1. Responsable du traitement
Attentico est responsable du traitement des données personnelles tel que décrit dans cette politique. Contact : privacy@attentico.nl.
2. Quelles données nous traitons
Nous traitons uniquement les données nécessaires à la prestation du service :
- Données du compte : nom, adresse e-mail, mot de passe (haché via Supabase Auth)
- Données des contacts : noms, anniversaires, occasions spéciales, préférences personnelles et listes de souhaits des personnes à qui vous envoyez des cadeaux
- Données de commande : adresses de livraison et historique des cadeaux
- Données de paiement : traitées via Stripe — nous ne stockons pas les détails complets de la carte
- Journaux de communication : messages de cartes et suggestions de cadeaux générés par IA
- Google Contacts (optionnel) : si vous choisissez l'importation Google, Attentico demande un accès en lecture seule à vos Google Contacts. Nous importons uniquement le nom, l'e-mail, le numéro de téléphone et la date d'anniversaire. Nous ne stockons pas vos identifiants Google et ne partageons pas les données importées avec des tiers.
- Données de session : cookies d'authentification (fonctionnels uniquement, pas de suivi)
3. Google Contacts — utilisation des données API
Attentico utilise l'API Google People uniquement pour importer vos contacts dans l'application Attentico. Nous demandons le scope contacts.readonly. Cela signifie que nous pouvons uniquement lire vos contacts, pas les modifier ni les supprimer.
- Les données importées sont utilisées uniquement pour créer des contacts dans votre compte Attentico.
- Nous ne conservons pas les jetons OAuth Google après l'importation.
- Vos données Google ne sont jamais utilisées pour la publicité, le profilage ou la revente.
- Les données Google ne sont pas envoyées aux modèles IA, aux outils d'analyse ou à d'autres systèmes internes.
- Aucun employé ni tiers ne peut consulter vos données Google, sauf si vous donnez votre consentement explicite, si cela est nécessaire pour une enquête de sécurité, ou si la loi l'exige.
- Vous pouvez supprimer les contacts importés à tout moment via Attentico Paramètres → Données.
- Vous pouvez révoquer l'accès d'Attentico à tout moment via vos paramètres de compte Google : myaccount.google.com/permissions.
L'utilisation et le transfert d'informations reçues des API Google par Attentico vers d'autres applications respectent la Google API Services User Data Policy, y compris les exigences d'utilisation limitée.
4. Protection des données & sécurité
Attentico prend la protection de vos données personnelles au sérieux. Nous avons mis en place les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement en transit : Toutes les communications entre votre navigateur et nos serveurs utilisent HTTPS/TLS 1.3. Nous appliquons HTTP Strict Transport Security (HSTS).
- Chiffrement au repos : Toutes les données dans notre base de données (Supabase/PostgreSQL) sont chiffrées au repos (AES-256). Les mots de passe sont hachés avec bcrypt.
- Contrôle d'accès : Nous appliquons la sécurité au niveau des lignes (RLS) sur toutes les tables de la base de données, garantissant que les utilisateurs ne peuvent accéder qu'à leurs propres données. Les routes API sont sécurisées avec des jetons d'authentification.
- Accès minimal aux données : Les services tiers ne reçoivent que les données minimales nécessaires. Les données de l'API Google ne sont pas partagées avec d'autres sous-traitants ni utilisées à d'autres fins que l'importation de contacts.
- En-têtes de sécurité : Nous implémentons Content Security Policy (CSP), X-Frame-Options, X-Content-Type-Options et les en-têtes Referrer-Policy pour prévenir les attaques.
- Limitation du débit : Les points de terminaison API sont protégés par une limitation du débit pour prévenir les abus.
- Pas d'entraînement IA : Vos données ne sont jamais utilisées pour entraîner des modèles IA. Le traitement IA (Anthropic Claude) se fait via des appels API qui ne sont pas conservés par le fournisseur à des fins d'entraînement.
- Réponse aux incidents : En cas de violation de données, nous notifions l'autorité de protection des données compétente et les utilisateurs concernés dans les 72 heures, conformément aux articles 33 et 34 du RGPD.
5. Bases légales (RGPD art. 6)
- Nécessité contractuelle (art. 6(1)(b)) : Données du compte, données des contacts, adresses de livraison et paiements — nécessaires pour fournir le service.
- Consentement (art. 6(1)(a)) : Importation Google Contacts et communications marketing optionnelles — vous pouvez retirer ce consentement à tout moment.
- Intérêts légitimes (art. 6(1)(f)) : Prévention de la fraude, sécurité et amélioration du service.
6. Sous-traitants & tiers
Nous utilisons les sous-traitants suivants. Des accords de traitement des données sont en place avec tous les sous-traitants.
| Sous-traitant | Finalité | Localisation |
|---|
| Supabase | Base de données & authentification | EU (Frankfurt) |
| Stripe | Traitement des paiements | EU / VS* |
| Anthropic (Claude) | Suggestions de cadeaux IA & messages de cartes | VS* |
| Brevo | E-mail transactionnel | EU (Parijs) |
| Google LLC | Importation des contacts (lecture seule, optionnel) | VS* |
| Vercel | Hébergement & fonctions edge | EU / VS* |
| Boutiques partenaires | Commande de cadeaux | NL |
| Greetz.nl | Cartes (physiques & digitales) | NL |
* Les transferts vers les États-Unis se font sur la base des clauses contractuelles types de l'UE (CCT) adoptées par la Commission européenne.
7. Durées de conservation
- Données du compte : conservées tant que votre compte est actif. Après suppression, les données sont définitivement effacées dans les 30 jours.
- Importation Google Contacts : les jetons OAuth ne sont pas conservés après l'importation. Les données de contact importées sont conservées tant que votre compte est actif ou jusqu'à ce que vous les supprimiez.
- Dossiers de paiement : 7 ans conformément aux obligations de conservation fiscale.
- Journaux IA : anonymisés après 90 jours.
- Adresses de livraison : supprimées après l'exécution de la commande, sauf si enregistrées dans votre profil.
8. Cookies
Attentico utilise uniquement des cookies fonctionnels techniquement nécessaires au fonctionnement du service (gestion de session et authentification). Nous n'utilisons pas de cookies analytiques, marketing ou de suivi. Aucun cookie wall ni paywall n'est lié au consentement aux cookies.
9. Vos droits (RGPD)
Vous disposez des droits suivants concernant vos données personnelles :
- Accès (art. 15) : demander quelles données nous détenons sur vous
- Rectification (art. 16) : corriger les données inexactes
- Effacement (art. 17) : supprimer votre compte et toutes les données associées — directement via Paramètres → Données
- Limitation (art. 18) : restreindre temporairement le traitement
- Portabilité (art. 20) : télécharger vos données en CSV via Paramètres → Données
- Opposition (art. 21) : s'opposer au traitement basé sur des intérêts légitimes
- Révoquer le consentement Google : via myaccount.google.com/permissions
Soumettez votre demande à privacy@attentico.nl. Nous répondrons dans un délai d'un mois.
10. Clients Work : accord de traitement des données
Les organisations utilisant Attentico Work traitent les données personnelles de leurs employés via notre plateforme. Attentico agit en tant que sous-traitant au sens du RGPD dans ce contexte. Un accord de traitement des données (DPA) est disponible sur demande à legal@attentico.nl.
11. Déposer une réclamation
Si vous avez une réclamation concernant la façon dont nous traitons vos données, vous pouvez déposer une réclamation auprès de l'autorité de protection des données compétente.
12. Modifications
Nous pouvons mettre à jour cette politique de confidentialité. Pour les changements importants, nous vous en informerons par e-mail. La date en haut de ce document indique la dernière mise à jour.
13. Contact
privacy@attentico.nl