Politique de confidentialité
Dernière mise à jour : 24 avril 2026
La présente Politique de confidentialité décrit comment Sofia (« nous ») traite les données personnelles dans le cadre de l'utilisation de la plateforme Sofia, qui inclut https://www.sofia-post.com, l'application web Sofia et l'application mobile Sofia pour iOS et Android (ensemble, le « Service »).
Sofia est une plateforme SaaS qui aide les TPE/PME à créer, planifier, publier et mesurer du contenu sur les réseaux sociaux connectés (notamment comptes Instagram Business, Pages Facebook, X, LinkedIn, TikTok et Snapchat), avec l'assistance de l'IA.
1. Qui sommes-nous
- Responsable de traitement : Badji Digital Services, éditeur de Sofia — coordonnées complètes dans les Mentions légales.
- Contact : [email protected]
- Catégorie : Productivité — gestion multi-canale des réseaux sociaux pour TPE/PME
2. Périmètre
La présente politique s'applique à tous les utilisateurs du Service, y compris les visiteurs du site, les utilisateurs ayant créé un compte Sofia et ceux qui connectent un compte de réseau social tiers (y compris des comptes Meta / Instagram / Facebook) à leur espace de travail Sofia.
3. Données personnelles collectées
3.1 Données que vous fournissez
| Catégorie | Exemples | Pourquoi |
|---|---|---|
| Compte | Email, nom, mot de passe (hash Argon2id), langue | Création et sécurisation du compte |
| Marque | Nom de l'entreprise, secteur, identité de marque (logo, ton, couleurs) | Personnalisation IA et analytics |
| Contenu | Posts, images, vidéos, légendes, hashtags, brouillons, calendrier | Production et planification |
| Facturation | Adresse de facturation, TVA, moyen de paiement (via prestataire) | Abonnements et facturation |
| Support | Messages adressés au support | Réponse à vos demandes |
3.2 Données collectées lors de la connexion d'un compte Meta
Lorsque vous connectez un compte Meta via le flux officiel Facebook Login for Business, nous demandons les autorisations ci-dessous et, avec votre consentement explicite, accédons aux données correspondantes :
| Permission Meta | Données accédées | Finalité |
|---|---|---|
| instagram_business_basic | ID du compte Instagram Business, username, nom affiché, photo de profil, nombre de followers | Affichage du compte connecté dans le panneau « Comptes connectés » |
| instagram_business_content_publish | Accès en écriture pour publier le média que vous avez créé dans Sofia | Publication d'une photo, carrousel, vidéo ou Reel au moment où vous cliquez sur Publier ou à l'horaire programmé |
| instagram_business_manage_insights | Métriques par média (impressions, reach, likes, commentaires, sauvegardes, lectures, engagement) | Affichage des analytics de vos propres médias dans le tableau de bord Performance |
| pages_show_list pages_manage_posts pages_read_engagement | Pages Facebook connectées, posts et engagement | Cross-publication et analyse des performances de Page |
Nous n'accédons pas à votre boîte Instagram Direct, à vos listes privées d'abonnés ou à des contenus dont vous n'êtes pas titulaire. Les jetons d'accès et de rafraîchissement sont stockés chiffrés au repos et utilisés uniquement pour appeler l'API Meta Graph en votre nom pour les actions que vous demandez explicitement.
3.3 Données collectées automatiquement
- Appareil & technique : IP, user-agent, OS, modèle, logs de plantage (sécurité et fiabilité).
- Usage : pages vues, fonctionnalités utilisées, événements (post créé, programmé, publié), durée de session (amélioration du service).
- Cookies : authentification, langue, consentement — voir la Politique de cookies.
3.4 Données que nous NE collectons PAS
- Votre mot de passe Instagram ou Facebook (géré par Meta).
- Vos messages privés Instagram Direct.
- Des données sur les personnes qui vous suivent, au-delà des métriques publiques d'engagement.
- Des données personnelles sensibles (santé, religion, etc.) — merci de ne pas téléverser ce type de contenu.
4. Comment nous utilisons les données
- Fournir le Service — compte, IA, publication, analytics.
- Connexion de comptes tiers — flux OAuth, rafraîchissement de jetons.
- Publier en votre nom — appels Meta Graph API uniquement à votre demande ou selon une planification.
- Analytics et insights — récupération de métriques pour vos tableaux de bord.
- Sécurité — détection d'abus, rate limiting, investigation d'incidents.
- Support, facturation, conformité légale.
- Amélioration du service — analytics agrégés non identifiables.
Nous n'utilisons pas les contenus de vos comptes Meta connectés pour entraîner un modèle d'IA public. Nos sous-traitants IA s'engagent contractuellement à ne pas entraîner leurs modèles fondamentaux sur vos prompts (cf. section 6).
5. Bases légales (RGPD)
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Fourniture du Service, OAuth, publications | Exécution du contrat |
| Analytics et insights configurés | Exécution du contrat |
| Sécurité, prévention de la fraude | Intérêt légitime |
| Analytics produit agrégés | Intérêt légitime (opt-out possible) |
| Emails marketing | Consentement (opt-in) |
| Facturation, comptabilité | Obligation légale |
| Cookies non essentiels | Consentement |
6. Destinataires & sous-traitants
Nous partageons les données uniquement avec des prestataires agissant en qualité de sous-traitants, encadrés par un accord de traitement (DPA). Sous-traitants actuels :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Railway | Hébergement applicatif (backend & frontend) | États-Unis (CCT) |
| Cloudflare Inc. | CDN & stockage objet R2 (médias) | Réseau global / UE |
| Resend Inc. | Email transactionnel | États-Unis (CCT) |
| OpenAI LLC | Fonctionnalités IA générative (mode zéro rétention activé) | États-Unis (CCT) |
| Meta Platforms Ireland Ltd | Réception des publications que vous envoyez explicitement vers Instagram / Facebook | Irlande |
| Google Ireland Ltd | Email interne (Workspace) | Irlande |
Toute mise à jour est publiée ici et notifiée par email aux clients existants au moins 30 jours avant l'intégration d'un nouveau sous-traitant qui modifierait substantiellement les flux. Nous ne vendons pas de données personnelles.
7. Transferts internationaux
Lorsque des données sont transférées hors de l'Espace économique européen, nous nous appuyons sur les Clauses contractuelles types (CCT) de la Commission européenne et sur des mesures complémentaires (chiffrement au repos et en transit, contrôle d'accès).
8. Durées de conservation
| Donnée | Durée |
|---|---|
| Compte & profil | Jusqu'à suppression du compte + 30 jours de grâce |
| Jetons OAuth (Meta, etc.) | Jusqu'à déconnexion ou suppression du compte Sofia |
| Métadonnées de contenu publié | Jusqu'à suppression, ou 90 jours après suppression du compte |
| Brouillons & contenu programmé | Jusqu'à publication ou suppression |
| Insights agrégés | Jusqu'à 24 mois |
| Pièces comptables | 10 ans (loi française) |
| Logs et événements de sécurité | 13 mois maximum |
| Échanges support | 3 ans |
9. Vos droits
Au titre du RGPD, vous disposez des droits suivants :
- Accès aux données vous concernant ;
- Rectification des données inexactes ;
- Effacement (« droit à l'oubli ») ;
- Limitation du traitement ;
- Portabilité — recevoir vos données dans un format lisible par machine ;
- Opposition aux traitements fondés sur l'intérêt légitime ;
- Retrait du consentement à tout moment, sans remettre en cause la licéité des traitements antérieurs ;
- Réclamation auprès d'une autorité de contrôle (en France : la CNIL — cnil.fr).
Exercer vos droits
- La plupart des actions (déconnecter Meta, exporter, supprimer) sont en libre-service dans Sofia → Réglages → Confidentialité.
- Pour toute autre demande, écrivez à [email protected] depuis l'email de votre compte. Réponse sous 30 jours.
- Pour supprimer votre compte, suivez les instructions de suppression.
10. Droits spécifiques Meta / Instagram
Si vous révoquez les autorisations Sofia directement depuis Facebook (Paramètres → Intégrations métier → Sofia → Supprimer), Sofia :
- Reçoit un callback Deauthorize de Meta ;
- Invalide et supprime les jetons OAuth correspondants ;
- Annule toute publication programmée ciblant ce compte ;
- Sous 30 jours, supprime les données mises en cache (profil, insights) liées à cette connexion.
Vous pouvez réaliser la même action depuis Sofia → Réglages → Comptes connectés → Déconnecter Instagram.
11. Sécurité
- TLS 1.2+ pour tout le trafic en transit.
- Chiffrement au repos pour les bases de données, le stockage objet et les jetons OAuth.
- Mots de passe hashés en Argon2id ; JWT à durée de vie courte avec rotation des refresh tokens.
- Principe du moindre privilège pour les accès employés ; scans de vulnérabilités réguliers.
- Procédure de réponse à incident avec notification sous 72 h lorsque requis.
12. Mineurs
Sofia est un produit B2B. Le Service n'est pas destiné aux mineurs de moins de 16 ans. Nous ne collectons pas sciemment de données concernant des mineurs. Si vous pensez qu'un mineur a fourni des données, contactez [email protected] et nous procéderons à la suppression.
13. Décisions automatisées
Sofia utilise l'IA pour générer du texte et des suggestions. Toutes les suggestions sont relues par vous avant publication ; Sofia ne prend pas de décisions automatisées produisant des effets juridiques ou significatifs vous concernant.
15. Modifications
Nous pouvons mettre à jour cette politique. Les changements substantiels sont notifiés par email aux utilisateurs actifs et par bandeau in-app. La date de « Dernière mise à jour » en tête de page reflète la version en vigueur.
16. Contact
Sofia — [email protected] — coordonnées complètes dans les Mentions légales.