Politique de confidentialité
Dernière mise à jour : {{UPDATE_DATE}}.
1. Responsable de traitement
{{SOCIETY_NAME}} (« nous »), {{LEGAL_STATUS}} immatriculée au RCS de {{RCS_CITY}} sous le numéro {{SIREN}}, est responsable du traitement des données personnelles collectées via le service Pilotis.
Délégué à la protection des données : {{DPO_NAME}} — {{DPO_EMAIL}}.
2. Finalités et bases légales (art. 6 RGPD)
| Finalité | Base légale | Durée de conservation |
|---|---|---|
| Fourniture du CRM (CRM, suivi clients/devis/factures) | Exécution du contrat (art. 6.1.b) | Durée de l'abonnement + 3 ans après résiliation |
| Synchronisation mail (Gmail, Outlook, IMAP) | Consentement OAuth (art. 6.1.a) | Tant que la connexion est active |
| Facturation et gestion comptable | Obligation légale (art. 6.1.c — art. L. 123-22 C. com.) | 10 ans (factures, livres comptables) |
| Sécurité, anti-fraude et logs d'accès | Intérêt légitime (art. 6.1.f) | 1 an glissant |
| Analyse statistique anonyme du service | Intérêt légitime (art. 6.1.f) | Sans limite (données anonymisées) |
3. Données traitées
Nous collectons : votre identité (nom, email, photo de profil Google/Microsoft), vos données métier saisies dans le CRM (contacts, entreprises, devis, factures, notes), le contenu des mails synchronisés (en métadonnées + corps des messages), vos préférences d'utilisation.
4. Sous-traitants (art. 28 RGPD)
- Stripe Payments Europe Ltd. (Irlande) — paiement. Transferts vers les USA encadrés par les clauses contractuelles types de la Commission européenne et la décision d'adéquation DPF (Data Privacy Framework).
- {{DB_PROVIDER}} (UE) — hébergement de la base de données. {{DB_PROVIDER_DPA_LINK}}.
- Cloudflare, Inc. (USA) — hébergement applicatif, CDN et protection anti-DDoS. Clauses contractuelles types + DPF.
- Google LLC / Microsoft Corp. (USA) — OAuth + synchronisation Gmail / Outlook. L'accès aux mails s'effectue via les API officielles avec consentement explicite. Clauses contractuelles types + DPF.
- {{LLM_PROVIDER}} — classification IA des emails. Les contenus envoyés sont tronqués au strict nécessaire, jamais utilisés pour entraîner des modèles ({{LLM_DPA_LINK}}).
5. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, de portabilité, de limitation et d'opposition. Vous pouvez exercer ces droits :
- en autonomie depuis la page Mes données (export ZIP CSV + suppression de compte avec grâce 30 jours) ;
- ou en nous écrivant à {{DPO_EMAIL}}.
En cas de réclamation, vous pouvez saisir la CNIL — cnil.fr.
6. Transferts hors UE
Certains sous-traitants ci-dessus sont établis hors de l'Union européenne. Les transferts sont encadrés par les clauses contractuelles types de la Commission européenne et, le cas échéant, la décision d'adéquation EU-US Data Privacy Framework.
7. Sécurité
Les mots de passe (IMAP, CalDAV, EWS) et les jetons OAuth Gmail / Outlook sont chiffrés au repos via AES-256-GCM. La base de données bénéficie de sauvegardes automatiques. Les transferts s'effectuent en HTTPS exclusivement.
Voir aussi : Politique cookies, CGV, Mentions légales.