Politique de Confidentialité

La protection des données à caractère personnel est une priorité pour LiveChat AI. La présente Politique de Confidentialité (ci-après la « Politique ») décrit de manière transparente comment nous collectons, utilisons, conservons et protégeons les données personnelles des utilisateurs de notre Service, en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et la loi française n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).

Cette Politique forme un tout indissociable avec nos Conditions Générales d'Utilisation.

Le responsable de traitement des données personnelles collectées via le Service est :

Pour toute question relative au traitement de vos données personnelles, vous pouvez contacter notre DPO à l'adresse indiquée ci-dessus.

Nous collectons et traitons différentes catégories de données personnelles, en fonction de votre utilisation du Service.

3.1 Données de compte

• Nom et prénom
• Adresse email
• Mot de passe (stocké de manière chiffrée et irréversible via bcrypt, jamais en clair)
• Date de création et date de dernière connexion
• Préférences (thème clair/sombre, IA activée/désactivée)

3.2 Données de connexion TikTok

• Identifiant TikTok (open_id)
• Identifiant boutique TikTok Shop (shop_id)
• Jetons OAuth d'accès et de rafraîchissement (access_token, refresh_token), stockés de manière chiffrée en base et utilisés exclusivement pour interagir avec les API TikTok
• Date d'expiration des jetons

3.3 Données catalogue

• Produits TikTok Shop synchronisés (nom, description, prix, stock, variantes, URL d'image)
• Date de dernière synchronisation

3.4 Données de lives et chat

• Identifiant de la salle live TikTok (room_id)
• Titre du live, statut (en direct/terminé), horodatages de début et de fin
• Messages reçus dans le chat (texte, pseudonyme du spectateur)
• Réponses générées par l'IA, indicateur question/non-question, horodatage de réponse

3.5 Données de ventes (Plan Business)

• Identifiant TikTok Shop de la commande
• Montant, devise, statut, date de la commande
• Stream associé (le cas échéant)
• Taux de commission applicable, montant de commission calculé

3.6 Données de paiement

Aucune donnée bancaire (numéro de carte, CVV, date d'expiration) n'est stockée par LiveChat AI. Ces données sont collectées et traitées exclusivement par notre prestataire de paiement Stripe Inc., qui est certifié PCI-DSS niveau 1. Nous conservons uniquement les identifiants techniques nécessaires (Stripe customer ID, subscription ID, price ID, fin de période).

3.7 Données techniques et logs

• Adresse IP de connexion (utilisée pour le rate limiting et la sécurité)
• User-agent du navigateur
• Logs d'audit (création de compte, connexion TikTok, synchronisation, modifications du profil, facturation de commissions)
• Logs de jobs BullMQ (synchronisation ventes, facturation, maintenance)

Chaque traitement repose sur une base légale au sens de l'article 6 du RGPD, conformément au tableau ci-dessous :

Lorsque le Client diffuse un live TikTok, les messages publiés dans le chat par les Spectateurs (utilisateurs tiers de TikTok) sont traités par notre Service afin de générer une réponse automatique.

Dans ce cadre, LiveChat AI agit en qualité de sous-traitantau sens de l'article 28 du RGPD, le Client étant le responsable de traitement. L'ensemble des relations entre le Client et LiveChat AI à ce titre est régi par les Conditions Générales d'Utilisation, lesquelles tiennent lieu d'accord de sous-traitance (DPA — Data Processing Agreement).

Les données traitées concernent : pseudonyme TikTok du spectateur (username), contenu du message posté publiquement dans le chat, et horodatage. Aucun accès n'est requis aux informations personnelles privées du spectateur (adresse, email, téléphone, etc.).

En tant que responsable de traitement, le Client s'engage à informer ses spectateurs du traitement automatisé via une mention dans la description de son live ou par tout autre moyen approprié.

Vos données ne sont jamais vendues, louées, ni cédées à des tiers à des fins commerciales. Elles peuvent être communiquées aux destinataires suivants, strictement dans le cadre des finalités décrites :

• Personnel autorisé de LiveChat AI (équipe technique, support), tenu à une obligation de confidentialité.
• Sous-traitants techniques listés ci-dessous, dans le strict cadre de l'exécution du Service.
• Autorités administratives ou judiciaires habilitées, sur réquisition légale uniquement.

6.1 Liste des sous-traitants

Chaque sous-traitant est lié contractuellement à LiveChat AI par un accord conforme à l'article 28 du RGPD (clauses contractuelles type ou équivalent).

Certains de nos sous-traitants (notamment TikTok, Google et Stripe) sont susceptibles de traiter des données depuis des serveurs situés hors de l'Union européenne, en particulier aux États-Unis ou à Singapour.

Ces transferts sont encadrés par des garanties appropriées au sens des articles 44 et suivants du RGPD :

• Clauses contractuelles types (CCT) adoptées par la Commission européenne dans la décision d'exécution (UE) 2021/914 du 4 juin 2021.
• Pour les transferts vers les États-Unis : adhésion au cadre Data Privacy Framework UE-États-Unis lorsque le sous-traitant y est certifié.
• Mesures techniques complémentaires (chiffrement en transit et au repos).

Le détail des garanties applicables peut être obtenu sur simple demande à dpo@livechat-ai.com.

Les données sont conservées pendant une durée limitée, fonction de la finalité poursuivie :

Au-delà de ces durées, les données sont soit anonymisées de façon irréversible (statistiques agrégées), soit supprimées.

LiveChat AI met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité de vos données personnelles, conformément à l'article 32 du RGPD.

Mesures principales :

• Chiffrement TLS 1.2+ pour toutes les communications.
• Hachage irréversible des mots de passe via bcrypt (12 rounds).
• Authentification par tokens JWT signés (NextAuth.js), session de 7 jours.
• Rate limiting Redis sur les endpoints sensibles (inscription, paiement, webhooks).
• Validation stricte des entrées (Zod) sur tous les endpoints publics.
• Vérification timing-safe des secrets de webhook.
• Idempotency check des événements Stripe (prévention des rejeux).
• Limitations strictes des charges utiles (32 KB sur les webhooks chat).
• Sanitization et JSON-encoding du contenu utilisateur soumis à l'IA pour prévenir les injections de prompt.
• Journalisation d'audit horodatée des actions sensibles.
• Sauvegardes régulières et chiffrées de la base de données.
• Accès au système restreint au personnel autorisé via authentification forte.
• Mise à jour régulière des dépendances et veille sécurité (revues d'audit mensuelles).

Le Service utilise un nombre minimal de cookies, strictement nécessaires à son fonctionnement et exemptés de consentement préalable conformément à la directive ePrivacy et aux recommandations de la CNIL :

• Cookie de session NextAuth (next-auth.session-token) : authentifie l'utilisateur connecté. Durée : 7 jours.
• Cookie de préférence thème (theme) : mémorise le choix clair/sombre du Client. Durée : 1 an.

Aucun cookie publicitaire, traceur tiers ou outil d'analyse comportementale (Google Analytics, Meta Pixel, etc.) n'est déployé sur le Service à ce jour. Si cela devait évoluer, un bandeau de consentement conforme aux exigences CNIL serait mis en place.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie.
• Droit de rectification : corriger des données inexactes ou compléter des données incomplètes.
• Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation.
• Droit à la limitation du traitement : suspendre temporairement le traitement de vos données.
• Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, ou les transmettre à un autre responsable de traitement.
• Droit d'opposition : vous opposer au traitement de vos données pour des motifs tenant à votre situation particulière, notamment lorsqu'il repose sur l'intérêt légitime.
• Droit de retirer votre consentement à tout moment lorsque le traitement repose sur celui-ci, sans remettre en cause la licéité des traitements effectués avant le retrait.
• Droit de définir des directives relatives au sort de vos données après votre décès.
• Droit de ne pas faire l'objet d'une décision individuelle automatisée, sans intervention humaine, produisant des effets juridiques significatifs.

Vous pouvez exercer ces droits à tout moment en envoyant un email à dpo@livechat-ai.comen justifiant de votre identité (copie d'une pièce d'identité pourra être demandée en cas de doute raisonnable). Une réponse vous sera apportée dans un délai d'un mois, prolongeable de deux mois en cas de complexité.

Le Service est destiné à un usage strictement professionnel et n'est pas conçu pour des personnes mineures. Aucune inscription d'utilisateur de moins de seize (16) ans n'est autorisée. Si nous apprenons qu'un mineur s'est inscrit, nous procéderons sans délai à la suppression de son compte et de ses données.

En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, LiveChat AI s'engage à :

• Notifier la violation à la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD.
• Informer sans délai les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD).
• Documenter toute violation, ses effets et les mesures correctives prises.

La présente Politique peut être mise à jour pour refléter des évolutions légales, techniques ou fonctionnelles. La date de la dernière mise à jour est indiquée en tête du document.

Toute modification substantielle (changement de finalité, ajout d'un sous-traitant majeur, nouvelle catégorie de données) sera notifiée aux utilisateurs par email au moins trente (30) jours avant son entrée en vigueur. Les versions antérieures peuvent être obtenues sur demande.

Pour toute question, demande d'exercice de droits ou réclamation relative au traitement de vos données personnelles, contactez :

Si, après nous avoir contactés, vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente, en France :