Politique de confidentialité
Dernière mise à jour le 26 avril 2026 · Version 2.0
La présente Politique de confidentialité de Native AS (« Native », « la Société », « nous », « notre » ou « nos ») décrit comment et pourquoi nous collectons, stockons, utilisons et partageons (« traitons ») vos données personnelles lorsque vous utilisez nos services (« Services ») - lorsque vous visitez https://native.no ou tout site web renvoyant à la présente Politique, utilisez la plateforme Native pour produire et publier du contenu sur les réseaux sociaux, ou interagissez avec nous d’autres manières, par exemple dans le cadre de ventes, de marketing ou d’événements. Native est une plateforme B2B qui aide les entreprises à automatiser leur contenu sur les réseaux sociaux grâce à l’intelligence artificielle. Nous avons des clients aux États-Unis, en Norvège, en Suède, au Danemark, en Nouvelle-Zélande et dans plusieurs autres pays, et la présente Politique est conçue pour respecter les lois sur la protection de la vie privée de toutes les juridictions où nous opérons - y compris le Règlement général sur la protection des données de l’UE (RGPD), les lois des États américains sur la protection de la vie privée et le New Zealand Privacy Act 2020. Si vous n’êtes pas d’accord avec nos politiques, veuillez ne pas utiliser les Services. Pour toute question, contactez-nous à hei@native.no ou via native.no/en/contact.
Résumé des points clés
- Introduction : Native attache une grande importance à votre vie privée et s’engage à protéger vos données personnelles par des pratiques transparentes.
- Données que nous collectons : nous collectons des données pour fournir et améliorer les Services, notamment les informations de compte, les données de paiement, le contenu que vous créez, les données d’utilisation et les informations issues des intégrations tierces que vous connectez.
- Comment nous utilisons vos données : nous utilisons vos données pour fournir, exploiter et améliorer les Services, traiter les paiements, communiquer avec vous, sécuriser la plateforme et respecter nos obligations légales.
- Utilisation de l’IA : nous utilisons l’IA générative pour produire du contenu pour le compte de nos clients. Nous n’entraînons pas de modèles d’IA sur vos données, et il est contractuellement interdit à nos fournisseurs d’IA d’utiliser nos entrées/sorties à des fins d’entraînement.
- Bases légales : nous traitons les données sur la base du contrat, de l’intérêt légitime, du consentement et des obligations légales (art. 6 du RGPD).
- Partage des données personnelles : nous partageons des données avec des prestataires de services (sous-traitants) dans le cadre d’accords de traitement des données, uniquement lorsque cela est nécessaire pour fournir les Services. Nous ne vendons pas de données personnelles.
- Cookies : nous utilisons des cookies sur la base du consentement pour les cookies non essentiels, conformément au droit applicable (y compris la directive ePrivacy dans l’UE et le CCPA en Californie).
- Connexions sociales : lorsque vous vous connectez avec Google ou d’autres services, nous recevons les données de profil de base que vous avez autorisées.
- Sécurité : nous mettons en œuvre des mesures techniques et organisationnelles conformes à l’art. 32 du RGPD et aux normes des lois des États américains, notamment le chiffrement, le contrôle d’accès et la MFA.
- Mineurs : Native ne collecte pas sciemment de données auprès de personnes de moins de 18 ans et respecte le Children's Online Privacy Protection Act (COPPA) pour les utilisateurs de moins de 13 ans.
- Vos droits : vous avez le droit d’accéder à vos données, de les rectifier, de les supprimer, de demander leur portabilité, de vous opposer au traitement et de retirer votre consentement. Les utilisateurs des États-Unis, de l’UE/EEE et de Nouvelle-Zélande disposent de droits supplémentaires spécifiques décrits ci-dessous.
- Do-Not-Track et GPC : nous ne répondons pas actuellement aux signaux DNT en l’absence de norme sectorielle, mais nous respectons les signaux Global Privacy Control (GPC) pour les résidents de Californie.
- Droits propres à chaque juridiction : nous couvrons expressément le RGPD (UE/EEE), le CCPA/CPRA (Californie), le VCDPA (Virginie), le CPA (Colorado), le CTDPA (Connecticut), l’UCPA (Utah), le TDPSA (Texas), l’OCPA (Oregon), le MCDPA (Montana), le TIPA (Tennessee) et d’autres, ainsi que le New Zealand Privacy Act 2020.
- Mises à jour : nous vous informons des modifications importantes par e-mail ou dans les Services au moins 30 jours avant leur entrée en vigueur.
- Contact : hei@native.no ou native.no/en/contact.
1. Responsable du traitement et rôles
Le responsable du traitement des données concernant les visiteurs de native.no, les titulaires de compte, les contacts clients et les prospects est : Native AS, n° d’enregistrement 930 324 787, Møllergata 6, 0155 Oslo, Norvège. E-mail : hei@native.no. Formulaire de contact : native.no/en/contact.
Sous-traitant : pour les données personnelles que nos clients téléversent ou publient via les Services (contenu, commentaires, informations sur les abonnés issues des réseaux sociaux connectés, etc.), le client est le responsable du traitement et Native agit en tant que sous-traitant dans le cadre de notre avenant relatif au traitement des données (DPA), disponible sur demande.
Cette distinction découle de l’art. 4, points 7 et 8, et de l’art. 28 du RGPD et se reflète dans les définitions de « service provider » / « processor » du CCPA/CPRA et d’autres lois des États américains.
2. Données que nous collectons
2.1 Données que vous fournissez volontairement
- Données de compte et de profil : nom, e-mail, numéro de téléphone, intitulé de poste, employeur et mot de passe (stocké sous forme de hachage).
- Données de facturation : nom de l’entreprise, adresse de facturation, numéro d’enregistrement et informations de paiement. Les données de carte sont traitées par Stripe - nous ne stockons pas les numéros de carte complets.
- Contenu utilisateur : tout contenu, retour, commentaire, message ou autre information que vous créez, modifiez ou publiez via les Services.
- Demandes d’assistance et autres communications avec nous.
2.2 Données collectées automatiquement
- Données d’utilisation : pages visitées, fonctionnalités utilisées, horodatages et habitudes d’utilisation.
- Données techniques : adresse IP, type d’appareil, type de navigateur, système d’exploitation, paramètres de langue et identifiants techniques.
- Données de localisation : localisation géographique approximative basée sur l’adresse IP. Nous ne collectons pas de localisation GPS précise.
- Journaux et données de sécurité : journaux d’événements utilisés pour l’exploitation, le dépannage et la sécurité.
2.3 Données provenant de sources tierces
- Réseaux sociaux et services connectés : lorsque vous vous connectez avec Google ou connectez Meta, LinkedIn, TikTok, X, Canva, Pexels ou d’autres tiers, nous recevons des informations de profil et des jetons conformément aux autorisations que vous accordez.
- Plateformes d’analyse : données agrégées de PostHog, Meta Ads et d’outils similaires qui nous aident à comprendre comment les Services sont utilisés.
- Fournisseurs de données tiers : nous pouvons recevoir des informations complémentaires (p. ex. des données B2B firmographiques) pour vérifier les informations sur les entreprises.
2.4 Cookies et technologies similaires
Nous utilisons des cookies et des technologies de suivi similaires pour améliorer l’expérience utilisateur, analyser l’engagement et activer des fonctionnalités supplémentaires. Vous pouvez gérer vos préférences via la bannière de cookies sur native.no ou via votre navigateur. Voir la section 7.
2.5 Données personnelles sensibles
Nous ne collectons pas sciemment de catégories particulières de données personnelles (art. 9 du RGPD / « sensitive personal information » au sens du CCPA), telles que l’origine ethnique, la religion, les informations de santé, les données biométriques, l’appartenance syndicale ou l’orientation sexuelle. Nous encourageons les clients à ne pas téléverser de tels contenus sans base légale valable.
2.6 Données concernant des mineurs
Native ne collecte pas sciemment de données auprès de personnes de moins de 18 ans. Voir la section 11.
3. Comment nous utilisons vos données
3.1 Pour fournir les Services et gérer les comptes
- Créer et gérer les comptes utilisateurs et les abonnements.
- Traiter les paiements et renouveler les abonnements.
- Fournir une assistance client et répondre aux demandes.
3.2 Pour exploiter et améliorer les Services
- Assurer un fonctionnement stable et optimiser les performances.
- Mettre en œuvre des mises à jour, des améliorations et de nouvelles fonctionnalités sur la base des retours et des données d’utilisation.
- Protéger la plateforme, les utilisateurs et les données contre les menaces et les accès non autorisés.
3.3 Pour produire du contenu avec l’IA
Comme décrit à la section 5, nous utilisons l’IA générative pour produire des textes et des images pour les réseaux sociaux de nos clients. Nous traitons vos données uniquement à cette fin et ne les partageons pas avec les jeux de données d’entraînement des fournisseurs d’IA.
3.4 Pour communiquer avec vous
- Envoyer des mises à jour et notifications importantes concernant les Services.
- Envoyer des communications marketing lorsque le droit applicable le permet (CAN-SPAM, art. 6, par. 1, points a)/f) du RGPD, TCPA pour les SMS, etc.).
- Solliciter des retours et des avis afin d’améliorer les Services.
3.5 Pour respecter les lois et règlements
- Respecter les obligations légales, y compris les exigences comptables (loi norvégienne sur la comptabilité, § 13 : conservation de 5 ans).
- Répondre aux demandes légitimes des autorités.
- Faire respecter nos conditions et politiques.
- Protéger les droits, les biens et la sécurité de Native, de nos utilisateurs et du public.
3.6 Pour analyser l’utilisation et développer les Services
- Analyser des données d’utilisation agrégées/pseudonymisées pour comprendre les tendances et le comportement des utilisateurs.
- Mener des activités de recherche et développement, y compris le test de nouvelles fonctionnalités.
3.7 Aucune décision automatisée produisant des effets juridiques
Nous n’utilisons pas l’IA ni d’autres outils pour prendre des décisions produisant des effets juridiques ou des effets similaires significatifs sur les personnes (art. 22 du RGPD). Nous ne pratiquons pas de profilage produisant des effets juridiques au sens des lois des États américains sur la protection de la vie privée.
4. Base légale du traitement
| Finalité | Base légale |
|---|---|
| Fournir, exploiter et améliorer les Services, y compris les fonctionnalités d’IA | Contrat, art. 6, par. 1, point b) du RGPD |
| Facturation, comptabilité et tenue des livres | Obligation légale, art. 6, par. 1, point c) du RGPD, loi norvégienne sur la comptabilité § 13 |
| Assistance client et communication opérationnelle | Contrat, art. 6, par. 1, point b) du RGPD |
| Sécurité, prévention des abus et stabilité opérationnelle | Intérêt légitime, art. 6, par. 1, point f) du RGPD |
| Développement produit et analyse de l’utilisation agrégée/pseudonymisée | Intérêt légitime, art. 6, par. 1, point f) du RGPD |
| Marketing auprès des clients B2B existants concernant des services similaires | Intérêt légitime, art. 6, par. 1, point f) du RGPD |
| Marketing auprès d’autres parties / newsletters | Consentement, art. 6, par. 1, point a) du RGPD ; conformité CAN-SPAM pour les États-Unis |
| Cookies et technologies similaires non strictement nécessaires | Consentement (RGPD/ePrivacy) ; opt-out lorsque les lois des États américains l’exigent |
| Respect des exigences légales et des injonctions des autorités | Obligation légale, art. 6, par. 1, point c) du RGPD |
Vous pouvez retirer votre consentement à tout moment sans que cela n’affecte la licéité du traitement effectué avant le retrait (art. 7, par. 3 du RGPD). Pour les utilisateurs américains, notre traitement est également justifié par votre achat, votre inscription ou votre utilisation des Services, ainsi que par nos intérêts commerciaux légitimes tels que définis par les lois applicables des États sur la protection de la vie privée.
5. Utilisation de l’intelligence artificielle (IA)
5.1 Aucun entraînement de modèles sur vos données
Native n’utilise pas les données clients, les données utilisateurs ou le contenu pour entraîner ou affiner des modèles d’IA. Nous avons convenu contractuellement avec nos fournisseurs d’IA (OpenAI, Anthropic, Google, xAI) que le contenu transmis via les Services ne sera pas utilisé à des fins d’entraînement.
5.2 Les fournisseurs d’IA en tant que sous-traitants
OpenAI, Anthropic, Google (Gemini) et xAI traitent le contenu de manière temporaire pour générer des réponses. Le traitement a lieu soit dans l’UE/EEE, soit aux États-Unis dans le cadre des clauses contractuelles types de l’UE (CCT 2021/914) et/ou du EU–US Data Privacy Framework. Voir la section 12.
5.3 Transparence concernant le contenu généré par l’IA
En vertu de l’art. 50 du règlement européen sur l’IA (règlement (UE) 2024/1689), le contenu généré ou manipulé artificiellement doit être identifiable comme tel. Le contenu généré par l’IA dans Native est identifiable dans notre interface.
Lorsque vous, en tant que client, publiez du contenu généré par l’IA sous votre propre contrôle éditorial sur vos canaux de réseaux sociaux, vous agissez en tant que « déployeur » et êtes responsable d’évaluer si une divulgation est requise - notamment si le contenu constitue un deep fake ou informe le public sur des questions d’intérêt public (art. 50, par. 2 et 4 du règlement sur l’IA).
5.4 Aucune décision automatisée
Nous n’utilisons pas l’IA pour prendre des décisions produisant des effets juridiques ou des effets similaires significatifs (art. 22 du RGPD ; dispositions relatives au profilage des lois des États américains).
5.5 Votre responsabilité concernant le contenu téléversé
En tant que client, vous déclarez et garantissez que vous disposez de tous les droits nécessaires (droit d’auteur, vie privée, droit à l’image, droits sur le nom et l’apparence) sur tout le matériel que vous téléversez ou que vous demandez à l’IA de traiter.
Vous ne pouvez pas utiliser les Services pour créer ou diffuser des imitations non autorisées de personnes identifiables, y compris des célébrités, des personnalités publiques ou tout particulier. Cela inclut les deep fakes interdits et l’utilisation abusive de l’image d’autrui au titre, entre autres, de :
- New York Civil Rights Law §§ 50–51
- California Civil Code § 3344
- Tennessee ELVIS Act 2024 (Ensuring Likeness, Voice, and Image Security Act)
- autres lois d’États applicables en matière de droit à l’image (right of publicity)
Les violations peuvent entraîner la suspension immédiate du compte. Signalez les violations à hei@native.no pour un examen et une suppression rapides. Voir également nos Terms of Service et notre Acceptable Use Policy.
5.6 Limites relatives à l’entraînement de l’IA
Si vos données - par consentement ou sur une autre base légale - ont été utilisées par un tiers pour entraîner des modèles d’IA, ces données ne peuvent pas toujours être extraites ou supprimées du modèle rétroactivement. Comme décrit au point 5.1, Native dispose de contrats qui empêchent un tel entraînement, de sorte que cela devrait rester un scénario hypothétique pour nos clients.
6. Partage des données personnelles
Nous ne vendons pas de données personnelles et ne les partageons pas à des fins de publicité comportementale intercontextuelle au sens du CCPA/CPRA et d’autres lois des États américains. Nous n’avons pas vendu ni partagé de données personnelles à des fins de publicité comportementale intercontextuelle au cours des 12 derniers mois.
Nous partageons des données personnelles avec les catégories de destinataires suivantes, toujours dans le cadre d’un accord de traitement des données (art. 28 du RGPD) lorsque cela s’applique :
6.1 Prestataires de services (sous-traitants ultérieurs / sous-traitants)
| Sous-traitant ultérieur | Finalité | Localisation | Mécanisme de transfert |
|---|---|---|---|
| Amazon Web Services (AWS) | Stockage cloud et exploitation | UE/EEE | - |
| Google Cloud (GCP) | Services cloud et infrastructure | UE/EEE | - |
| Stripe | Traitement des paiements | UE + États-Unis | DPF + CCT |
| OpenAI | Génération de texte et d’images par IA | UE/États-Unis | DPF + CCT |
| Anthropic | Génération de texte par IA | UE/États-Unis | DPF + CCT |
| Google Gemini / Vertex AI | Génération de texte et d’images par IA | UE/EEE | - |
| xAI | Génération de texte par IA | États-Unis | CCT |
| Ayrshare | Publication via les API des réseaux sociaux | États-Unis | DPF + CCT |
| Firecrawl | Web scraping pour le contexte IA | États-Unis | CCT |
| Canva | Importation de fichiers de design choisis par le client | UE/États-Unis | DPF + CCT |
| Google Drive / Google Calendar | Intégrations activées par le client | UE/États-Unis | DPF + CCT |
| Slack | Communication interne et dialogue client | UE/États-Unis | DPF + CCT |
| PostHog | Analyse produit | UE | - |
| Pexels | Bibliothèque d’images de stock | UE/États-Unis | - |
Une liste à jour des sous-traitants ultérieurs est disponible sur demande, et les modifications importantes sont notifiées aux clients conformément à notre DPA.
6.2 Autres destinataires
- Conseillers professionnels : auditeurs, comptables, avocats - soumis à la confidentialité.
- Autorités publiques : lorsque nous avons une obligation légale de divulgation.
- Transferts d’entreprise : en cas de fusion, d’acquisition ou de vente d’actifs, vos données peuvent être transférées à l’acquéreur. Nous vous informerons avant que le traitement ne soit transféré, et l’acquéreur devra respecter des pratiques conformes à la présente Politique.
- Sociétés affiliées : si Native devient membre d’un groupe de sociétés, les données peuvent être partagées en interne sous une protection équivalente.
- Données anonymisées/agrégées : peuvent être partagées sans restriction à des fins d’analyse, de recherche ou de marketing.
6.3 Catégories de données personnelles divulguées (CCPA/CPRA)
Pour les résidents de Californie, au cours des 12 derniers mois, nous avons divulgué les catégories suivantes de données personnelles à des fins commerciales aux catégories de destinataires énumérées ci-dessus :
- Identifiants (nom, e-mail, adresse IP, identifiant de compte)
- Dossiers clients (détails de facturation, coordonnées)
- Informations commerciales (historique d’abonnement, données de transaction)
- Activité Internet/électronique (journaux d’utilisation, informations sur l’appareil)
- Données de géolocalisation (approximatives, dérivées de l’IP)
- Informations professionnelles/d’emploi (intitulé de poste, employeur)
- Inférences (préférences, habitudes d’engagement avec le contenu)
Nous ne divulguons pas de données personnelles sensibles au-delà de ce qui est nécessaire pour fournir les Services tels que demandés par l’utilisateur.
6.4 Plateformes de réseaux sociaux et responsabilité conjointe
Lorsque vous connectez des comptes à Meta (Facebook/Instagram), LinkedIn, TikTok, X ou d’autres plateformes, ces services traitent vos données en tant que responsables du traitement indépendants selon leurs propres conditions. Pour certaines fonctions d’analyse (p. ex. Meta Page Insights), Native et la plateforme peuvent être responsables conjoints du traitement au sens de l’art. 26 du RGPD. Vous pouvez révoquer l’accès en déconnectant les intégrations dans l’application ou en retirant l’autorisation directement auprès de la plateforme.
7. Cookies et technologies de suivi
7.1 Types de cookies que nous utilisons
- Cookies strictement nécessaires : indispensables au fonctionnement des Services (connexion, sécurité, chargement des pages). Aucun consentement requis.
- Cookies fonctionnels : mémorisent les préférences telles que la langue et les paramètres.
- Cookies analytiques : mesurent la manière dont les Services sont utilisés (PostHog, Google Analytics).
- Cookies marketing : utilisés pour le reciblage et la publicité ciblée (Meta Pixel, LinkedIn Insight Tag).
7.2 Consentement et gestion
L’utilisation de cookies non essentiels requiert votre consentement dans les juridictions où cela est exigé (UE/EEE en vertu de la directive ePrivacy, UK PECR). Les résidents de Californie peuvent refuser la vente ou le partage de données personnelles via des cookies de publicité ciblée au moyen de la bannière de cookies ou en activant Global Privacy Control (GPC) dans leur navigateur.
Vous pouvez également bloquer les cookies dans les paramètres de votre navigateur, mais veuillez noter que cela peut affecter le fonctionnement.
7.3 Analyses par des tiers
Nous faisons appel à des services tiers (PostHog, Meta, Google) pour analyser l’utilisation et fournir des informations statistiques. Ceux-ci sont soumis à leurs propres politiques de confidentialité.
7.4 Informations détaillées sur les cookies
Une notice détaillée sur les cookies, indiquant le nom, la finalité, le fournisseur et la durée de chaque cookie, est disponible via la bannière de cookies sur native.no.
8. Connexions sociales et intégrations de plateformes
8.1 Utilisation des connexions sociales
Lorsque vous vous inscrivez ou vous connectez via Google ou un autre fournisseur tiers, vous nous donnez accès à votre adresse e-mail et à des informations de profil de base conformément à vos paramètres chez ce fournisseur.
8.2 Traitement des données
Les informations sont utilisées pour créer et gérer votre compte Native. Nous ne publions pas en votre nom sur des comptes de réseaux sociaux sans votre consentement explicite donné via le flux d’autorisation de la plateforme.
8.3 Sécurité et confidentialité
Nous maintenons des normes strictes de protection des données afin que vos informations soient traitées en toute sécurité et ne soient pas utilisées au-delà des finalités décrites dans la présente Politique.
8.4 Votre contrôle
Vous pouvez gérer vos paramètres de confidentialité directement auprès du service de réseau social, et vous pouvez déconnecter les intégrations à tout moment dans l’application Native.
9. Durée de conservation de vos données
| Catégorie | Durée de conservation |
|---|---|
| Données de compte et de profil | Pendant la durée du contrat + 90 jours après la résiliation |
| Contenu et bibliothèque multimédia | Pendant la durée du contrat ; suppression dans les 90 jours suivant la résiliation |
| Données de facturation et comptables | 5 ans après la fin de l’exercice comptable (loi norvégienne sur la comptabilité § 13) |
| Communications d’assistance | Jusqu’à 24 mois après le dernier contact |
| Journaux et données de sécurité | Jusqu’à 12 mois, puis suppression ou anonymisation |
| Données marketing (prospects) | Jusqu’à 24 mois après la dernière interaction, ou jusqu’au retrait du consentement |
| Jetons des services connectés (Google, Canva, etc.) | Suppression dans les 30 jours suivant la déconnexion ou la clôture du compte |
| Sauvegardes (cache) | Suppression automatique dans les 90 jours |
| Cookies | Voir la notice sur les cookies |
Nous réexaminons régulièrement nos pratiques de conservation afin de garantir la conformité aux exigences légales et aux besoins opérationnels. Vous pouvez demander la suppression de vos données à tout moment en contactant hei@native.no.
10. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées au titre de l’art. 32 du RGPD et des normes applicables des lois des États américains, notamment :
- Chiffrement en transit (TLS 1.2+) et au repos (AES-256).
- Contrôle d’accès selon le principe du moindre privilège avec accès basé sur les rôles.
- Authentification multifacteur (MFA) pour les employés ayant accès aux données de production.
- Journalisation et surveillance des accès et des événements.
- Gestion des vulnérabilités et examens de sécurité réguliers.
- Procédures de réponse aux incidents avec des responsabilités définies.
- Accords de traitement des données avec tous les sous-traitants ultérieurs.
- Formation des employés aux pratiques de confidentialité et de sécurité.
En cas de violation de données personnelles, nous notifierons : l’autorité norvégienne de protection des données dans les 72 heures lorsque cela est requis (art. 33 du RGPD) ; les personnes concernées dans les meilleurs délais en cas de risque élevé (art. 34 du RGPD) ; les procureurs généraux des États américains et les personnes concernées conformément aux lois applicables des États en matière de notification des violations (telles que le California Civil Code § 1798.82) ; et les autres autorités de contrôle lorsque le droit applicable l’exige.
Malgré nos mesures de protection, aucune technologie de transmission ou de stockage électronique ne peut être garantie sûre à 100 %. Nous vous encourageons à utiliser des mots de passe robustes et la MFA, et à garder vos identifiants de connexion confidentiels.
11. Mineurs
Les Services sont destinés aux entreprises et non aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données auprès de mineurs et ne ciblons pas ce public dans notre marketing.
Pour les utilisateurs américains, nous respectons le Children's Online Privacy Protection Act (COPPA) et ne collectons pas sciemment de données auprès d’enfants de moins de 13 ans. Nous respectons également les lois d’États applicables régissant les données des mineurs, y compris la loi californienne « Shine the Light » ainsi que les exigences du Connecticut, du Texas et d’autres États concernant le traitement des données des mineurs.
Si vous découvrez qu’un mineur nous a fourni des informations, contactez hei@native.no et nous les supprimerons rapidement.
12. Transferts internationaux de données
Les données personnelles sont principalement stockées au sein de l’UE/EEE (AWS Francfort et Google Cloud Europe). Certains sous-traitants ultérieurs traitent des données aux États-Unis ou dans d’autres pays tiers. Ces transferts ne sont effectués que sur l’une des bases suivantes :
- Décision d’adéquation - y compris le EU–US Data Privacy Framework pour les destinataires américains certifiés (art. 45 du RGPD).
- Clauses contractuelles types de l’UE (CCT 2021/914), complétées par des analyses d’impact des transferts et, si nécessaire, des mesures techniques (chiffrement, pseudonymisation), au titre de l’art. 46 du RGPD.
Pour les utilisateurs du Royaume-Uni, nous nous appuyons sur le UK International Data Transfer Agreement (IDTA) ou sur l’addendum britannique aux CCT de l’UE.
Pour les utilisateurs de Nouvelle-Zélande, les transferts sont conformes à l’Information Privacy Principle 12 (IPP 12) du Privacy Act 2020, qui exige que les destinataires soient soumis à des protections comparables ou que la personne concernée donne un consentement explicite et éclairé.
Vous pouvez demander une copie des garanties de transfert en contactant hei@native.no.
13. Vos droits en matière de protection des données
Vous avez le droit :
- d’accéder aux informations que nous détenons à votre sujet (art. 15 du RGPD ; droits équivalents en vertu des lois des États américains).
- de faire rectifier les informations inexactes (art. 16).
- de faire supprimer les informations lorsque les conditions sont remplies (art. 17).
- de faire limiter le traitement (art. 18).
- de recevoir vos données dans un format structuré et couramment utilisé - portabilité des données (art. 20).
- de vous opposer au traitement fondé sur l’intérêt légitime, y compris le marketing direct (art. 21).
- de retirer votre consentement à tout moment (art. 7, par. 3).
- d’introduire une réclamation auprès d’une autorité de protection des données (art. 77).
Pour exercer vos droits, envoyez une demande vérifiable à hei@native.no ou via native.no/en/contact. Vous pouvez recourir à un agent autorisé. Nous n’exerçons aucune discrimination à l’encontre des utilisateurs qui exercent leurs droits.
Nous répondons généralement dans un délai de 30 jours pour les demandes RGPD (art. 12, par. 3) et dans un délai de 45 jours pour les demandes fondées sur les lois des États américains, avec la possibilité d’une prolongation de 45 jours lorsque cela est raisonnablement nécessaire, moyennant notification.
14. Do-Not-Track et Global Privacy Control
14.1 Do-Not-Track (DNT)
La plupart des navigateurs proposent une fonction Do-Not-Track. Il n’existe pas de norme sectorielle uniforme sur la manière de traiter les signaux DNT, et nous ne répondons pas actuellement aux signaux DNT. Si une norme est adoptée, nous nous adapterons en conséquence et mettrons à jour la présente Politique.
14.2 Global Privacy Control (GPC)
Pour les résidents de Californie, nous traitons les signaux GPC comme une demande valable de refus de la vente/du partage de données personnelles au titre du CCPA/CPRA. Nous respectons également les signaux GPC pour les résidents du Colorado, du Connecticut et d’autres États qui reconnaissent ces mécanismes universels de refus. Native ne « vend » ni ne « partage » de données personnelles au sens du CCPA, de sorte que le signal GPC confirme notre pratique existante.
15. Droits propres à chaque juridiction
15.1 États-Unis - niveaux fédéral et étatique
Les États-Unis ne disposent pas de loi fédérale globale sur la protection de la vie privée. À la place, diverses lois d’États s’appliquent. Nous reconnaissons et respectons les droits des utilisateurs américains quel que soit leur État, et offrons par défaut les droits suivants à tous les utilisateurs américains :
- Droit de savoir / d’accéder aux catégories de données personnelles collectées, aux sources, aux finalités et aux destinataires.
- Droit à la suppression des données personnelles.
- Droit à la rectification des informations inexactes.
- Droit à la portabilité des données lorsque cela est techniquement possible.
- Droit de refuser la vente, le partage ou la publicité ciblée.
- Droit de refuser le profilage produisant des effets juridiques ou des effets similaires significatifs.
- Droit à la non-discrimination lors de l’exercice des droits.
- Droit de limiter l’utilisation des données personnelles sensibles.
| État | Loi |
|---|---|
| California | California Consumer Privacy Act (CCPA), as amended by the California Privacy Rights Act (CPRA) |
| Virginia | Virginia Consumer Data Protection Act (VCDPA) |
| Colorado | Colorado Privacy Act (CPA) |
| Connecticut | Connecticut Data Privacy Act (CTDPA) |
| Utah | Utah Consumer Privacy Act (UCPA) |
| Texas | Texas Data Privacy and Security Act (TDPSA) |
| Oregon | Oregon Consumer Privacy Act (OCPA) |
| Montana | Montana Consumer Data Privacy Act (MCDPA) |
| Tennessee | Tennessee Information Protection Act (TIPA) |
| Iowa | Iowa Consumer Data Protection Act |
| Indiana | Indiana Consumer Data Protection Act |
| Delaware | Delaware Personal Data Privacy Act |
| New Jersey | New Jersey Data Privacy Act |
| New Hampshire | New Hampshire Data Privacy Act |
| Maryland | Maryland Online Data Privacy Act |
| Minnesota | Minnesota Consumer Data Privacy Act |
Les lois d’États suivantes sont particulièrement pertinentes :
15.1 États-Unis - dispositions supplémentaires
Native ne « vend » ni ne « partage » de données personnelles à des fins de publicité comportementale intercontextuelle au sens du CCPA/CPRA. Nous n’avons pas vendu de données personnelles au cours des 12 derniers mois et n’avons pas l’intention de le faire.
California « Shine the Light » : les résidents de Californie peuvent demander, une fois par an et gratuitement, des informations sur les divulgations de données personnelles à des tiers à des fins de marketing direct. Comme nous ne divulguons pas de données personnelles pour le marketing direct de tiers, aucune divulgation de ce type n’a eu lieu.
Pour exercer vos droits : envoyez une demande vérifiable à hei@native.no ou via native.no/en/contact. Vous n’avez pas besoin d’un compte pour soumettre une demande. Vous pouvez recourir à un agent autorisé (avec autorisation écrite). Nous répondons dans un délai de 45 jours, avec la possibilité d’une prolongation de 45 jours si cela est raisonnablement nécessaire, moyennant notification.
Droit de recours : si nous rejetons votre demande, vous pouvez faire appel en répondant à notre e-mail de réponse ou en contactant hei@native.no. Nous répondrons aux recours dans un délai de 60 jours (ou tel que requis par la loi de votre État). Si votre recours est rejeté, vous pouvez contacter le procureur général de votre État ou l’autorité de protection de la vie privée compétente.
Réclamations en Californie : les résidents de Californie peuvent adresser une réclamation à la California Privacy Protection Agency (cppa.ca.gov) ou au California Attorney General.
Droit à l’image (right of publicity) : Native interdit toute utilisation des Services pour créer ou diffuser des imitations non autorisées de personnes identifiables. Cela inclut les droits au titre, entre autres, de :
- New York Civil Rights Law §§ 50–51
- California Civil Code § 3344
- Tennessee ELVIS Act 2024 (Ensuring Likeness, Voice, and Image Security Act)
- autres lois d’États applicables en matière de droit à l’image (right of publicity)
Les violations peuvent être signalées à hei@native.no pour un examen et une suppression rapides.
15.2 UE/EEE - y compris la Norvège, la Suède, le Danemark et les autres États membres
Le RGPD s’applique directement. Les réclamations peuvent être déposées auprès de :
- Norvège : Datatilsynet (datatilsynet.no), Postboks 458 Sentrum, 0105 Oslo.
- Suède : Integritetsskyddsmyndigheten (imy.se).
- Danemark : Datatilsynet (datatilsynet.dk).
- Autres pays de l’UE/EEE : l’autorité de contrôle de votre pays de résidence.
15.3 Royaume-Uni (UK GDPR et Data Protection Act 2018)
Pour les utilisateurs du Royaume-Uni, le UK GDPR et le Data Protection Act 2018 s’appliquent en complément de la présente Politique. Les réclamations peuvent être déposées auprès de l’Information Commissioner's Office (ico.org.uk).
15.4 Suisse (revFADP)
Pour les utilisateurs suisses, la loi fédérale révisée sur la protection des données (revFADP, en vigueur depuis le 1er septembre 2023) s’applique. Les réclamations peuvent être déposées auprès du Préposé fédéral à la protection des données et à la transparence (PFPDT/FDPIC).
15.5 Nouvelle-Zélande (Privacy Act 2020)
Pour les utilisateurs de Nouvelle-Zélande, les 13 Information Privacy Principles (IPPs) s’appliquent. Les données personnelles ne sont transférées hors de Nouvelle-Zélande que conformément à l’IPP 12 - c’est-à-dire vers des destinataires soumis à une protection comparable (comme le RGPD dans l’UE/EEE) ou avec le consentement explicite et éclairé de la personne concernée.
Notre contact confidentialité fait office de « Privacy Officer » pour la Nouvelle-Zélande et peut être joint à hei@native.no. Les réclamations peuvent être déposées auprès de l’Office of the Privacy Commissioner (privacy.org.nz).
15.6 Australie (Privacy Act 1988)
Pour les utilisateurs australiens, les Australian Privacy Principles (APPs) du Privacy Act 1988 s’appliquent. Les réclamations peuvent être déposées auprès de l’Office of the Australian Information Commissioner (oaic.gov.au).
15.7 Canada (PIPEDA et lois provinciales)
Pour les utilisateurs canadiens, la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) et les lois provinciales pertinentes (Loi 25 du Québec, BC PIPA, Alberta PIPA) s’appliquent. Les réclamations peuvent être déposées auprès du Commissariat à la protection de la vie privée du Canada (priv.gc.ca).
15.8 Brésil (LGPD)
Pour les utilisateurs brésiliens, la Lei Geral de Proteção de Dados (LGPD) s’applique. Les réclamations peuvent être déposées auprès de l’Autoridade Nacional de Proteção de Dados (ANPD).
15.9 Autres juridictions
Nous nous efforçons de respecter les lois applicables en matière de protection de la vie privée dans tous les pays où nous opérons. Si vous vous trouvez dans une juridiction non expressément mentionnée ci-dessus et souhaitez exercer vos droits en matière de protection des données, contactez hei@native.no ; nous traiterons la demande conformément au droit applicable.
16. Collecte et utilisation des données utilisateur Google
Lorsque vous connectez des comptes Google aux Services, nous pouvons accéder aux éléments suivants et les collecter sur la base de vos autorisations explicites :
- Informations de profil de base (nom, adresse e-mail, photo de profil).
- Connexions aux réseaux sociaux et autorisations de publication.
- Contenu que vous nous autorisez à publier en votre nom.
16.1 Limitations
Nous n’utilisons PAS les données utilisateur Google pour :
- L’entraînement de modèles d’IA ou l’apprentissage automatique.
- La publicité ciblée ou le marketing.
- La vente ou le transfert à des tiers.
- Toute finalité au-delà de la fourniture de nos services de base pour les réseaux sociaux.
16.2 Utilisations autorisées
Nous utilisons les données utilisateur Google exclusivement pour :
- Authentifier votre compte et maintenir un accès sécurisé.
- Publier du contenu sur vos comptes de réseaux sociaux connectés.
- Fournir des analyses relatives à vos performances sur les réseaux sociaux.
- Fournir les fonctionnalités spécifiques que vous avez demandées.
16.3 Conformité à la Google API Services User Data Policy
L’utilisation et le transfert des informations reçues des API Google respectent la Google API Services User Data Policy, y compris les exigences de Limited Use.
17. Collecte et utilisation des données utilisateur Canva
Lorsque vous connectez votre compte Canva aux Services, nous collectons et traitons les données utilisateur Canva afin de permettre l’importation de designs.
17.1 Données que nous collectons auprès de Canva
- Informations de profil de base (nom, adresse e-mail).
- Fichiers de design que vous choisissez d’importer.
- Métadonnées des designs (titres, dates de création).
- Structures de dossiers vous aidant à trouver et sélectionner des designs.
17.2 Comment nous utilisons les données utilisateur Canva
Nous utilisons les données utilisateur Canva exclusivement pour :
- Authentifier et maintenir votre connexion à Canva.
- Afficher vos designs Canva pour sélection et importation.
- Stocker les designs importés dans votre bibliothèque de contenu.
- Permettre la planification et la publication des designs importés sur vos plateformes de réseaux sociaux connectées.
Nous n’utilisons PAS les données utilisateur Canva pour l’entraînement de modèles d’IA ou l’apprentissage automatique ; la publicité, le ciblage publicitaire ou le marketing ; la vente ou le transfert à des tiers ; ou toute finalité au-delà de celles décrites dans la présente Politique.
17.3 Conservation des données utilisateur Canva
- Designs importés : stockés dans votre bibliothèque de contenu jusqu’à ce que vous les supprimiez ou fermiez votre compte.
- Données de connexion : conservées tant que votre compte Canva est connecté aux Services.
- En cas de déconnexion : les données d’authentification Canva sont supprimées dans les 30 jours.
- En cas de clôture du compte : toutes les données utilisateur Canva sont supprimées dans les 30 jours.
17.4 Notification en cas de violation de données
En cas de violation de données susceptible d’affecter les données utilisateur Canva, nous :
- Notifierons Canva par e-mail à legal@canva.com dans les 48 heures suivant la découverte.
- Notifierons les utilisateurs concernés conformément aux lois applicables sur la protection de la vie privée.
- Prendrons des mesures immédiates pour contenir et remédier à la violation.
17.5 Mesures de sécurité
Les données utilisateur Canva sont protégées par le chiffrement en transit et au repos, des contrôles d’accès, des examens de sécurité réguliers et des procédures de suppression sécurisées.
17.6 Vos droits
Vous pouvez déconnecter votre connexion Canva à tout moment dans les paramètres du compte, demander une copie des données utilisateur Canva que nous détenons à votre sujet, ou demander leur suppression. Contactez hei@native.no.
18. Mises à jour de la présente Politique
Nous pouvons mettre à jour la présente Politique de confidentialité si nécessaire. La version mise à jour sera marquée d’une nouvelle date de « Dernière mise à jour » et prendra effet dès sa publication.
Les modifications importantes seront communiquées par e-mail ou dans les Services au moins 30 jours avant leur entrée en vigueur. Les versions antérieures sont disponibles sur demande à hei@native.no.
19. Comment nous contacter
Pour toute question ou demande concernant la présente Politique, contactez notre contact confidentialité :
Native AS, n° d’enregistrement 930 324 787, Møllergata 6, 0155 Oslo, Norvège. E-mail : hei@native.no. Formulaire de contact : native.no/en/contact.
Pour les utilisateurs américains, les demandes relatives aux droits en matière de protection de la vie privée peuvent également être soumises via native.no/en/contact.
20. Comment consulter, mettre à jour ou supprimer vos données
- Consulter : connectez-vous à Native et ouvrez les paramètres du compte, ou contactez hei@native.no pour un export complet de vos données.
- Mettre à jour : mettez à jour les informations de profil directement dans Native, ou contactez-nous pour obtenir de l’aide.
- Supprimer : demandez la suppression du compte en contactant hei@native.no. Nous supprimerons les données dans un délai de 30 jours, à l’exception des données que nous sommes tenus de conserver en vertu de la législation comptable ou d’autres lois applicables (voir la section 9).