Politique de confidentialité
Dernière mise à jour : 6 juin 2026
1. Introduction
La présente Politique de confidentialité explique comment Kevin Daburon, exploitant le service Qillaw (« nous », « Qillaw »), traite les données personnelles des utilisateurs de https://qillaw.com et des personnes interagissant avec les sites générés via la plateforme.
Qillaw s'engage à respecter le Règlement (UE) 2016/679 (RGPD) et la loi Informatique et Libertés.
Responsable de traitement :
Kevin Daburon
10 rue de la Milétrie, 86000 Poitiers, France
Email : contact@qillaw.com
DPO : Non désigné à ce jour. Contact données personnelles : contact@qillaw.com
2. Rôles RGPD
Selon les traitements :
| Contexte | Rôle de Qillaw |
|---|---|
| Compte utilisateur, facturation, support | Responsable de traitement |
| Analytics des sites générés (visiteurs finaux) | Sous-traitant du Client, qui reste responsable de traitement vis-à-vis de ses visiteurs |
| Données importées par le Client (Google Business, avis, etc.) | Sous-traitant du Client pour la mise à disposition du service |
Pour les Clients professionnels, l'Accord de traitement des données (DPA) complète la présente politique.
3. Données collectées
3.1. Données de compte
- Nom, prénom [si collectés]
- Adresse email
- Mot de passe (hashé — jamais stocké en clair)
- Identifiants techniques (UUID, tokens de session)
- Historique d'abonnement et de facturation (via Stripe)
3.2. Données d'utilisation
- Logs de connexion, adresse IP, user-agent
- Actions dans le dashboard (création de sites, éditions, publications)
- Quotas de génération consommés
- Préférences et paramètres du compte
3.3. Données de facturation
- Identifiant client Stripe
- Statut d'abonnement, formule, historique de paiements
- Les données de carte bancaire sont traitées directement par Stripe
3.4. Données liées à la génération de sites
- URL Google Maps / identifiants d'établissement
- Données publiques Google Business (nom, adresse, avis, photos, horaires, etc.)
- Contenus générés ou modifiés par l'Utilisateur
3.5. Données analytics (visiteurs des sites générés)
Collectées uniquement après consentement cookies lorsque applicable :
- Identifiant visiteur anonymisé (hash)
- Identifiant de session
- Pages consultées, referrer, appareil, navigateur, OS
- Pays (via en-têtes réseau)
- Horodatages et durée de session
Aucune donnée sensible nominative n'est volontairement collectée via analytics.
3.6. Support et communications
- Contenu des emails ou messages envoyés au support
- Retours utilisateurs (feedback)
4. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion du compte | Exécution du contrat (art. 6.1.b RGPD) |
| Fourniture du service SaaS | Exécution du contrat |
| Facturation et paiements | Exécution du contrat + obligation légale comptable |
| Support client | Exécution du contrat / intérêt légitime |
| Sécurité, prévention fraude, logs | Intérêt légitime (art. 6.1.f) |
| Amélioration du service | Intérêt légitime |
| Analytics des sites (non essentiels) | Consentement (art. 6.1.a) |
| Cookies non essentiels | Consentement |
| Prospection B2B (si applicable) | Non pratiquée à ce jour ; le cas échéant, intérêt légitime ou consentement préalable conforme à la réglementation |
| Conservation légale (comptabilité) | Obligation légale (art. 6.1.c) |
5. Destinataires des données
Les données peuvent être accessibles à :
- Le personnel autorisé de Qillaw
- Nos sous-traitants (voir section 6)
- Les autorités compétentes sur réquisition légale
Nous ne vendons pas vos données personnelles.
6. Sous-traitants principaux
| Prestataire | Finalité | Localisation | Garanties |
|---|---|---|---|
| Supabase | Base de données, authentification | Union européenne (eu-west-1 ou équivalent) | DPA Supabase, SCC si transfert hors UE |
| Stripe | Paiements | UE (Stripe Payments Europe) / US | DPA Stripe, certifications PCI-DSS |
| Vercel | Hébergement, CDN | US / edge global | DPA Vercel, SCC |
| OpenAI | Génération IA | États-Unis | Conditions API OpenAI ; données API non utilisées pour l'entraînement des modèles |
| Apify | Scraping Google Places | UE / US | Contrat API |
| Resend | Emails transactionnels | US | DPA |
| Données Business publiques | Variable | API / conditions Google |
La liste actualisée est disponible sur demande à contact@qillaw.com.
7. Transferts hors Union européenne
Certains sous-traitants peuvent traiter des données en dehors de l'UE/EEE. Le cas échéant, Qillaw s'assure de l'existence de garanties appropriées (Clauses Contractuelles Types, mesures complémentaires, etc.) conformément au chapitre V du RGPD.
Registre des transferts :
| Sous-traitant | Pays de traitement | Garanties |
|---|---|---|
| Supabase | UE (eu-west-1 ou équivalent) + possible réplication US | DPA, SCC (2021/914/UE) |
| Vercel | US / edge mondial | DPA, SCC |
| Stripe | UE (Irlande) / US | DPA, SCC, PCI-DSS |
| OpenAI | US | SCC, conditions contractuelles API |
| Apify | UE / US | Contrat API, SCC si applicable |
| Resend | US | DPA, SCC |
| Variable (API publique) | Conditions Google API Services |
Une copie à jour peut être obtenue sur demande à contact@qillaw.com.
8. Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte actif | Durée du compte + 3 ans après suppression |
| Données de facturation | 10 ans (obligations comptables) |
| Logs de sécurité | 12 mois |
| Analytics brutes | 13 mois |
| Analytics agrégées | 26 mois |
| Support | 3 ans après dernier contact |
| Previews anonymes | 7 jours (expiration automatique) |
Les durées peuvent être ajustées pour respecter les obligations légales ou les recommandations CNIL.
9. Sécurité
Qillaw met en œuvre des mesures techniques et organisationnelles appropriées (voir Sécurité et protection des données).
Aucune mesure n'étant infaillible, l'Utilisateur est invité à protéger ses identifiants.
10. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Accès à vos données
- Rectification des données inexactes
- Effacement (« droit à l'oubli »)
- Limitation du traitement
- Opposition pour motifs légitimes
- Portabilité des données fournies
- Retrait du consentement à tout moment (sans affecter la licéité antérieure)
- Directives post-mortem (France)
Exercice des droits : contact@qillaw.com
Délai de réponse : 1 mois (prolongeable si complexité).
Réclamation : vous pouvez introduire une réclamation auprès de la CNIL — https://www.cnil.fr
11. Mineurs
Le service n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données concernant des mineurs.
12. Sites générés par les Clients
Les Clients Qillaw publiant des sites via la plateforme peuvent collecter des données de leurs visiteurs (analytics, formulaires, etc.).
Responsabilité : le Client est responsable de traitement vis-à-vis de ses visiteurs et doit :
- informer les visiteurs ;
- recueillir le consentement requis ;
- publier ses propres mentions légales et politique de confidentialité le cas échéant.
Qillaw fournit des outils techniques (ex. bannière cookies analytics) mais ne se substitue pas aux obligations légales du Client en tant qu'éditeur de son site.
13. Décisions automatisées
Qillaw utilise des systèmes d'intelligence artificielle pour générer du contenu. Aucune décision produisant des effets juridiques similaires à un profilage hautement impactant n'est prise à l'encontre des Utilisateurs sans intervention humaine.
14. Modifications
Nous pouvons mettre à jour cette politique. La date de dernière mise à jour figure en tête de document. En cas de changement substantiel, notification par email ou via le service.
15. Contact
Kevin Daburon — Qillaw
10 rue de la Milétrie, 86000 Poitiers, France
Email : contact@qillaw.com