Document légal
Politique de confidentialité
Version 1.1 — Dernière mise à jour : Avril 2026
SaaS Trouve Tes Clients — SIREN 902100189
1. Responsable du traitement
Albéric Hueber — Trouve Tes Clients — Entrepreneur individuel
SIREN : 902100189 — Code APE : 7022Z
Adresse : Alsace, France
Email de contact pour la protection des données : privacy@trouvetesclients.com
2. Données collectées et finalités des traitements
2.1. Données relatives aux clients et utilisateurs
Données collectées :
- Données d'identification : nom, prénom, fonction, entreprise,
- Coordonnées professionnelles : adresse email, numéro de téléphone professionnel, adresse postale, pays,
- Données de compte : identifiant, mot de passe (hashé), préférences, droits d'accès,
- Données de facturation : historique de facturation, moyen de paiement via Stripe (aucun numéro de carte bancaire n'est stocké par Trouve Tes Clients),
- Données d'utilisation du Service : logs de connexion, actions effectuées, configuration du compte, statistiques d'utilisation.
Finalités associées : création et gestion des comptes utilisateurs, fourniture du Service, facturation et comptabilité, support client, amélioration du Service, sécurité et prévention de la fraude.
2.2. Données de prospects tierces (importées par les clients)
Le Client peut importer ou saisir des données de prospects (nom, prénom, poste, entreprise, profil LinkedIn, coordonnées professionnelles, historique des échanges).
Pour ces données, le Client agit en tant que responsable du traitement ; Trouve Tes Clients agit en tant que sous-traitant au sens de l'article 28 du RGPD.
2.3. Données de navigation et cookies
Le site et l'application peuvent collecter, via des cookies et autres traceurs, des informations techniques et de navigation. Se reporter à la Politique de gestion des cookies pour plus de détails.
3. Bases légales des traitements
- Exécution du contrat(article 6.1.b RGPD) : création et gestion des comptes, fourniture du Service, facturation, support.
- Respect d'une obligation légale(article 6.1.c RGPD) : obligations comptables et fiscales.
- Intérêt légitime(article 6.1.f RGPD) : sécurité du Service, prévention de la fraude, amélioration continue.
- Consentement(article 6.1.a RGPD) : cookies analytiques et communications marketing facultatives.
4. Sous-traitants et transferts de données hors UE
- Hetzner / Coolify — Hébergement applicatif (compute) : 🇩🇪 Allemagne. Données traitées : Données en transit / traitement (chiffrées). Aucun transfert hors UE.
- Supabase — Base de données PostgreSQL et stockage : 🇮🇪 Dublin eu-west-1 (infra AWS) ; éditeur établi aux États-Unis. Données traitées : Toutes les données utilisateur sauf les données de paiement. Transfert hors UE encadré par CCT 2021/914 + DPA (éditeur soumis au droit US).
- Clerk — Authentification, sessions, OAuth : 🇺🇸 États-Unis (pas de région UE). Données traitées : Email, nom, mot de passe hashé, sessions, tokens OAuth. Transfert hors UE encadré par CCT 2021/914 + Data Privacy Framework.
- Anthropic — Génération de messages par IA (Claude) : 🇺🇸 États-Unis. Données traitées : Contenu des prompts (incluant des données de profil prospect / PII) et messages générés. Transfert hors UE encadré par CCT 2021/914 + DPA.
- Stripe — Paiements et facturation : 🇮🇪 entité régulée + 🇺🇸 maison-mère. Données traitées : Email, nom, carte tokenisée, historique des paiements. Transfert hors UE encadré par CCT + DPA + adéquation Irlande.
- Resend — Envoi des emails transactionnels et marketing : 🇺🇸 États-Unis (comptes, journaux et métadonnées stockés aux US). Données traitées : Email, nom, contenu des emails. Transfert hors UE encadré par CCT 2021/914 + DPA.
- Inngest — Orchestration des workflows asynchrones : 🇺🇸 États-Unis. Données traitées : Métadonnées de jobs et payloads pouvant contenir des données personnelles. Transfert hors UE encadré par CCT 2021/914 + DPA.
- Upstash — Limitation de débit et cache IA : Éditeur US, région de traitement UE (AWS). Données traitées : Compteurs techniques ; cache de générations IA (pouvant contenir des données personnelles). Transfert hors UE encadré par CCT + Data Privacy Framework.
- Sentry — Supervision des erreurs et performance : 🇺🇸 États-Unis (région UE disponible, non activée). Données traitées : Traces techniques, journaux d’erreurs (données personnelles résiduelles possibles). Transfert hors UE encadré par CCT 2021/914 + DPA.
- PostHog — Analyse produit : Éditeur US, cloud UE (eu.i.posthog.com). Données traitées : Événements d’usage, parcours. Transfert hors UE encadré par CCT + DPA.
- Svix — Vérification des webhooks : 🇺🇸 États-Unis. Données traitées : Métadonnées de webhooks. Transfert hors UE encadré par CCT 2021/914.
- Cloudflare — DNS, anti-bot (Turnstile), WAF : 🌍 Réseau mondial (edge). Données traitées : Métadonnées réseau, jetons CAPTCHA. Transfert hors UE encadré par CCT 2021/914.
- Meta / WhatsApp — Messagerie client (Graph API) : 🇺🇸 États-Unis. Données traitées : Messages, médias, listes de diffusion. Transfert hors UE encadré par CCT 2021/914 + DPA.
- Google — OAuth Agenda/Tâches et notifications push (FCM) : 🇺🇸 États-Unis. Données traitées : Tokens OAuth, contenu agenda/tâches, jetons de notification push. Transfert hors UE encadré par CCT 2021/914 + DPA.
- Deepgram — Transcription audio (speech-to-text) : 🇺🇸 États-Unis. Données traitées : Fichiers audio, transcriptions. Transfert hors UE encadré par CCT 2021/914 + DPA.
- Mistral — IA de repli + synthèse vocale (TTS) : 🇫🇷 France. Données traitées : Données IA si le repli est actif ; texte d'entraînement synthétisé en audio (module coach-langues). Aucun transfert hors UE.
- Pappers — Enrichissement entreprises (SIREN, dirigeants) : 🇫🇷 France. Données traitées : Numéros SIREN/SIRET interrogés (données publiques d’entreprise). Aucun transfert hors UE.
- Honeycomb — Traces techniques (observabilité, OTLP) : 🇺🇸 États-Unis. Données traitées : Traces techniques. Transfert hors UE encadré par CCT 2021/914.
Les transferts hors UE sont encadrés par des garanties appropriées (clauses contractuelles types de la Commission européenne). Certains prestataires sont édités par des sociétés soumises au droit des États-Unis et donc susceptibles d'être visées par le Cloud Act, y compris lorsque les serveurs sont localisés dans l'Union européenne ; des mesures supplémentaires (chiffrement, minimisation) s'appliquent. La liste complète et à jour des sous-traitants figure dans notre registre des sous-traitants.
5. Durées de conservation
- Données de compte et d'utilisation :pendant la durée de l'abonnement + 30 jours après résiliation.
- Données de prospects importées :pendant la durée de l'abonnement + 30 jours après résiliation.
- Données de facturation :10 ans à compter de la clôture de l'exercice.
- Logs techniques de sécurité :12 mois maximum.
- Logs de connexion simples et journaux applicatifs :90 jours maximum.
- Preuves de consentement (cookies, marketing) :3 ans après le dernier contact actif.
Au terme de ces délais, les données sont supprimées ou anonymisées de manière irréversible.
6. Sécurité des données
Mesures mises en œuvre :
- chiffrement des communications (TLS 1.2 ou supérieur),
- chiffrement des données au repos,
- gestion stricte des accès internes (principe du moindre privilège, RBAC),
- pseudonymisation de certaines données techniques,
- journalisation des accès et actions sensibles,
- politique de sauvegarde régulière et tests périodiques de restauration.
En cas de violation de données à caractère personnel, Trouve Tes Clients notifiera la CNIL dans les 72 heures.
7. Droits des personnes concernées
Toute personne concernée dispose des droits suivants :
- droit d'accès à ses données (article 15 RGPD),
- droit de rectification (article 16 RGPD),
- droit à l'effacement / droit à l'oubli (article 17 RGPD),
- droit à la limitation du traitement (article 18 RGPD),
- droit d'opposition au traitement (article 21 RGPD),
- droit à la portabilité des données (article 20 RGPD).
Pour exercer ces droits : privacy@trouvetesclients.com. Réponse dans un délai maximum de 30 jours.
8. Autorités de contrôle compétentes
- En France :Commission Nationale de l'Informatique et des Libertés (CNIL) — www.cnil.fr
- En Suisse : Préposé fédéral à la protection des données et à la transparence (PFPDT) — www.edoeb.admin.ch
9. Spécificités pour les utilisateurs suisses (nLPD)
Pour les clients et utilisateurs situés en Suisse, la nouvelle loi fédérale sur la protection des données (nLPD) s'applique en complément du RGPD. Les données sensibles sont traitées avec un niveau de protection renforcé. Les violations de données susceptibles d'entraîner un risque élevé sont notifiées sans retard au PFPDT.
10. Mise à jour de la politique de confidentialité
La présente politique peut être modifiée à tout moment. En cas de modification substantielle, les clients seront informés par email ou via l'interface du Service.
11. Droit applicable et juridiction compétente
La présente politique est régie par le droit français. Sans préjudice du droit, pour toute personne concernée, d'introduire une réclamation auprès de la CNIL ou de l'autorité de contrôle de son lieu de résidence, tout litige relatif à l'interprétation ou à l'exécution de la présente politique relève de la compétence du Tribunal de commerce de Colmar pour les contrats B2B, et des règles de compétence territoriale protectrices du consommateur pour les contrats B2C.