Privacy Policy

1. Identité du Responsable de Traitement

Le responsable du traitement de vos données personnelles est :

2. Introduction

YouDo accorde une grande importance à la protection de vos données personnelles et au respect de votre vie privée. La présente Politique de Confidentialité décrit comment nous collectons, utilisons, stockons et protégeons vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et à la loi Informatique et Libertés.

Cette politique s'applique à tous les utilisateurs du service YouDo accessible à l'adresse https://youdo.work.

3. Données Personnelles Collectées

3.1 Données de compte et d'authentification

• Adresse email
• Mot de passe (chiffré et sécurisé)
• Identifiant unique de compte (UUID généré automatiquement)
• Nom du compte (personnel ou d'équipe)
• Date de création et dernière modification du compte
• Type de compte (personnel ou équipe)

3.2 Données des comptes d'équipe

Si vous utilisez un compte d'équipe, nous collectons :

• Nom de l'équipe
• Identifiant unique (slug) de l'équipe
• Liste des membres et leur rôle (propriétaire, admin, membre)
• Permissions accordées (gestion des rôles, facturation, paramètres, membres, invitations)
• Invitations envoyées et leur statut

3.3 Données clients de votre activité professionnelle

Pour vous permettre de gérer vos clients, nous stockons les informations que vous renseignez :

• Clients particuliers : prénom, nom, email, téléphone, adresse postale complète
• Clients entreprises : raison sociale, SIRET, numéro de TVA intracommunautaire, adresse du siège social
• Date de création et modifications des fiches clients
• Identifiant de l'utilisateur ayant créé ou modifié la fiche

3.4 Données de catalogue et tarification

• Noms et descriptions de vos produits/services (articles)
• Prix unitaires hors taxes
• Taux de TVA appliqués
• Unités de tarification et variations annuelles
• Date de création et modifications

3.5 Données de facturation et devis

• Numéros de documents (factures et devis) générés automatiquement
• Dates d'émission et échéances de paiement
• Références clients
• Lignes d'articles (description, quantité, prix, TVA)
• Montants totaux (HT, TVA, TTC)
• Statut des documents (brouillon, envoyé, payé, en retard, annulé)
• Conditions de paiement et pénalités de retard
• Fichiers PDF générés
• Métadonnées (créateur, modificateur, horodatages)

3.6 Données de conversations avec l'assistant IA

• Historique des conversations (titres et horodatages)
• Messages échangés avec l'assistant IA (contenu, rôle : utilisateur/assistant/système)
• Parties structurées des messages (format JSON)
• Identifiant de l'utilisateur auteur

3.7 Données d'utilisation de l'IA

Pour optimiser le service et respecter nos limites de taux, nous collectons :

• Type d'opération IA (chat, génération de texte, embedding, image)
• Modèle et fournisseur utilisé (ex: OpenAI GPT-4)
• Nombre de tokens en entrée et en sortie
• Coût estimé de l'opération (en centimes)
• Durée de traitement (en millisecondes)
• Statut de réussite ou d'échec avec messages d'erreur
• Référence à la conversation concernée
• Période de tracking (année, mois, jour, heure)

3.8 Données de support client

• Titre et description des tickets (HTML et JSON)
• Statut (ouvert, en cours, résolu, fermé)
• Priorité (basse, moyenne, haute, urgente)
• Utilisateur assigné au ticket
• Messages du ticket (contenu, visibilité interne/externe)
• Pièces jointes (images stockées dans Supabase Storage)

3.9 Données de facturation et abonnement

• Identifiant client Stripe
• Email de facturation
• Statut de l'abonnement (actif, essai, en retard, annulé, incomplet, en pause)
• Fournisseur de paiement (Stripe)
• Devise et informations tarifaires
• Dates de début et fin de période d'abonnement
• Indicateur d'annulation en fin de période

3.10 Données techniques et de connexion

• Adresse IP
• Type et version du navigateur
• Système d'exploitation
• Données de session (cookies d'authentification)
• Horodatages de connexion et d'activité
• Préférences d'interface (thème clair/sombre, langue)

4. Finalités du Traitement

Vos données personnelles sont collectées et traitées pour :

• Fourniture du service : créer et gérer votre compte, vous permettre d'utiliser toutes les fonctionnalités de la plateforme (gestion clients, facturation, devis, assistant IA, support)
• Authentification et sécurité : vérifier votre identité, sécuriser votre compte, prévenir la fraude et les accès non autorisés
• Gestion de la facturation : traiter vos paiements, émettre des factures, gérer votre abonnement
• Support client : répondre à vos questions, résoudre vos problèmes techniques, vous accompagner dans l'utilisation du service
• Amélioration du service : analyser l'utilisation de l'IA, optimiser les performances, corriger les bugs, développer de nouvelles fonctionnalités
• Respect des obligations légales : conservation des données comptables et fiscales conformément à la législation française
• Communications : vous informer des mises à jour importantes, des modifications de service, des problèmes de sécurité (emails transactionnels uniquement)
• Gestion des limites d'utilisation : appliquer les limites de taux d'utilisation de l'IA selon votre formule d'abonnement

5. Base Légale du Traitement

Conformément au RGPD, nous traitons vos données personnelles sur la base de :

• Exécution du contrat (article 6.1.b RGPD) : le traitement est nécessaire à l'exécution des Conditions Générales d'Utilisation auxquelles vous avez souscrit
• Intérêt légitime (article 6.1.f RGPD) : amélioration du service, sécurité, prévention de la fraude, analyse des performances
• Obligation légale (article 6.1.c RGPD) : conservation des données comptables et fiscales pendant les durées légales
• Consentement (article 6.1.a RGPD) : pour certains cookies non essentiels et communications marketing (si applicable)

6. Destinataires des Données

6.1 Accès interne

Vos données sont accessibles en interne uniquement par le personnel habilité de YouDo, dans la limite de leurs attributions et du besoin d'en connaître.

6.2 Sous-traitants et partenaires techniques

Pour fournir le service, nous faisons appel à des prestataires externes qui traitent vos données en notre nom et sous notre responsabilité :

• Supabase (hébergement, base de données, authentification, stockage de fichiers) - États-Unis - Clauses contractuelles types
• OpenAI (traitement par intelligence artificielle) - États-Unis - Clauses contractuelles types
• Stripe (traitement des paiements) - États-Unis - Clauses contractuelles types
• Vercel (hébergement de l'application, analytics) - États-Unis - Clauses contractuelles types
• Upstash (rate limiting, cache Redis) - États-Unis - Clauses contractuelles types

Ces prestataires sont tenus par des obligations contractuelles strictes de sécurité et de confidentialité. Ils ne peuvent utiliser vos données qu'aux fins déterminées par YouDo et selon nos instructions.

6.3 Transferts hors Union Européenne

Certains de nos sous-traitants sont situés en dehors de l'Union Européenne, notamment aux États-Unis. Ces transferts sont encadrés par :

• Des clauses contractuelles types approuvées par la Commission Européenne
• Des garanties appropriées en matière de protection des données
• Le respect des principes du RGPD concernant les transferts internationaux

6.4 Autorités

Nous pouvons être amenés à communiquer vos données aux autorités compétentes si la loi l'exige ou pour protéger nos droits légaux.

7. Durée de Conservation

Vos données sont conservées pendant les durées suivantes :

• Données de compte actif : pendant toute la durée de votre abonnement et jusqu'à la suppression de votre compte
• Données clients, articles, devis : pendant la durée de votre abonnement + 3 ans après suppression (pour permettre une éventuelle réactivation)
• Données de facturation et comptabilité : 10 ans conformément aux obligations légales françaises (Code de commerce, Code général des impôts)
• Données de paiement Stripe : conservées selon les politiques de Stripe et les obligations légales de lutte contre le blanchiment
• Conversations avec l'assistant IA : pendant la durée de votre abonnement + 1 an après suppression
• Tickets de support : 3 ans après résolution du ticket
• Logs d'utilisation de l'IA : 12 mois (pour analyse et facturation)
• Données de connexion : 12 mois (pour sécurité et détection de fraude)

À l'expiration de ces délais, vos données sont supprimées ou anonymisées de manière irréversible, sauf obligation légale de conservation plus longue.

8. Vos Droits sur vos Données Personnelles

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

8.1 Droit d'accès (article 15 RGPD)

Vous pouvez obtenir la confirmation que vos données sont traitées et accéder à vos données personnelles.

8.2 Droit de rectification (article 16 RGPD)

Vous pouvez demander la correction de vos données inexactes ou incomplètes. La plupart des données peuvent être modifiées directement depuis votre espace personnel.

8.3 Droit à l'effacement (article 17 RGPD)

Vous pouvez demander la suppression de vos données personnelles. Vous pouvez supprimer votre compte depuis les paramètres. Certaines données peuvent être conservées pour respecter nos obligations légales (notamment les données comptables pendant 10 ans).

8.4 Droit à la limitation du traitement (article 18 RGPD)

Vous pouvez demander le gel temporaire du traitement de vos données dans certaines situations (contestation de l'exactitude, traitement illicite, etc.).

8.5 Droit à la portabilité (article 20 RGPD)

Vous pouvez récupérer vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement. Vous pouvez exporter vos données depuis votre espace personnel.

8.6 Droit d'opposition (article 21 RGPD)

Vous pouvez vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière, lorsque le traitement est fondé sur l'intérêt légitime.

8.7 Droit de retirer votre consentement

Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment. Ce retrait ne remet pas en cause la licéité du traitement effectué avant le retrait.

8.8 Directives post-mortem (article 85 loi Informatique et Libertés)

Vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.

8.9 Exercice de vos droits

Pour exercer vos droits, vous pouvez nous contacter :

• Par email : nicolas@hugodot.com
• Par courrier : YouDo, 6 rue des Macchabées, 69005 Lyon

Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes. Vous en serez alors informé.

Pour garantir la sécurité de vos données, nous pourrons vous demander de justifier de votre identité avant de donner suite à votre demande.

9. Droit de Réclamation

Si vous estimez que le traitement de vos données personnelles n'est pas conforme à la réglementation, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

10. Sécurité des Données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité de vos données personnelles et les protéger contre toute destruction, perte, altération, divulgation ou accès non autorisé :

• Chiffrement : connexion HTTPS (TLS 1.3), chiffrement des mots de passe avec algorithmes robustes (bcrypt), chiffrement au repos des données sensibles
• Contrôle d'accès : Row-Level Security (RLS) au niveau de la base de données, authentification forte, gestion des permissions par rôle
• Protection contre les attaques : protection CSRF (Cross-Site Request Forgery), protection contre les injections SQL, rate limiting pour prévenir les abus
• Surveillance : logs de sécurité, détection d'anomalies, alertes automatiques
• Sauvegardes : sauvegardes régulières et chiffrées des données, plan de reprise d'activité
• Mises à jour : maintien à jour des systèmes et logiciels, application rapide des correctifs de sécurité
• Audits : revues régulières de sécurité, tests de vulnérabilité

Malgré ces mesures, aucune transmission de données sur Internet ne peut être garantie comme totalement sécurisée. Nous nous engageons à notifier toute violation de données à caractère personnel à la CNIL et aux personnes concernées dans les délais légaux.

11. Cookies et Technologies Similaires

Nous utilisons des cookies et technologies similaires pour assurer le fonctionnement du Service et améliorer votre expérience. Pour en savoir plus, consultez notre Politique de Cookies.

12. Données des Mineurs

Le Service YouDo est réservé aux personnes majeures (18 ans et plus). Nous ne collectons pas sciemment de données personnelles concernant des mineurs. Si vous avez connaissance qu'un mineur a fourni des informations personnelles, veuillez nous contacter afin que nous puissions supprimer ces données.

13. Modifications de la Politique de Confidentialité

Nous nous réservons le droit de modifier la présente Politique de Confidentialité à tout moment, notamment pour nous conformer aux évolutions législatives, réglementaires, jurisprudentielles ou technologiques.

Les modifications substantielles vous seront notifiées par email ou via une notification dans le Service au moins 30 jours avant leur entrée en vigueur. Nous vous encourageons à consulter régulièrement cette page.

La date de dernière mise à jour est indiquée en haut de ce document.

14. Contact et Délégué à la Protection des Données

Pour toute question relative à la protection de vos données personnelles ou à la présente Politique de Confidentialité, vous pouvez contacter :