Politique de confidentialité

Naro est un service SaaS de gestion de stocks multi-sociétés, accessible à l'adresse naro.app.

Responsable du traitement des données : LumenShift, 61 rue de Lyon, 75012 Paris, SIRET 988 937 314 00017.

Contact DPO / données personnelles : admin@lumenshift.fr (email à confirmer par l'équipe Naro).

Lors de l'inscription :

• Nom complet (obligatoire)
• Adresse email ou numéro de téléphone selon le canal d'inscription (email/mot de passe ou OTP SMS)
• Code de parrainage (optionnel)

Données de profil (modifiables) : nom, numéro de téléphone.

Données métier créées par vous : sociétés, produits (nom, SKU, code-barres, prix), mouvements de stock, ventes, catégories, membres invités.

Données techniques collectées automatiquement :

• Journaux d'activité (logs) : actions API, erreurs, performances — sans données personnelles sensibles
• Traces d'erreur (Sentry) : peuvent contenir des identifiants utilisateurs
• Événements analytics (PostHog) : pages visitées, sessions — uniquement avec votre consentement

Données de paiement : Naro ne stocke aucune donnée bancaire. Les paiements par carte sont traités par Stripe (PCI DSS). Pour le Mobile Money, aucune donnée bancaire n'est transmise à Naro.

• Création et gestion de compte — exécution du contrat (email, téléphone, nom)
• Fourniture du service — exécution du contrat (toutes données métier)
• Facturation et abonnement — exécution du contrat (email, identifiant Stripe)
• Emails et SMS transactionnels (invitations, alertes stock, OTP) — exécution du contrat
• Détection d'erreurs et stabilité — intérêt légitime (logs techniques)
• Analytics produit — consentement explicite (PostHog)
• Support utilisateur — intérêt légitime / contrat (LumenChat)
• Parrainage — exécution du contrat

Tous les sous-traitants suivants sont des Processors au sens du RGPD. Naro reste Responsable du traitement.

Les données suivantes sont stockées dans le localStorage de votre navigateur :

• naro-auth — token JWT et session utilisateur (jusqu'à déconnexion)
• naro-company — sociétés et société active (jusqu'à déconnexion)
• naro-ui — préférences UI (devise, fuseau horaire) (permanente)
• naro-consent — choix de consentement analytics (permanente)

Aucun cookie tiers de tracking n'est déposé sans votre consentement.

À la première connexion, une bannière vous permet d'accepter ou refuser l'activation de :

• PostHog — analytics et session replay
• LumenChat — chat de support avec identification nominative

En cas de refus, PostHog est entièrement désactivé. LumenChat reste disponible mais sans identification. Vous pouvez modifier votre choix à tout moment dans les Paramètres.

Naro n'utilise pas de cookies tierspublicitaires. Les seuls cookies présents sont les cookies de session Supabase (nécessaires au fonctionnement, exemptés de consentement) et les cookies Stripe lors de l'accès au portail de facturation.

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès — consultez vos données depuis l'application
• Droit de rectification — modifiez votre nom et téléphone dans les Paramètres
• Droit à l'effacement — demandez la suppression de votre compte depuis les Paramètres. La suppression est planifiée 30 jours après votre demande, délai pendant lequel vous pouvez l'annuler en contactant le support.
• Droit d'opposition — refusez le consentement analytics via la bannière ou les Paramètres
• Droit à la portabilité — exportez vos données (stocks, produits, ventes) via l'export CSV (plan Pro)

Pour exercer vos droits : support@naro.app. Délai de réponse : 30 jours maximum.

• Données de compte — durée de vie du compte + 30 jours (période de grâce)
• Données métier (stocks, ventes, produits) — durée de vie du compte
• Logs techniques (Better Stack) — 7 à 30 jours
• Traces d'erreur (Sentry) — 90 jours
• Cache Redis — 60 secondes à 1 heure, effacé automatiquement
• Données analytics (PostHog) — 1 an

• Authentification par JWT Supabase avec rotation automatique
• Transport chiffré HTTPS (HSTS, Vercel)
• Headers de sécurité : CSP strict, X-Frame-Options, X-Content-Type-Options
• Mots de passe gérés par Supabase Auth (bcrypt, non accessibles par Naro)
• Connexion téléphone par OTP à usage unique (Twilio), valide quelques minutes
• Isolation des données par société — accès contrôlé côté serveur sur chaque endpoint
• Rate limiting Vercel Firewall sur les routes sensibles

Certains sous-traitants peuvent traiter des données hors UE. Les garanties appliquées sont :

• Vercel — DPA Vercel, Clauses Contractuelles Types (SCC)
• Stripe — DPA Stripe, SCC (siège aux États-Unis)
• Twilio — DPA Twilio, SCC (siège aux États-Unis)
• Resend — DPA Resend, SCC (siège aux États-Unis)
• PostHog — données traitées en EU (eu.i.posthog.com)
• Sentry — DPA Sentry, SCC (siège aux États-Unis)
• Supabase — région EU configurée, DPA Supabase, SCC

Naro est un outil professionnel destiné aux adultes. L'inscription est interdite aux personnes de moins de 16 ans. Aucune collecte intentionnelle de données concernant des mineurs n'est effectuée.

• Contact DPO / données personnelles : support@naro.app
• Support général : chat in-app ou email
• Autorité de contrôle (France) : CNIL — cnil.fr
• Autorité de contrôle (Bénin) : APDP — apdp.bj