Politique de confidentialité

La présente politique de confidentialité s'applique à la plateforme KMT Pilot(kmt-pilot-seo.vercel.app), éditée par KMT Development, basée à Lyon, France.

KMT Pilot est une plateforme SaaS B2B utilisée par notre équipe et par nos clients professionnels (TPE / PME) pour piloter leur activité : génération de contenu SEO, gestion de leur fiche Google Business, prospection commerciale, suivi des appels d'offres publics, publication sur LinkedIn, gestion des avis clients, statistiques de fréquentation, et automatisations diverses.

Chaque client professionnel reste responsable des données qu'il connecte à la plateforme (comptes Google, LinkedIn, sites web). KMT Development agit en tant que sous-traitant au sens du RGPD lorsque la donnée traitée appartient à un client, et en tant que responsable de traitement pour les données strictement liées au fonctionnement de la plateforme.

Données de compte : email, nom, mot de passe haché, organisation rattachée, rôle.

Données business :coordonnées de l'entreprise cliente, site web, SIRET, identifiants techniques de ses intégrations (Property ID Google Analytics, URN LinkedIn, etc.).

Données issues des API tierces autorisées :statistiques Google Analytics, données Google Search Console, contenu de fiche Google Business, posts LinkedIn programmés ou publiés, métriques d'engagement, contenu généré par IA.

Données techniques : logs serveur (adresses IP anonymisées, horodatage), agent utilisateur, métriques de performance Vercel.

Nous ne collectons aucune donnée sensible au sens de l'article 9 du RGPD.

KMT Pilot utilise les API Google pour aider nos clients à gérer leur présence en ligne. Chaque connexion est explicite : le client autorise les scopes ci-dessous via le consentement OAuth 2.0 standard, et peut révoquer l'accès à tout moment depuis https://myaccount.google.com/permissions.

• Google Analytics Data API (GA4) — scope analytics.readonly : lecture des métriques de fréquentation du site du client (sessions, utilisateurs, pages vues, source de trafic) pour les afficher dans son tableau de bord.
• Google Search Console API — scope webmasters.readonly : lecture des requêtes de recherche, impressions et clics organiques pour les rapports SEO.
• Google Business Profile API — scopes business.manage : affichage et mise à jour de la fiche Google Business du client (informations, photos, posts, réponses aux avis), uniquement à sa demande explicite.
• Google Ads API — scope adwords : lecture des performances des campagnes Google Ads pour les agréger dans le tableau de bord.
• Gmail API — scopes restreints à l'envoi (gmail.send) et à la gestion des brouillons : envoi des emails de prospection rédigés par l'utilisateur via KMT Pilot, exclusivement au nom du compte connecté.
• Google Drive API — scopes drive.file: uniquement les fichiers explicitement importés par le client dans KMT Pilot. Aucun accès au contenu Drive général de l'utilisateur.
• Google Calendar API — scope calendar.events : création de rendez-vous client lorsque le portail de réservation est activé.

Conformité Google API Services User Data Policy. KMT Pilot respecte la Limited Use Policy de Google. Les données obtenues via les API Google ne sont jamais revendues, ne sont jamais utilisées pour de la publicité ciblée, ne sont jamais utilisées pour entraîner des modèles IA, et ne sont accessibles à des personnes humaines que dans le cadre du support technique demandé par le client lui-même ou pour des obligations légales.

KMT Pilot intègre l'API LinkedIn pour permettre à nos clients de publier des posts depuis leur profil personnel ou leur page entreprise sans avoir à se reconnecter manuellement à LinkedIn. Le client autorise les scopes ci-dessous via le consentement OAuth 2.0 standard de LinkedIn.

• openid, profile, email: identification de l'utilisateur (Sign In with LinkedIn using OpenID Connect). Ces données nous permettent uniquement de savoir quel compte LinkedIn est lié à quelle organisation KMT Pilot.
• w_member_social: publication d'un post au nom du profil personnel connecté. KMT Pilot ne publie jamais sans une action explicite du client (clic sur Publier, ou Programmer à une date choisie par le client).
• r_organization_admin: lister les Pages Entreprise (Company Pages) dont l'utilisateur est administrateur, afin qu'il puisse choisir sur quelle page publier.
• w_organization_social: publication d'un post sur une Page Entreprise dont l'utilisateur est administrateur, uniquement à sa demande explicite.

Données stockées :jeton d'accès (chiffré au repos), URN LinkedIn, nom affiché, photo de profil, date d'expiration du jeton, jeton de rafraîchissement. Aucune connexion sortante ni lecture du fil n'est effectuée à l'insu du client. Les jetons d'accès sont automatiquement supprimés à la déconnexion volontaire ou à la résiliation du contrat.

Révocation : le client peut révoquer notre accès à tout moment depuis www.linkedin.com/psettings/permitted-services ou via le bouton « Déconnecter » présent dans son tableau de bord KMT Pilot.

KMT Pilot propose une assistance par intelligence artificielle pour générer des brouillons de contenu (articles SEO, posts LinkedIn, mails de prospection, descriptions Google Business). Cette fonctionnalité est alimentée par l'API OpenAI (modèles GPT-4o-mini ou équivalent).

Données envoyées à OpenAI :le sujet saisi par le client, le ton et le format souhaités, et un extrait du contexte business de son organisation (nom, site web, courte description publique). Aucune donnée personnelle de tiers, aucun identifiant Google ou LinkedIn, aucun jeton d'accès n'est jamais transmis à OpenAI.

Conformément aux conditions d'OpenAI sur les API entreprises, les données envoyées via l'API ne sont pas utilisées pour entraîner les modèleset sont supprimées après 30 jours côté OpenAI (conservation pour détection d'abus).

Les données utilisateur sont stockées chez Supabase (PostgreSQL managé, région eu-west-1, Irlande). Les communications entre KMT Pilot et Supabase sont chiffrées en TLS. Les tables sensibles (jetons OAuth, comptes utilisateurs) sont protégées par Row Level Security et accessibles uniquement via la clé service côté serveur.

L'application est hébergée chez Vercel Inc. (États-Unis). Les fichiers statiques et les fonctions serveur ne contiennent aucune donnée personnelle persistée.

Transferts hors UE : Vercel et OpenAI sont des sociétés américaines. Les transferts sont encadrés par les clauses contractuelles types de la Commission européenne (Standard Contractual Clauses) et par les certifications EU-US Data Privacy Framework lorsque disponibles.

• Exécution du contrat(art. 6.1.b RGPD) : compte utilisateur, données business de l'organisation cliente, intégrations API autorisées.
• Intérêt légitime (art. 6.1.f) : logs techniques pour la sécurité, prévention de la fraude, amélioration du service.
• Consentement(art. 6.1.a) : connexion d'une API tierce (Google, LinkedIn). Le consentement peut être retiré à tout moment via la révocation de l'accès côté plateforme tierce et côté KMT Pilot.

Les données du compte utilisateur sont conservées pendant toute la durée du contrat, puis archivées 12 mois après résiliation (obligations comptables et fiscales), puis supprimées.

Les jetons OAuth Google et LinkedIn sont supprimés immédiatement à la déconnexion volontaire du client ou à la résiliation du contrat. Les logs techniques sont conservés 12 mois.

Conformément au RGPD, vous disposez à tout moment des droits suivants sur vos données :

• Droit d'accès
• Droit de rectification
• Droit à l'effacement (droit à l'oubli)
• Droit à la limitation du traitement
• Droit à la portabilité
• Droit d'opposition
• Droit de retirer votre consentement à tout moment
• Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr)

Pour exercer ces droits, contactez contact@kmtdevelopment.comen précisant l'objet de votre demande. Une réponse vous sera apportée sous 30 jours maximum.

KMT Pilot n'utilise aucun cookie publicitaire ni traceur tiers. Seuls des cookies fonctionnels strictement nécessaires sont déposés : cookie de session (authentification), préférence de thème, état de l'impersonation administrateur. Ces cookies n'exigent pas de consentement préalable au sens de la directive ePrivacy.

Toutes les communications avec KMT Pilot sont chiffrées en HTTPS (TLS 1.3). Les mots de passe sont hachés (bcrypt). Les tables Supabase contenant des jetons OAuth ou des informations sensibles sont protégées par Row Level Security et ne sont accessibles que via les routes serveur authentifiées de l'application. Aucune équipe externe n'a accès en lecture aux données client. Notre infrastructure subit des audits de sécurité réguliers.

Pour toute question relative à cette politique ou à l'exercice de vos droits : contact@kmtdevelopment.com.
KMT Development, Lyon, France.