Politique de confidentialité

Dernière mise à jour : juin 2026

1. Responsable du traitement

Suleiman Mulla, entrepreneur individuel (SIRET : 985 226 299 00040), éditeur de la plateforme Phano (ci-après « Phano », « nous »), est responsable du traitement des données personnelles collectées via la plateforme (ci-après « le Service »).

Contact : privacy@phano.ai

Rôles au sens du RGPD : pour les données des visiteurs du site et des utilisateurs du Service, Phano est responsable du traitement. Pour les données de vos comptes clients importées depuis vos outils connectés (contacts, échanges, documents), votre organisation est responsable du traitement et Phano agit en qualité de sous-traitant (Art. 28 RGPD). Les personnes concernées par ces données exercent leurs droits auprès de votre organisation ; nous relayons toute demande reçue.

2. Données collectées

Nous collectons les catégories de données suivantes :

  • Données d'identification : nom, prénom, adresse email professionnelle
  • Données de connexion : adresse IP, user-agent, horodatage des connexions
  • Données d'usage : interactions avec le Service, comptes analysés, diagnostics générés
  • Données calendrier : événements de calendrier connectés (Google Calendar, Microsoft Outlook), uniquement les métadonnées (titre, date, participants)
  • Données CRM : informations de comptes et contacts synchronisées depuis votre CRM (HubSpot, Salesforce, Pipedrive, Attio et Zoho CRM) avec votre consentement explicite
  • Données email : métadonnées et aperçu du contenu des emails synchronisés (expéditeur, destinataire, objet, date, extrait) depuis Gmail ou Outlook, avec votre consentement explicite
  • Données de réunion : lorsque Meeting Intelligence est activé, enregistrement, transcription et compte rendu des réunions en ligne rejointes par l'assistant (voir section 7)

3. Finalités du traitement

  • Fourniture du Service : analyse des comptes clients, détection de signaux, génération et livraison de diagnostics
  • Amélioration du Service : analyse d'usage agrégée et anonymisée
  • Sécurité : détection de fraude, logs d'audit, rate limiting
  • Communication : emails transactionnels (confirmation, notifications, alertes)

4. Base légale

  • Exécution du contrat (Art. 6.1.b RGPD) : traitement nécessaire à la fourniture du Service
  • Consentement (Art. 6.1.a RGPD) : connexion de calendrier, email et CRM tiers
  • Intérêt légitime (Art. 6.1.f RGPD) : sécurité, prévention de la fraude, enregistrement de réunion (Meeting Intelligence), assorti du droit d'opposition

5. Traitement par intelligence artificielle

Le Service utilise des fournisseurs d'intelligence artificielle tiers pour analyser des données et générer du contenu contextuel. Avant tout envoi à un fournisseur IA :

  • Les données identifiantes (noms, emails, téléphones) sont anonymisées automatiquement avant tout envoi à un fournisseur d'IA.
  • Les données sont envoyées de manière ponctuelle et ne sont pas utilisées pour entraîner les modèles.
  • Les fournisseurs d'IA utilisés sont conformes SOC 2 Type II et offrent des garanties contractuelles de non-rétention des données.

6. Utilisation des données Google

Le Service accède aux API Google suivantes avec votre consentement explicite :

  • Google Calendar API (lecture seule) : pour importer vos meetings clients et générer des briefs contextuels avant chaque rendez-vous
  • Gmail API (lecture et envoi) : pour synchroniser vos emails clients et permettre l'envoi d'emails depuis le Service
  • Google UserInfo : pour identifier votre adresse email de connexion

Utilisation : les données Google sont utilisées exclusivement pour fournir les fonctionnalités du Service décrites ci-dessus. Elles ne sont jamais utilisées à des fins publicitaires, de profilage, ou revendues à des tiers.

Partage : les données Google ne sont partagées avec aucun tiers, à l'exception des sous-traitants listés en section 9, dans le strict cadre de la fourniture du Service.

Conservation : lors de la déconnexion d'une intégration calendrier, les réunions futures sont automatiquement supprimées. Les réunions passées et leurs données associées (briefs, comptes-rendus, notes) sont conservées en tant que données métier CRM. Toutes les données calendrier sont définitivement supprimées à la suppression de votre compte. Les données email sont supprimées 30 jours après la déconnexion de l'intégration correspondante : ce délai de grâce permet à une reconnexion de conserver l'historique sans resynchronisation complète.

Révocation : vous pouvez révoquer l'accès de Phano à vos données Google à tout moment depuis la page Paramètres > Intégrations du Service, ou depuis myaccount.google.com/permissions.

L'utilisation des données reçues via les API Google est conforme à la Google API Services User Data Policy, y compris les exigences de Limited Use.

7. Enregistrement de réunion (Meeting Intelligence)

Lorsque vous activez Meeting Intelligence, un assistant rejoint la réunion en ligne pour l'enregistrer, la transcrire et en produire un compte rendu. Cet assistant n'est jamais déployé à votre insu.

Annonce de consentement

À son arrivée, l'assistant annonce dans la réunion que celle-ci est enregistrée et transcrite par une IA, et que chaque participant peut s'y opposer à tout moment. En cas d'opposition, l'assistant quitte la réunion.

Base légale

L'enregistrement repose sur l'intérêt légitime (Art. 6.1.f RGPD), assorti du droit d'opposition. Le consentement d'un salarié étant rarement valable du fait du lien de subordination, l'intérêt légitime est la base appropriée, conformément aux lignes directrices EDPB 05/2020 sur le consentement.

Durées de conservation

  • Enregistrements et transcriptions : 183 jours maximum (environ 6 mois), puis purge en base et suppression du média côté fournisseur d'enregistrement.
  • Comptes rendus et diagnostics issus de la réunion : 365 jours maximum (environ 12 mois).
  • Verbatim brut : 30 jours, vidé dès qu'un compte rendu structuré existe (minimisation).

Vos droits

Les données de réunion sont incluses dans votre export RGPD (Art. 15 et 20) et dans la suppression de compte (Art. 17), qui efface aussi le média conservé chez le fournisseur d'enregistrement.

8. Durée de conservation

  • Données de compte : durée de la relation contractuelle + 3 ans
  • Logs d'audit : 90 jours (API) et 12 mois (administration), purgés automatiquement
  • Données de calendrier : réunions futures supprimées à la déconnexion ; réunions passées conservées comme données métier (supprimées à la clôture du compte)
  • Données email : supprimées 30 jours après la déconnexion de l'intégration (délai annulé en cas de reconnexion)
  • Données CRM : conservées comme données métier pendant la durée du compte (elles portent vos diagnostics et votre historique), supprimées à la clôture du compte
  • Données de réunion (Meeting Intelligence) : voir les durées détaillées en section 7
  • Caches techniques : 30 jours maximum

9. Sous-traitants

Sous-traitantFinalitéLocalisation
Hébergeur cloudBase de données, authentificationUE (Irlande)
Hébergeur applicatifHébergement et CDNEU
Fournisseurs IA (SOC 2 Type II)Analyse et génération de contenuUS (DPA signé)
StripePaiementUS (SCC)
Fournisseur email transactionnelEmails de notificationUS (SCC)
Gestionnaire OAuthConnexions sécurisées aux services tiersEU

10. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès (Art. 15) : obtenir une copie de vos données
  • Droit de rectification (Art. 16) : corriger vos données
  • Droit à l'effacement (Art. 17) : supprimer votre compte et toutes les données associées
  • Droit à la limitation (Art. 18) : suspendre l'utilisation de vos données le temps d'une vérification
  • Droit à la portabilité (Art. 20) : exporter vos données au format JSON
  • Droit d'opposition (Art. 21) : vous opposer au traitement basé sur l'intérêt légitime

Ces droits sont exerçables directement depuis votre profil dans le Service (Exporter mes données, Supprimer mon compte) ou par email à privacy@phano.ai. Délai de réponse : 30 jours.

11. Sécurité

  • Chiffrement en transit (TLS 1.3) et au repos (AES-256), tokens tiers chiffrés côté serveur
  • Isolation stricte des données par organisation (Row Level Security)
  • Connexions via gestionnaire OAuth, sans mot de passe stocké, en lecture pour l'essentiel
  • Logs d'audit de toutes les opérations sensibles (12 mois)
  • Authentification multi-facteurs (MFA) disponible
  • Aucun tag de mesure chargé sans votre accord, choix révocable à tout moment

12. Cookies

Cookies strictement nécessaires (sans consentement) :

  • Session Supabase : authentification (strictement nécessaire)
  • OAuth state : protection CSRF lors des connexions tierces (temporaire)
  • Préférence de langue : cookie next-intl
  • Choix de consentement : cookie phano_consent (6 mois), mémorise votre décision

Traceurs soumis à votre consentement (bannière, aucun tag chargé avant votre accord) :

  • Mesure d'audience Google : Google Analytics 4
  • Mesure des conversions publicitaires : tag Google Ads et cookie first-party phano_gclid (90 jours), utilisés pour attribuer les inscriptions aux annonces

Vous pouvez retirer votre consentement à tout moment via le lien Cookies du pied de page. Le refus n'affecte aucune fonctionnalité du Service.

Mesure d'audience anonyme exemptée de consentement (art. 82 de la loi Informatique et Libertés) : sur les pages publiques du site, Phano mesure la fréquentation avec PostHog, hébergé dans l'UE, configuré pour produire des statistiques anonymes strictement pour notre compte : pages vues uniquement, sans cookie (stockage local), sans identification, sans recoupement ni transmission à des tiers, adresse IP non conservée. Vous pouvez vous y opposer ici :

13. Contact et réclamation

Pour toute question relative à la protection de vos données : privacy@phano.ai

En cas de litige non résolu, vous pouvez saisir la CNIL(Commission Nationale de l'Informatique et des Libertés) :
www.cnil.fr/fr/plaintes