Politique de confidentialité
Dernière mise à jour : 5 mars 2026
ANDOX.AI SAS (« ANDOX.AI », « nous ») s'engage à protéger la vie privée des utilisateurs de sa plateforme. La présente Politique de confidentialité décrit comment nous collectons, utilisons et protégeons les données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi française applicable.
1. Responsable du traitement
ANDOX.AI SAS est responsable du traitement des données personnelles relatives aux comptes Marque et au fonctionnement de la plateforme. Pour les données des votants collectées via les campagnes des Marques, la Marque agit en tant que responsable du traitement et ANDOX.AI en tant que sous-traitant. Un Contrat de Traitement des Données (DPA) est disponible sur demande. Contact : privacy@andox.ai
2. Données que nous collectons
**Comptes Marque** • Adresse e-mail et mot de passe (haché par Supabase Auth) • Nom de la marque et URL de la boutique • Informations de facturation (traitées par Stripe — nous ne stockons pas les données de carte) • Données d'utilisation (activité campagnes, horodatages de connexion, adresse IP) **Données des votants (collectées via les campagnes des Marques)** • Adresse e-mail — collectée uniquement pour envoyer un code de vérification à usage unique. L'e-mail brut n'est JAMAIS stocké dans notre base de données. Seul un hachage cryptographique salé (SHA-256 + sel par campagne) est conservé, irréversible. • Identifiant de device (cookie anonyme, non lié à l'identité) • Choix de vote et horodatage • Adresse IP (détection de fraude, stockée sous forme de hachage) • Token Cloudflare Turnstile (vérification anti-bot)
3. Utilisation des données
Nous utilisons les données collectées pour : • Fournir et exploiter le service ANDOX.AI • Vérifier l'identité des votants et garantir l'intégrité du vote • Calculer des scores de demande statistiques (signaux go/no-go) • Détecter et prévenir la fraude, les abus et les manipulations • Envoyer des e-mails transactionnels (codes de vérification, notifications) • Traiter les abonnements et la facturation • Générer des rapports agrégés et anonymisés (aucune donnée individuelle n'est transmise aux fournisseurs d'IA) • Respecter nos obligations légales
4. Base légale du traitement (RGPD Art. 6)
• **Exécution d'un contrat** (Art. 6(1)(b)) : Traitement de vos données de compte et fourniture du service souscrit. • **Intérêts légitimes** (Art. 6(1)(f)) : Détection de fraude, surveillance sécuritaire et analyses de la plateforme — équilibrés avec vos droits à la vie privée. • **Obligation légale** (Art. 6(1)(c)) : Conservation des pièces comptables requise par la loi française. • **Consentement** (Art. 6(1)(a)) : Lorsque nous nous appuyons sur le consentement (ex. communications marketing), vous pouvez le retirer à tout moment.
5. Partage des données & sous-traitants
Nous partageons les données uniquement avec les sous-traitants suivants, tous liés par des accords conformes au RGPD : • **Supabase** (région UE) — hébergement base de données et authentification • **Vercel** — hébergement applicatif et edge functions • **Stripe, Inc.** — traitement des paiements (la politique de confidentialité de Stripe s'applique aux données de paiement) • **Resend** — envoi d'e-mails transactionnels (codes de vérification, notifications) • **OpenAI** — génération de narratives IA ; seules des statistiques de campagne agrégées et anonymisées sont transmises — aucune donnée personnelle, aucune adresse e-mail, aucun identifiant votant • **Sentry** — suivi des erreurs et monitoring (les erreurs sont purgées de toute donnée personnelle avant enregistrement) • **Cloudflare** — protection anti-bot Turnstile (la politique de confidentialité de Cloudflare s'applique) Nous ne vendons, ne louons, ni ne commercialisons vos données personnelles.
6. Transferts internationaux de données
Notre base de données principale est hébergée dans l'UE (région Supabase UE). Certains sous-traitants (Stripe, OpenAI, Sentry) sont établis aux États-Unis. En cas de transfert de données hors UE/EEE, nous nous assurons de la mise en place de garanties appropriées, notamment les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.
7. Durées de conservation
• **Données de compte Marque** : conservées pendant la durée de l'abonnement puis 90 jours après résiliation, puis supprimées. • **Hachages d'e-mails votants** : conservés pendant la durée de la campagne + 12 mois à des fins de prévention de la fraude, puis supprimés. • **Hachages d'adresses IP** : conservés 90 jours à des fins de détection de fraude. • **Pièces comptables** : conservées 10 ans conformément à la loi française. • **Journaux d'audit** : conservés 12 mois. Vous pouvez demander la suppression anticipée de vos données sous réserve des obligations légales de conservation.
8. Vos droits au titre du RGPD
Si vous êtes situé dans l'UE/EEE, vous disposez des droits suivants : • **Droit d'accès** (Art. 15) : Obtenir une copie de vos données personnelles. • **Droit de rectification** (Art. 16) : Corriger des données inexactes. • **Droit à l'effacement** (Art. 17) : Demander la suppression de vos données (sous réserve des obligations légales). • **Droit à la limitation** (Art. 18) : Demander la restriction du traitement. • **Droit à la portabilité** (Art. 20) : Recevoir vos données dans un format structuré et lisible par machine. • **Droit d'opposition** (Art. 21) : S'opposer au traitement fondé sur les intérêts légitimes. • **Droit de retirer le consentement** : Le retrait ne porte pas atteinte à la licéité du traitement antérieur. Note : Les e-mails des votants étant stockés sous forme de hachages irréversibles salés, nous ne pouvons techniquement pas identifier ni supprimer les données d'un votant spécifique une fois la session de vérification terminée — c'est une conception intentionnelle conforme au principe de minimisation du RGPD. Pour exercer vos droits : privacy@andox.ai. Réponse sous 30 jours. Vous avez également le droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
9. Cookies et traceurs
Nous utilisons les mécanismes suivants : • **Cookies de session** : nécessaires à l'authentification et aux sessions sécurisées (Supabase Auth). Strictement nécessaires, ne requièrent pas de consentement. • **Cookie d'identifiant de device** : identifiant aléatoire et anonyme utilisé pour détecter les votes en double au sein d'une campagne. Non lié à votre identité, non partagé avec des tiers. • **Aucun cookie publicitaire ou de suivi** : nous n'utilisons ni Google Analytics, ni Facebook Pixel, ni traceurs publicitaires similaires. Vous pouvez désactiver les cookies dans les paramètres de votre navigateur, ce qui peut altérer certaines fonctionnalités du Service.
10. Mineurs
Le Service est destiné exclusivement aux utilisateurs professionnels. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si vous pensez qu'un mineur nous a communiqué des données, contactez privacy@andox.ai et nous les supprimerons dans les meilleurs délais.
11. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées au risque de traitement, notamment : • Chiffrement au repos et en transit (TLS 1.3) • Sécurité au niveau des lignes (RLS) assurant l'isolation des tenants au niveau base de données • Hachage des e-mails votants avec sel par campagne — aucun e-mail brut n'est jamais persisté • Principe du moindre privilège pour les accès internes • Journaux d'audit pour les opérations sensibles Aucun système n'est totalement sûr. En cas de violation de données personnelles présentant un risque pour vos droits, nous vous notifierons ainsi que l'autorité de contrôle compétente dans les 72 heures, conformément au RGPD.
12. Modifications de la politique
Nous pouvons mettre à jour cette Politique de confidentialité. Les modifications substantielles seront communiquées par e-mail ou notification dans l'application au moins 14 jours avant leur entrée en vigueur. La date « Dernière mise à jour » en haut de page reflète la révision la plus récente.
13. Contact
Pour toute question relative à la confidentialité ou pour exercer vos droits : ANDOX.AI SAS E-mail : privacy@andox.ai Note : Les informations légales de la société (numéro SIRET, nomination d'un DPO le cas échéant, adresse du siège) seront indiquées ici dès l'immatriculation formelle.