Politique de confidentialité

Version : [date]

La présente politique décrit comment AIvance collecte, utilise et protège les données à caractère personnel dans le cadre de l'exploitation de la plateforme accessible à l'adresse [URL] (le « Service »). Elle complète les CGU/CGV.

1. Identité du responsable de traitement

AIvance Group, [forme juridique], capital social [montant], RCS [ville] [SIREN], siège [adresse]. Contact : [email] · DPO / référent privacy : [email DPO].

AIvance agit en qualité de responsable de traitement pour les données de compte utilisateur, facturation, support, sécurité et analyse d'usage. AIvance agit en qualité de sous-traitant (art. 28 RGPD) pour les données de prospects et contacts professionnels traitées par le Client via le Service ; le Client demeure dans ce cas responsable de traitement (cf. Annexe DPA).

2. Données collectées

  • Compte utilisateur : nom, email professionnel, mot de passe haché, rôle, langue, préférences.
  • Organisation (Client) : raison sociale, SIREN, TVA, adresse, profil commercial.
  • Prospects et comptes importés : entreprise, site web, contacts B2B (nom, fonction, email pro, LinkedIn), notes, événements de suivi.
  • Données enrichies via fournisseurs tiers (Apollo, Hunter, etc.).
  • Données Gmail (OAuth) : strictement limitées aux scopes accordés ; jetons d'accès et de rafraîchissement.
  • SMTP : paramètres techniques fournis par le Client (mot de passe applicatif protégé).
  • Paiement / facturation : coordonnées de facturation. Les cartes ne sont jamais stockées par AIvance ; traitement par Stripe.
  • Logs techniques et sécurité : IP, user-agent, événements d'authentification.
  • Usage produit : statistiques d'utilisation pour amélioration du Service.
  • Support : contenu des échanges et tickets.

3. Finalités

  • fournir et exploiter le Service ;
  • permettre la prospection B2B par le Client ;
  • enrichir et organiser les comptes / prospects à la demande du Client ;
  • envoyer des emails via Gmail OAuth ou SMTP, à la demande de l'utilisateur ;
  • sécuriser la plateforme, prévenir et détecter les abus ;
  • gérer la facturation et le support ;
  • améliorer le Service (mesure d'usage agrégée) ;
  • respecter les obligations légales et réglementaires.

4. Bases légales (art. 6 RGPD)

  • Exécution du contrat : création de compte, fourniture du Service.
  • Obligation légale : facturation, comptabilité.
  • Intérêt légitime : sécurité, prévention fraude, amélioration du Service.
  • Consentement : cookies non essentiels, communications optionnelles.
  • Pour les données de prospects traitées via le Service, la base légale est déterminée par le Client en sa qualité de responsable de traitement.

5. Intégration Gmail / Google API — engagements spécifiques

L'intégration Gmail repose exclusivement sur OAuth 2.0. AIvance ne demande, ne stocke et ne traite jamais le mot de passe du compte Gmail. AIvance souscrit aux engagements suivants, en cohérence avec la Google API Services User Data Policy et ses Limited Use Requirements :

  • Finalité strictement limitée aux fonctionnalités explicitement demandées par l'utilisateur (envoi d'emails de prospection et suivi d'envois).
  • Pas de lecture au-delà des scopes accordés.
  • Pas de transfert non autorisé à des tiers, hors sous-traitants techniques nécessaires.
  • Pas d'usage publicitaire.
  • Pas d'entraînement de modèles d'IA à partir des données Gmail.
  • Pas de lecture humaine, sauf consentement explicite, sécurité, obligation légale, ou cadre strictement agrégé pour débogage technique.
  • Conservation limitée : jetons protégés, supprimés immédiatement à la révocation.
  • Révocation libre : depuis le Service ou myaccount.google.com/permissions.

6. Sous-traitants ultérieurs

AIvance recourt à des sous-traitants encadrés contractuellement. À la date des présentes, les principaux sont :

  • Google LLC — Gmail / authentification fédérée — États-Unis.
  • Stripe, Inc. — paiements — US / Irlande.
  • Vercel, Inc. — hébergement frontend — États-Unis.
  • Railway Corp. — hébergement backend — États-Unis.
  • Supabase, Inc. — base de données / auth — États-Unis (région UE configurable).
  • Apollo.io — données B2B — États-Unis.
  • Hunter SAS — vérification d'emails — France / UE.
  • Anthropic, PBC et autres fournisseurs de modèles d'IA — États-Unis.
  • Sous-traitants techniques additionnels (monitoring, support, emailing transactionnel).

La liste à jour est disponible sur demande à [email DPO].

7. Transferts hors UE

Certains sous-traitants opèrent depuis des pays hors EEE (notamment États-Unis). Ces transferts sont encadrés par les garanties appropriées prévues aux articles 44 et suivants du RGPD : Clauses Contractuelles Types (CCT 2021/914), décision d'adéquation lorsqu'applicable (notamment EU-US Data Privacy Framework), et mesures complémentaires techniques et organisationnelles si nécessaire.

8. Durées de conservation

  • Compte utilisateur / organisation : durée du contrat + 3 ans (prescription commerciale).
  • Données prospects : durée du contrat ; export pendant 30 jours après résiliation, puis suppression.
  • Tokens Gmail (OAuth) : tant que l'intégration est active ; suppression immédiate à la révocation.
  • Identifiants SMTP : tant que la configuration est active.
  • Facturation / paiement : 10 ans (obligations comptables et fiscales).
  • Logs applicatifs et de sécurité : 12 mois maximum.
  • Support / tickets : 3 ans à compter de la clôture.
  • Données agrégées et anonymisées : sans limitation, sans ré-identification possible.
  • Cookies non essentiels : 13 mois maximum (doctrine CNIL).

9. Sécurité

Mesures techniques et organisationnelles raisonnables au regard de l'état de l'art : chiffrement TLS 1.2+, mots de passe hachés (bcrypt ou équivalent), jetons OAuth et identifiants SMTP stockés sous forme protégée, contrôle d'accès au moindre privilège avec MFA sur les outils d'administration, cloisonnement logique multi-tenant, journalisation, sauvegardes chiffrées, gestion des vulnérabilités, procédure d'incident, sensibilisation des équipes. Aucune sécurité n'est absolue.

10. Droits des personnes concernées

Toute personne dispose des droits suivants : accès (art. 15), rectification (art. 16), effacement (art. 17), opposition (art. 21), limitation (art. 18), portabilité (art. 20), retrait du consentement, directives post-mortem.

Pour exercer un droit : [email DPO]. AIvance répond sous 1 mois (prorogeable de 2 mois en cas de complexité). À défaut de réponse satisfaisante, possibilité d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

11. Données de prospects et personnes concernées par les campagnes

Les données de prospects et destinataires de campagnes sont traitées pour le compte du Client, en sa qualité de responsable de traitement. Le Client est responsable de l'information préalable des personnes (art. 13-14 RGPD), du respect du droit d'opposition, et de la traçabilité des bases légales mobilisées. AIvance, en tant que sous-traitant, l'assiste dans la mesure prévue par le DPA. AIvance n'effectue aucune prospection en son nom propre à partir des données traitées via le Service.

Toute personne souhaitant exercer ses droits sur des données traitées par un Client via le Service est invitée à s'adresser directement au Client ; à défaut, AIvance peut servir d'intermédiaire sur demande motivée à [email DPO].

12. Cookies et traceurs

  • Cookies strictement nécessaires : session, authentification, sécurité (CSRF), préférences essentielles. Sans consentement préalable conformément aux recommandations CNIL.
  • Mesure d'audience : à la date des présentes, AIvance n'utilise pas d'outil nécessitant le consentement, ou utilise des outils exemptés sous configuration conforme CNIL. Toute évolution fera l'objet d'une mise à jour de la présente politique et d'un mécanisme de recueil du consentement préalable.
  • Cookies tiers : limités au strict nécessaire (paiement, authentification fédérée).

13. Contact

Pour toute question, demande de droits, signalement ou réclamation :
Email privacy / DPO : [email DPO]
Adresse postale : AIvance Group, [adresse complète]

La demande doit comporter l'identité du demandeur, un justificatif d'identité en cas de doute raisonnable, et la nature précise de la demande. AIvance répond dans le mois suivant la réception de la demande complète, prorogeable de 2 mois.

Évolution de la politique

La présente politique pourra être modifiée pour refléter une évolution réglementaire, technique ou des sous-traitants. Les modifications substantielles seront notifiées par email et / ou via l'interface du Service avec un préavis raisonnable.

Documents liés

  • CGU / CGV
  • Mentions légales
  • Annexe DPA (sur demande à [email DPO])
  • Liste à jour des sous-traitants ultérieurs (sur demande à [email DPO])