Politique de Confidentialité
La présente politique de confidentialité décrit comment Avisio collecte, utilise et protège vos données personnelles lorsque vous utilisez notre service. Elle s'applique aux Utilisateurs du Service (professionnels qui créent un compte) ainsi qu'aux Contacts (clients des établissements qui reçoivent des emails de demande d'avis).
Sommaire
1. Responsable de traitement
Le responsable de traitement pour les données des Utilisateurs du Service est :
- Nom : Précieux Fassinou
- Qualité : Éditeur individuel du service Avisio
- Adresse : Dakar, Sénégal
- Email : contact@getavisio.com
Pour les données des Contacts (clients des établissements), l'Utilisateur (professionnel) est responsable de traitement. Avisio agit en qualité de sous-traitant au sens de l'article 28 du RGPD.
2. Données collectées
2.1 Données des Utilisateurs (professionnels)
| Catégorie | Données | Caractère |
|---|---|---|
| Identité | Nom, prénom | Obligatoire |
| Contact | Adresse email | Obligatoire |
| Authentification | Mot de passe (hashé bcrypt), token de vérification email | Obligatoire |
| Google OAuth | Token d'accès et token de rafraîchissement Google (chiffrés AES-256) | Si connexion Google activée |
| Établissement | Nom, type (restaurant, hôtel, salon, spa, autre), URL Google Maps | Obligatoire |
| Abonnement | Plan souscrit, dates de début/fin, statut du paiement | Automatique |
| Technique | Adresse IP, type de navigateur, dates de connexion | Automatique (logs) |
2.2 Données des Contacts (clients des établissements)
| Catégorie | Données | Caractère |
|---|---|---|
| Identité | Prénom, nom | Obligatoire |
| Contact | Adresse email | Obligatoire |
| Contact | Numéro de téléphone | Facultatif |
| Préférence | Langue de communication | Obligatoire |
| Suivi | Statut de la demande d'avis (envoyé, ouvert, cliqué), date de visite | Automatique |
| Consentement | Statut de désabonnement | Automatique |
Avisio ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (données de santé, opinions politiques, religion, orientation sexuelle, données biométriques).
3. Bases légales et finalités
| Finalité | Base légale | Détail |
|---|---|---|
| Gestion du compte Utilisateur | Exécution contractuelle (art. 6.1.b) | Créer et maintenir le compte, fournir le Service |
| Facturation et paiement | Exécution contractuelle (art. 6.1.b) | Gérer l'abonnement via Dodo Payments |
| Envoi de demandes d'avis aux Contacts | Intérêt légitime (art. 6.1.f) | Intérêt légitime du professionnel à solliciter un avis après une relation commerciale. Le Contact peut se désinscrire en un clic |
| Emails de service (vérification, notifications) | Exécution contractuelle (art. 6.1.b) | Informer l'Utilisateur du fonctionnement de son compte |
| Sécurité et prévention des abus | Intérêt légitime (art. 6.1.f) | Protéger le Service contre les utilisations frauduleuses |
| Amélioration du Service | Intérêt légitime (art. 6.1.f) | Analyser l'usage agrégé pour améliorer les fonctionnalités |
4. Durées de conservation
| Données | Durée |
|---|---|
| Compte Utilisateur actif | Durée de l'abonnement |
| Compte Utilisateur après résiliation | 30 jours, puis suppression définitive |
| Contacts importés | Durée du compte de l'Utilisateur, puis supprimés avec le compte |
| Données de facturation | 10 ans (obligation légale comptable) |
| Logs techniques (IP, connexions) | 12 mois |
| Contacts désabonnés | Le statut de désabonnement est conservé tant que le compte existe, pour empêcher tout renvoi d'email |
5. Destinataires et sous-traitants
Vos données sont traitées par les sous-traitants suivants, sélectionnés pour leurs garanties en matière de sécurité et de conformité RGPD :
| Sous-traitant | Service | Localisation des données |
|---|---|---|
| Railway | Hébergement backend et base de données PostgreSQL | Frankfurt, Allemagne (UE) |
| Vercel | Hébergement frontend (CDN) | Réseau mondial, nœuds EU prioritaires |
| Resend | Envoi d'emails transactionnels et de demandes d'avis | États-Unis (Data Privacy Framework) |
| Dodo Payments | Traitement des paiements (Merchant of Record) | États-Unis (PCI-DSS Level 1) |
| Sentry | Surveillance des erreurs applicatives | États-Unis (Data Privacy Framework) |
| Google (OAuth) | Authentification et accès au profil Google Business | États-Unis (Data Privacy Framework) |
Avisio ne vend, ne loue et ne partage jamais vos données personnelles avec des tiers à des fins de marketing ou de publicité.
6. Transferts hors UE
La base de données principale est hébergée dans l'Union européenne (Frankfurt, Allemagne). Certains sous-traitants (Resend, Dodo Payments, Sentry, Google) sont situés aux États-Unis. Ces transferts sont encadrés par :
- Le EU-U.S. Data Privacy Framework, lorsque le sous-traitant y adhère
- Les Clauses Contractuelles Types (CCT) de la Commission européenne, dans les autres cas
Les tokens Google OAuth sont chiffrés en AES-256 avant stockage en base de données. Seul le backend peut les déchiffrer pour effectuer les appels API autorisés par l'Utilisateur.
7. Sécurité des données
Avisio met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement en transit : TLS sur toutes les communications
- Chiffrement au repos : AES-256 pour les tokens OAuth Google
- Hachage des mots de passe : bcrypt avec un coût de 12 rounds
- Isolation multi-tenant : chaque organisation est isolée par un identifiant unique (organizationId), appliqué automatiquement via middleware Prisma sur chaque requête en base de données
- Protection des en-têtes HTTP : Helmet (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)
- Limitation de débit : 20 requêtes / 15 minutes sur l'authentification, 120 requêtes / minute sur l'API générale
- Validation des entrées : toutes les données sont validées via Zod avant traitement
- Surveillance : logs structurés (Winston) avec identifiants de corrélation, suivi des erreurs (Sentry)
- JWT sécurisé : token stocké en cookie httpOnly avec attribut sameSite=lax, empêchant le vol via XSS ou CSRF
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (article 15) : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie
- Droit de rectification (article 16) : corriger des données inexactes ou incomplètes
- Droit à l'effacement (article 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation
- Droit à la limitation du traitement (article 18) : obtenir la limitation du traitement dans certains cas
- Droit à la portabilité (article 20) : recevoir vos données dans un format structuré et lisible par machine (CSV, JSON)
- Droit d'opposition (article 21) : vous opposer au traitement de vos données fondé sur l'intérêt légitime
- Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement
Pour exercer ces droits, envoyez un email à contact@getavisio.com en précisant votre demande et en joignant un justificatif d'identité si nécessaire. Nous répondrons dans un délai de 30 jours.
Vous disposez également du droit de déposer une réclamation auprès de l'autorité de contrôle compétente. Si vous résidez en France, il s'agit de la CNIL : www.cnil.fr/fr/plaintes.
9. Cookies
Avisio utilise uniquement les cookies strictement nécessaires au fonctionnement du Service :
| Cookie | Finalité | Durée | Type |
|---|---|---|---|
| token (httpOnly) | Authentification de session (JWT) | 7 jours | Strictement nécessaire |
Avisio n'utilise aucun cookie publicitaire, aucun cookie de suivi tiers et aucun outil d'analytics tiers sur l'application. Le site vitrine (getavisio.com) n'utilise pas de cookies.
Les cookies strictement nécessaires ne requièrent pas de consentement au sens du RGPD et de la directive ePrivacy.
10. Données des Contacts (clients des établissements)
Les Contacts sont les clients des établissements gérés par les Utilisateurs d'Avisio. Leurs données sont importées par l'Utilisateur (responsable de traitement) et traitées par Avisio (sous-traitant) uniquement dans le but d'envoyer des demandes d'avis Google.
10.1 Base légale
La base légale pour l'envoi de demandes d'avis est l'intérêt légitime de l'Utilisateur (article 6.1.f du RGPD) : un professionnel a un intérêt légitime à solliciter un avis de la part d'un client avec lequel il a eu une relation commerciale récente. Cet intérêt est mis en balance avec les droits du Contact par les mécanismes suivants :
- Lien de désabonnement en un clic dans chaque email
- Maximum 3 emails par séquence (1 demande + 2 relances), espacés dans le temps
- Aucune donnée du Contact n'est utilisée à d'autres fins que la demande d'avis
- Délais techniques d'envoi adaptés au type d'établissement (pas d'envoi immédiat)
10.2 Droits des Contacts
Les Contacts disposent des mêmes droits que les Utilisateurs (accès, rectification, effacement, opposition). Pour exercer ces droits :
- Désabonnement : cliquer sur le lien de désabonnement présent dans chaque email — effet immédiat
- Autres droits : contacter l'établissement concerné (responsable de traitement) ou écrire à contact@getavisio.com
11. Modifications
La présente politique de confidentialité peut être mise à jour pour refléter des changements dans nos pratiques ou dans la réglementation. La date de dernière mise à jour est indiquée en haut de cette page. En cas de modification substantielle, les Utilisateurs seront informés par email.
12. Contact
Pour toute question relative à la protection de vos données personnelles :
- Email : contact@getavisio.com
- Éditeur : Précieux Fassinou — Dakar, Sénégal
- Délai de réponse : 30 jours maximum (conformément à l'article 12 du RGPD)