Thinkbox CRM
Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 7 janvier 2025

1. Introduction

Thinkbox Digital (« nous », « notre », « nos ») s'engage à protéger votre vie privée et vos données personnelles. Cette politique de confidentialité explique comment nous collectons, utilisons, stockons et protégeons vos informations personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

En utilisant Thinkbox CRM, vous acceptez les pratiques décrites dans cette politique. Si vous n'acceptez pas cette politique, veuillez ne pas utiliser notre service.

2. Responsable du traitement

Thinkbox Digital
Auto-entrepreneur
NAF : 6201Z - Programmation informatique
SIRET : 920 660 990 00010
Adresse : 201 Boulevard Michelet, 13009 Marseille
Téléphone : 06 21 98 34 79
Email : contact@thinkboxcrm.app
Délégué à la Protection des Données (DPO) : dpo@thinkboxcrm.app

3. Données personnelles collectées

Nous collectons les données suivantes lorsque vous utilisez Thinkbox CRM :

  • Données d'identification : nom, prénom, adresse email, photo de profil
  • Données de connexion : identifiants de connexion, historique de connexion, adresse IP, géolocalisation
  • Données de profil : préférences utilisateur, paramètres, thème, langue
  • Données de contenu : contacts, emails, événements calendrier, tâches, notes, projets, documents
  • Données financières : informations de comptes bancaires, transactions, factures, devis (via Open Banking avec votre consentement explicite)
  • Données de paiement : informations de paiement traitées par Stripe et PayPal (nous ne stockons pas vos numéros de carte)
  • Données de navigation : cookies, logs de navigation, données d'utilisation, rapports d'erreurs
  • Données de synchronisation : tokens OAuth pour les intégrations Google, Microsoft et LinkedIn

4. Finalités du traitement

Vos données personnelles sont traitées pour les finalités suivantes :

  • Fournir et améliorer le service Thinkbox CRM
  • Gérer votre compte utilisateur et votre authentification
  • Synchroniser vos données avec Google, Microsoft et LinkedIn
  • Traiter les paiements via Stripe et PayPal
  • Agréger vos comptes bancaires via Open Banking (avec votre consentement)
  • Fournir des fonctionnalités alimentées par l'IA (conseils financiers, suggestions de tâches, génération de contenu)
  • Envoyer des emails transactionnels et des notifications
  • Surveiller les erreurs et améliorer les performances de l'application
  • Personnaliser votre expérience utilisateur
  • Assurer la sécurité et prévenir les fraudes
  • Respecter nos obligations légales et réglementaires

5. Base légale du traitement

Le traitement de vos données personnelles repose sur les bases légales suivantes :

  • Exécution d'un contrat : pour fournir le service Thinkbox CRM
  • Consentement : pour les connexions Open Banking, les fonctionnalités IA, les cookies non essentiels et l'analyse d'utilisation
  • Intérêt légitime : pour la sécurité, la prévention des fraudes, la surveillance des erreurs et l'amélioration du service
  • Obligation légale : pour respecter nos obligations comptables et fiscales

6. Sous-traitants et services tiers

Pour fournir notre service, nous faisons appel aux prestataires tiers suivants qui peuvent traiter vos données personnelles :

Infrastructure et hébergement

Vercel Inc.

Hébergement et déploiement de l'application (USA - Clauses contractuelles types)

Supabase Inc.

Base de données, authentification et stockage de fichiers (USA/UE - Conforme RGPD)

Hostinger International Ltd.

Hébergement domaine et DNS (Chypre/UE - Conforme RGPD)

Traitement des paiements

Stripe Inc.

Traitement des paiements par carte bancaire, facturation (USA - Certifié PCI-DSS, Clauses contractuelles types)

PayPal Holdings Inc.

Traitement des paiements alternatifs (USA - Clauses contractuelles types)

Open Banking (avec votre consentement explicite)

Salt Edge Inc.

Agrégation de comptes bancaires, 5000+ banques mondiales (Canada - Licence PSD2, Conforme RGPD)

Enable Banking Oy

API Open Banking européenne, conforme PSD2 (Finlande/UE - Conforme RGPD)

Bridge (Bankin\')

Agrégateur Open Banking français (France/UE - Régulé ACPR, Conforme RGPD)

Plaid Inc.

Connexions bancaires (USA - Clauses contractuelles types)

TrueLayer Ltd.

Open Banking UK et Europe (UK/UE - Régulé FCA, Conforme RGPD)

Yapily Ltd.

API Open Banking (UK/UE - Régulé FCA, Conforme RGPD)

* Les connexions Open Banking sont optionnelles et nécessitent votre consentement explicite avant tout accès à vos données bancaires.

Authentification et intégrations cloud

Google LLC

Authentification OAuth, synchronisation Gmail, Calendar, Contacts, Tasks, Drive, Docs (USA - Clauses contractuelles types)

Microsoft Corporation

Intégration OneDrive pour le stockage de documents (USA - Clauses contractuelles types)

LinkedIn Corporation

Authentification OAuth et publication sociale (USA - Clauses contractuelles types)

Intelligence Artificielle

OpenAI, L.L.C.

Modèles IA (GPT-4) pour conseils financiers, suggestions de tâches, génération de contenu (USA - Accord de traitement des données)

Anthropic PBC

Assistant IA Claude pour l'aide intelligente (USA - Accord de traitement des données)

Perplexity AI Inc.

Recherche web et génération de contenu par IA (USA - Accord de traitement des données)

* Les fonctionnalités IA sont optionnelles. Les données envoyées aux fournisseurs IA sont anonymisées quand possible et ne sont pas utilisées pour entraîner leurs modèles.

Email et notifications

Resend Inc.

Envoi d'emails transactionnels (USA - Conforme RGPD)

Web Push (VAPID)

Notifications push navigateur (traité localement, sans tiers)

Monitoring et Analytics

Sentry (Functional Software Inc.)

Suivi des erreurs et monitoring de performance (USA - Conforme RGPD, Accord de traitement des données)

Google Analytics

Analyse d'utilisation du site (USA - avec votre consentement uniquement)

ipapi.co

Géolocalisation IP pour les alertes de sécurité (USA)

Autres services

Hunter.io

Enrichissement d'emails professionnels (France/UE - Conforme RGPD)

Brandfetch

Récupération de logos d'entreprises (USA)

OpenWeather Ltd.

Affichage des données météo (UK - aucune donnée personnelle transmise)

Unsplash Inc.

Images libres de droits (Canada - aucune donnée personnelle transmise)

GIPHY Inc.

GIFs animés (USA - aucune donnée personnelle transmise)

7. Durée de conservation

Nous conservons vos données personnelles pour les durées suivantes :

  • Données de compte : pendant la durée d'utilisation du service, puis 3 ans après la fermeture du compte
  • Données de contenu : pendant la durée d'utilisation du service, puis 1 an après la fermeture du compte
  • Données financières : pendant la durée d'utilisation du service, puis supprimées à la déconnexion d'Open Banking
  • Factures et comptabilité : 10 ans (obligation légale)
  • Données de connexion : 12 mois
  • Logs d'erreurs (Sentry) : 90 jours
  • Cookies : selon la durée spécifiée dans notre politique de cookies

8. Transferts hors UE

Certaines de vos données peuvent être transférées hors de l'Union Européenne. Ces transferts sont encadrés par des garanties appropriées :

  • Clauses contractuelles types (CCT) : pour les transferts vers les USA (Google, Microsoft, Stripe, OpenAI, etc.)
  • EU-US Data Privacy Framework : pour les entreprises certifiées
  • Décisions d'adéquation : pour les transferts vers le Canada, UK, etc.

Vous pouvez demander une copie des garanties applicables en contactant notre DPO.

9. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données personnelles
  • Droit de rectification : corriger vos données inexactes
  • Droit à l'effacement : supprimer vos données dans certains cas
  • Droit à la limitation : limiter le traitement de vos données
  • Droit à la portabilité : récupérer vos données dans un format structuré (JSON, CSV)
  • Droit d'opposition : vous opposer au traitement de vos données
  • Droit de retirer votre consentement : à tout moment pour les traitements basés sur le consentement (Open Banking, IA, cookies)

Pour exercer ces droits, contactez-nous par email à dpo@thinkboxcrm.app ou par courrier à Thinkbox Digital, 201 Boulevard Michelet, 13009 Marseille. Nous répondrons sous 30 jours.

10. Analyse d'Impact relative à la Protection des Données (AIPD)

Conformément à l'article 35 du RGPD, nous avons réalisé des Analyses d'Impact relatives à la Protection des Données pour les traitements susceptibles de présenter des risques élevés pour les droits et libertés des personnes.

AIPD pour les fonctionnalités Open Banking

Nature du traitement : Agrégation de données de comptes bancaires, consultation des transactions et soldes
Risques identifiés : Accès à des données financières sensibles, potentiel de profilage
Mesures d'atténuation :
  • Consentement explicite de l'utilisateur requis pour chaque connexion bancaire
  • Accès en lecture seule uniquement (pas d'initiation de paiement)
  • Identifiants bancaires jamais stockés sur nos serveurs
  • Utilisation d'agrégateurs PSD2 agréés (régulés ACPR, FCA)
  • Accès révocable à tout moment
  • Données chiffrées en transit et au repos
  • Aucun partage de données avec des tiers
  • Suppression automatique à la déconnexion
Risque résiduel : Faible - acceptable compte tenu des garanties mises en place

AIPD pour les fonctionnalités IA

Nature du traitement : Analyse par IA des données financières, résumé de documents, assistance par chat
Risques identifiés : Données envoyées à des fournisseurs IA externes, potentiel de décision automatisée
Mesures d'atténuation :
  • Fonctionnalité optionnelle avec consentement utilisateur
  • Accords de traitement des données avec les fournisseurs IA
  • Pas d'entraînement des modèles IA avec les données utilisateur
  • Résultats IA à titre indicatif uniquement, non contraignants
  • L'utilisateur peut désactiver les fonctionnalités IA à tout moment
  • Anonymisation des données quand possible
Risque résiduel : Faible - acceptable compte tenu des garanties et du contrôle utilisateur

Une copie des AIPD complètes peut être demandée auprès de notre DPO à dpo@thinkboxcrm.app.

11. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles :

  • Chiffrement en transit (TLS 1.3) et au repos (AES-256)
  • Authentification à deux facteurs (2FA)
  • Audits de sécurité réguliers
  • Accès restreint aux données personnelles
  • Monitoring des erreurs et intrusions en temps réel
  • Sauvegardes régulières des données

12. Cookies

Nous utilisons des cookies pour améliorer votre expérience. Pour plus d'informations, consultez notre politique de cookies.

13. Modifications de cette politique

Nous pouvons modifier cette politique de confidentialité à tout moment. Les modifications seront publiées sur cette page avec une date de mise à jour. Nous vous informerons des modifications importantes par email ou via une notification dans l'application.

14. Contact

Pour toute question concernant cette politique de confidentialité ou vos données personnelles, contactez-nous :

Email : contact@thinkboxcrm.app
DPO : dpo@thinkboxcrm.app
Téléphone : 06 21 98 34 79
Adresse : 201 Boulevard Michelet, 13009 Marseille

15. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL
3 Place de Fontenoy - TSA 80715
75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr

Politique de confidentialitéConditions généralesPolitique de cookiesRGPD