Politique de confidentialité

Magical (« le Service ») est édité et exploité par Paul-Armand Assus, dirigeant de Poilon Software, contactable à l'adresse poilonsoftware@gmail.com. Le service est accessible sur https://getmagical.app.

Lorsque vous utilisez Magical, nous collectons :

• Informations de compte Google : nom, adresse email, photo de profil, identifiant Google. Récupérés uniquement après votre accord via OAuth.
• Données Google Agenda : événements existants (lecture seule) et événements créés par Magical à votre demande. Accédés via les scopes calendar.readonly et calendar.events.
• Réservations : nom, email, téléphone (optionnel) et notes fournis par vos invités sur votre page de réservation publique.
• Données de paiement : pour les abonnements Team, le traitement est délégué à Stripe — nous ne stockons jamais votre numéro de carte.
• Données techniques : logs serveur (adresse IP, user-agent) conservés temporairement par notre infrastructure (Vercel) pour la sécurité et le debug.

Magical respecte la Google API Services User Data Policy, y compris les Limited Use requirements.

Concrètement :

• Les données de votre agenda ne servent qu'à calculer vos disponibilités et à créer les événements de réservation que vous validez.
• Nous ne transférons, ne vendons, ni ne louons vos données Google à des tiers.
• Nous n'utilisons pas vos données Google pour afficher de la publicité ni pour entraîner des modèles de machine learning.
• Aucun employé humain ne lit vos événements d'agenda, sauf accord explicite pour résoudre un bug que vous nous signalez.

• Compte et réservations : tant que votre compte existe.
• Jeton Google (refresh token) : stocké chiffré et supprimé si vous déconnectez votre compte Google.
• Événements Google lus en temps réel : non stockés côté Magical. Seule l'ID de l'événement créé est gardée, pour pouvoir l'annuler depuis Magical.
• Logs techniques : 30 jours.

Magical ne vend, ne loue, ni ne partage vos données Google Workspace à des fins publicitaires ou commerciales. Pour faire fonctionner le service, certaines données transitent par des sous-traitants techniques strictement nécessaires, tous couverts par un contrat de traitement des données (DPA) conforme au RGPD :

• Google (Alphabet Inc., USA)— fournisseur d'origine de vos données Google Workspace. Magical lit et écrit dans votre Google Agenda via les APIs Google ; aucune donnée nouvelle n'est transmise à Google que celles qu'il détient déjà. Couvert par le Data Processing Addendum de Google Cloud et les clauses contractuelles types UE.
• Vercel Inc. (USA, région d'exécution Europe)— hébergement de l'application. Données concernées : votre identité de session, l'URL des requêtes, l'adresse IP et le user-agent dans les logs serveur (30 jours maximum). Vercel ne persiste aucun contenu d'agenda. DPA et SCC UE en vigueur.
• Neon (Databricks Inc., USA, région eu-west-2 — Londres)— base de données Postgres gérée. Stocke l'intégralité de votre profil Magical, vos types d'événements, vos réservations, votre jeton de rafraîchissement Google (chiffré au repos) et les ID des événements Google créés. Les données sont chiffrées au repos (AES-256) et en transit (TLS 1.2+). DPA et SCC UE en vigueur.
• Stripe (Stripe Payments Europe Ltd., Irlande)— facturation des abonnements Team uniquement. Données transmises : votre email, votre nom, et un identifiant Magical interne. Aucune donnée Google Workspace n'est jamais transmise à Stripe. Stripe est certifié PCI-DSS niveau 1.

Aucune autre communication, divulgation ou transfert de vos données Google Workspace à un tiers n'a lieu, sauf obligation légale explicite (réquisition judiciaire par exemple) — auquel cas vous seriez informé dans la mesure où la loi le permet.

Magical applique des mesures techniques et organisationnelles pour protéger vos données — y compris vos données Google Workspace qui sont classifiées comme sensibles par Google :

• Chiffrement en transit— l'ensemble du trafic entre votre navigateur, Magical, Google et nos sous-traitants est chiffré en TLS 1.2 ou supérieur. Le certificat HTTPS est émis par Let's Encrypt et renouvelé automatiquement.
• Chiffrement au repos— la base de données Postgres (Neon) chiffre l'intégralité des volumes en AES-256. Les sauvegardes héritent du même chiffrement.
• Isolation des jetons OAuth— votre jeton de rafraîchissement Google est stocké uniquement côté serveur, dans une base de données chiffrée au repos (AES-256, Neon). Il ne transite jamais dans vos cookies ni vers votre navigateur, et n'est utilisé que pour rafraîchir votre jeton d'accès Google depuis nos serveurs.
• Scopes Google minimaux — Magical ne demande que les permissions strictement nécessaires (calendar.readonly et calendar.events) conformément au principe Limited Use de Google. Aucun accès à Gmail, Drive, Contacts ou autres services.
• Moindre privilège— l'accès à la base de données de production est limité aux serveurs applicatifs, via des identifiants générés par Neon. Aucun employé de Poilon Software n'a d'accès en lecture aux contenus d'agenda des utilisateurs.
• Mises à jour de sécurité — les dépendances du projet sont surveillées (Dependabot, npm audit) et les correctifs critiques sont appliqués sous 7 jours.
• Notification d'incident— en cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Magical vous notifiera sous 72 heures conformément à l'article 33 du RGPD, et tiendra informée la CNIL.

Conformément au RGPD, vous pouvez à tout moment :

• Accéder à vos données via votre tableau de bord.
• Rectifier vos informations dans les réglages.
• Supprimer votre compte en nous écrivant à poilonsoftware@gmail.com — toutes vos données sont effacées sous 30 jours.
• Révoquer l'accès Google à tout moment depuis https://myaccount.google.com/permissions.

Magical utilise uniquement des cookies strictement nécessaires au fonctionnement : session d'authentification (NextAuth) et jeton CSRF. Aucun cookie de tracking publicitaire.

Pour toute question concernant cette politique ou l'exercice de vos droits, écrivez à poilonsoftware@gmail.com.