Politique de confidentialité

Dernière mise à jour : avril 2026

1. Responsable du traitement

Suleiman Mulla, entrepreneur individuel (SIRET : 985 226 299 00040), éditeur de la plateforme Phano (ci-après « Phano », « nous »), est responsable du traitement des données personnelles collectées via la plateforme (ci-après « le Service »).

Contact : privacy@phano.ai

2. Données collectées

Nous collectons les catégories de données suivantes :

  • Données d'identification : nom, prénom, adresse email professionnelle
  • Données de connexion : adresse IP, user-agent, horodatage des connexions
  • Données d'usage : interactions avec le Service, meetings détectés, briefs générés
  • Données calendrier : événements de calendrier connectés (Google Calendar, Microsoft Outlook), uniquement les métadonnées (titre, date, participants)
  • Données CRM : informations de comptes et contacts synchronisées depuis votre CRM (HubSpot, Salesforce) avec votre consentement explicite
  • Données email : métadonnées des emails synchronisés (expéditeur, destinataire, objet, date) depuis Gmail ou Outlook, avec votre consentement explicite

3. Finalités du traitement

  • Fourniture du Service : préparation de rendez-vous, suivi de la relation client, analyse de signaux
  • Amélioration du Service : analyse d'usage agrégée et anonymisée
  • Sécurité : détection de fraude, logs d'audit, rate limiting
  • Communication : emails transactionnels (confirmation, notifications, alertes)

4. Base légale

  • Exécution du contrat (Art. 6.1.b RGPD) : traitement nécessaire à la fourniture du Service
  • Consentement (Art. 6.1.a RGPD) : connexion de calendrier, email et CRM tiers
  • Intérêt légitime (Art. 6.1.f RGPD) : sécurité, prévention de la fraude

5. Traitement par intelligence artificielle

Le Service utilise des fournisseurs d'intelligence artificielle tiers pour analyser des données et générer du contenu contextuel. Avant tout envoi à un fournisseur IA :

  • Les données personnelles identifiantes (noms, emails, téléphones) sont anonymisées automatiquement
  • Les données sont envoyées de manière ponctuelle et ne sont pas utilisées pour entraîner les modèles
  • Les fournisseurs utilisés sont conformes SOC 2 Type II et offrent des garanties contractuelles de non-rétention des données

6. Utilisation des données Google

Le Service accède aux API Google suivantes avec votre consentement explicite :

  • Google Calendar API (lecture seule) : pour importer vos meetings clients et générer des briefs contextuels avant chaque rendez-vous
  • Gmail API (lecture et envoi) : pour synchroniser vos emails clients et permettre l'envoi d'emails depuis le Service
  • Google UserInfo : pour identifier votre adresse email de connexion

Utilisation : les données Google sont utilisées exclusivement pour fournir les fonctionnalités du Service décrites ci-dessus. Elles ne sont jamais utilisées à des fins publicitaires, de profilage, ou revendues à des tiers.

Partage : les données Google ne sont partagées avec aucun tiers, à l'exception des sous-traitants listés en section 8, dans le strict cadre de la fourniture du Service.

Conservation : lors de la déconnexion d'une intégration calendrier, les réunions futures sont automatiquement supprimées. Les réunions passées et leurs données associées (briefs, comptes-rendus, notes) sont conservées en tant que données métier CRM. Toutes les données calendrier sont définitivement supprimées à la suppression de votre compte. Les données email sont supprimées dès la déconnexion de l'intégration correspondante.

Révocation : vous pouvez révoquer l'accès de Phano à vos données Google à tout moment depuis la page Paramètres > Intégrations du Service, ou depuis myaccount.google.com/permissions.

L'utilisation des données reçues via les API Google est conforme à la Google API Services User Data Policy, y compris les exigences de Limited Use.

7. Durée de conservation

  • Données de compte : durée de la relation contractuelle + 3 ans
  • Logs d'audit : 12 mois (purgés automatiquement)
  • Données de calendrier : réunions futures supprimées à la déconnexion ; réunions passées conservées comme données métier (supprimées à la clôture du compte)
  • Données CRM/email : supprimées lors de la déconnexion de l'intégration
  • Cache LLM : 30 jours (TTL configurable)

8. Sous-traitants

Sous-traitantFinalitéLocalisation
Hébergeur cloudBase de données, authentificationEU (Ireland)
Hébergeur applicatifHébergement et CDNEU
Fournisseurs IA (SOC 2 Type II)Analyse et génération de contenuUS (DPA signé)
StripePaiementUS (SCC)
Fournisseur email transactionnelEmails de notificationUS (SCC)
Gestionnaire OAuthConnexions sécurisées aux services tiersEU

9. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès (Art. 15) : obtenir une copie de vos données
  • Droit de rectification (Art. 16) : corriger vos données
  • Droit à l'effacement (Art. 17) : supprimer votre compte et toutes les données associées
  • Droit à la portabilité (Art. 20) : exporter vos données au format JSON
  • Droit d'opposition (Art. 21) : vous opposer au traitement basé sur l'intérêt légitime

Ces droits sont exercables directement depuis votre profil (Paramètres > RGPD) ou par email à privacy@phano.ai. Délai de réponse : 30 jours.

10. Sécurité

  • Chiffrement en transit (TLS 1.3) et au repos (AES-256)
  • Tokens d'accès tiers chiffrés côté serveur
  • Isolation stricte des données par organisation
  • Logs d'audit de toutes les opérations sensibles
  • Authentification multi-facteurs disponible

11. Cookies

Le Service utilise uniquement des cookies techniques :

  • Session Supabase : authentification (strictement nécessaire)
  • OAuth state : protection CSRF lors des connexions tierces (temporaire)
  • Préférence de langue : cookie next-intl

Aucun cookie publicitaire ou de tracking tiers n'est utilisé.

12. Contact et réclamation

Pour toute question relative à la protection de vos données : privacy@phano.ai

En cas de litige non résolu, vous pouvez saisir la CNIL(Commission Nationale de l'Informatique et des Libertés) :
www.cnil.fr/fr/plaintes