Politique de confidentialité
Dernière mise à jour : 19 avril 2026
La présente politique décrit comment CallFlow Coach traite les données personnelles conformément au Règlement général sur la protection des données (RGPD — Règlement (UE) 2016/679) et à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
1. Responsable du traitement
Le responsable du traitement des données personnelles est Matty Carlier, éditeur de CallFlow Coach.
Pour toute question relative à vos données personnelles ou pour exercer vos droits (voir section 8), utilisez notre formulaire de contact.
2. Données collectées
Nous collectons les catégories de données suivantes :
Données de compte
Adresse email, mot de passe haché, prénom, nom de société. Ces données sont fournies par l'utilisateur lors de la création de son compte et indispensables pour accéder au service.
Enregistrements audio d'appels commerciaux
Fichiers audio téléversés par l'utilisateur. Ces enregistrements peuvent contenir la voix et le discours des participants à l'appel (vendeur ET prospect). L' utilisateur est responsable d'avoir obtenu le consentement de tous les participants avant le téléversement (voir CGU, article 4).
Transcriptions et analyses
Transcription textuelle diarisée des appels (produite par Deepgram), analyse psychologique et vocale (produite par Anthropic Claude et Hume AI), recommandations de coaching, scores de performance.
Données techniques
Logs d'accès, adresse IP, user-agent, métriques de performance anonymisées. Collectées automatiquement par nos hébergeurs (Vercel, Supabase).
3. Finalités et bases légales des traitements
| Finalité | Base légale (RGPD Art. 6) |
|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (Art. 6.1.b) |
| Analyse des appels téléversés par l'utilisateur | Exécution du contrat (Art. 6.1.b) |
| Envoi d'emails de service (confirmation, alertes, reset de mot de passe) | Exécution du contrat (Art. 6.1.b) |
| Détection d'erreurs techniques et amélioration du service | Intérêt légitime (Art. 6.1.f) |
| Respect des obligations légales (conservation comptable, réponses aux autorités) | Obligation légale (Art. 6.1.c) |
Les enregistrements audio peuvent contenir des données pouvant être qualifiées de sensibles (voix identifiante). Leur traitement repose sur l'obtention par l'utilisateur du consentement explicite des participants à l'appel (voir CGU, article 4).
4. Sous-traitants et transferts
Pour fournir le service, nous faisons appel aux sous-traitants suivants, sélectionnés pour leur conformité au RGPD :
| Sous-traitant | Finalité | Données | Localisation |
|---|---|---|---|
| Anthropic PBC | Analyse IA des transcriptions d'appels (modèles Claude) | Transcription textuelle de l'appel | États-Unis (clauses contractuelles types UE) |
| Deepgram Inc. | Transcription audio avec diarisation | Enregistrement audio de l'appel | États-Unis (clauses contractuelles types UE) |
| Hume AI Inc. | Analyse émotionnelle vocale | Enregistrement audio de l'appel | États-Unis (clauses contractuelles types UE) |
| Resend Inc. | Envoi des emails transactionnels (vérification, alertes) | Email, nom, contenu des notifications | États-Unis (clauses contractuelles types UE) |
| Sentry (Functional Software Inc.) | Détection d'erreurs techniques (APM) | Métadonnées techniques, logs d'erreur | Union européenne (région DE — Francfort) |
| Supabase Inc. | Hébergement base de données, authentification, stockage audio | Email, identifiants, transcriptions, enregistrements audio | Union européenne (région Francfort) |
| Vercel Inc. | Hébergement de l'application web et analytics | Logs techniques, métriques d'usage anonymisées | États-Unis (clauses contractuelles types UE) |
Les transferts vers les États-Unis sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne et, lorsque disponible, par l'adhésion du sous-traitant au EU-U.S. Data Privacy Framework. Aucune donnée n'est transmise à des tiers à des fins de prospection ou de revente.
5. Durées de conservation
- Compte utilisateur : durée de vie du compte, supprimé dans les 30 jours suivant la demande de suppression ou 24 mois d'inactivité.
- Enregistrements audio : durée de vie du compte. L'utilisateur peut supprimer chaque enregistrement individuellement depuis l'interface.
- Transcriptions et analyses : durée de vie du compte.
- Logs techniques : 90 jours maximum (rotation automatique).
- Données de facturation : 7 ans (obligation légale comptable belge) — ne s'applique pas en phase bêta.
6. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement TLS 1.3 des communications entre l'utilisateur et le service.
- Chiffrement au repos des bases de données et des fichiers audio (AES-256, Supabase).
- Isolement strict des données entre utilisateurs via Row-Level Security (RLS) PostgreSQL.
- Authentification par email + mot de passe (haché via bcrypt) avec durée de session limitée.
- Monitoring des erreurs et tentatives d'accès suspectes (Sentry — région Francfort, UE).
7. Cookies
Le service utilise uniquement des cookies strictement nécessaires à son fonctionnement (session d'authentification Supabase). Aucun cookie publicitaire, de tracking ou d'analyse comportementale n'est déposé. Les métriques anonymisées (Vercel Analytics, Speed Insights) ne reposent pas sur des cookies.
8. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (Art. 15) — obtenir une copie des données que nous détenons sur vous ;
- Droit de rectification (Art. 16) — corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (Art. 17) — demander la suppression de vos données (« droit à l'oubli ») ;
- Droit à la limitation du traitement (Art. 18) ;
- Droit à la portabilité (Art. 20) — recevoir vos données dans un format structuré et couramment utilisé ;
- Droit d'opposition (Art. 21) ;
- Droit de retirer votre consentement à tout moment, sans que cela affecte la licéité des traitements antérieurs.
Pour exercer ces droits, utilisez notre formulaire de contact. Nous répondrons dans un délai d'un mois maximum.
9. Réclamation auprès de l'autorité de contrôle
Si vous estimez que le traitement de vos données personnelles ne respecte pas la réglementation, vous disposez du droit d'introduire une réclamation auprès de :
Autorité de protection des données (APD / GBA)
Rue de la Presse 35, 1000 Bruxelles, Belgique
10. Modification de la politique
Cette politique peut être mise à jour. En cas de modification substantielle, nous vous en informerons par email au moins 15 jours avant l'entrée en vigueur.