Politique de Confidentialité
Version 2.0 — Date d'effet : 22 juin 2026
1. Rôles
- •Pour les données de compte, d'organisation et de facturation, l'Éditeur de Flowo est responsable de traitement.
- •Pour les données traitées pour le compte de la Structure (messages vocaux, transcriptions, contacts, et le cas échéant données relatives à ses clients/patients), l'Éditeur agit en sous-traitant au sens de l'art. 28 RGPD ; la Structure est responsable de traitement. Ces traitements sont encadrés par l' Accord de sous-traitance (DPA).
- •Contact protection des données : via le système de support intégré au Service.
2. Données collectées
- •Identification : nom, prénom, email, mot de passe (haché), langue ; le cas échéant identité du compte Google (connexion OAuth).
- •Organisation : nom de la Structure, contact, rôles/permissions.
- •Contenu : messages vocaux (audio, transcription, résumé IA), emails importés, numéro et nom de l'appelant, catégorisation/priorité/statut. Ce contenu peut, selon l'activité de la Structure, contenir des données sensibles (art. 9 RGPD) — la Structure, responsable de traitement, doit s'assurer de disposer de la base légale appropriée.
- •Technique : adresse IP, user-agent, logs d'audit, données de performance.
- •Identifiants tiers : tokens/identifiants des intégrations optionnelles activées (téléphonie, etc.) — chiffrés (AES-256-GCM).
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du Service | Exécution du contrat (art. 6.1.b) |
| Gestion des comptes | Exécution du contrat (art. 6.1.b) |
| Amélioration / correction de bugs | Intérêt légitime (art. 6.1.f) |
| Communications marketing | Consentement (art. 6.1.a) |
| Obligations légales (facturation, etc.) | Obligation légale (art. 6.1.c) |
4. Sous-traitants et destinataires
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| OVH | Hébergement + téléphonie (récupération des vocaux) | France / UE |
| Stripe | Traitement des paiements | UE / États-Unis |
| OpenAI | Transcription et analyse par IA | États-Unis |
| Anthropic | Analyse et classification par IA | États-Unis |
La transcription et l'analyse par IA sont réalisées via des prestataires spécialisés (OpenAI, Anthropic). Selon la configuration de l'instance, ces traitements peuvent également être exécutés en local sur un serveur dédié (mode souverain, sans transmission à un service d'IA externe).
Les transferts hors UE (OpenAI, Anthropic, Stripe) sont encadrés par les clauses contractuelles types de la Commission européenne (art. 46.2.c RGPD) et/ou le EU-US Data Privacy Framework.
5. Durées de conservation
| Donnée | Durée |
|---|---|
| Messages et fichiers audio | Configurable par la Structure (défaut : 365 jours) |
| Messages archivés | 30 jours après archivage |
| Données de compte | Durée du contrat + 30 jours |
| Logs d'audit | Conservation prolongée (preuve / obligation) |
| Historique de consentement | Conservation prolongée (preuve de conformité) |
| Données de facturation | 10 ans (obligation comptable) |
6. Sécurité
Chiffrement des identifiants (AES-256-GCM), hachage des mots de passe (bcrypt), HTTPS, CSP stricte, limitation de débit, journalisation immuable, contrôle d'accès par rôles (RBAC).
7. Droits des personnes
Accès (art. 15), rectification (16), effacement (17), limitation (18), portabilité (20), opposition (21), retrait du consentement — exerçables via les paramètres du Service ou le support intégré. Pour les données traitées pour le compte d'une Structure, les demandes sont relayées au responsable (la Structure).
8. Cookies
Le Service utilise uniquement des cookies strictement nécessaires (session better-auth, préférence de langue NEXT_LOCALE). Aucun cookie tiers, de traçage publicitaire ou d'analyse comportementale — aucun bandeau cookie nécessaire (exemption CNIL — cookies strictement nécessaires).
9. Réclamation
Vous pouvez introduire une réclamation auprès de la CNIL.
10. Modification
En cas de modification substantielle, information dans le Service + nouvelle acceptation. Historique des versions conservé.
Dernière mise à jour : 22 juin 2026