélioration du service (données agrégées et anonymisées)

Base légale : exécution du contrat (Art. 6.1.b RGPD) et intérêt légitime (Art. 6.1.f RGPD) pour l'amélioration du service.

5 Conservation des données

  • Données de compte commerçant : durée de l'abonnement + 3 ans (obligations légales)
  • Données d'avis Google : 90 jours après résiliation du contrat
  • Données clients finaux (email optionnel) : 12 mois glissants
  • Logs techniques : 6 mois

6 Sécurité

  • Chiffrement des données au repos : AES-256
  • Chiffrement des communications : TLS 1.3
  • Tokens OAuth stockés de manière chiffrée — jamais exposés au frontend
  • Accès aux données limité aux seuls membres de l'équipe Esmy qui en ont besoin

7 Vos droits (RGPD)

Vous disposez des droits suivants sur vos données personnelles :

  • Accès — obtenir une copie de vos données
  • Rectification — corriger des données inexactes
  • Effacement — demander la suppression de vos données
  • Portabilité — recevoir vos données dans un format structuré
  • Opposition — vous opposer à certains traitements

Pour exercer ces droits : privacy@esmy.ai. Réponse sous 30 jours. Vous pouvez également saisir la CNIL (cnil.fr).

8 Suppression des données et révocation d'accès

À tout moment, vous pouvez :

La suppression entraîne l'effacement des données associées sous 30 jours, hors obligations légales de conservation.

9 Cookies

Esmy utilise uniquement des cookies strictement nécessaires au fonctionnement de la plateforme (session, authentification). Aucun cookie publicitaire ou de tracking tiers n'est utilisé.

10 Sous-traitants

  • Stripe — traitement des paiements (conforme PCI-DSS)
  • Vercel — hébergement de la plateforme web
  • Supabase — base de données et authentification (hébergé dans l'Union Européenne)
  • Resend — envoi des emails transactionnels
  • Anthropic — API d'IA pour la génération des réponses aux avis. Les données transmises via l'API ne sont pas utilisées pour entraîner les modèles d'Anthropic.

Tous les sous-traitants sont liés par un accord de traitement des données (DPA) conforme au RGPD.

11 Contact

Pour toute question relative à cette politique : privacy@esmy.ai.

← Retour à l'accueil Conditions Générales d'Utilisation →