Politique de confidentialité

1. Qui nous sommes

Onde est exploité par THE BROWZ, société immatriculée en France (SIREN 982 460 958), dont le siège social est situé au 58 rue de Monceau, CS 48756, 75380 Paris Cedex 08. Pour toute question ou demande relative à la confidentialité, contactez-nous à [email protected].

2. Données que nous collectons

2.1 Données de compte (connexion Google)

Lorsque vous vous connectez avec Google, nous recevons et stockons les éléments suivants de votre profil Google :

• Votre adresse email
• Votre nom
• L'URL de votre photo de profil
• Un identifiant de compte Google stable (sub)

Nous utilisons uniquement les scopes OAuth openid, email et profile. Nous ne demandons jamais, ne recevons jamais et n'accédons jamais à vos fichiers Drive, vos dossiers, ou toute autre donnée de service Google.

2.2 Données de review (créées dans l'extension)

Quand vous utilisez Onde dans Drive, nous stockons le contenu que vous créez :

• Les commentaires et réponses (texte, auteur, horodatage, identifiant du fichier Drive concerné)
• Les annotations (coordonnées des formes, couleur, timecode vidéo optionnel)
• Le statut d'approbation d'un fichier (qui, quand)
• Les pièces jointes ajoutées aux commentaires (nom de fichier, type MIME, taille, contenu stocké dans notre stockage objet)
• L'identifiant du fichier Drive et le fil d'ariane du dossier (identifiants de dossiers uniquement, lus dans le DOM de la page) nécessaires pour rattacher la review au bon fichier

Nous ne recevons, ne copions et ne stockons jamais le contenu du fichier Drive lui-même (image, vidéo, PDF, document) dans le cadre de l'usage normal de l'extension. Onde ne voit que l'identifiant du fichier et les métadonnées visibles dans la page Drive (nom du fichier, noms des dossiers). La seule exception est le partage par lien public décrit en section 2.7.

2.3 Intégration Slack (optionnelle)

Si un utilisateur connecte explicitement un espace de travail Slack à un dossier Drive via OAuth, nous stockons :

• Une URL de webhook entrant émise par Slack
• Le nom du canal et le nom de l'espace de travail renvoyés par le callback OAuth (affichage uniquement)
• L'identifiant de l'utilisateur qui a créé la connexion

Cela nous permet d'envoyer une notification dans ce canal quand un commentaire ou une approbation a lieu dans ce dossier. La déconnexion depuis le popup supprime le webhook de notre base de données.

2.4 Destinataires email par dossier (optionnel)

Si un utilisateur ajoute explicitement des adresses email à un dossier Drive dans Onde pour recevoir les notifications « Review terminée », nous stockons :

• La ou les adresses email saisies par l'utilisateur
• L'identifiant du dossier Drive concerné
• L'identifiant de l'utilisateur qui a ajouté chaque adresse
• Un horodatage

Ces adresses peuvent appartenir à des personnes qui ne sont pas utilisatrices d'Onde : nous ne pouvons pas vérifier leur appartenance au moment de la saisie. Elles servent uniquement à envoyer l'email récapitulatif « Review terminée ». L'utilisateur qui a ajouté une adresse peut la retirer à tout moment depuis les préférences de notification d'Onde ; la ligne est alors supprimée.

2.5 Métadonnées de collaborateurs Drive (notifications « Pour moi »)

Si vous activez les notifications email « Pour moi » dans Onde, nous devons savoir quels dossiers Drive vous concernent pour vous envoyer des digests personnalisés des nouveaux commentaires et approbations.

Pour faire cela sans utiliser l'API Google Drive (qui exigerait des permissions sensibles et un audit CASA Tier 2), Onde lit la liste des collaborateurs que Google Drive affiche déjà lui-même dans le DOM de la page quand vous visitez un dossier. Cette liste est la même que celle que Google vous montre dans le panneau de partage : Onde ne voit rien que vous ne pourriez pas voir vous-même.

De cette liste, nous ne conservons que les lignes qui correspondent à un compte Onde existant, identifié par l'adresse email. Concrètement :

• Le script de contenu extrait (email, nom optionnel, identifiant Google optionnel, rôle optionnel) du bloc DOM injecté par Google sur la page.
• La liste est envoyée à notre backend, qui effectue une jointure avec les comptes Onde existants et écarte toute ligne sans compte Onde correspondant. Les emails écartés ne sont jamais journalisés ni écrits sur disque.
• Seul l'identifiant interne Onde (un UUID, jamais une adresse email) est stocké, aux côtés de l'identifiant du dossier Drive, de la source du signal et d'un horodatage.
• Un utilisateur est aussi enregistré automatiquement comme collaborateur d'un dossier lorsqu'il (a) ouvre le panneau de commentaires Onde sur un fichier de ce dossier, ou (b) poste un commentaire ou une approbation dans ce dossier.

Autrement dit, aucun email d'un non-utilisateur d'Onde n'est jamais conservé dans le cadre de la fonctionnalité « Pour moi ». Vous pouvez cesser de suivre un dossier à tout moment depuis les préférences de notification, ou désactiver complètement ce canal.

2.6 Préférences de notification (par utilisateur)

Quand vous modifiez vos réglages « Pour moi », nous stockons une ligne par utilisateur contenant votre identifiant Onde, un indicateur « notifier commentaires », un indicateur « notifier approbations » et un horodatage. Si vous excluez un dossier de votre périmètre « Pour moi », nous stockons aussi une ligne par couple (utilisateur, dossier) avec un horodatage.

2.7 Liens publics et reviewers externes

Onde vous permet de générer un lien public pour partager un fichier ou un dossier Drive avec des reviewers externes qui n'ont pas l'extension ni accès à votre Drive. Cette fonctionnalité, que vous déclenchez explicitement, implique deux traitements spécifiques :

a) Copie temporaire des fichiers partagés. Pour pouvoir afficher vos fichiers à des reviewers qui n'ont pas accès au Drive, l'extension télécharge les fichiers que vous choisissez de partager et en dépose une copie dans notre stockage objet Cloudflare R2 (Union européenne), sous un préfixe dédié au lien. C'est la seule situation où Onde copie le contenu de vos fichiers. Ces copies sont automatiquement purgées à l'expiration du lien (durée de vie limitée, par défaut 30 jours) ou dès que vous révoquez le lien. Après révocation ou expiration, le lien renvoie une erreur et les copies ne sont plus accessibles.

b) Identité des reviewers externes (invités). Quand un reviewer ouvre un lien public, il s'identifie soit via une connexion Google optionnelle (scopes openid, email, profile uniquement, aucun scope Drive), soit en tant qu'invité en saisissant son prénom, son nom et son email. Nous stockons alors, par lien et par reviewer :

• L'adresse email fournie
• Le nom d'affichage et la photo (issus de la connexion Google, ou saisis manuellement)
• L'identifiant Google (sub) uniquement si le reviewer choisit la connexion Google
• Les horodatages de première et dernière visite

Les commentaires, annotations et approbations posés par un reviewer externe sont stockés comme les autres données de review, rattachés au fichier Drive d'origine. Ils restent donc visibles dans Drive via l'extension, même après l'expiration du lien.

2.8 Données que nous ne collectons PAS

• L'historique de navigation en dehors de drive.google.com et des pages de lien public Onde
• Le contenu de vos fichiers Drive (sauf copie temporaire lors d'un partage par lien public que vous déclenchez, voir 2.7)
• Toute donnée d'analyse, pixel de tracking ou identifiant publicitaire
• Les frappes clavier, mouvements de souris ou enregistrements d'écran
• Les données personnelles d'utilisateurs non connectés

3. Où vos données sont stockées

• Base de données : Postgres hébergé chez Neon, région Francfort (UE).
• Pièces jointes et copies temporaires des fichiers de liens publics : stockage objet Cloudflare R2, juridiction UE. Les copies de liens publics sont purgées à l'expiration ou à la révocation.
• Serveur applicatif : Railway, région Europe (Europe-West).

Toutes les données transitent uniquement via HTTPS. Le backend est le seul système qui détient vos données.

4. Avec qui nous partageons les données

Nous faisons appel aux sous-traitants suivants strictement pour faire fonctionner le service. Aucun n'est utilisé à des fins de publicité, de profilage ou de revente.

Nous ne vendons, ne louons et n'échangeons jamais vos données, à personne.

5. Divulgation Limited Use (Chrome Web Store)

L'utilisation par Onde des informations reçues des API Google respecte la Google API Services User Data Policy, y compris ses exigences de Limited Use. Concrètement :

• Nous utilisons les données de compte Google (email, nom, photo) uniquement pour identifier l'utilisateur connecté dans Onde.
• Nous n'utilisons pas les données Google à des fins de publicité ni pour un usage sans rapport avec l'expérience de review Onde.
• Nous ne transférons pas les données Google à des tiers, sauf aux sous-traitants listés en section 4, et uniquement pour faire fonctionner le service.
• Nous n'autorisons aucun humain à lire les données Google, sauf (a) avec votre consentement explicite, (b) pour des raisons de sécurité (par exemple l'investigation d'un abus), (c) pour respecter la loi applicable, ou (d) lorsque les données sont agrégées et utilisées pour des opérations internes conformément à la politique.

6. Conservation et suppression

• Les données de compte et de review sont conservées tant que votre compte existe.
• Vous pouvez demander la suppression complète de votre compte et de toutes les données associées en écrivant à [email protected] depuis l'adresse email liée à votre compte Google. La suppression est traitée sous 30 jours. À la suppression du compte, toutes les lignes liées (commentaires, approbations, pièces jointes, webhooks Slack créés, destinataires email ajoutés, préférences « Pour moi », liens publics et identités d'invités) sont supprimées en cascade.
• La déconnexion de l'intégration Slack supprime immédiatement l'URL du webhook de notre base.
• Le retrait d'un destinataire email ou l'exclusion d'un dossier de « Pour moi » supprime la ligne correspondante immédiatement.
• La révocation d'un lien public, ou son expiration, purge les copies de fichiers associées de notre stockage.
• La désinstallation de l'extension ne supprime pas automatiquement les données côté serveur : écrivez-nous comme indiqué ci-dessus.

7. Vos droits

Si vous résidez dans l'Espace économique européen, au Royaume-Uni, ou dans toute juridiction accordant des droits équivalents, vous pouvez :

• Demander une copie des données que nous détenons sur vous
• Demander la rectification de données inexactes
• Demander la suppression (droit à l'oubli)
• Demander la portabilité de vos données dans un format lisible par machine
• Vous opposer au traitement ou en demander la limitation
• Retirer votre consentement à tout moment

Pour exercer l'un de ces droits, contactez [email protected]. Nous répondons sous 30 jours.

8. Sécurité

• Tout le trafic est exclusivement en HTTPS.
• Les jetons de session (JWT) sont signés avec un secret HMAC 256 bits, stockés uniquement côté client dans chrome.storage.local.
• Aucun mot de passe n'est stocké : l'authentification est déléguée à Google.
• Les URL de webhook Slack sont stockées chiffrées au repos et ne sont jamais exposées au client.
• Aucun identifiant de production n'est versionné dans le code source.

Si vous découvrez un problème de sécurité, signalez-le à [email protected]. Nous accusons réception sous 72 heures.

9. Enfants

Onde est un outil B2B qui ne s'adresse pas aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles d'enfants. Si vous pensez qu'un enfant nous a fourni des données, contactez-nous et nous les supprimerons.

10. Modifications de cette politique

Nous publierons toute mise à jour sur cette page et actualiserons la date « Dernière mise à jour » en haut. Pour les changements substantiels, les utilisateurs connectés verront un avis dans le popup de l'extension au moins 7 jours avant l'entrée en vigueur du changement.