Politique de confidentialité

Introduction & responsable de traitement

La présente Politique de confidentialité décrit comment Gatefund (la "Société", "nous") collecte, utilise et protège vos données personnelles lorsque vous utilisez notre plateforme. Gatefund agit en qualité de responsable de traitement pour les données personnelles de ses titulaires de compte, et en qualité de sous-traitant pour les données personnelles téléversées par les utilisateurs dans leurs workspaces (par exemple, les contacts investisseurs). Nous nous conformons au Règlement général sur la protection des données (RGPD) et aux lois nationales applicables.

Données collectées

Nous collectons : (a) des données de compte — nom, email, hash du mot de passe, nom de workspace, langue ; (b) des données de facturation — adresse, métadonnées de moyen de paiement (gérées par Stripe ; nous ne stockons jamais les numéros de carte complets) ; (c) des données d'usage — pages consultées, actions effectuées, adresse IP, type de navigateur, identifiants d'appareil ; (d) des données de contenu — tout ce que vous téléversez dans votre workspace (contacts, organisations, interactions, rapports, documents) ; (e) des communications — emails, tickets de support et retours que vous nous envoyez ; (f) des informations de compte Google (lorsque vous connectez Gmail) — l'adresse email de votre compte Google, le nom affiché et un jeton de rafraîchissement OAuth utilisé exclusivement pour envoyer les emails que vous déclenchez explicitement. Nous n'accédons pas au contenu de votre boîte Gmail. Voir la section « Google API Services User Data » ci-dessous pour les détails complets.

Finalités & base légale

Nous traitons vos données personnelles pour les finalités et bases légales suivantes : (i) exécution du contrat — fournir et exploiter le Service ; (ii) intérêt légitime — sécuriser le Service, prévenir la fraude et améliorer le produit ; (iii) obligation légale — respecter les obligations fiscales, comptables et autres ; (iv) consentement — pour les cookies non essentiels et les communications marketing, le cas échéant. Vous pouvez retirer votre consentement à tout moment.

Durée de conservation

Nous conservons les données de compte tant que votre compte est actif, plus une période de grâce de 30 jours après sa suppression. Les documents comptables sont conservés 10 ans conformément au droit français. Les logs d'usage sont conservés jusqu'à 12 mois. Les données de contenu que vous téléversez sont supprimées lorsque vous supprimez les enregistrements correspondants, à l'issue de la période de grâce. Vous pouvez demander une suppression anticipée lorsque la loi le permet.

Partage des données & tiers

Nous ne vendons pas vos données personnelles. Nous ne les partageons qu'avec les sous-traitants strictement nécessaires au fonctionnement du Service : Supabase (hébergement, bases de données — région UE), Stripe (traitement des paiements), fournisseurs d'envoi d'emails, Google LLC (Gmail API pour l'envoi d'emails de prospection en votre nom lorsque vous connectez votre compte Google ; le traitement effectué par Google est régi par la politique de confidentialité de Google à l'adresse https://policies.google.com/privacy ainsi que par la Google API Services User Data Policy), et prestataires d'analytics si vous y avez consenti. Tous les sous-traitants sont liés par des contrats de traitement de données. Nous pouvons divulguer des données si la loi, une décision de justice ou la protection de nos droits l'exige.

Transferts internationaux

Vos données personnelles sont principalement stockées dans l'Union européenne (région UE de Supabase, France). Certains sous-traitants (par exemple, Stripe) peuvent transférer des données en dehors de l'UE. Dans ce cas, nous nous appuyons sur les décisions d'adéquation de la Commission européenne ou sur les Clauses Contractuelles Types pour garantir un niveau de protection adéquat.

Cookies

Nous utilisons des cookies et technologies similaires pour exploiter le Service (cookies essentiels), comprendre comment vous l'utilisez (analytics, avec consentement) et traiter des paiements sécurisés (cookies essentiels, incluant Stripe pour la sécurité des transactions). Consultez notre Politique de cookies distincte pour la liste complète et les options de gestion de vos préférences.

Google API Services User Data

Lorsque vous connectez votre compte Google à Gatefund (Gmail), notre utilisation et notre transfert des informations reçues des API Google vers toute autre application sont conformes à la Google API Services User Data Policy (https://developers.google.com/terms/api-services-user-data-policy), y compris aux exigences de Limited Use.

Données Google auxquelles nous accédons — Lorsque vous autorisez Gatefund à accéder à votre compte Google, nous demandons les scopes suivants : openid, email, profile (pour identifier le compte Google connecté et afficher le nom et l'adresse email du compte dans l'interface de Gatefund), et https://www.googleapis.com/auth/gmail.send (pour envoyer des emails en votre nom aux destinataires que vous choisissez explicitement dans Gatefund). Nous ne demandons pas, et nous n'avons pas, la possibilité de lire, modifier ou supprimer un email dans votre boîte de réception.

Utilisation de ces données — L'adresse email connectée et le nom affiché sont stockés chiffrés dans notre base de données et présentés dans notre interface afin de confirmer l'identité d'envoi active (par exemple, « Envoi en tant que : alice@startup.com »). Le jeton de rafraîchissement OAuth est stocké chiffré via AES-256-GCM avec une clé conservée uniquement sur nos serveurs backend. Il n'est jamais journalisé, jamais renvoyé dans des réponses d'API et jamais partagé avec des tiers. Le jeton de rafraîchissement sert exclusivement à envoyer les emails que vous déclenchez explicitement depuis Gatefund (prospection manuelle vers un contact, relances programmées que vous configurez ou emails de reporting investisseurs que vous envoyez). Nous n'envoyons jamais d'emails de manière proactive.

Conformité Limited Use — L'utilisation par Gatefund des informations reçues des API Google est conforme à la Google API Services User Data Policy, y compris aux exigences de Limited Use. Nous n'utilisons les données utilisateur Google que pour fournir et améliorer des fonctionnalités visibles dans notre interface utilisateur. Nous ne transférons pas les données utilisateur Google à des tiers, sauf pour fournir ou améliorer ces fonctionnalités, ou pour nous conformer à la loi applicable. Nous n'utilisons pas les données utilisateur Google pour la diffusion de publicités, y compris le retargeting, la publicité personnalisée ou basée sur les centres d'intérêt. Nous n'autorisons pas l'accès humain aux données utilisateur Google, sauf dans les cas limités suivants : (i) avec votre consentement explicite pour des messages spécifiques, (ii) à des fins de sécurité (par exemple, enquête sur des abus), (iii) pour nous conformer à la loi applicable, ou (iv) lorsque les données ont été agrégées et anonymisées.

Stockage et conservation des données — Les jetons de rafraîchissement sont stockés chiffrés au repos. Ils sont supprimés immédiatement lors de votre action de déconnexion et révoqués sur l'endpoint de Google dans les 60 secondes suivant la demande. L'adresse email connectée et le nom affiché sont conservés tant que votre compte Gatefund est actif et supprimés lors de la suppression du compte dans un délai de 30 jours. Le contenu des emails envoyés n'est pas conservé sur nos serveurs après l'appel à l'API Gmail — seules les métadonnées (adresse du destinataire, sujet, horodatage, statut d'envoi) sont conservées dans l'historique CRM de l'utilisateur.

Déconnexion et révocation de l'accès — Vous pouvez déconnecter votre compte Google de Gatefund à tout moment via Paramètres → Email → Déconnecter (ce qui déclenche une révocation côté serveur sur l'endpoint de Google), ou directement depuis https://myaccount.google.com/permissions. Chacune de ces actions invalide immédiatement le jeton de rafraîchissement des deux côtés.

Vos droits

Au titre du RGPD, vous disposez des droits suivants : (a) accès aux données personnelles que nous détenons sur vous ; (b) rectification des données inexactes ; (c) effacement ("droit à l'oubli") ; (d) limitation du traitement ; (e) portabilité — recevoir vos données dans un format structuré et lisible par machine ; (f) opposition au traitement fondé sur l'intérêt légitime ; (g) retrait du consentement à tout moment ; (h) réclamation auprès de votre autorité de contrôle (en France : la CNIL). Pour exercer vos droits, contactez privacy@gatefund.io.

Mesures de sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement en transit (TLS) et au repos, contrôles d'accès, sauvegardes régulières, journalisation et monitoring, engagements de confidentialité du personnel. Aucune méthode de transmission sur Internet n'est 100 % sûre ; nous ne pouvons garantir une sécurité absolue mais nous appliquons les standards de l'industrie.

Protection des mineurs

Le Service n'est pas destiné aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles concernant des mineurs. Si vous pensez qu'un mineur nous a fourni des données personnelles, contactez-nous et nous procéderons rapidement à leur suppression.

Modifications de la Politique

Nous pouvons mettre à jour la présente Politique de confidentialité de temps à autre. Les modifications substantielles seront communiquées par email ou via le Service au moins 30 jours avant leur entrée en vigueur. La date de "Dernière mise à jour" en tête de cette politique reflète la version la plus récente.

Contact & DPO

Pour toute question sur la présente Politique de confidentialité, nos pratiques en matière de données, ou pour exercer vos droits, contactez notre équipe privacy à privacy@gatefund.io. Pour les demandes RGPD, vous pouvez également contacter notre Délégué à la protection des données à dpo@gatefund.io.