CRM← Retour à la connexion
⚠️ Brouillon — à faire valider par un avocat avant toute publication Rédigé à partir de la structure RGPD usuelle (registre des traitements, base légale, durées de conservation, droits des personnes) et du fonctionnement réel du logiciel tel que constaté dans son code. Les zones entre crochets restent à compléter.

Politique de confidentialité

Dernière mise à jour : [DATE]

Cette politique décrit comment le CRM (le « Service ») traite les données à caractère personnel, dans le cadre du Règlement Général sur la Protection des Données (RGPD) et de la loi Informatique et Libertés. Le Client (votre entreprise) est responsable de traitement des données de ses propres clients et prospects saisies dans le Service ; l'éditeur intervient en tant que sous-traitant au sens de l'article 28 du RGPD — voir le contrat de sous-traitance (DPA).

1. Données traitées

CatégorieExemplesFinalité
Comptes utilisateursNom, email, mot de passe (haché), rôleAuthentification et contrôle d'accès
Clients & contactsRaison sociale, SIREN/SIRET, adresse, contacts (nom, email, téléphone, fonction)Gestion de la relation commerciale
Devis & opportunitésMontants, produits, historique d'échangesSuivi du pipeline commercial
Téléphonie (module optionnel)Numéros appelés/appelants, durée, enregistrement audio, transcriptionSuivi des échanges commerciaux, qualité de service
Comptes-rendus de visiteNotes, dictée audio transcriteCompte-rendu commercial interne
Données financières (module optionnel)Santé financière d'entreprises clientes (source : INSEE/Pappers)Évaluation du risque commercial
Journaux techniquesAdresse IP, horodatage des actionsSécurité, traçabilité (audit)

2. Base légale

3. Durées de conservation

DonnéeDurée
Comptes clients / contactsDurée de la relation commerciale + [3 ans] (prospection)
Devis, opportunitésDurée du contrat d'abonnement, puis archivage légal (obligations comptables)
Enregistrements d'appelsConfigurable par l'administrateur du Client (Paramètres > Téléphonie > Gouvernance), 90 jours par défaut. Purge automatique quotidienne, y compris chez le prestataire de téléphonie (Twilio).
Journaux d'audit[durée]
Compte utilisateur après résiliationVoir CGV, section résiliation

4. Sous-traitants ultérieurs (hébergement et services tiers)

Selon les modules activés pour votre instance :

PrestataireRôleLocalisation
Railway CorporationHébergement de l'application et de la base de données[région — UE si configuré ainsi]
Twilio Inc.Téléphonie (module optionnel) — appels, enregistrementsÉtats-Unis (clauses contractuelles types)
OpenAI / AnthropicTranscription et reformulation IA (modules optionnels)États-Unis (clauses contractuelles types)
Pappers / INSEEDonnées financières publiques d'entreprises (module optionnel)France

La liste exacte des sous-traitants activés dépend des modules souscrits (Paramètres > Modules).

5. Téléphonie et enregistrements d'appels

Lorsque le module téléphonie est activé, les appels peuvent être enregistrés à des fins de suivi commercial. Conformément à la réglementation applicable, l'information des personnes appelées (message d'annonce ou mention contractuelle préalable) relève de la responsabilité du Client. L'éditeur fournit les moyens techniques de purge automatique et de suppression individuelle d'un enregistrement (y compris chez le sous-traitant technique), mais ne peut se substituer au Client pour l'information des personnes concernées.

6. Droits des personnes concernées

Toute personne dont les données sont traitées dans le Service dispose des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité. Ces demandes doivent être adressées en priorité au Client (responsable de traitement) qui utilise le Service pour gérer sa relation commerciale. À défaut de réponse du Client, une demande peut être adressée à l'éditeur : [email de contact DPO/RGPD].

Toute personne dispose également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr.

7. Sécurité

Mesures techniques en place : mots de passe hachés (jamais stockés en clair), connexion chiffrée (HTTPS), limitation des tentatives de connexion, cloisonnement des données par rôle utilisateur, sauvegardes quotidiennes chiffrées, purge automatique des données selon la politique de rétention définie.