Confidentialite

Politique de confidentialité — EazyMailIA

Dernière mise à jour : 2026-04-20 Version : 1.0

⚠️ Avertissement juridique : Ceci n'est pas un avis juridique professionnel. À faire valider par un avocat habilité en Nouvelle-Calédonie ou en France avant usage commercial engageant.

1. Préambule

La présente Politique de confidentialité décrit la manière dont EazyWebNC (ci-après "nous", "l'Éditeur") collecte, utilise, stocke et protège les données personnelles des utilisateurs du service EazyMailIA (ci-après "le Service"), conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD), à la loi française "Informatique et Libertés" modifiée, et aux règles applicables en Nouvelle-Calédonie.

2. Responsable du traitement

  • Raison sociale : EazyWebNC
  • Représentant légal : Hugo Gagnaire
  • Adresse : {ADRESSE_SIEGE_A_COMPLETER}, Nouméa, Nouvelle-Calédonie
  • RIDET : {RIDET_A_COMPLETER}
  • Contact DPO / protection des données : contact@eazyweb.nc

EazyWebNC n'ayant pas obligation de désigner un Délégué à la protection des données (DPO) au sens de l'article 37 du RGPD compte tenu de sa taille et de son activité, le point de contact pour toute question relative aux données personnelles est contact@eazyweb.nc.

3. Finalités et bases légales des traitements

Finalité Base légale (art. 6 RGPD) Données concernées
Fourniture du Service (tri, résumé, brouillons IA) Exécution du contrat (art. 6.1.b) Contenus emails, identifiants de boîte, tokens OAuth
Gestion du compte Utilisateur Exécution du contrat (art. 6.1.b) Nom, email, raison sociale, RIDET/SIRET
Facturation et comptabilité Obligation légale (art. 6.1.c) Nom, adresse, numéro fiscal, historique paiements
Support client Exécution du contrat (art. 6.1.b) Email, messages, logs techniques
Amélioration du Service (learning personnalisé Pro/Business) Consentement (art. 6.1.a) — opt-in explicite Emails validés par l'Utilisateur
Sécurité, prévention de la fraude Intérêt légitime (art. 6.1.f) Logs de connexion, IP, user-agent
Communication commerciale (newsletters) Consentement (art. 6.1.a) ou intérêt légitime clients existants (L.121-36 CCFR) Email, préférences

Cas particulier : le learning personnalisé

Le "learning personnalisé" disponible sur les plans Pro et Business repose sur un opt-in explicite séparé de l'acceptation des CGU. Les emails validés par l'Utilisateur servent à affiner localement les suggestions pour son propre compte uniquement (fine-tuning privé). Aucun email n'est utilisé pour ré-entraîner le modèle Gemini global de Google. Voir la Politique IA.

4. Catégories de données collectées

4.1 Données d'identification et de compte

  • Nom, prénom, fonction ;
  • Adresse email professionnelle ;
  • Raison sociale, RIDET/SIRET, adresse de facturation ;
  • Identifiants de connexion (mot de passe hashé bcrypt).

4.2 Données de facturation

  • Historique des transactions (montant, date, plan) ;
  • Moyen de paiement (géré exclusivement par Stripe ; l'Éditeur ne stocke jamais le numéro de carte complet).

4.3 Données techniques

  • Adresse IP, user-agent, horodatage des connexions ;
  • Logs d'utilisation du Service (pages vues, actions, erreurs).

4.4 Contenus emails traités

  • Objet, corps, expéditeur, destinataires, date des emails analysés ;
  • Métadonnées des pièces jointes uniquement (nom de fichier, type, taille) ; le contenu binaire des pièces jointes n'est pas analysé par l'IA et n'est pas persisté hors de la session de traitement ;
  • Classifications et résumés générés par l'IA.

4.5 Données dérivées

  • Statistiques d'usage agrégées et anonymisées.

5. Destinataires et sous-traitants

Les données sont accessibles aux seuls collaborateurs habilités d'EazyWebNC et aux sous-traitants suivants, encadrés par des accords de traitement conformes à l'article 28 RGPD :

Sous-traitant Rôle Localisation Garanties
Supabase Inc. Hébergement base de données UE-Central (Francfort, Allemagne) DPA Supabase, SCC
Cloudflare, Inc. CDN, edge, hébergement frontend USA + réseau global SCC + Data Privacy Framework
Google Ireland Ltd Modèle IA Gemini + OAuth Gmail UE (Irlande) + USA Google Cloud DPA, SCC
Microsoft Ireland OAuth Outlook (si connecté) UE (Irlande) Microsoft DPA, SCC
Stripe Payments Europe Ltd Paiements UE (Irlande) + USA Stripe DPA, SCC
Brevo (ex-Sendinblue) Emails transactionnels UE (France) Brevo DPA

Les données ne sont jamais vendues ni cédées à des tiers à des fins commerciales ou publicitaires.

6. Transferts hors Union européenne

Certains sous-traitants (Cloudflare, Google, Stripe) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :

  • Les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne (décision 2021/914) ;
  • Le EU-US Data Privacy Framework pour les sous-traitants certifiés ;
  • Des mesures supplémentaires techniques et organisationnelles (chiffrement au repos et en transit).

7. Durées de conservation

Catégorie de données Durée
Compte Utilisateur actif Durée de l'abonnement
Compte après résiliation 3 ans (obligation comptable FR/NC) puis anonymisation
Contenu des emails analysés Rétention glissante 90 jours puis suppression automatique
Logs techniques (connexion, sécurité) 12 mois
Données de facturation 10 ans (obligation Code de commerce)
Cookies et traceurs Voir Politique cookies
Emails validés pour learning (opt-in) Jusqu'au retrait du consentement ou suppression du compte

8. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, toute personne dispose des droits suivants sur ses données :

  • Droit d'accès (art. 15) — obtenir une copie des données détenues ;
  • Droit de rectification (art. 16) — corriger des données inexactes ;
  • Droit à l'effacement "droit à l'oubli" (art. 17) — sous réserve des obligations légales de conservation ;
  • Droit à la limitation du traitement (art. 18) ;
  • Droit à la portabilité (art. 20) — export en format structuré (JSON, CSV) ;
  • Droit d'opposition (art. 21) — notamment au profilage ou à la prospection commerciale ;
  • Droit de retrait du consentement à tout moment pour les traitements fondés sur celui-ci (ex : learning personnalisé) ;
  • Droit de définir des directives post-mortem (loi Informatique et Libertés).

Exercice des droits

Contact : contact@eazyweb.nc avec objet "Exercice de droits RGPD" + justificatif d'identité.

Délai de réponse : 1 mois (prorogeable à 3 mois en cas de complexité, avec information préalable).

Réclamation auprès d'une autorité de contrôle

Toute personne estimant ses droits non respectés peut introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — autorité de contrôle compétente pour la France et la Nouvelle-Calédonie :

9. Sécurité

L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :

  • Chiffrement en transit (TLS 1.3) et au repos (AES-256) ;
  • Hashage des mots de passe (bcrypt) ;
  • Isolation logique des données par tenant ;
  • Contrôle d'accès strict, journalisation ;
  • Sauvegardes chiffrées ;
  • Revues de sécurité régulières et tests d'intrusion.

En cas de violation de données personnelles (data breach) susceptible d'engendrer un risque pour les droits et libertés des personnes, l'Éditeur notifie la CNIL dans les 72 heures et informe les personnes concernées si le risque est élevé (art. 33-34 RGPD).

10. Cookies

Voir la Politique cookies.

11. Modifications de la présente Politique

L'Éditeur peut mettre à jour la présente Politique pour refléter des évolutions légales, techniques ou fonctionnelles. Les modifications substantielles sont notifiées par email avec un préavis de 30 jours.

12. Contact

Pour toute question relative à la protection de vos données :

  • Email : contact@eazyweb.nc (objet : "RGPD")
  • Courrier : EazyWebNC — Protection des données, {ADRESSE_SIEGE_A_COMPLETER}, Nouméa, Nouvelle-Calédonie