Politique de confidentialité
1. Introduction
La présente politique de confidentialité a pour objet d'informer les utilisateurs du service MecaCall (ci-après « le Service ») sur la manière dont leurs données personnelles sont collectées, utilisées et protégées, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi « Informatique et Libertés » n° 78-17 du 6 janvier 1978 modifiée.
En utilisant le Service, l'utilisateur reconnaît avoir pris connaissance de la présente politique. L'éditeur se réserve le droit de la modifier à tout moment. La date de dernière mise à jour est indiquée en tête de document.
2. Responsable de traitement
Le responsable du traitement des données personnelles est :
- WINDFALL
- Siège social : Espaco, 20235 Bisinchi, France
- SIRET : 879 950 202 00033 — RCS Bastia 879 950 202
- Contact RGPD : apps.windfall@gmail.com (ou apps.windfall@gmail.com)
WINDFALL n'est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD. Un point de contact est toutefois mis à disposition aux adresses ci-dessus pour toute question relative aux données personnelles.
3. Données collectées
Les catégories de données personnelles traitées par le Service sont les suivantes :
3.1 Données fournies directement par l'utilisateur
- Identité : nom, prénom.
- Coordonnées : adresse email, numéro de téléphone, adresse postale (facultative).
- Identifiants de compte : email, mot de passe hashé.
- Informations professionnelles : nom de l'établissement, raison sociale, adresse, SIRET.
- Contenus fournis : base de connaissance, horaires, services, scripts d'accueil, configuration de l'agent vocal.
- Données de facturation : moyen de paiement, historique d'achats (via Stripe).
3.2 Données générées par l'utilisation du Service
- Données d'appels entrants : numéro de l'appelant, horodatage, durée, enregistrement audio, transcription et résumé générés par IA, issue de l'appel.
- Messages SMS envoyés ou reçus dans le cadre du service.
- Emails transactionnels envoyés aux utilisateurs.
- Données techniques : adresse IP, type d'appareil, navigateur, pages visitées, interactions dans l'application.
- Données de mesure d'audience (sous réserve du consentement pour les traceurs non nécessaires).
3.3 Traitement des données des appelants tiers
Dans le cadre du Service, WINDFALL agit en qualité de sous-traitant (article 28 du RGPD) pour le compte de l'utilisateur professionnel, qui est responsable de traitement des données de ses propres clients et prospects (les appelants). Un accord de sous-traitance (DPA) est mis à disposition sur demande à apps.windfall@gmail.com.
4. Finalités et bases légales
Les données sont traitées pour les finalités suivantes, sur les bases légales suivantes :
| Finalité | Base légale (art. 6 RGPD) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6-1-b) |
| Fourniture de l'assistant vocal IA (accueil, qualification, transcription) | Exécution du contrat (art. 6-1-b) |
| Envoi de SMS et emails de service | Exécution du contrat (art. 6-1-b) |
| Facturation, comptabilité, lutte contre la fraude | Obligation légale (art. 6-1-c) |
| Amélioration du Service, statistiques internes | Intérêt légitime (art. 6-1-f) |
| Prospection commerciale sur clients existants (email) | Intérêt légitime (art. 6-1-f) avec opposition possible |
| Cookies de mesure d'audience non exemptés, marketing | Consentement (art. 6-1-a) |
| Réponse à une demande d'information | Intérêt légitime (art. 6-1-f) |
| Sécurité du Service, prévention des abus | Intérêt légitime (art. 6-1-f) |
5. Destinataires et sous-traitants
Les données personnelles sont accessibles aux collaborateurs habilités de WINDFALL ainsi qu'aux sous-traitants listés ci-dessous. WINDFALL sélectionne ses sous-traitants sur la base de garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées (art. 28 RGPD).
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Vercel, Inc. | Hébergement du site public | États-Unis |
| Cloudflare, Inc. | Hébergement API, CDN, protection anti-DDoS | États-Unis / mondial |
| Supabase, Inc. | Base de données, authentification, stockage fichiers | Union européenne (région Francfort) |
| Vapi Inc. | Orchestration de l'agent vocal temps réel | États-Unis |
| Deepgram, Inc. | Reconnaissance vocale (speech-to-text) | États-Unis |
| ElevenLabs Inc. | Synthèse vocale (text-to-speech) | États-Unis |
| OpenAI, OpCo, L.L.C. | Modèles de langage pour compréhension et génération | États-Unis |
| Anthropic, PBC | Modèles de langage pour compréhension et génération | États-Unis |
| Twilio Inc. | Téléphonie, numéros, envoi SMS | États-Unis / Irlande (UE) |
| Stripe, Inc. / Stripe Payments Europe | Paiements et facturation | États-Unis / Irlande (UE) |
| Resend, Inc. | Envoi d'emails transactionnels | États-Unis |
| Google LLC (Analytics, Ads) | Mesure d'audience, publicité (sous consentement) | États-Unis |
| Meta Platforms Ireland Ltd. (Pixel) | Mesure de conversion publicitaire (sous consentement) | Irlande (UE) / États-Unis |
| Plausible Insights OÜ | Mesure d'audience sans cookie | Union européenne (Estonie / Allemagne) |
Les données peuvent également être communiquées aux autorités compétentes en cas d'obligation légale ou de demande dûment motivée.
6. Transferts de données hors Union européenne
Certains sous-traitants sont établis hors de l'Union européenne, en particulier aux États-Unis. Pour encadrer ces transferts, WINDFALL s'appuie sur :
- le Data Privacy Framework (DPF) UE – États-Unis pour les sous-traitants certifiés (notamment OpenAI, Google, Cloudflare, Stripe) ;
- les Clauses Contractuelles Types adoptées par la Commission européenne le 4 juin 2021 (décision 2021/914) ;
- des mesures complémentaires techniques (chiffrement en transit et au repos, pseudonymisation lorsque possible) et organisationnelles (accords de confidentialité, évaluation des risques).
Une copie des garanties encadrant ces transferts peut être demandée à apps.windfall@gmail.com.
7. Durées de conservation
| Catégorie | Durée |
|---|---|
| Compte utilisateur actif | Pendant toute la durée du contrat |
| Compte inactif (aucune connexion) | 3 ans après la dernière activité, puis suppression ou anonymisation |
| Enregistrements d'appels et transcriptions | 12 mois en base active, puis suppression |
| Journaux d'événements techniques (logs) | 6 à 12 mois selon la finalité (sécurité, débogage) |
| Données de facturation et pièces comptables | 10 ans (obligation légale, art. L.123-22 C. com.) |
| Prospection commerciale (prospect non client) | 3 ans à compter du dernier contact |
| Cookies et traceurs | 13 mois maximum (recommandation CNIL) |
| Traces de consentement (opt-in / opt-out) | 5 ans à compter du recueil |
8. Droits des personnes concernées
Conformément au RGPD, vous disposez des droits suivants sur vos données :
- Droit d'accès (art. 15) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
- Droit de rectification (art. 16) : corriger les données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation.
- Droit à la limitation (art. 18) : demander la suspension temporaire du traitement.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine.
- Droit d'opposition (art. 21), notamment à la prospection commerciale.
- Droit de retirer votre consentement (art. 7) à tout moment pour les traitements qui en dépendent.
- Droit de définir des directives post-mortem (art. 85 de la loi Informatique et Libertés).
Pour exercer ces droits, adressez une demande accompagnée d'un justificatif d'identité à apps.windfall@gmail.com. Une réponse est apportée dans un délai d'un mois, pouvant être prolongé de deux mois en cas de demande complexe (art. 12 RGPD).
9. Droit d'introduire une réclamation
Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — ou auprès de toute autre autorité de contrôle compétente dans l'Union européenne.
10. Sécurité
WINDFALL met en œuvre des mesures techniques et organisationnelles adaptées pour préserver la confidentialité, l'intégrité et la disponibilité des données :
- Chiffrement TLS 1.2+ pour toutes les communications.
- Chiffrement au repos des bases de données et des fichiers stockés.
- Hachage des mots de passe (bcrypt/argon2 via Supabase Auth).
- Contrôle d'accès strict (RLS / Row Level Security) au niveau de la base.
- Journalisation des accès et revue périodique des droits.
- Sauvegardes régulières et procédure de continuité d'activité.
- Sensibilisation des équipes à la protection des données.
- Notification des violations de données dans un délai de 72 heures à l'autorité compétente (art. 33 RGPD) et, le cas échéant, aux personnes concernées (art. 34 RGPD).
11. Cookies
Le Service utilise des cookies et technologies similaires. Leur utilisation, les catégories et les moyens de les gérer sont décrits dans notre Politique relative aux cookies.
12. Décisions automatisées et profilage
Le Service utilise l'intelligence artificielle pour comprendre, qualifier et transcrire les appels. Ces traitements assistent l'utilisateur professionnel mais ne produisent pas, seuls, d'effet juridique ni ne l'affectent de manière significative, au sens de l'article 22 du RGPD. Toute décision commerciale finale (prise de rendez-vous, inscription, relance, etc.) reste sous la responsabilité de l'utilisateur professionnel.
13. Modifications de la présente politique
La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou organisationnelles. La version en vigueur est celle publiée sur https://mecacall.com. En cas de changement substantiel, les utilisateurs seront informés par email ou via l'application.