Politique de confidentialité

1. Rôles de Catalog au titre du RGPD

Selon le contexte, Catalog agit soit en responsable du traitement, soit en sous-traitant au sens du RGPD.

Catalog agit en responsable du traitement pour la gestion de son site, de ses prospects, de ses comptes utilisateurs, de son support et de ses obligations légales.

Catalog agit en sous-traitant lorsqu'elle traite des données personnelles contenues dans les e-mails, commandes, devis, pièces jointes, données clients, données produits ou systèmes ERP pour le compte de ses clients B2B.

Catalog SAS, société par actions simplifiée au capital social de 2 001 000 €, immatriculée au RCS de Bordeaux sous le numéro 950 871 848.

Siège social : 51 Quai Lawton, 33300 Bordeaux, France.

Contact données personnelles : dpo@startcatalog.com.

2. Données collectées

Nous collectons et traitons les catégories de données suivantes :

• Données de compte utilisateur : nom, prénom, e-mail professionnel, mot de passe haché, rôle, organisation (vendeur).
• Contenu des boîtes mail connectées (Gmail, Microsoft 365 / Outlook, IMAP) : messages entrants et sortants, pièces jointes, expéditeurs, destinataires, sujets, en-têtes, libellés / catégories, threads, identifiants techniques.
• Données métier B2B : commandes, devis, produits, clients, prix, intégrations ERP.
• Logs applicatifs et techniques : adresses IP, user-agent, identifiants de session, traces d'exécution, erreurs, métriques de performance.
• Cookies et données de navigation sur startcatalog.com, le cas échéant, gérés via le bandeau ou module de gestion des cookies.
• Données téléphoniques (lorsque renseignées par vos clients) : numéros normalisés à des fins de matching.

3. Finalités et bases légales

Nous traitons vos données pour les finalités suivantes :

• Fournir le service Catalog (exécution du contrat) : ingestion d'e-mails, extraction de commandes, classification, suivi, envoi de réponses, intégration ERP.
• Améliorer la qualité du service et les performances des fonctionnalités d'IA configurées pour le service (intérêt légitime ou exécution du contrat selon le contexte) : évaluation, contrôle qualité, détection d'erreurs. Aucune donnée client n'est utilisée pour entraîner des modèles publics ou généralistes.
• Sécurité, prévention des fraudes et continuité (intérêt légitime et obligation légale).
• Communications transactionnelles et support (exécution du contrat).
• Communications marketing (consentement uniquement, désinscription possible à tout moment).

4. Traitement par intelligence artificielle

Catalog s'appuie sur des modèles d'IA, y compris des modèles tiers, pour analyser le contenu des e-mails, extraire les commandes, classifier les messages et générer des réponses suggérées.

Lorsque des fournisseurs de modèles d'IA tiers sont utilisés, Catalog configure les services et encadre contractuellement ses fournisseurs afin que les données client ne soient pas utilisées pour entraîner des modèles publics ou généralistes.

Aucune décision purement automatisée produisant des effets juridiques ou affectant significativement une personne n'est prise sans intervention humaine. Vous gardez la main finale sur l'envoi à votre ERP ou à vos clients.

5. Conformité Google API Services User Data Policy (Limited Use)

L'utilisation par Catalog des informations reçues des API Google, y compris Gmail, est conforme à la politique Google API Services User Data Policy, et notamment aux exigences de Limited Use (utilisation limitée).

Concrètement : nous utilisons les données Gmail uniquement pour fournir les fonctionnalités demandées par l'utilisateur (Smart Inbox, Smart Order, Smart Agents) ; nous ne vendons jamais ces données ; nous ne les utilisons pas pour de la publicité ; nous ne les transférons à des tiers que dans le cadre strict d'exécution du service (sous-traitants listés ci-dessous) ; les humains chez Catalog ne lisent pas vos e-mails sauf accord explicite, obligation légale, finalités de sécurité ou de support utilisateur.

Les données Gmail sont conservées uniquement pendant la durée nécessaire à la fourniture du service, conformément aux durées de conservation indiquées ci-dessous, puis supprimées ou anonymisées selon les paramètres applicables et les obligations contractuelles.

6. Conformité Microsoft Graph et IMAP

Lorsque vous connectez une boîte Microsoft 365 / Outlook ou IMAP, les principes ci-dessus (minimisation, non-revente, non-publicité, non-réutilisation pour entraînement public) s'appliquent à l'identique.

Les jetons d'accès et de rafraîchissement sont chiffrés au repos. Vous pouvez révoquer l'accès à tout moment depuis votre console d'administration Microsoft, votre fournisseur de messagerie, ou la console Catalog selon le mode de connexion utilisé.

7. Sous-traitants et partenaires

Pour exploiter le service, nous faisons appel aux sous-traitants suivants. Chacun est lié par un accord de traitement de données conforme au RGPD.

8. Localisation des données

Catalog privilégie l'hébergement et le traitement des données au sein de l'Union européenne ou de l'Espace Économique Européen.

Lorsque les engagements contractuels conclus avec un client prévoient un hébergement ou un traitement exclusivement dans l'Espace Économique Européen, ces engagements spécifiques prévalent pour le client concerné.

Dans l'hypothèse où un transfert hors de l'Espace Économique Européen serait nécessaire, Catalog s'assurerait qu'il repose sur un mécanisme de transfert conforme au RGPD, tel qu'une décision d'adéquation, les Clauses contractuelles types de la Commission européenne, ou toute autre garantie appropriée.

9. Durées de conservation

• Données de compte : pendant toute la durée de la relation contractuelle, puis 3 ans à des fins probatoires.
• Contenu des e-mails et pièces jointes connectés : durée nécessaire à la fourniture du service, puis suppression dans un délai raisonnable après résiliation, déconnexion de la boîte ou demande applicable, sauf obligation légale ou contractuelle contraire.
• Pièces jointes archivées sur S3 pour les besoins d'extraction Smart Order : durée nécessaire à la fourniture du service, selon les paramètres applicables au client.
• Logs techniques : durée limitée aux besoins de supervision, de sécurité, de diagnostic et de continuité du service, selon les paramètres applicables aux systèmes concernés.
• Données analytiques BigQuery : 13 mois par défaut, paramétrable.
• Données comptables et factures : 10 ans (obligation légale).

10. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées : chiffrement TLS en transit, chiffrement au repos pour les jetons OAuth et les secrets, isolation stricte des environnements et des données par client, contrôle d'accès basé sur les rôles, journalisation et alerting, revues de code, tests automatisés et supervision continue.

Catalog prépare ou réalise les évaluations de sécurité requises par Google pour l'utilisation de scopes Gmail restreints, lorsque ces scopes sont nécessaires au service.

11. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Accès, rectification, effacement de vos données personnelles.
• Limitation et opposition au traitement.
• Portabilité de vos données.
• Retrait du consentement à tout moment, sans effet rétroactif.
• Définition de directives post-mortem.
• Réclamation auprès de la CNIL (cnil.fr).

12. Cookies

Lorsque des cookies non essentiels sont utilisés, ils sont soumis à votre consentement via le bandeau ou le module de gestion des cookies disponible sur le site. Vous pouvez modifier vos préférences à tout moment.

13. Modifications

Nous pouvons mettre à jour cette politique pour refléter des évolutions juridiques, techniques ou commerciales. La date de dernière mise à jour figure en tête de page. Pour les changements substantiels, nous vous notifierons par e-mail ou via l'application.