4Runners Cockpit4runners.fr

Politique de confidentialité — Cockpit

Version conforme API + RGPD · Dernière mise à jour : 14 avril 2026

1. Présentation

4Runners(SASU au capital de 2 500 €, RCS Bar-le-Duc 844 339 812, siège social : 3 La Grande Varenne, 55000 Val d'Ornain, France) est une agence de communication digitale.

Cockpit est une plateforme interne et propriétaire utilisée exclusivement par 4Runners pour exécuter des prestations de gestion de contenus et de social media pour ses clients professionnels.

Cockpit n'est :

  • ni commercialisé,
  • ni accessible au public,
  • ni mis à disposition de tiers indépendants.

Cette politique complète les mentions légales de 4Runners.

2. Rôles RGPD (critique)

Dans le cadre de l'utilisation de Cockpit :

  • Le client est Responsable du traitementau sens de l'article 4 du RGPD.
  • 4Runners agit en qualité de Sous-traitant (article 28 RGPD) pour le traitement des données effectué via Cockpit au nom et sur instruction de chaque client.
  • 4Runners peut également agir en qualité de responsable de traitement indépendant pour :
    • la gestion de ses propres utilisateurs internes (salariés 4Runners) ;
    • la sécurité et le fonctionnement technique de la plateforme.

👉 Les traitements réalisés au nom des clients sont effectués uniquement sur instruction documentéedu client concerné, conformément à l'article 28.3 du RGPD.

3. Plateformes tierces et APIs utilisées

Cockpit utilise exclusivement les APIs officielles des plateformes suivantes, après autorisation explicite du client via OAuth 2.0 :

  • Meta Platforms (Facebook, Instagram, WhatsApp Business) — Meta Graph API, Meta Business Login, Instagram Business Login.
  • LinkedIn — LinkedIn Community Management API (publication, modération, analytics sur Pages Entreprise).
  • Google — Business Profile API, Calendar API, Search Console API, YouTube Data API.
  • TikTok — TikTok Business API / Content Posting API.
  • WordPress — WordPress REST API (publication éditoriale).

Chaque connexion est initiée par un membre autorisé de l'équipe 4Runners après consentement du client. Le client peut révoquer les accès à tout moment depuis la plateforme tierce concernée ou en demandant la déconnexion à 4Runners.

4. Données traitées

Dans le cadre des instructions du client, Cockpit traite uniquement les catégories de données suivantes :

  • Identifiants techniques (Page ID, Organization URN, Channel ID, Account ID) nécessaires à la publication sur les comptes du client.
  • Jetons OAuth (access tokens, refresh tokens) chiffrés en base de données, utilisés uniquement côté serveur, jamais exposés au navigateur ni transmis à des tiers.
  • Contenus publiés au nom du client : textes, images, vidéos, métadonnées de programmation.
  • Interactions reçues sur les publications (commentaires, mentions, messages), aux fins de modération pour le compte du client.
  • Données statistiques agrégées (impressions, clics, réactions, partages) aux fins de reporting contractuel.

Ce que nous ne faisons jamais :

  • ❌ Aucune constitution de profil utilisateur autonome ;
  • ❌ Aucune exploitation commerciale ou publicitaire des données ;
  • ❌ Aucun ciblage comportemental ;
  • ❌ Aucune revente ou partage de données à des tiers ;
  • ❌ Aucune agrégation croisée entre clients.
Les données sont strictement limitées à l'exécution du service contractuel.

5. Finalités du traitement

Les traitements sont réalisés uniquement pour :

  • Publier, planifier, modifier ou supprimer des contenus au nom du client ;
  • Modérer les interactions (commentaires, messages) sur ses comptes ;
  • Produire des rapports de performance et d'engagement pour le client ;
  • Assurer la sécurité, le fonctionnement et le support de la plateforme.

4Runners s'engage à respecter strictement les politiques d'usage des plateformes intégrées, notamment la Google API Services User Data Policy (Limited Use), les LinkedIn API Terms, les Meta Platform Terms et les TikTok Developer Terms.

6. Base légale

Les traitements reposent sur les bases légales suivantes :

  • Article 6.1.b RGPD — exécution du contrat de prestation entre 4Runners et chaque client.
  • Article 28 RGPD — traitement par le sous-traitant sur instruction documentée du responsable de traitement.
  • Article 6.1.f RGPD — intérêt légitime pour la sécurité et le fonctionnement technique de la plateforme.

⚠️ Précision importante :l'autorisation OAuth 2.0 accordée par le client sur les plateformes tierces constitue une autorisation technique d'accès, et non une base légale autonome au sens du RGPD. La base légale demeure le contrat de prestation.

7. Durée de conservation

  • Données liées aux comptes et jetons OAuth: pendant toute la durée du contrat client et tant que l'autorisation OAuth n'est pas révoquée.
  • Contenus publiés et statistiques: durée du contrat + jusqu'à 12 mois à des fins d'archivage et de continuité de service.
  • Suppression complète dans un délai maximal de 30 jours en cas de :
    • fin de contrat ;
    • révocation OAuth par le client ;
    • demande explicite du client ou de la plateforme tierce ;
    • demande d'une autorité de contrôle compétente.

8. Sécurité (article 32 RGPD)

Mesures techniques et organisationnelles mises en œuvre :

  • Isolation multi-tenant stricte : chaque espace client est isolé en base de données, avec vérification au build-time (analyse statique), au runtime (middleware applicatif) et au niveau SQL (Row Level Security PostgreSQL).
  • Jetons OAuth chiffrés au repos, jamais exposés côté client, jamais inclus dans les journaux applicatifs.
  • Authentification fortede l'équipe 4Runners : mot de passe robuste, double authentification (2FA) obligatoire, sessions de courte durée.
  • Contrôle d'accès basé sur les rôles (RBAC) appliqué côté serveur uniquement, vérifié sur chaque requête.
  • Protection CSRF systématique sur toutes les mutations ; limitation de débit (rate limiting) sur les endpoints publics et d'authentification.
  • Journalisation de sécuritédes connexions OAuth, des publications et des actions sensibles. Aucun secret, jeton ou donnée personnelle n'est journalisé.
  • Hébergement Union européenne : infrastructure située en Allemagne (Hetzner), sauvegardes chiffrées, pas de transfert de données hors UE par 4Runners (voir §10).

9. Sous-traitants

4Runners fait appel à des sous-traitants techniques strictement nécessaires à l'opération de Cockpit (hébergement, base de données, email transactionnel, infrastructure). Ceux-ci sont :

  • exclusivement situés dans l'Union européenne ;
  • soumis à un contrat de sous-traitance conforme à l'article 28 du RGPD ;
  • évalués pour leur niveau de sécurité et de conformité.

La liste nominative est disponible sur demande écrite.

10. Transferts hors Union européenne

Aucun transfert de données hors UE n'est effectué par 4Runners. L'ensemble des traitements opérés via Cockpit et ses sous-traitants directs se déroule sur le territoire de l'Union européenne.

⚠️ Les plateformes tierces intégrées (Meta, Google, LinkedIn, TikTok) peuvent opérer des transferts internationaux sous leur propre responsabilité, en qualité de responsables de traitement distincts et indépendants. Ces transferts sont encadrés par leurs propres garanties (clauses contractuelles types, règles d'entreprise contraignantes). Le client est invité à consulter les politiques de confidentialité respectives de ces plateformes.

11. Droits des personnes concernées

En qualité de sous-traitant, 4Runners n'est pas directement destinataire des demandes d'exercice de droits formulées par les personnes concernées.

Ces droits — accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement — s'exercent directement auprès du client, responsable du traitement.

👉 4Runners assiste le client dans le traitement de ces demandes, conformément à l'article 28.3.e du RGPD, en lui fournissant les moyens techniques et organisationnels nécessaires.

Pour les traitements pour lesquels 4Runners agit en qualité de responsable indépendant (voir §2), les personnes concernées peuvent nous contacter directement à [email protected]. Toute demande est traitée dans un délai maximal d'un mois.

Les personnes concernées disposent également du droit d'introduire une réclamation auprès de la CNIL.

12. Suppression des données

4Runners met en œuvre les procédures techniques et organisationnelles permettant :

  • la suppression complète des données sur demande autorisée ;
  • la purge des sauvegardes chiffrées ;
  • la traçabilité des opérations de suppression ;
  • la fourniture d'une confirmation écrite au demandeur.

Délai maximal : 30 jours à compter de la réception de la demande.

13. Cookies et traceurs

Cockpit utilise uniquement des cookies strictement nécessaires :

  • cookies de session (authentification) ;
  • cookies de sécurité (CSRF) ;
  • cookies de préférences d'interface (thème).

❌ Aucun cookie publicitaire, aucun cookie de mesure d'audience tiers, aucun traceur de retargetingn'est déposé.

14. Conformité aux plateformes tierces

Cockpit respecte strictement les conditions d'utilisation des APIs intégrées. Les documents de référence sont accessibles ci-dessous :

En particulier, 4Runners s'engage à :

  • aucune revente de données ;
  • aucun usage hors finalité contractuelle ;
  • aucune agrégation croisée entre clients ;
  • aucune exposition publique des données récupérées ;
  • aucun contournement des mesures techniques de protection des plateformes.

15. Audit et assistance (article 28 RGPD)

En qualité de sous-traitant, 4Runners s'engage, conformément à l'article 28.3 du RGPD, à :

  • assister le clientpour répondre aux demandes d'exercice de droits des personnes concernées ;
  • notifier le client sans délai injustifié en cas de violation de données à caractère personnel ;
  • permettre des audits raisonnables (sur rendez-vous, dans le respect des contraintes opérationnelles) et y contribuer ;
  • documenter les traitements effectués pour le compte du client (registre des traitements disponible à la demande) ;
  • mettre à disposition du client toute information nécessaire pour démontrer le respect des obligations prévues à l'article 28 RGPD.

16. Modifications

La présente politique peut être mise à jour pour refléter des évolutions techniques, réglementaires ou contractuelles. La date de dernière mise à jour figure en tête de document. En cas de modification substantielle, les clients concernés sont informés par email.

17. Contact

Pour toute question relative à cette politique, au traitement des données ou à l'exercice des droits :

4Runners SASU — Grégory Gérard, Président
3 La Grande Varenne, 55000 Val d'Ornain, France
[email protected]

Ce document est également accessible depuis la page de connexion de Cockpit et complète les mentions légales de 4Runners.