Politique de confidentialité
Dernière mise à jour : Mars 2026 — Version 1.3
Voir aussi : Mentions légales · CGU · CGV
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via la plateforme Flowdon est la société exploitante de la plateforme (ci-après « nous » ou « Flowdon »).
Pour exercer vos droits ou pour toute question relative à la protection de vos données, contactez-nous à : privacy@flowdon.fr
2. Données collectées
Nous collectons les catégories de données suivantes :
- Données d'identification : nom, adresse email, photo de profil (via Google OAuth)
- Données d'authentification : mot de passe hashé (bcrypt), tokens de session
- Données de configuration : clés API (Telegram, OpenAI) stockées chiffrées (AES-256-GCM), identifiant de dossier Google Drive, identifiants de calendriers Google Calendar, paramètres de calendrier (durée par défaut, rappel, fuseau horaire), règles de classement et variables personnalisées
- Données Telegram : photos et documents envoyés via le bot (transmis à Google Drive), légendes des messages, identifiant de chat Telegram. Les fichiers en attente de traitement sont stockés temporairement (5 minutes maximum) avant suppression automatique.
- Données d'utilisation : historique des exécutions de workflow (nom de photo, nom de client, dossier, statut), événements créés via Google Calendar (titre, date, heure)
- Données techniques : adresse IP et user-agent (uniquement lors de l'enregistrement du consentement), fuseau horaire détecté depuis le navigateur
3. Finalités et base légale
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Gestion du compte utilisateur | Exécution du contrat |
| Automatisation des workflows | Exécution du contrat |
| Stockage des clés API chiffrées | Exécution du contrat |
| Accès aux services Google (Drive, Sheets, Calendar, Gmail) via OAuth | Consentement (Art. 6.1.a) |
| Réception et traitement de photos/documents via Telegram | Exécution du contrat |
| Historique des exécutions | Intérêt légitime (suivi qualité) |
| Cookies de session | Consentement |
4. Sous-traitants et transferts de données
Vos données peuvent être partagées avec les sous-traitants suivants :
- Google : authentification OAuth (scopes : openid, email, profile), stockage Google Drive (scope : drive.file), Google Sheets (scope : spreadsheets), Google Calendar (scopes : calendar.events, calendar.readonly), Gmail (scopes : gmail.send, gmail.readonly) — transfert UE/EEE
- Telegram : réception de photos et documents via bot, communication (serveurs internationaux — Émirats Arabes Unis, clauses contractuelles types)
- OpenAI : analyse des photos et extraction de métadonnées à partir des légendes des messages via API (États-Unis — clauses contractuelles types)
- Anthropic : assistant IA pour le traitement des messages et l'exécution des workflows (États-Unis — clauses contractuelles types)
- Stripe : traitement des paiements et gestion des abonnements — traite l'email utilisateur et les données de paiement (États-Unis — certifié DPF)
- Sentry : monitoring des erreurs applicatives — reçoit les chemins de requête et messages d'erreur, sans données personnelles identifiantes (États-Unis — clauses contractuelles types)
- Resend : envoi d'emails transactionnels — traite les adresses email des utilisateurs (États-Unis — clauses contractuelles types)
- Hébergeur VPS (OVH) : infrastructure serveur (Union Européenne — France)
Pour les transferts hors UE (OpenAI, Anthropic, Telegram, Stripe, Sentry, Resend), nous nous appuyons sur les clauses contractuelles types de la Commission européenne (Art. 46.2.c RGPD) ou le Data Privacy Framework (DPF) lorsque applicable.
5. Durée de conservation
- Données de compte : conservées tant que le compte est actif, supprimées immédiatement lors de la demande de suppression
- Sessions : 24 heures maximum
- Historique des exécutions : 90 jours, puis suppression automatique
- Fichiers en attente de traitement : 5 minutes maximum, puis suppression automatique
- Preuves de consentement : 5 ans (obligation légale)
6. Sécurité des données
Nous mettons en œuvre les mesures techniques suivantes :
- Chiffrement AES-256-GCM des clés API et tokens OAuth
- Hashage bcrypt des mots de passe
- HTTPS/TLS obligatoire avec HSTS
- Headers de sécurité (CSP, X-Frame-Options, X-Content-Type-Options)
- Réseau Docker isolé — bases de données non exposées publiquement
- Séparation des bases de données par service
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (Art. 15) — obtenir une copie de vos données
- Droit de rectification (Art. 16) — corriger des données inexactes
- Droit à l'effacement (Art. 17) — supprimer votre compte et vos données
- Droit à la portabilité (Art. 20) — exporter vos données au format JSON
- Droit d'opposition (Art. 21) — vous opposer au traitement
- Droit à la limitation (Art. 18) — restreindre le traitement
- Droit de retirer votre consentement (Art. 7.3) — à tout moment
Pour exercer ces droits, utilisez les fonctions intégrées à votre espace client (export de données, suppression de compte) ou contactez privacy@flowdon.fr.
Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr.
8. Cookies
Flowdon utilise uniquement des cookies strictement nécessaires au fonctionnement de l'application (session d'authentification). Aucun cookie publicitaire ou de suivi n'est utilisé.
Le cookie de session expire après 24 heures d'inactivité.
9. Modifications
Nous nous réservons le droit de modifier cette politique. En cas de changement substantiel, vous serez invité à renouveler votre consentement lors de votre prochaine connexion.