Politique de Confidentialité
Dernière mise à jour : juin 2026
La présente Politique de Confidentialité décrit les pratiques de Muse Square en matière de collecte, de stockage, d'accès, de conservation et de suppression des données traitées par la plateforme. Elle répond aux obligations du Règlement Général sur la Protection des Données (RGPD) et constitue un engagement contractuel envers nos clients.
1. Objet du document
Le présent document décrit les pratiques de Muse Square en matière de stockage, d'accès, de conservation et de suppression des données traitées par la plateforme. Il répond aux obligations du RGPD et constitue un engagement contractuel envers nos clients.
2. Nature des données traitées
Muse Square traite deux catégories de données, clairement séparées :
2.1 Données d'intelligence contextuelle (non personnelles)
Ces données constituent le cœur de la plateforme. Elles sont collectées depuis des sources publiques et ne contiennent aucune donnée à caractère personnel :
- Événements publics (agendas culturels, bases événementielles ouvertes)
- Données météorologiques (Open-Meteo, prévisions et historiques)
- Calendriers (vacances scolaires, jours fériés, événements commerciaux)
- Mobilité (perturbations planifiées, grèves, travaux)
- Concurrence (lieux concurrents enrichis via Google Places API, événements concurrents)
- Tourisme et fréquentation piétonne (données agrégées, jamais individuelles)
2.2 Données utilisateur (liées au compte client)
Ces données sont strictement limitées à ce qui est nécessaire au fonctionnement du service :
- Identifiant utilisateur (clerk_user_id — identifiant technique, non nominatif)
- Identifiants de sites (location_id) et profil entreprise associé
- Brouillons de communication rédigés par ou pour l'utilisateur (saved_drafts)
- Paramètres de canaux de diffusion (Slack, Email, Google Business Profile)
- Données issues des comptes tiers connectés par l'Utilisateur, après autorisation explicite : Google Business Profile (informations de fiche, avis, statistiques, jetons d'accès) ; Meta — Pages Facebook et comptes Instagram professionnels (informations de profil, contenus publiés, statistiques d'engagement et d'audience, identifiants de compte, jetons d'accès) ; Slack (jeton d'accès, espace de travail, canal de diffusion)
- Concurrents suivis et préférences de surveillance
3. Localisation et infrastructure de stockage
| Composant | Détail |
|---|---|
| Base de données | Google BigQuery, projet muse-square-open-data |
| Région | Multi-région Union Européenne (Pays-Bas, Finlande) |
| Chiffrement au repos | AES-256, clés gérées par Google (Google-managed encryption keys) |
| Chiffrement en transit | TLS 1.2+ sur toutes les connexions |
| Authentification | Clerk v3 (certifié SOC 2 Type II) |
| Hébergement applicatif | Vercel — application et API en région France, Paris (CDG1) ; CDN mondial sans donnée personnelle ; aucun stockage persistant côté serveur |
| Code source | GitHub (dépôt privé, accès restreint) |
Les données applicatives sont stockées exclusivement dans l'Union Européenne (BigQuery — stockage unique et centralisé, sans data lake secondaire ni copie externe). Les données d'authentification (Clerk) et les traitements IA ponctuels (Anthropic) sont opérés aux États-Unis, encadrés par des clauses contractuelles types (voir section 9).
4. Isolation des données entre clients
L'architecture de Muse Square repose sur un modèle multi-tenant avec isolation applicative :
4.1 Mécanisme d'isolation
- Chaque requête API vérifie que le location_id demandé appartient au tableau all_location_ids de l'utilisateur authentifié (fonction requireLocationOwnership).
- Ce contrôle est appliqué sur toutes les routes POST (renommage, suppression, crawl, publication, sauvegarde de brouillons) et toutes les routes GET protégées.
- Les routes /api/insight, /api/analytics et /api/channels sont protégées par un middleware d'authentification (isProtectedRoute).
- Les endpoints IA (prompt, generate-action-draft, generate-sowhat) sont authentifiés et soumis à un rate limiting par utilisateur.
4.2 Architecture de stockage
Les données de tous les clients résident dans les mêmes datasets BigQuery, filtrées par location_id au moment de la requête. Il n'y a pas de dataset séparé par client. Ce modèle est standard pour les plateformes SaaS B2B et permet un déploiement, une maintenance et une évolution unifiés.
Si un client exige contractuellement une isolation physique des données (dataset dédié ou projet BigQuery séparé), cette option peut être évaluée dans le cadre d'un contrat entreprise.
4.3 Accès administrateur
L'équipe technique de Muse Square dispose d'un accès administrateur permettant d'intervenir sur l'ensemble des données de la plateforme à des fins strictement limitées : support client, résolution d'incidents techniques, maintenance de la base de données et obligations légales.
Cet accès est restreint au personnel habilité. Toute intervention sur les données d'un client est tracée et justifiée par un motif légitime au sens de l'article 6(1)(f) du RGPD (intérêt légitime du responsable de traitement pour assurer le bon fonctionnement du service).
5. Confidentialité des traitements IA
Les systèmes d'intelligence artificielle de Muse Square respectent les règles suivantes :
- Aucun identifiant utilisateur (clerk_user_id) ni identifiant de session n'apparaît dans les sorties IA.
- Aucun location_id n'est exposé dans les textes générés, sauf s'il est déjà visible dans l'interface utilisateur.
- Les noms de concurrents ne sont affichés que s'ils proviennent de la couche sémantique existante (jamais fabriqués).
- Les textes saisis par l'utilisateur dans l'interface de question (prompt) ne sont pas conservés au-delà du traitement de la requête en cours.
- Les journaux internes ne contiennent que les champs autorisés (allowlisted), les sorties du packager et les métadonnées de traçabilité — jamais de données brutes complètes.
Les données transmises à l'API Anthropic (Claude) dans le cadre des appels IA sont soumises à la politique de conservation d'Anthropic (30 jours par défaut, suppression automatique). Aucune donnée transmise via l'API n'est utilisée pour l'entraînement des modèles. Les données opérationnelles client ne transitent par l'API que dans le cadre de requêtes IA ponctuelles (questions posées via l'assistant, génération de brouillons, synthèses). En dehors de ces appels, les données restent dans l'infrastructure européenne (BigQuery EU).
6. Données issues des comptes connectés (Meta, Google, Slack)
Lorsque l'Utilisateur connecte volontairement un compte tiers à la plateforme, et uniquement après son autorisation explicite, Muse Square accède aux données nécessaires aux fonctionnalités de lecture et de publication associées à ce compte.
Les données obtenues via les API de Meta (Pages Facebook, comptes Instagram professionnels) sont utilisées dans le respect des Conditions de la plateforme Meta, exclusivement aux finalités consenties par l'Utilisateur : lecture des contenus et des statistiques de ses comptes, et publication de contenus en son nom. Ces données ne sont ni revendues, ni utilisées à des fins publicitaires tierces, ni partagées en dehors des sous-traitants mentionnés en section 9.
La déconnexion d'un compte tiers (Meta, Google Business Profile, Slack) entraîne la révocation du jeton d'accès et la suppression des données associées à ce compte dans un délai de 30 jours. Toute demande relative aux données issues de Meta peut être adressée à contact@musesquare.com.
7. Durées de conservation
| Type de donnée | Durée | Justification |
|---|---|---|
| Intelligence contextuelle (météo, événements, concurrence) | 120 jours passés + 365 jours futurs (fenêtre glissante) | Fenêtre nécessaire au calcul des scores et des tendances. Les données hors fenêtre ne sont pas recalculées. |
| Brouillons de communication (saved_drafts) | Durée du contrat + 30 jours | Disponibles pour réutilisation et historique de communication. Supprimés 30 jours après la clôture du compte. |
| Profil entreprise et paramètres | Durée du contrat + 30 jours | Nécessaire au fonctionnement du service. |
| Tokens d'authentification et sessions | Géré par Clerk | Conformément à la politique de conservation de Clerk (SOC 2 Type II). |
| Tokens OAuth (Slack, GBP, Meta) | Durée du contrat | Révoqués et supprimés à la clôture du compte, à la déconnexion du compte concerné ou sur demande. |
8. Droits des utilisateurs
Conformément au RGPD, chaque utilisateur dispose des droits suivants :
8.1 Droit d'accès
L'utilisateur peut demander une copie de l'ensemble des données le concernant. La demande est traitée sous 30 jours.
8.2 Droit de rectification
L'utilisateur peut corriger ses données de profil directement dans l'interface (renommage de site, mise à jour du profil entreprise). Pour les corrections nécessitant une intervention technique, contacter contact@musesquare.com.
8.3 Droit à l'effacement
Sur demande écrite à contact@musesquare.com, Muse Square procède à la suppression de :
- L'ensemble des brouillons de communication (saved_drafts)
- Le profil entreprise et les paramètres de site
- Les jetons OAuth et configurations de canaux, y compris les données et jetons issus des comptes Meta, Google Business Profile et Slack connectés
- Les concurrents suivis et préférences de surveillance
Délai d'exécution : 30 jours maximum. La déconnexion d'un compte tiers entraîne la révocation du jeton et la suppression des données associées dans le même délai. Les données d'intelligence contextuelle (météo, événements, concurrence publique) ne sont pas concernées car elles ne constituent pas des données à caractère personnel.
8.4 Droit à la portabilité
L'utilisateur peut demander l'export de ses données dans un format structuré et lisible par machine (JSON). L'export inclut : brouillons, profil, paramètres de canaux, concurrents suivis.
9. Sous-traitants
Muse Square fait appel aux sous-traitants suivants pour le fonctionnement de la plateforme :
| Sous-traitant | Finalité | Localisation des données |
|---|---|---|
| Google Cloud (BigQuery) | Stockage et traitement des données | Union européenne |
| Clerk | Authentification et gestion des sessions | États-Unis (SOC 2 Type II, clauses contractuelles types) |
| Vercel | Hébergement applicatif (serverless) | Union Européenne — France, Paris (CDG1) ; CDN mondial (sans donnée personnelle) |
| Anthropic (Claude) | Génération de narratifs IA (aucune donnée stockée) | États-Unis (aucune donnée personnelle transmise) |
| Meta (Facebook, Instagram) | Lecture des contenus et statistiques, publication sur les comptes connectés par l'Utilisateur | Données traitées via les API Meta, selon l'autorisation de l'Utilisateur |
| Google Places API | Enrichissement de données concurrentielles | Données publiques uniquement |
| Plausible Analytics | Mesure d'audience du site web (sans cookie) | Allemagne (Union Européenne) |
10. Notification en cas de violation de données
En cas de violation de données à caractère personnel, Muse Square s'engage à :
- Notifier la CNIL dans un délai de 72 heures après prise de connaissance de la violation.
- Informer les utilisateurs concernés dans les meilleurs délais si la violation présente un risque élevé pour leurs droits et libertés.
- Documenter l'incident dans un registre interne conformément à l'article 33 du RGPD.
11. Contact
Pour toute question relative à la gestion des données ou pour exercer vos droits :
Email : contact@musesquare.com
Muse Square (Julen de Ajuria-Guerra, EI) s'engage à répondre à toute demande dans un délai de 30 jours.
12. Base juridique et références réglementaires
Les traitements de données réalisés par Muse Square reposent sur les bases juridiques suivantes du Règlement Général sur la Protection des Données (Règlement UE 2016/679) :
| Article | Objet | Application chez Muse Square |
|---|---|---|
| Art. 6(1)(b) | Exécution d'un contrat | Traitement des données utilisateur (profil, brouillons, paramètres) nécessaire à la fourniture du service souscrit. |
| Art. 6(1)(f) | Intérêt légitime | Traitement des données d'intelligence contextuelle (sources publiques, aucune donnée sensible). Accès administrateur pour le support et la maintenance. |
| Art. 13 | Obligation d'information | Le présent document remplit cette obligation en détaillant les traitements, finalités, durées et droits. |
| Art. 17 | Droit à l'effacement | Couvert en section 8.3. Suppression sur demande sous 30 jours. |
| Art. 20 | Droit à la portabilité | Couvert en section 8.4. Export en format JSON structuré. |
| Art. 28 | Sous-traitants | Couvert en section 9. Chaque sous-traitant est identifié avec sa finalité et la localisation des données. |
| Art. 33 | Notification de violation | Couvert en section 10. Notification CNIL sous 72 heures. |
| Art. 44–49 | Transferts hors UE | Clerk et Anthropic sont établis aux États-Unis ; les comptes Meta connectés par l'Utilisateur sont traités via les API Meta. Les transferts sont encadrés par des clauses contractuelles types (CCT) conformément à l'article 46(2)(c). |
