Politique de confidentialité

Mise à jour le 2 juin 2026

TL;DR : Unsay tourne presque entièrement dans ton navigateur. Tes messages Instagram ne sortent pas de ta machine et nous n'en voyons jamais le contenu. Un backend technique minimal gère la vérification des licences et l'application du quota hebdomadaire, en ne recevant que des identifiants anonymes à sens unique (aucun nom, aucune IP, aucun contenu de message). Les paiements sont traités par Gumroad sur leur propre infrastructure.

1. Qui sommes-nous

Unsay est une extension Chrome développée en France par un éditeur indépendant. Contact : contact@unsay.me.

2. Données que nous touchons

2.1 Données Instagram (lues, jamais transmises)

• Tes cookies de session Instagram, lus pour authentifier les requêtes API, jamais transmis à un tiers
• Les identifiants des conversations actives, lus depuis l'URL de l'onglet
• Les identifiants et horodatages des messages, lus pour la boucle de suppression, en mémoire uniquement

Nous ne lisons jamais le contenu de tes messages. Uniquement les identifiants et les compteurs.

2.2 Données conservées localement sur ta machine

• Un cache éphémère (30 secondes) de ton statut quota et de l'état de ta licence de Pass, rafraîchi depuis notre backend
• Ta clé de licence de Pass, conservée pour permettre la revalidation et la désactivation ultérieure depuis le side panel
• Un identifiant d'installation aléatoire (UUID 256 bits) généré localement au premier démarrage, qui sert à distinguer ton installation des autres
• État du job en cours (scan, suppression, sauvegarde), éphémère, perdu à la fermeture du navigateur

Ces données locales ne contiennent aucun contenu de message et sont stockées uniquement pour le fonctionnement normal de l'extension.

2.3 Données transmises (et à qui)

• Vers Instagram : les requêtes de suppression (c'est l'objet même de l'extension). Nous utilisons les endpoints API officiels d'Instagram via ta session existante.
• Vers notre backend de licence (Cloudflare Workers) : deux identifiants anonymes et ta clé de licence, transmis strictement pour l'application du quota et la vérification de licence. Les deux identifiants sont des dérivés SHA-256 à sens unique, conçus de sorte que les valeurs d'origine (ton identifiant de session Instagram et ton UUID d'installation local) ne puissent pas être reconstituées. Aucun contenu de message, aucun identifiant lié à ton IP, aucun token d'authentification Instagram n'est jamais transmis à notre backend.
• Vers Gumroad : ta clé de licence est transmise par notre backend à Gumroad pour les opérations d'activation, de revalidation périodique et de désactivation. Les informations de paiement sont collectées directement par Gumroad sur leur page de paiement et n'atteignent jamais notre infrastructure. Politique Gumroad : gumroad.com/privacy

2.4 Identifiants anonymes utilisés par notre backend

Pour appliquer le quota hebdomadaire gratuit et lier une licence de Pass à une installation, notre backend s'appuie sur deux identifiants anonymes :

• User hash : un hachage SHA-256 à sens unique de ton identifiant de session Instagram (ds_user_id). Non réversible, il ne permet pas de remonter à ton nom d'utilisateur Instagram ni à aucune information personnelle.
• Empreinte d'installation : un hachage SHA-256 à sens unique combinant ton UUID d'installation local, l'ID de l'extension, le user-agent de ton navigateur et la plateforme de ton système d'exploitation. Non réversible et ne contient aucun identifiant personnel direct.

Ces identifiants servent uniquement à comptabiliser tes suppressions de la semaine et à éviter le partage de licence entre installations. Ils ne sont utilisés à aucune fin d'analyse, de profilage, de publicité ou de finalité commerciale étrangère à l'extension.

3. Tracking, analytics, mesure d'audience

L'extension Unsay elle-même ne contient aucun cookie de tracking, aucun SDK d'analytics, aucune télémétrie comportementale. Aucun Google Analytics, Plausible, Mixpanel, Sentry, Datadog ou équivalent n'y est embarqué.

Les logs de notre backend se limitent à des informations opérationnelles (codes HTTP, temps de réponse) et ne contiennent aucun identifiant personnel au-delà des hashs anonymes décrits en section 2.4. Les indicateurs commerciaux (nombre de Pass vendus, taux de remboursement) nous sont communiqués en agrégé par Gumroad.

Cette landing page (unsay.me) utilise Google Tag Manager et Google Analytics 4 pour des statistiques d'audience agrégées et anonymes (pages vues, sources de trafic). Aucun identifiant personnel n'est envoyé. Tu peux opt-out via le paramètre Do Not Track de ton navigateur ou toute extension GA opt-out.

4. Tes droits (RGPD)

Tu disposes des droits suivants sur tes données personnelles :

• Accès, rectification, suppression
• Portabilité
• Opposition au traitement
• Limitation

En pratique, l'exercice de ces droits passe par les étapes suivantes :

1. Pour les données Instagram : il s'agit de ton compte Instagram, à gérer directement depuis Instagram.
2. Pour ta licence de Pass et les enregistrements associés côté backend : contacte-nous à contact@unsay.me. Nous pouvons désactiver ta licence, purger les identifiants anonymes correspondants de notre backend, et te le confirmer par écrit. Un Pass est un achat unique : pas d'abonnement, rien à annuler.
3. Pour les données locales de l'extension : désinstalle l'extension depuis chrome://extensions, le cache local est effacé.

5. Sécurité

Notre backend repose sur l'infrastructure serverless de Cloudflare (Workers et D1), avec chiffrement TLS en transit et contrôles d'accès standards. Les enregistrements que nous détenons se limitent aux identifiants anonymes, aux métadonnées de licence et aux compteurs de quota décrits plus haut. Nous ne stockons ni contenu de message, ni token d'authentification Instagram, ni identifiant lié à ton IP.

Les échanges entre l'extension et notre backend sont authentifiés et transmis exclusivement en HTTPS.

6. Conservation des données

Les identifiants anonymes et les compteurs de quota de notre backend sont conservés tant que ton Pass est actif, et durant une période raisonnable après son expiration ou sa désactivation (jusqu'à 90 jours) afin de permettre une éventuelle réactivation et le support utilisateur. Au-delà, les enregistrements inactifs sont purgés. L'historique de paiement est conservé par Gumroad conformément à leur propre politique de conservation et au droit comptable applicable (généralement 10 ans).

7. Modifications de cette politique

Nous tenons à jour cette page. Toute modification matérielle sera annoncée par email aux détenteurs d'un Pass et notifiée via le changelog Chrome de l'extension.

8. Contact

Pour toute question relative à cette politique ou à tes données : contact@unsay.me

9. Conformité Chrome Web Store, Limited Use Policy

L'utilisation que fait Unsay des données utilisateur respecte la Chrome Web Store User Data Policy, y compris les exigences Limited Use. Concrètement, nous affirmons que :

• Nous ne vendons ni ne transférons aucune donnée utilisateur à des tiers, en-dehors des cas explicitement autorisés (Instagram, notre propre backend de licence, Gumroad, décrits en section 2.3).
• Nous n'utilisons ni ne transférons aucune donnée utilisateur pour des finalités sans lien avec la fonction unique de l'extension (supprimer tes messages Instagram sortants).
• Nous n'utilisons ni ne transférons aucune donnée utilisateur à des fins de scoring de solvabilité ou de décision de prêt.
• Nous n'utilisons aucune donnée utilisateur pour du ciblage publicitaire ou pour entraîner un modèle d'IA, et nous ne transférons aucune donnée à des plateformes publicitaires, courtiers de données, ou revendeurs d'informations.

10. Permissions Chrome utilisées

Par transparence, voici à quoi sert chaque permission demandée par l'extension dans manifest.json. Cette liste est mise à jour à chaque release.

• storage, conserver localement le cache éphémère de ton statut quota, l'état de ta licence de Pass et l'UUID d'installation aléatoire décrit en section 2.2.
• webRequest, observer en lecture seule les en-têtes des requêtes XHR Instagram, pour qu'Unsay puisse parler à l'API IG avec les mêmes en-têtes de sécurité que ton navigateur. Pas de modification, pas de blocage.
• tabs, lire uniquement l'URL de l'onglet actif quand tu es sur instagram.com, pour détecter quelle conversation est ouverte.
• cookies, lire le cookie ds_user_id sur instagram.com pour identifier tes propres messages (jamais ceux des autres) et dériver le user hash anonyme décrit en section 2.4.
• alarms, déclencher la revalidation périodique de licence toutes les 6h.
• sidePanel, afficher le panneau latéral Chrome, c'est l'unique interface d'Unsay.
• offscreen, générer le fichier .zip de sauvegarde dans un document caché (limitation technique des service workers MV3).

Hôtes autorisés (host_permissions) : strictement www.instagram.com, ses CDN de médias (*.cdninstagram.com, *.fbcdn.net, *.fbsbx.com) pour la sauvegarde optionnelle, notre backend de licence sur Cloudflare Workers, et api.gumroad.com pour la vérification de licence. Aucun autre domaine.