Politique de confidentialité

Le responsable des traitements propres à Flapy est À compléter : nom légal de l'entité ou de l'exploitant, forme juridique, pays d'immatriculation, adresse, numéro d'enregistrement, représentant légal et email de contact confidentialité.

Contact confidentialité proposé : contact@flapy.ai. À remplacer ou confirmer avant publication. Si un délégué à la protection des données est désigné, ses coordonnées doivent être ajoutées ici.

Si l'éditeur n'est pas établi dans l'Union européenne mais cible des personnes situées dans l'UE, il peut être nécessaire de désigner un représentant dans l'UE, sauf exception applicable.

Pour la gestion du site, du compte, de l'abonnement, de la sécurité, du support, des demandes commerciales et de l'amélioration du Service, Flapy agit généralement comme responsable du traitement.

Pour les emails, contacts, clients finaux, commandes, paiements ou données métier que le Client confie à Flapy afin d'utiliser le Service, le Client est généralement responsable du traitement et Flapy agit comme sous-traitant, selon les instructions du Client.

Les clients professionnels doivent disposer d'une base légale pour connecter des boîtes email, traiter les données de leurs propres clients ou contacts et utiliser Flapy avec des données personnelles. Un DPA doit être fourni ou signé lorsque Flapy agit comme sous-traitant.

Flapy traite les informations nécessaires à la création et à l'administration du compte : email, nom, photo de profil lorsque fournie par Google ou Microsoft, langue, timezone, préférences de réponse, préférences de notification, statut d'abonnement, dates de création, paramètres et identifiants internes.

Ces données servent à ouvrir l'espace utilisateur, maintenir la session, personnaliser l'interface, appliquer les préférences, fournir le support, prévenir les abus, gérer les accès et respecter les obligations contractuelles ou légales.

Base légale principale : exécution du contrat ou des mesures précontractuelles. Certaines opérations de sécurité et d'amélioration reposent sur l'intérêt légitime de Flapy. La facturation et la conservation comptable peuvent relever d'obligations légales.

Lorsque l'Utilisateur connecte Gmail, Flapy demande des autorisations OAuth liées aux fonctionnalités du Service. Les scopes actuellement prévus dans le backend incluent notamment l'accès Gmail, la lecture, l'envoi, la modification, le profil, l'adresse email et les contacts Google.

Les données Google pouvant être traitées comprennent : adresse Gmail, nom, photo, messages, sujets, corps de messages, headers, snippets, expéditeurs, destinataires, pièces jointes, labels, métadonnées de fils, contacts et actions nécessaires comme créer, modifier ou envoyer un brouillon lorsque l'Utilisateur le demande.

Flapy ne demande pas le mot de passe Google brut. Les tokens OAuth sont stockés sous forme chiffrée lorsque l'architecture applicative les persiste. L'Utilisateur peut révoquer l'accès depuis son compte Google ou depuis l'application lorsque cette option est disponible.

Lorsque l'Utilisateur connecte Outlook ou Microsoft 365, Flapy utilise OAuth Microsoft. Les permissions prévues incluent notamment openid, profile, email, offline_access, User.Read, Mail.ReadWrite, Mail.Send, Contacts.Read et MailboxSettings.ReadWrite.

Les données Microsoft pouvant être traitées comprennent : profil, adresse email, messages, fils, corps de messages, expéditeurs, destinataires, contacts, paramètres de boîte, pièces jointes, métadonnées, brouillons et actions d'envoi ou de modification nécessaires au fonctionnement du Service.

Pour les applications Microsoft multi-tenant, les URL de conditions et de politique de confidentialité doivent être configurées dans l'enregistrement Microsoft Entra afin d'apparaître dans l'expérience de consentement.

Flapy limite l'utilisation des données Google aux fonctionnalités visibles et utiles pour l'Utilisateur : lire et organiser les emails, préparer des réponses, enrichir les brouillons, rechercher le contexte pertinent, envoyer ou modifier des messages lorsque l'Utilisateur l'active, sécuriser le Service et fournir le support.

Flapy ne vend pas les données Google, ne les transfère pas à des courtiers en données, ne les utilise pas pour de la publicité ciblée, du retargeting, de la notation de crédit, de la surveillance ou des finalités sans rapport avec les fonctionnalités visibles du Service.

L'accès humain aux données Google est limité : support demandé par l'Utilisateur, accord explicite pour consulter un message précis, enquête de sécurité, obligation légale ou données agrégées utilisées pour les opérations internes conformément aux règles applicables.

Flapy ne doit pas utiliser les données Google pour entraîner un modèle d'IA général appartenant à Flapy. Les fournisseurs IA ou techniques ne peuvent recevoir ces données que lorsqu'ils sont nécessaires à la fonctionnalité demandée, encadrés contractuellement et compatibles avec les règles Google applicables.

Flapy synchronise ou traite les emails nécessaires au Service : messages reçus et envoyés, sujets, snippets, corps texte ou HTML, threads, labels, dossiers, état lu/non lu, étoile, brouillon, planification, snooze, catégories IA, pièces jointes, taille, type de fichier, chemin de stockage et métadonnées.

Ces données servent à afficher la boîte, classer les conversations, rechercher le contexte, détecter les demandes prioritaires, préparer des brouillons, suivre les relances, gérer les automatisations, améliorer la pertinence des réponses et permettre au Client de traiter ses demandes support.

Les contacts associés aux conversations peuvent être créés ou enrichis avec email, nom, photo et métadonnées nécessaires afin d'identifier les interlocuteurs et contextualiser les échanges.

Les emails peuvent contenir des données sensibles ou des données de tiers. Le Client doit éviter d'utiliser Flapy avec des données qui ne sont pas nécessaires ou pour lesquelles il ne dispose pas d'une base légale suffisante.

Flapy peut utiliser l'intelligence artificielle pour classer des emails, résumer des conversations, traduire des contenus, transcrire une dictée, rechercher des conversations similaires, générer ou améliorer des brouillons, détecter les informations manquantes et extraire des règles de style ou de support.

Les données envoyées aux modèles peuvent inclure le contenu pertinent des emails, la question de l'Utilisateur, les brouillons, les corrections, les documents de connaissance, les données de commande ou paiement connectées et les mémoires nécessaires à la réponse.

Selon la configuration de production, les fournisseurs techniques peuvent inclure OpenAI, Groq, OpenRouter, Gemini, Supermemory ou d'autres prestataires IA listés dans la page Sous-traitants. Les fournisseurs réellement actifs doivent être indiqués avant lancement public.

Les brouillons IA sont des aides à la rédaction. Ils doivent être relus et validés par l'Utilisateur avant envoi, surtout pour les remboursements, litiges, données personnelles, situations sensibles, exceptions commerciales ou engagements contractuels.

Flapy peut créer des mémoires et profils de rédaction afin de personnaliser les futures réponses : langue préférée, ton, formules récurrentes, règles métier, préférences, informations stables de support et signaux issus de corrections ou conversations passées.

Flapy peut créer des embeddings ou représentations vectorielles à partir de fragments d'emails, documents, brouillons ou réponses passées pour retrouver un contexte pertinent. Ces embeddings peuvent rester des données personnelles lorsqu'ils sont liés à un utilisateur ou à une conversation.

L'Utilisateur doit pouvoir supprimer ou désactiver les mémoires lorsqu'une fonctionnalité de gestion est proposée. Les mémoires supprimées peuvent être conservées sous forme de marqueur technique de suppression pour éviter leur recréation automatique.

Les portraits email, snapshots d'analyse, emails scannés pour onboarding et conversations de collecte d'information doivent être décrits dans les durées de conservation et couverts par le DPA lorsque les données appartiennent au Client.

Lorsque le Client active Shopify, Flapy peut traiter le domaine de boutique, nom de boutique, email de boutique, token d'accès, scopes, métadonnées et données nécessaires à la réponse support : commandes, clients, emails, téléphone, adresses, tags, notes, dates, états de paiement, livraison, annulation, retour, remboursement, devise et montants.

Lorsque le Client active Stripe, Flapy peut traiter les données du compte connecté : identifiant externe, email, nom d'entreprise, email support, site, pays, devise, statut de charges/payouts, mode live/test, scopes, clé publiable, métadonnées et données de paiement nécessaires aux fonctionnalités support activées.

Lorsque le Client connecte une API personnalisée, Flapy peut traiter l'URL, le secret chiffré, les réponses de l'API et les données métier récupérées selon la configuration du Client.

Ces connecteurs sont optionnels. Le Client reste responsable des droits, permissions, informations préalables et bases légales concernant les données de ses propres clients, prospects ou partenaires.

Le formulaire de contact du site traite les données fournies volontairement : email, nom éventuel, entreprise éventuelle, sujet et message. Ces informations servent uniquement à répondre à la demande, qualifier le besoin, assurer le suivi commercial ou support et prévenir les abus via un champ anti-spam non visible.

L'application Flapy ne stocke pas, dans les demandes de contact, l'adresse IP, le user-agent, le referrer ou l'origin. Des logs techniques d'hébergement, CDN, reverse proxy ou sécurité peuvent toutefois traiter temporairement des informations de connexion pour assurer le fonctionnement et la sécurité du site.

Base légale : mesures précontractuelles ou intérêt légitime selon la nature de la demande. Les données de contact sont conservées pour une durée limitée, par exemple 24 mois après le dernier échange, sauf relation contractuelle, obligation légale ou demande d'effacement applicable.

Flapy utilise des cookies ou mécanismes similaires strictement nécessaires : session d'authentification, refresh token, sécurité, OAuth state/PKCE, préférence de langue, maintien de la connexion et fonctionnement de l'application.

La préférence de langue peut être mémorisée dans un cookie local. Les cookies d'authentification et de sécurité sont nécessaires au Service et ne requièrent généralement pas de consentement lorsqu'ils sont strictement limités à cette finalité.

Si Flapy active analytics, publicité, retargeting, pixels tiers ou mesure d'audience non strictement nécessaire, ces traceurs doivent être listés et soumis à consentement lorsque la loi applicable l'exige.

Les notifications push, lorsqu'elles sont activées par l'Utilisateur, nécessitent un endpoint de notification, des clés techniques et parfois un user-agent de navigateur pour le diagnostic. L'Utilisateur peut désactiver les notifications depuis le navigateur ou l'application.

Les durées exactes doivent être confirmées avant lancement public et documentées dans le registre de traitements. À défaut de règle plus spécifique, Flapy applique une logique de minimisation : conserver les données uniquement tant qu'elles sont nécessaires au Service, à la sécurité, aux obligations légales ou à la défense de droits.

Les données sont accessibles uniquement aux personnes et prestataires qui en ont besoin : équipe Flapy autorisée, hébergeur, base de données, stockage objet, fournisseurs email et SMTP, prestataires IA, outils de monitoring, support, paiement, fournisseurs OAuth, connecteurs activés et conseils juridiques ou comptables si nécessaire.

À compléter avant publication : liste nominative des sous-traitants, pays, rôle, type de données, mesures de transfert et lien vers leurs politiques. Cette liste peut être publiée dans une page Sous-traitants distincte.

Flapy ne vend pas les données personnelles. Les données ne sont pas partagées avec des annonceurs, courtiers en données ou réseaux publicitaires pour leurs propres finalités.

Certains prestataires peuvent être situés hors de l'Union européenne ou traiter des données depuis des pays tiers, notamment des fournisseurs cloud, IA, OAuth, support ou paiement.

Lorsque le RGPD s'applique et qu'un transfert hors UE a lieu, Flapy doit s'appuyer sur un mécanisme valable : décision d'adéquation, clauses contractuelles types, mesures supplémentaires, consentement explicite lorsque pertinent ou autre base prévue par le droit applicable.

La liste des sous-traitants doit préciser les transferts concernés et les garanties associées. Les clients professionnels peuvent demander les informations nécessaires dans le cadre du DPA.

Selon le droit applicable, les personnes concernées peuvent demander l'accès, la rectification, l'effacement, la limitation, l'opposition, la portabilité, le retrait du consentement lorsque le traitement repose sur le consentement et des informations sur les traitements automatisés.

Les demandes peuvent être envoyées à contact@flapy.ai avec les informations nécessaires pour identifier le compte ou la demande. Flapy peut demander une vérification d'identité lorsque cela est nécessaire à la sécurité.

Lorsque Flapy agit comme sous-traitant pour un Client, les demandes concernant les clients finaux ou contacts du Client peuvent devoir être adressées au Client responsable du traitement. Flapy assistera le Client selon le DPA applicable.

Les personnes situées dans l'UE peuvent introduire une réclamation auprès de leur autorité de contrôle compétente, par exemple la CNIL en France si elle est compétente pour la situation.

L'Utilisateur peut révoquer l'accès Google depuis les paramètres de sécurité de son compte Google et l'accès Microsoft depuis les paramètres Microsoft/Entra applicables. La révocation empêche les nouveaux accès, mais ne supprime pas automatiquement toutes les données déjà synchronisées dans Flapy.

Le Client peut demander la suppression du compte, la déconnexion d'une boîte, la suppression des données synchronisées, l'effacement des mémoires ou l'export de données lorsque ces fonctionnalités ou droits sont applicables.

La suppression peut être différée pour les sauvegardes, obligations légales, factures, sécurité, litiges, prévention de fraude ou marqueurs techniques évitant la recréation de mémoires supprimées.

Flapy met en œuvre des mesures raisonnables : chiffrement en transit, chiffrement des tokens OAuth au repos lorsque stockés, contrôle d'accès, séparation logique des données par compte, limitation des accès internes, sauvegardes, surveillance, journalisation proportionnée, révocation des tokens et procédures d'incident.

Les données restent néanmoins exposées à certains risques inhérents aux services en ligne et aux intégrations tierces. Le Client doit protéger ses comptes Google/Microsoft/Shopify/Stripe, appliquer le moindre privilège, retirer les accès inutiles et informer Flapy rapidement en cas d'incident suspecté.

Pour les scopes Google restreints, Flapy peut devoir démontrer des pratiques de sécurité renforcées et, selon les seuils et règles Google applicables, passer une évaluation de sécurité indépendante.

Flapy est destiné à un usage professionnel et n'est pas conçu pour des enfants. Les utilisateurs ne doivent pas connecter ou traiter volontairement des données de mineurs, de santé, biométriques, financières sensibles, infractions ou autres catégories particulières sans base légale, information et mesures de sécurité adaptées.

Comme les emails peuvent contenir des données imprévues, le Client doit configurer ses usages, accès et règles internes pour limiter les données traitées à ce qui est nécessaire.

Flapy peut automatiser certaines tâches opérationnelles configurées par l'Utilisateur, comme le classement, les priorités, les états de conversation, les demandes d'information ou la préparation de brouillons.

Flapy ne doit pas prendre de décision produisant des effets juridiques ou significatifs similaires sur une personne sans base légale, information spécifique et garanties appropriées. Les brouillons générés doivent être relus avant envoi.

Flapy peut mettre à jour cette politique en cas de nouveau fournisseur, nouveau connecteur, nouvelle finalité, changement de durée de conservation, modification légale ou évolution importante du Service.

En cas de changement substantiel concernant les données Google, Microsoft ou les traitements principaux, Flapy doit informer les Utilisateurs de manière appropriée et demander un consentement ou une autorisation renouvelée lorsque cela est requis.