← Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 11 mai 2026

1. Responsable du traitement

Bouclia, société en cours de constitution. Pour toute question relative à vos données personnelles : dpo@bouclia.fr.

2. Données collectées

Nous collectons uniquement les données strictement nécessaires :

  • Identité de compte : prénom (optionnel), nom (optionnel), email, téléphone (optionnel), mot de passe (haché bcrypt).
  • Données dérivées : alias email Bouclia, numéro virtuel, solde de gains, historique de transactions.
  • Connexion Gmail / Outlook (optionnelle, OAuth) : token de rafraîchissement OAuth Google ou Microsoft, chiffré au repos en AES-256-GCM. Adresse email associée. Aucune copie du contenu de vos emails n'est conservée.
  • Connexion IMAP (optionnelle, iCloud, Yahoo, Free, Orange, SFR, Laposte ou hôte personnalisé) : adresse email, hôte IMAP, port, et mot de passe d'application — ce dernier chiffré au repos en AES-256-GCM. Le mot de passe n'est jamais transmis à un tiers et n'est jamais journalisé.
  • Activité produit : fenêtres créées, comptes détectés (nom de la plateforme, email expéditeur), tentatives de contact reçues (heure, canal, statut).

3. Finalités

  • Fournir les fonctionnalités de Bouclia : scan, désinscription, fenêtres de consentement, rémunération.
  • Vous informer par email des événements importants (achat de fenêtre, pénalité, vérification de compte, réinitialisation de mot de passe).
  • Prévenir les abus et garantir la sécurité du service.

Aucune donnée n'est utilisée à des fins publicitaires. Vos vraies coordonnées ne sont jamais partagées avec les entreprises tierces.

4. Base légale

  • Exécution du contrat (article 6.1.b RGPD) : pour fournir le service.
  • Consentement (article 6.1.a RGPD) : pour la connexion à votre boîte mail (Gmail, Outlook, IMAP) et l'analyse de vos emails de bienvenue.
  • Obligation légale (article 6.1.c RGPD) : pour la conservation des transactions financières (10 ans, code de commerce).

5. Destinataires

Vos données sont traitées par les sous-traitants suivants, tous engagés par un Data Processing Agreement (DPA) conforme RGPD. La liste exhaustive et à jour est sur la page Sous-traitants RGPD :

  • L'équipe Bouclia, dans la limite de ce qui est strictement nécessaire à l'exploitation.
  • Vercel Inc. (frontend, région européenne).
  • Render Services Inc. (backend, Frankfurt).
  • Neon Inc. (base de données PostgreSQL, eu-central-1).
  • Resend Inc. (envoi d'emails transactionnels) — ne reçoit que l'adresse de destination et le contenu strict du message.
  • Google LLC / Microsoft Corporation — uniquement lorsque vous donnez l'autorisation OAuth pour le scan de votre Gmail ou Outlook.

Aucune donnée n'est revendue à des tiers. Aucun prestataire publicitaire, analytique ou de tracking n'est utilisé.

6. Durée de conservation

  • Compte actif : pendant toute la durée de la relation.
  • Compte supprimé : suppression immédiate des données personnelles, sauf obligations légales (transactions : 10 ans).
  • Connexions Gmail / Outlook / IMAP : tokens et mots de passe supprimés sur déconnexion de la boîte ou suppression de compte.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits :

  • D'accès à vos données (export JSON disponible dans les Réglages).
  • De rectification de vos informations.
  • D'effacement (suppression de compte dans les Réglages).
  • D'opposition au traitement.
  • De portabilité.
  • De déposer une réclamation auprès de la CNIL (cnil.fr).

8. Sécurité

Mots de passe hachés (bcrypt). Refresh tokens OAuth (Gmail / Outlook) et mots de passe IMAP chiffrés au repos en AES-256-GCM. Communications HTTPS (TLS 1.2+). Rate-limiting trois tiers (auth / API / webhook) sur les endpoints sensibles. Helmet pour les en-têtes de sécurité. Hébergement dans l'Union Européenne (Frankfurt).

9. Cookies

Bouclia n'utilise pas de cookies de tracking. Un seul jeton d'authentification est stocké dans le localStorage de votre navigateur, supprimé à la déconnexion.

10. Modifications

Toute modification substantielle de la présente politique sera notifiée par email au moins 15 jours avant son entrée en vigueur.