PRÉAMBULE

La présente politique de confidentialité (ci-après la « Politique ») a pour objet d’informer les utilisateurs de la plateforme OKS (ci-après la « Plateforme ») des conditions dans lesquelles leurs données à caractère personnel sont collectées, utilisées, conservées et protégées.

La Plateforme est éditée et exploitée par la société EFIR, société par actions simplifiée au capital social de 10 000 euros, dont le siège social est situé 24 avenue Sainte-Marie, 94160 Saint-Mandé, immatriculée sous le numéro 920 800 364 (ci-après « EFIR »).

OKS est une solution SaaS permettant à des marques clientes (ci-après les « Marques ») d’opérer des communautés digitales brandées destinées à leurs utilisateurs finaux.

La présente Politique est établie conformément :

• au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD),

• à la loi n°78-17 modifiée dite « Informatique et Libertés »,

• et à toute réglementation applicable en matière de protection des données.

ARTICLE 1 — IDENTITÉ DES ACTEURS DU TRAITEMENT

1.1. Responsable(s) de traitement

Dans le cadre de l’utilisation de la Plateforme, plusieurs rôles RGPD coexistent :

• La Marque agit en qualité de Responsable de traitement pour les traitements relatifs :

  • à l’animation de sa Communauté,

  • à la gestion des membres,

  • aux contenus publiés,

  • aux communications communautaires,

  • à la modération éditoriale,

  • à l’activation et la segmentation des utilisateurs.

• EFIR agit :

  • en qualité de Sous-traitant pour le compte de la Marque pour l’exploitation technique de la Plateforme ;

  • et, pour certains traitements strictement limités, en co-responsable de traitement avec la Marque (voir article 1.3).

1.2. Coordonnées d’EFIR

• Société : EFIR

• Adresse : 24 avenue Sainte-Marie, 94160 Saint-Mandé

• Email de contact : support@oks.media

1.3. Co-responsabilité limitée

EFIR et la Marque peuvent être co-responsables pour certains traitements transverses et techniques, notamment :

• sécurité globale de la Plateforme,

• prévention des abus, fraudes et comportements illicites,

• production d’analytics globaux et agrégés,

• amélioration continue du produit OKS.

Ces traitements ne donnent lieu à aucune exploitation publicitaire.

ARTICLE 2 — CATÉGORIES DE DONNÉES COLLECTÉES

Selon les usages, paramétrages et fonctionnalités activées par la Marque, les données suivantes peuvent être collectées :

2.1. Données d’identification

• nom et prénom,

• pseudonyme,

• photo de profil,

• identifiant interne.

2.2. Données de contact

• adresse email,

• numéro de téléphone.

2.3. Données de connexion et techniques

• adresse IP,

• logs de connexion,

• type de terminal,

• navigateur,

• identifiants techniques,

• horodatages.

2.4. Données d’usage et comportementales

• navigation sur la Plateforme,

• interactions (likes, commentaires, réponses),

• participation à des événements, sondages, discussions,

• statistiques d’engagement.

2.5. Contenus générés par les utilisateurs (UGC)

• publications,

• commentaires,

• messages,

• images,

• vidéos,

• contenus audio.

2.6. Données de support

• échanges avec le support,

• signalements,

• historiques de demandes.

ARTICLE 3 — FINALITÉS DES TRAITEMENTS

Les données personnelles sont traitées pour les finalités suivantes :

• création et gestion des Comptes Utilisateurs ;

• fourniture et fonctionnement des Services communautaires ;

• animation et modération des Communautés ;

• gestion des interactions entre Utilisateurs ;

• sécurité, prévention des abus et des fraudes ;

• production de statistiques et d’insights (notamment agrégés) ;

• amélioration de la Plateforme ;

• support et assistance ;

• respect des obligations légales et réglementaires.

EFIR n’utilise aucune donnée personnelle à des fins publicitaires.

ARTICLE 4 — BASES LÉGALES DES TRAITEMENTS

Selon les cas, les traitements reposent sur :

• l’exécution des CGU et/ou du contrat liant la Marque à EFIR ;

• l’intérêt légitime d’EFIR et/ou de la Marque (sécurité, amélioration, analytics) ;

• le consentement de l’Utilisateur lorsque requis par la loi ;

• le respect d’obligations légales.

ARTICLE 5 — DESTINATAIRES DES DONNÉES

Les données personnelles sont accessibles uniquement :

• aux équipes autorisées de la Marque ;

• aux équipes autorisées d’EFIR ;

• aux prestataires techniques strictement nécessaires à l’exploitation du service.

Sous-traitants principaux :

• Amazon Web Services (AWS) – hébergement (France)

• Brevo – envoi d’emails transactionnels et notifications

EFIR s’assure que ses sous-traitants présentent des garanties suffisantes de conformité au RGPD.

ARTICLE 6 — TRANSFERTS HORS UNION EUROPÉENNE

Les données sont hébergées principalement en France.

En cas de transfert hors Union européenne, EFIR met en œuvre des garanties appropriées (clauses contractuelles types, mesures complémentaires) conformément au RGPD.

ARTICLE 7 — DURÉES DE CONSERVATION

Les durées de conservation varient selon la nature des données et les obligations légales :

• Données de Compte : pendant la durée d’activité du Compte, puis suppression ou anonymisation ;

• Contenus Utilisateurs : tant qu’ils sont publiés ou nécessaires à la vie de la Communauté ;

• Logs de sécurité : durée limitée et proportionnée ;

• Données de support : durée nécessaire au traitement et à l’archivage probatoire.

Certaines données peuvent être conservées plus longtemps pour respecter des obligations légales ou à des fins de preuve.

ARTICLE 8 — DROITS DES PERSONNES CONCERNÉES

Conformément au RGPD, toute personne concernée dispose des droits suivants :

• droit d’accès,

• droit de rectification,

• droit d’effacement,

• droit à la limitation,

• droit d’opposition,

• droit à la portabilité,

• droit de retirer son consentement à tout moment (le cas échéant).

Exercice des droits

• Pour les traitements liés à une Communauté : contacter la Marque concernée ;

• Pour les traitements relevant d’EFIR : support@oks.media

Une réclamation peut être adressée à la CNIL.

ARTICLE 9 — SÉCURITÉ DES DONNÉES

EFIR met en œuvre des mesures techniques et organisationnelles appropriées, notamment :

• contrôle des accès et gestion des habilitations,

• journalisation et monitoring,

• chiffrement des flux,

• sauvegardes régulières,

• procédures de gestion des incidents.

ARTICLE 10 — VIOLATION DE DONNÉES

En cas de violation de données à caractère personnel :

• EFIR notifie la Marque dans les meilleurs délais,

• et coopère pour satisfaire aux obligations de notification prévues par le RGPD.

ARTICLE 11 — COOKIES ET TRACEURS

La Plateforme utilise :

• des cookies strictement nécessaires à son fonctionnement ;

• et, selon la configuration, des outils de mesure d’audience et de performance.

Un bandeau d’information et, le cas échéant, un module de gestion des préférences peuvent être mis en place.

ARTICLE 12 — MODIFICATION DE LA POLITIQUE

EFIR se réserve le droit de modifier la présente Politique afin de tenir compte des évolutions légales, réglementaires, techniques ou fonctionnelles.

La version applicable est celle publiée sur la Plateforme à la date d’utilisation.

ARTICLE 13 — LANGUE

La langue de la Politique est le français.

Toute traduction est fournie à titre informatif.

ARTICLE 14 — DROIT APPLICABLE

La présente Politique est soumise au droit français.

PRIVACY POLICY

OKS – SAAS COMMUNITY PLATFORM

Last updated: January 12, 2026

Effective date: January 12, 2026

PREAMBLE

This Privacy Policy (hereinafter the “Policy”) is intended to inform users of the OKS platform (hereinafter the “Platform”) about how their personal data is collected, used, stored, and protected.

The Platform is published and operated by EFIR, a simplified joint-stock company (société par actions simplifiée) with a share capital of EUR 10,000, having its registered office at 24 avenue Sainte-Marie, 94160 Saint-Mandé, France, registered under number 920 800 364 (hereinafter “EFIR”).

OKS is a SaaS solution enabling brand clients (hereinafter the “Brands”) to operate branded digital communities for their end users.

This Policy is established in accordance with:

• Regulation (EU) 2016/679 of April 27, 2016 (the GDPR),

• the French Data Protection Act (Loi Informatique et Libertés),

• and any applicable data protection regulations.

ARTICLE 1 — IDENTIFICATION OF DATA CONTROLLERS

1.1. Data Controllers

Within the framework of the Platform, several GDPR roles coexist:

• The Brand acts as Data Controller for processing activities relating to:

  • the management and animation of its Community,

  • user membership and engagement,

  • content publication,

  • community communications,

  • editorial moderation,

  • user activation and segmentation.

• EFIR acts:

  • as a Data Processor on behalf of the Brand for the technical operation of the Platform;

  • and, for certain strictly limited processing activities, as a Joint Data Controller together with the Brand (see Article 1.3).

1.2. EFIR Contact Details

• Company: EFIR

• Address: 24 avenue Sainte-Marie, 94160 Saint-Mandé, France

• Email: support@oks.media

1.3. Limited Joint Controllership

EFIR and the Brand may act as joint data controllers for certain transversal processing activities, including:

• global Platform security,

• fraud and abuse prevention,

• aggregated and anonymized analytics,

• continuous improvement of the OKS product.

These processing activities are carried out without any advertising or commercial profiling purposes.

ARTICLE 2 — CATEGORIES OF PERSONAL DATA COLLECTED

Depending on the features enabled by the Brand, the following categories of data may be collected:

2.1. Identification Data

• first and last name,

• username or pseudonym,

• profile picture,

• internal identifiers.

2.2. Contact Data

• email address,

• phone number.

2.3. Technical and Connection Data

• IP address,

• connection logs,

• device and browser information,

• timestamps.

2.4. Usage and Behavioral Data

• browsing activity,

• interactions (likes, comments, replies),

• participation in events, polls, or discussions,

• engagement statistics.

2.5. User-Generated Content (UGC)

• posts,

• comments,

• messages,

• images,

• videos,

• audio content.

2.6. Support Data

• exchanges with customer support,

• incident reports,

• request history.

ARTICLE 3 — PURPOSES OF PROCESSING

Personal data is processed for the following purposes:

• creation and management of user accounts;

• provision and operation of community services;

• animation and moderation of Communities;

• management of interactions between users;

• security, fraud, and abuse prevention;

• generation of statistics and insights (including aggregated data);

• improvement of the Platform;

• customer support and assistance;

• compliance with legal and regulatory obligations.

EFIR does not process personal data for advertising purposes.

ARTICLE 4 — LEGAL BASES FOR PROCESSING

Processing activities are based, as applicable, on:

• performance of the Terms of Use and/or the contract binding the Brand and EFIR;

• legitimate interests pursued by EFIR and/or the Brand (security, improvement, analytics);

• user consent, where required by law;

• compliance with legal obligations.

ARTICLE 5 — DATA RECIPIENTS

Personal data is accessible only to:

• authorized teams of the Brand;

• authorized teams of EFIR;

• technical service providers strictly necessary for operating the Platform.

Main Sub-processors:

• Amazon Web Services (AWS) – hosting (France)

• Brevo – transactional emails and notifications

EFIR ensures that its sub-processors provide sufficient guarantees of GDPR compliance.

ARTICLE 6 — DATA TRANSFERS OUTSIDE THE EU

Personal data is primarily hosted in France.

In the event of transfers outside the European Union, EFIR implements appropriate safeguards, including standard contractual clauses and supplementary measures, in accordance with the GDPR.

ARTICLE 7 — DATA RETENTION PERIODS

Retention periods depend on the nature of the data and legal requirements:

• Account data: for the duration of the active account, then deleted or anonymized;

• User Content: for as long as it is published or necessary for the Community;

• Security logs: retained for a limited and proportionate period;

• Support data: retained for the duration necessary for processing and evidentiary purposes.

Certain data may be retained longer where required by law or for legal defense purposes.

ARTICLE 8 — DATA SUBJECT RIGHTS

In accordance with the GDPR, data subjects have the following rights:

• right of access,

• right to rectification,

• right to erasure,

• right to restriction,

• right to object,

• right to data portability,

• right to withdraw consent at any time (where applicable).

Exercising Rights

• For processing related to a specific Community: contact the relevant Brand;

• For processing carried out by EFIR: support@oks.media

Data subjects may also lodge a complaint with a competent supervisory authority (CNIL or equivalent).

ARTICLE 9 — DATA SECURITY

EFIR implements appropriate technical and organizational measures, including:

• access control and role-based permissions,

• logging and monitoring,

• encrypted data flows,

• regular backups,

• incident response procedures.

ARTICLE 10 — PERSONAL DATA BREACHES

In the event of a personal data breach:

• EFIR will notify the Brand without undue delay,

• and cooperate to meet GDPR notification obligations.

ARTICLE 11 — COOKIES AND TRACKERS

The Platform uses:

• cookies strictly necessary for its operation;

• and, depending on configuration, audience measurement and performance tools.

A cookie banner and preference management module may be implemented where required.

ARTICLE 12 — AMENDMENTS TO THE POLICY

EFIR reserves the right to amend this Policy to reflect legal, regulatory, technical, or functional changes.

The version in force is the one published on the Platform at the time of use.

ARTICLE 13 — LANGUAGE

This Policy is written in English.

Any translated version is provided for informational purposes only.

ARTICLE 14 — GOVERNING LAW

This Privacy Policy is governed by French law.