Politique de Confidentialite
Derniere mise a jour : 24 fevrier 2026
La presente Politique de Confidentialite decrit la maniere dont LeadFlow AI (ci-apres "nous", "notre" ou "le Service") collecte, utilise, stocke et protege les donnees personnelles des utilisateurs de la plateforme accessible a l'adresse https://www.leadflow-ai.fr et de l'application mobile associee.
Cette politique s'applique conformement au Reglement General sur la Protection des Donnees (UE) 2016/679 ("RGPD"), a la loi n° 78-17 du 6 janvier 1978 modifiee dite "Informatique et Libertes" et a toute reglementation applicable en matiere de protection des donnees personnelles.
1. Responsable de traitement
Le responsable du traitement des donnees personnelles est :
- Societe : Devolution — SASU au capital de 500 €
- SIRET : 949 864 292 00014
- RCS : Paris 949 864 292
- Representant : Florian Lorca, President
- Siege social : 14 rue Bausset, 75015 Paris
- Email : florian@leadflow-ai.fr
- DPO : florian@leadflow-ai.fr
- Site web : https://www.leadflow-ai.fr
Pour toute question relative a la protection de vos donnees personnelles, vous pouvez nous contacter a l'adresse florian@leadflow-ai.fr.
2. Donnees collectees
2.1 Donnees des utilisateurs professionnels (artisans, TPE/PME)
| Categorie | Donnees | Moment de la collecte |
|---|---|---|
| Identite | Nom, prenom | Inscription |
| Contact | Adresse email, numero de telephone | Inscription |
| Facturation | Donnees de paiement via Stripe (numero de carte tokenise, adresse de facturation) | Souscription a un abonnement |
| Calendrier | Evenements et disponibilites du calendrier Google (acces en lecture seule via OAuth 2.0) | Connexion du calendrier |
| Utilisation | Historique des appels traites, statistiques d'utilisation, preferences de l'agent IA | Utilisation du service |
| Technique | Adresse IP, type d'appareil, token de notification push | Connexion et utilisation |
2.2 Donnees des appelants (clients finaux des professionnels)
| Categorie | Donnees | Moment de la collecte |
|---|---|---|
| Contact | Numero de telephone de l'appelant | Reception d'un appel |
| Vocal | Enregistrement audio de la conversation | Pendant l'appel |
| Textuel | Transcription de la conversation | Apres l'appel |
| Rendez-vous | Date, heure et objet du rendez-vous pris | Prise de rendez-vous |
3. Finalites et bases legales du traitement
| Finalite | Base legale (art. 6 RGPD) |
|---|---|
| Gestion du compte utilisateur et authentification | Execution du contrat (art. 6.1.b) |
| Fourniture du service d'assistant telephonique IA | Execution du contrat (art. 6.1.b) |
| Traitement des appels entrants et prise de rendez-vous | Interet legitime du professionnel (art. 6.1.f) |
| Consultation du calendrier Google pour verification des disponibilites | Consentement explicite (art. 6.1.a) |
| Facturation et gestion des paiements | Execution du contrat et obligation legale (art. 6.1.b et 6.1.c) |
| Envoi de notifications push (rappels, alertes) | Consentement (art. 6.1.a) |
| Amelioration du service et correction des erreurs | Interet legitime (art. 6.1.f) |
| Respect des obligations legales et fiscales | Obligation legale (art. 6.1.c) |
4. Utilisation des donnees Google Calendar
LeadFlow AI accede a votre calendrier Google exclusivement en lecture seule afin de :
- Consulter vos disponibilites (creneaux libres/occupes) pour proposer des rendez-vous aux appelants ;
- Verifier l'absence de conflits avant de confirmer un rendez-vous.
Engagements concernant les donnees Google :
- Nous n'accedons qu'aux informations de disponibilite (freebusy) et aux evenements necessaires a la verification des creneaux.
- Nous ne modifions pas, ne supprimons pas et ne creeons pas d'evenements dans votre calendrier Google via l'API.
- Nous ne vendons pas, ne louons pas et ne partageons pas vos donnees Google Calendar avec des tiers a des fins publicitaires, de marketing ou de profilage.
- Les donnees de calendrier ne sont pas utilisees pour l'entrainement de modeles d'intelligence artificielle.
- Vous pouvez revoquer l'acces a votre calendrier Google a tout moment depuis les parametres de votre compte LeadFlow AI ou directement depuis les parametres de securite de votre compte Google (https://myaccount.google.com/permissions).
- Notre utilisation des donnees Google respecte la Politique d'utilisation des donnees utilisateur des services API Google, y compris les exigences d'utilisation limitee (Limited Use).
5. Destinataires et sous-traitants
Nous faisons appel aux sous-traitants suivants pour le fonctionnement du Service. Chacun agit en qualite de sous-traitant au sens de l'article 28 du RGPD et est lie par des obligations contractuelles de protection des donnees :
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| Supabase | Hebergement de la base de donnees, authentification | Union Europeenne (Irlande) | Conforme RGPD, donnees hebergees en UE |
| Twilio | Telephonie (reception d'appels) | Etats-Unis | Clauses contractuelles types (SCC), DPA signe |
| Mistral AI | Traitement IA des conversations (modele linguistique) | France / Union Europeenne | Conforme RGPD, traitement en UE |
| Google (Calendar API) | Lecture des disponibilites du calendrier | Etats-Unis / UE | Clauses contractuelles types (SCC), certifie |
| Stripe | Traitement des paiements et facturation | Etats-Unis / UE | Conforme PCI-DSS, SCC, DPA |
| Expo / Firebase (Google) | Notifications push | Etats-Unis | SCC, DPA Google Cloud |
| Sentry | Monitoring des erreurs techniques | Etats-Unis / UE | SCC, DPA |
Aucune donnee personnelle n'est vendue a des tiers. Les donnees ne sont partagees qu'avec les sous-traitants listes ci-dessus, dans la stricte mesure necessaire a la fourniture du Service.
6. Transferts de donnees hors UE
Certains de nos sous-traitants sont situes aux Etats-Unis. Ces transferts sont encadres par :
- Les Clauses Contractuelles Types (SCC) adoptees par la Commission europeenne (decision 2021/914) ;
- Le EU-U.S. Data Privacy Framework lorsque le sous-traitant est certifie ;
- Des mesures supplementaires de securite (chiffrement en transit et au repos, pseudonymisation).
7. Duree de conservation
| Type de donnees | Duree de conservation |
|---|---|
| Donnees de compte utilisateur | Duree de l'inscription + 3 ans apres suppression du compte |
| Enregistrements vocaux des appels | 6 mois a compter de l'appel |
| Transcriptions des appels | 12 mois a compter de l'appel |
| Donnees de rendez-vous | 24 mois a compter de la date du rendez-vous |
| Donnees de facturation | 10 ans (obligation legale comptable, art. L123-22 du Code de commerce) |
| Logs techniques et donnees de monitoring | 12 mois |
| Donnees de calendrier Google | Non stockees de maniere permanente ; consultees en temps reel et mises en cache temporairement (quelques minutes) |
A l'expiration de ces delais, les donnees sont supprimees ou anonymisees de maniere irreversible.
8. Droits des personnes concernees
Conformement au RGPD et a la loi Informatique et Libertes, vous disposez des droits suivants :
- Droit d'acces (art. 15 RGPD) : obtenir la confirmation que vos donnees sont traitees et en recevoir une copie.
- Droit de rectification (art. 16 RGPD) : faire corriger vos donnees inexactes ou incompletes.
- Droit a l'effacement (art. 17 RGPD) : demander la suppression de vos donnees, sous reserve des obligations legales de conservation.
- Droit a la limitation du traitement (art. 18 RGPD) : demander la suspension du traitement de vos donnees dans certains cas.
- Droit a la portabilite (art. 20 RGPD) : recevoir vos donnees dans un format structure, couramment utilise et lisible par machine.
- Droit d'opposition (art. 21 RGPD) : vous opposer au traitement fonde sur l'interet legitime.
- Droit de retirer votre consentement a tout moment lorsque le traitement est fonde sur le consentement (notamment pour l'acces au calendrier Google et les notifications push).
Comment exercer vos droits
Envoyez votre demande par email a : florian@leadflow-ai.fr
Nous repondrons dans un delai maximum de 30 jours a compter de la reception de votre demande. Une piece d'identite pourra vous etre demandee en cas de doute raisonnable sur votre identite.
Reclamation aupres de l'autorite de controle
Si vous estimez que le traitement de vos donnees constitue une violation de vos droits, vous pouvez introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL) :
- Site web : https://www.cnil.fr
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
9. Droits specifiques des appelants (clients finaux)
Les appelants dont les conversations sont traitees par notre IA disposent des memes droits que les utilisateurs inscrits (acces, rectification, effacement, opposition).
Pour exercer ces droits, les appelants peuvent contacter directement le professionnel qu'ils ont appele ou nous ecrire a florian@leadflow-ai.fr en precisant le numero de telephone utilise lors de l'appel et la date approximative.
10. Cookies et technologies similaires
10.1 Application mobile
L'application mobile LeadFlow AI n'utilise pas de cookies. Des identifiants techniques (token de notification push, identifiant d'appareil) sont utilises pour le fonctionnement du service.
10.2 Site web
Le site web https://www.leadflow-ai.fr utilise :
| Type de cookie | Finalite | Duree | Base legale |
|---|---|---|---|
| Cookies strictement necessaires | Authentification, session utilisateur | Duree de la session | Exempt de consentement (art. 82 loi Informatique et Libertes) |
| Cookies de monitoring (Sentry) | Detection et correction des erreurs techniques | 12 mois | Interet legitime |
Nous n'utilisons aucun cookie publicitaire, aucun cookie de tracking et aucun cookie de reseaux sociaux.
11. Securite des donnees
Nous mettons en oeuvre les mesures techniques et organisationnelles suivantes pour assurer la securite de vos donnees :
- Chiffrement en transit : toutes les communications sont protegees par TLS 1.2 minimum (HTTPS).
- Chiffrement au repos : les donnees stockees en base de donnees sont chiffrees (AES-256).
- Controle d'acces : politiques de securite au niveau des lignes (Row Level Security) sur l'ensemble des tables de la base de donnees.
- Authentification securisee : gestion des sessions via JWT, tokens a duree limitee.
- Tokenisation des paiements : aucune donnee de carte bancaire n'est stockee sur nos serveurs (traitement delegue a Stripe, certifie PCI-DSS).
- Acces restreint : seul le personnel strictement necessaire a acces aux donnees personnelles.
- Monitoring : surveillance continue des erreurs et anomalies via Sentry.
12. Modifications de la politique
Nous nous reservons le droit de modifier la presente Politique de Confidentialite a tout moment. En cas de modification substantielle, nous vous en informerons par email ou par notification dans l'application au moins 15 jours avant l'entree en vigueur des modifications.
La date de derniere mise a jour est indiquee en haut de ce document.
13. Contact
Pour toute question concernant cette Politique de Confidentialite ou le traitement de vos donnees personnelles :
- Email : florian@leadflow-ai.fr
- Site web : https://www.leadflow-ai.fr