Politique de Confidentialite
Version 1.0 — Date d'effet : 10 fevrier 2026
1. Responsable du traitement
Le responsable du traitement des donnees personnelles collectees via la plateforme Flowo est l'Editeur du Service, tel que defini dans les Conditions Generales d'Utilisation.
2. Donnees collectees
2.1 Donnees d'identification
- •Nom, prenom, adresse email
- •Mot de passe (stocke sous forme hachee, jamais en clair)
- •Preference de langue
2.2 Donnees d'organisation
- •Nom de l'organisation, email de contact
- •Roles et permissions des membres
2.3 Donnees de messagerie
- •Messages vocaux : fichiers audio, transcriptions, resumes IA
- •Emails importes : objet, contenu, expediteur
- •Numero de telephone de l'appelant, nom identifie
- •Categorisation, priorite et statut des messages
2.4 Donnees de patients
- •Nom, prenom, date de naissance
- •Telephone, email, adresse
- •Historique des seances et suivis
2.5 Donnees techniques
- •Adresse IP et user-agent (consentement)
- •Logs d'audit des actions
- •Donnees de performance (Sentry)
2.6 Identifiants de services tiers
- •Identifiants Orange — chiffres AES-256-GCM
- •Mot de passe Gmail — chiffre AES-256-GCM
- •Token Notion — chiffre AES-256-GCM
3. Finalites et bases legales
| Finalite | Base legale |
|---|---|
| Fourniture du Service (transcription, gestion, patients) | Execution du contrat (Art. 6.1.b RGPD) |
| Gestion des comptes utilisateurs | Execution du contrat (Art. 6.1.b RGPD) |
| Amelioration du Service et correction de bugs | Interet legitime (Art. 6.1.f RGPD) |
| Monitoring des erreurs (Sentry) | Interet legitime (Art. 6.1.f RGPD) |
| Communications marketing | Consentement (Art. 6.1.a RGPD) |
| Respect des obligations legales | Obligation legale (Art. 6.1.c RGPD) |
4. Sous-traitants et transferts de donnees
| Sous-traitant | Finalite | Localisation |
|---|---|---|
| OpenAI | Transcription audio (Whisper) et analyse IA | Etats-Unis |
| Sentry | Monitoring des erreurs applicatives | Etats-Unis |
| Orange | Recuperation des messages vocaux | France |
| Google (Gmail) | Import d'emails | Etats-Unis |
| Notion | Synchronisation de donnees | Etats-Unis |
Les transferts vers les Etats-Unis sont encadres par les clauses contractuelles types de la Commission europeenne (Art. 46.2.c RGPD) et/ou le EU-US Data Privacy Framework.
5. Duree de conservation
| Type de donnees | Duree |
|---|---|
| Messages et fichiers audio | Configurable par l'Administrateur (defaut : 365 jours) |
| Messages archives | 30 jours apres archivage |
| Donnees de compte | Duree du contrat + 30 jours |
| Logs d'audit | Conservation illimitee (obligation legale) |
| Historique de consentement | Conservation illimitee (preuve de conformite) |
| Donnees de facturation | 10 ans (obligation comptable) |
La politique de retention est visible par tous les utilisateurs dans Parametres > Confidentialite.
6. Securite des donnees
Chiffrement identifiants
AES-256-GCM pour mots de passe et tokens tiers
Hachage mots de passe
bcrypt pour les mots de passe utilisateurs
HTTPS
Toutes les communications chiffrees en transit
CSP Headers
Content Security Policy strict contre les attaques XSS
Rate limiting
Protection contre les attaques par force brute
Audit trail
Journalisation immutable des actions sensibles
RBAC
Controle d'acces base sur les roles
7. Droits des utilisateurs
| Droit | Comment l'exercer |
|---|---|
| Acces (Art. 15) | Parametres > Export de donnees (format ZIP) |
| Rectification (Art. 16) | Modification dans les parametres du compte |
| Effacement (Art. 17) | Parametres > Suppression du compte |
| Portabilite (Art. 20) | Export de donnees en format structure (ZIP) |
| Opposition (Art. 21) | Desactivation du marketing dans Confidentialite |
| Retrait du consentement | A tout moment dans Parametres > Confidentialite |
8. Cookies
Le Service utilise uniquement des cookies strictement necessaires :
better-auth.session_token
Session utilisateur
NEXT_LOCALE
Preference linguistique
Aucun cookie tiers, de tracage publicitaire ou d'analyse comportementale. Aucun bandeau cookie necessaire (exemption CNIL — cookies strictement necessaires).
9. Modification de la politique
En cas de modification substantielle, un bandeau d'information sera affiche dans le Service et vous serez invite a accepter la nouvelle version. L'historique des versions est conserve.
10. Contact
Pour toute question relative a la protection de vos donnees personnelles, contactez-nous via le systeme de tickets support integre au Service.
Vous avez egalement le droit d'introduire une reclamation aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes).
Derniere mise a jour : 10 fevrier 2026