Politique de confidentialité

Date d’effet : 30 novembre 2025

1. Responsable du traitement et champ d’application

La présente politique de confidentialité s’applique à l’application Avest, éditée par la société VAP SYSTEMS. VAP SYSTEMS est une SAS immatriculée au RCS de Nanterre sous le numéro 842 966 988, dont le siège social est situé 34 rue Guynemer, 92130 Issy-les-Moulineaux. VAP SYSTEMS est responsable du traitement des données personnelles collectées dans le cadre de l’utilisation d’Avest. Cette politique vise à expliquer quelles données nous collectons, sur quelle base légale et pour quelles finalités, comment elles sont conservées et protégées, qui sont les destinataires (y compris nos sous-traitants), si des transferts hors UE ont lieu, quels sont vos droits, et comment nous utilisons les cookies, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.

2. Données personnelles collectées

Nous collectons et traitons plusieurs catégories de données personnelles vous concernant, notamment :

  • Données d’identification et de contact : nom, prénom, adresse email (notamment votre adresse Gmail si vous connectez votre compte Google), numéro de téléphone, nom de l’entreprise, fonction, etc. Ces données sont fournies par vous lors de la création de votre compte ou de votre inscription à nos services.
  • Données de compte utilisateur : informations de connexion (identifiants), préférences de l’utilisateur, paramètres du profil.
  • Données issues des services Google connectés (après votre autorisation explicite) : si vous choisissez de lier votre compte Google à Avest, nous accédons à certaines données de votre compte Google conformément aux autorisations (scopes) que vous validez. En particulier, Avest demande l’accès aux API Google suivantes :
  • Gmail (scope gmail.modify) – pour lire et traiter vos emails Gmail nécessaires au fonctionnement du service. Ce scope nous permet de lire les messages et métadonnées dans votre boîte de réception Gmail et de réaliser des opérations de modification non destructives (par ex. marquer des emails comme lus ou y ajouter des labels/catégories), à l’exclusion des dossiers Brouillons, Spam et Corbeille. Avest n’accède pas aux emails de ces dossiers exclus afin de limiter les données traitées aux seuls messages utiles à l’application. De plus, nous n’utilisons pas Gmail pour envoyer des emails en votre nom (aucun envoi via Gmail n’est réalisé par Avest). Le scope gmail.modify autorise toutes les opérations de lecture/écriture dans votre boîte mail sauf la suppression définitive de messages (sans passer par la corbeille; nous utilisons ces droits uniquement pour lire/afficher vos emails dans l’interface Avest et éventuellement appliquer des libellés pour organiser vos messages, et jamais pour supprimer des emails de manière irréversible.
  • Google Calendar (scope calendar.app.created) – pour créer et gérer des événements dans votre agenda Google dans le cadre du service. Ce scope restreint l’accès aux seuls calendriers secondaires créés par l’application Avest sur votre compte Google. Concrètement, si Avest doit ajouter un événement à votre agenda, il sera placé dans un calendrier spécifique créé par Avest (sans altérer vos calendriers personnels existants). Avest pourra ainsi voir, créer, modifier ou supprimer les événements qu’il a créés sur ce calendrier secondaire, mais n’accède pas à vos autres événements personnels en dehors de ce contexte.
  • Profil Google (scopes userinfo.email et userinfo.profile) – pour vérifier votre identité, récupérer votre adresse email et les informations de base de votre profil Google. Ces données nous permettent de créer ou synchroniser votre compte Avest avec votre compte Google, d’afficher votre nom ou avatar, et de communiquer avec vous le cas échéant.

Lorsque vous connectez votre compte Google à Avest, vous devez consentir explicitement à ces accès lors du processus OAuth 2.0 de Google. Aucune connexion à votre compte Google n’est effectuée sans votre action volontaire. Vous avez la possibilité de révoquer à tout moment les accès accordés à Avest depuis votre compte Google (via la console de sécurité Google ou les paramètres de votre compte Avest). La révocation stoppera tout accès futur d’Avest à vos données Google, sans affecter les données déjà importées dans l’application.

Outre les données Google, nous collectons également :

  • Données d’utilisation : informations sur comment vous interagissez avec l’application (par ex. journaux de connexion, clics, pages consultées), ce qui peut inclure des informations sur votre navigateur, votre adresse IP, vos identifiants de terminaux, etc. Ces données sont collectées automatiquement via des traceurs (voir section Cookies) ou nos outils d’analyse, afin d’améliorer le service et garantir la sécurité.
  • Contenus que vous soumettez : toutes les données ou documents que vous importez dans Avest ou créez via le service (par ex. notes, tâches, informations saisies, pièces jointes), qui peuvent contenir des données personnelles sur vous ou des tiers (ex : coordonnées de contacts). Vous êtes responsable des données de tiers que vous soumettez dans l’application et devez vous assurer d’avoir obtenu les autorisations nécessaires de ces personnes le cas échéant. Si des tiers exercent leurs droits concernant leurs données, nous vous en informerons et il vous appartiendra de traiter leur demande, sauf obligation légale contraire.

Nous nous engageons à ne collecter que les données pertinentes et strictement nécessaires au regard des finalités exposées ci-après (principe de minimisation). Par exemple, en matière de données Gmail, nous n’analysons que le contenu des messages requis pour la fonctionnalité offerte et ne stockons pas l’intégralité de vos emails sur nos serveurs (voir conservation, section 5). De même, l’accès à votre compte Google Calendar est limité à un usage précis comme décrit ci-dessus, et nous ne consultons aucune information superflue.

3. Bases légales du traitement

Nous traitons vos données personnelles uniquement si une base juridique valide le permet, conformément à l’article 6 du RGPD. Selon la nature des données et l’usage qui en est fait, la base légale peut être :

  • Votre consentement préalable – pour les accès à vos données Google (Gmail, Agenda, profil), nous nous appuyons sur votre consentement explicite que vous manifestez en autorisant Avest via le mécanisme OAuth. Vous pouvez retirer votre consentement à tout moment en désactivant l’intégration Google (cf. section 2), sans remettre en cause la licéité du traitement effectué avant le retrait. De même, pour certains cookies non essentiels ou l’envoi de communications marketing, nous sollicitons votre consentement.
  • L’exécution du contrat – le traitement de vos données de compte et de vos contenus est nécessaire à l’exécution des Conditions d’utilisation d’Avest que vous acceptez en utilisant le service. Par exemple, utiliser votre adresse email pour vous authentifier ou traiter les données que vous renseignez dans l’application fait partie intégrante du service que nous vous fournissons.
  • Notre intérêt légitime – pour certaines données d’usage ou techniques (logs, mesures d’audience anonymisées, prévention de fraude), nous nous basons sur notre intérêt légitime à sécuriser et améliorer nos services. Nous veillons alors à respecter un juste équilibre entre cet intérêt et le respect de votre vie privée. Par exemple, la détection d’activités anormales sur un compte pour protéger la sécurité relève de notre intérêt légitime.
  • Une obligation légale – il peut arriver que nous devions conserver ou divulguer certaines informations pour nous conformer à des obligations légales ou réglementaires (par ex. conservation de données de transaction à des fins comptables, réponse à une réquisition judiciaire).

4. Finalités d’utilisation des données

Nous utilisons les données collectées pour des finalités déterminées, explicites et légitimes. En particulier, les traitements poursuivis sont les suivants :

  • Fourniture du service Avest : utiliser vos données pour vous permettre d’accéder à l’application et à ses fonctionnalités principales. Cela inclut l’utilisation de vos données Google avec un usage strictement limité à ce qui est nécessaire à la fonctionnalité utilisateur correspondante (conformément aux règles Google de Limited Use). Par exemple, Avest pourra lire et afficher certains de vos emails Gmail dans son interface dans le but, par hypothèse, de vous assister dans la gestion de vos courriels ou d’extraire des informations pertinentes, mais uniquement suite à votre action (ex : ouverture d’Avest pour consulter vos messages ou déclenchement d’une analyse) et sans exploiter ces emails à d’autres fins non liées à cette fonctionnalité. De même, l’accès à Google Calendar servira exclusivement à créer/mettre à jour des événements que vous aurez programmés via Avest (par ex. pour planifier un rappel ou une réunion).
  • Organisation et catégorisation des informations : Avest peut traiter vos données (y compris certaines données issues de Gmail) afin de les classer, de leur ajouter des étiquettes ou catégories pour vous offrir un meilleur suivi. Par exemple, l’application pourra apposer un label sur un email traité afin d’indiquer son statut ou prioriser certains messages, si c’est une partie intégrante du service que vous utilisez. Important : aucune action irréversible n’est menée sur votre boîte mail – nous n’effaçons aucun message et n’envoyons aucun email à votre insu, nous nous contentons d’opérations de lecture et d’annotation non intrusives.
  • Communication et assistance client : utiliser vos coordonnées (email principalement) pour vous envoyer des informations relatives au service. Cela comprend les emails transactionnels (confirmation de création de compte, notifications importantes sur le fonctionnement de l’application, alertes de sécurité, etc.) et, si vous y avez consenti, des emails d’information ou de newsletter concernant les nouveautés d’Avest. Nous pouvons également vous contacter via ces coordonnées pour le support utilisateur (répondre à vos demandes d’assistance). Remarque : vous pouvez vous opposer à tout moment à recevoir des communications marketing en utilisant le lien de désinscription fourni dans nos emails ou en nous contactant directement, sans que cela n’affecte les emails strictement opérationnels.
  • Amélioration du service et analyses : nous pouvons analyser de manière agrégée et anonyme certaines données d’utilisation (ex : fréquence d’usage des fonctionnalités, parcours utilisateur) pour comprendre comment améliorer nos produits et corriger d’éventuels problèmes. Ces analyses excluent autant que possible les données personnelles identifiantes. Lorsque nous utilisons des outils tiers d’analyse ou de feedback, nous veillons à ce que les données soient pseudonymisées.
  • Sécurité et prévention de la fraude : surveiller l’activité technique de l’application (logs de connexion, adresses IP, tentatives de connexion suspectes) afin de détecter et prévenir d’éventuels accès non autorisés, attaques ou utilisations malveillantes de nos services. Par exemple, en cas de connexion depuis un nouvel appareil ou d’échec répété de mot de passe, nous pouvons effectuer des vérifications supplémentaires. Également, nous pouvons utiliser certaines données pour lutter contre le spam ou l’envoi d’emails non sollicités. Important : il est strictement interdit aux utilisateurs d’Avest d’utiliser le service pour envoyer des emails non sollicités (“cold emailing”) à des personnes qui n’ont pas consenti à être contactées ; en cas de violation de cette règle, nous nous réservons le droit de suspendre ou clôturer le compte fautif (voir aussi Conditions d’utilisation).
  • Respect de nos obligations légales : conserver ou divulguer certaines données si la loi l’exige. Par exemple, nous pourrions être tenus de conserver des informations de facturation pendant la durée légale en vigueur, ou de communiquer des données sur réquisition judiciaire, conformément aux lois applicables. Nous pourrons également utiliser et divulguer des données si nécessaire pour exercer nos droits en justice, faire respecter nos conditions contractuelles ou répondre à des demandes des autorités compétentes.

Nous n’utiliserons vos données pour aucune finalité incompatible avec celles listées ci-dessus sans vous en informer préalablement et, le cas échéant, recueillir votre consentement. En particulier, nous n’utiliserons jamais les données issues de votre compte Google à des fins publicitaires ou marketing pour des tiers, ni pour entraîner des algorithmes d’intelligence artificielle au-delà de votre usage personnel du service. Tout usage des données Google restera conforme aux Règles de confidentialité de Google API Services et aux exigences dites de “Limited Use” (utilisation limitée) : cela signifie que les informations reçues de Google API seront uniquement utilisées pour fournir ou améliorer des fonctionnalités directement visibles et bénéfiques pour vous au sein d’Avest, et non pour d’autres services externes, et ne seront ni transférées ni vendues à des tiers (sauf avec votre consentement explicite ou pour des motifs légaux tels que détaillés plus haut).

Pour résumer, notre utilisation de vos données, notamment celles provenant de Google, est strictement limitée à l’objectif de vous fournir le service Avest de manière efficace et personnalisée, dans le respect de la confidentialité et de la réglementation.

5. Durées de conservation des données

Nous conservons vos données personnelles pour des durées limitées, proportionnées aux finalités pour lesquelles elles ont été collectées, en accord avec les recommandations de la CNIL et les exigences légales applicables. De manière générale :

  • Données de votre compte et profil Avest : conservées tant que votre compte est actif. Si vous supprimez votre compte ou qu’il demeure inactif pendant une longue période, vos données de profil (nom, contact…) seront supprimées ou archivées de manière sécurisée. Par défaut, en l’absence d’activité de votre part, nous pourrons clôturer votre compte et supprimer ou anonymiser les données associées après 3 ans à compter de la dernière interaction avec le service ou de la fin de notre relation contractuelle. Ce délai correspond à la durée maximale de conservation généralement admise pour des données de clients ou prospects inactifs. Bien sûr, à votre demande, vos données pourront être supprimées plus tôt (voir vos droits en section 8).
  • Contenu et données que vous avez importés : l’ensemble des contenus que vous stockez dans Avest (notes, fichiers, informations) vous restent accessibles tant que votre compte est ouvert. En cas de suppression de compte, nous effacerons ces contenus de nos serveurs, après exécution d’éventuelles sauvegardes de sécurité. Typiquement, la suppression effective intervient sous quelques jours une fois la demande traitée, avec un délai additionnel pouvant aller jusqu’à X jours pour que toutes les copies de sauvegarde soient purgées (ce délai technique ne dépassera pas 30 jours sauf contrainte particulière). Si vous souhaitez récupérer vos données avant suppression, vous pouvez le faire (voir section sur vos droits et réversibilité).
  • Données Google (emails, événements) : par principe, Avest ne stocke pas localement le contenu détaillé de vos emails Gmail, hormis temporairement en mémoire cache pour l’affichage ou le traitement en temps réel. Nous pouvons stocker de manière persistante certains identifiants ou métadonnées liés à vos messages (par ex. l’ID du message, le label appliqué, l’état lu/non-lu) afin de synchroniser l’information entre Gmail et Avest. Ces métadonnées sont conservées aussi longtemps que votre compte Avest est actif. Concernant les données Google Calendar, les événements créés via Avest sont enregistrés à la fois sur nos serveurs (pour vous les afficher dans l’app) et sur votre calendrier Google. Si vous supprimez un événement depuis Avest ou déconnectez l’intégration, nous supprimerons les données associées de nos bases, mais l’événement peut subsister dans votre Google Calendar (vous pourrez alors le supprimer directement dans Google si souhaité). En tout état de cause, nous ne conservons aucune donnée issue des APIs Google au-delà du nécessaire et nous alignons la suppression de ces données sur la suppression de votre compte ou sur votre demande expresse.
  • Logs et données techniques : les journaux d’activité et données de connexion sont conservés pour une durée plus courte, généralement quelques mois à un an, à des fins de sécurité et d’audit. Par exemple, les logs de serveur contenant les adresses IP et horaires de connexion pourraient être gardés 12 mois. Au-delà, ils sont supprimés ou anonymisés, sauf en cas d’incident nécessitant une conservation plus longue (ex : enquête sur une intrusion).
  • Données financières (si applicables, ex. factures) : conservées le temps nécessaire au traitement du paiement, puis archivées conformément aux obligations légales (par ex. une facture peut être gardée 10 ans selon le Code de commerce). Ces données ne sont pas supprimables à votre demande si la loi impose leur conservation pendant un certain délai.
  • Cookies : voir section 10 pour leurs durées spécifiques, mais en règle générale les cookies non essentiels expirent au plus tard 13 mois après leur dépôt si vous ne les avez pas effacés entre-temps.

Au terme des durées ci-dessus, nous procédons soit à la suppression pure et simple des données, soit à leur anonymisation irréversible (rendant impossible toute ré-identification). Dans certains cas limités, nous pourrons conserver certaines données plus longtemps si la loi nous y oblige ou tant que nécessaire pour défendre nos droits (par exemple, si un litige est en cours, nous pourrons conserver les informations pertinentes jusqu’à son aboutissement). Dans tous les cas, nous vous informerons du délai et de la nature des données conservées si vous en faites la demande, et nous nous engageons à ne pas les utiliser à d’autres fins pendant la conservation résiduelle.

6. Mesures de sécurité

La sécurité de vos données est une priorité pour nous. VAP SYSTEMS met en œuvre des mesures techniques et organisationnelles robustes pour assurer la confidentialité, l’intégrité et la disponibilité de vos données personnelles, conformément à l’article 32 du RGPD.

Parmi ces mesures :

  • Chiffrement des données : toutes les communications entre l’application Avest (client web ou mobile) et nos serveurs sont chiffrées via le protocole HTTPS/TLS, empêchant l’interception des données en transit. De plus, les données sensibles sont chiffrées au repos sur nos bases de données ou nos supports de stockage, à l’aide d’algorithmes de cryptage reconnus (par ex. AES-256).
  • Authentification sécurisée (OAuth 2.0) : pour l’accès aux APIs Google (Gmail, Agenda), nous utilisons exclusivement le protocole OAuth 2.0 dans le cadre de l’accès « connecté ». Cela garantit que vous autorisez vous-même l’accès et que nous n’avons jamais accès à vos identifiants Google. Le jeton d’accès fourni par Google est stocké de manière sécurisée (chiffré) sur nos serveurs et n’est accessible qu’aux services back-end nécessaires, jamais exposé côté client ni en clair. Si le token est révoqué ou expiré, l’accès cesse immédiatement.
  • Architecture haute sécurité (hébergement fiable) : vos données sont hébergées sur des serveurs cloud sécurisés fournis par Amazon Web Services (AWS), au sein de centres de données bénéficiant de normes de sécurité élevées (certifications ISO 27001, SOC 2, etc.). Nous utilisons notamment la base de données MongoDB Atlas (hébergée sur AWS) et les stockages de fichiers S3 d’AWS pour entreposer les informations. Ces environnements intègrent des mécanismes de redondance, de sauvegarde chiffrée quotidienne, et de pare-feu réseau pour prévenir les accès non autorisés.
  • Tests d’autorisation et minimisation : nous développons Avest en suivant les principes « Security by Design » et « Privacy by Design ». Chaque nouvelle fonctionnalité est revue quant à ses implications sur vos données. Par exemple, nous nous assurons que les tokens d’accès aux API Google ne permettent que les actions déclarées et sont immédiatement invalidés si plus requis. De même, nous ne stockons que le strict nécessaire (par ex. si une donnée n’est utile qu’en transit, elle n’est pas conservée en base). Nous suivons les recommandations de Google pour les applications ayant des scopes restreints, notamment en maintenant un haut niveau de sécurité opérationnelle afin de rester en conformité avec les exigences de Google (ex : respect du programme de sécurité Cloud CASA si applicable.

Malgré toutes ces mesures, il est important de noter qu’aucune mesure de sécurité n’est infaillible à 100%. Internet présente des risques inhérents et nous ne pouvons garantir une sécurité absolue. Toutefois, nous mettons tout en œuvre pour actualiser et renforcer continuellement la sécurité de nos services. En utilisant Avest, vous reconnaissez être conscient que le risque zéro n’existe pas, mais nous nous engageons à réagir promptement et de manière transparente en cas de problème.

7. Sous-traitants et destinataires des données

Nous ne vendons ni ne louons vos données personnelles à des tiers. L’accès à vos informations est principalement interne à VAP SYSTEMS. Néanmoins, afin de faire fonctionner l’application Avest et fournir certaines fonctionnalités, nous faisons appel à des sous-traitants (prestataires techniques spécialisés) à qui certaines données peuvent être transmises, dans la limite nécessaire à leur mission. Voici la liste de nos principaux sous-traitants et ce qu’ils font :

  • Amazon Web Services (AWS) – Hébergement de l’infrastructure (serveurs, base de données). Toutes vos données sur Avest (y compris les sauvegardes) sont stockées sur des serveurs AWS hautement sécurisés. Nous privilégions l’hébergement dans l’UE (région AWS Europe) pour vos données.
  • MongoDB Atlas – Service de base de données cloud (fourni par MongoDB, Inc.) utilisé pour stocker de manière sécurisée les données applicatives (informations de compte, contenus, métadonnées). Les données dans MongoDB Atlas sont chiffrées et l’accès est restreint.
  • SendGrid (Twilio SendGrid) – Solution d’envoi d’emails transactionnels. Nous l’utilisons pour l’envoi des emails automatiques d’Avest (par ex. email de confirmation, notifications). Seules votre adresse email et le contenu du message sont transmis à SendGrid pour acheminement. SendGrid peut traiter ces données aux États-Unis ; nous avons conclu les Clauses Contractuelles Types de la Commission européenne afin de garantir un niveau de protection adéquat.
  • Twilio (API SMS/Téléphonie) – Si l’application envoie des notifications SMS ou utilise la téléphonie (par ex. double authentification par SMS ou appels), nous faisons appel à Twilio. Cela implique la transmission du numéro de téléphone et du texte du message ou code à envoyer. Twilio est certifié conforme au RGPD et traite les données dans l’UE ou aux États-Unis avec des garanties appropriées (Clauses Contractuelles Types).
  • OpenAI – Ce prestataire n’est sollicité que si vous activez explicitement les fonctionnalités d’intelligence artificielle d’Avest (par exemple, une assistance conversationnelle ou l’analyse automatique d’emails via IA, si proposé). OpenAI pourrait alors recevoir certains contenus que vous lui soumettez (par ex. texte d’un email à analyser) afin de générer une réponse ou suggestion via ses modèles d’IA. Par défaut, aucune donnée n’est envoyée à OpenAI sans votre action explicite. De plus, nous configurons l’API OpenAI de sorte que vos données ne soient pas utilisées par OpenAI pour entraîner leurs modèles généraux (conformément aux options “data opt-out” offertes par OpenAI). Vous pouvez choisir de ne pas utiliser ces fonctionnalités IA pour que vos données ne sortent jamais de notre système.

Chacun de ces sous-traitants est soumis à des obligations contractuelles strictes en matière de confidentialité, de sécurité et d’utilisation limitée des données, conformes à l’article 28 du RGPD. Nous demeurons responsables du traitement et nous assurons que nos prestataires n’utilisent vos données qu’aux fins nécessaires à leurs prestations pour notre compte, et jamais à des fins propres (ex : marketing ou revente). En particulier, aucune donnée issue de votre compte Google (emails, informations de calendrier, etc.) n’est partagée avec un tiers hors de VAP SYSTEMS, sauf pour les sous-traitants listés ci-dessus dans le cadre du fonctionnement du service, ou si la loi nous y oblige.

Outre nos sous-traitants, vos données pourraient être accessibles aux entités suivantes dans des cas spécifiques :

  • Autorités légales et organismes publics : si la loi nous contraint à divulguer certaines informations ou dans le cadre de procédures légales (par ex. demande de la CNIL, ordonnance judiciaire), nous pourrons être amenés à fournir les données requises. Nous vérifierons systématiquement la validité de la demande et ne fournirons que le minimum légalement exigé.
  • Conseillers juridiques, comptables, auditeurs : dans le cadre de nos obligations ou pour la défense de nos droits, il est possible que nous partagions des données pertinentes avec nos avocats, experts comptables ou auditeurs (par ex. dans le cadre d’un audit RGPD ou financier). Ces destinataires sont soumis au secret professionnel ou à des accords de confidentialité appropriés.
  • Autres utilisateurs d’Avest : Avest est principalement un service de gestion personnel, vos données ne sont pas publiques par défaut. Cependant, si Avest propose des fonctionnalités collaboratives (ex. partage de contenus avec un autre utilisateur), les données que vous décidez de partager volontairement deviendront accessibles aux personnes avec qui vous les avez partagées. Vous pouvez contrôler ces partages le cas échéant.

Enfin, en cas d’évolution d’entreprise (fusion, acquisition, cession d’activité), vos données pourraient être transférées au nouvel entité reprenant le service, mais toujours en respectant la présente politique de confidentialité. Vous en seriez informés et vos droits seraient préservés.

8. Transferts internationaux de données

Dans la mesure du possible, nous stockons et traitons vos données personnelles au sein de l’Union européenne. Néanmoins, certains de nos sous-traitants étant internationaux, il se peut que des données soient transférées hors de l’Espace Économique Européen (EEE). En particulier :

  • Les serveurs d’Amazon Web Services et MongoDB Atlas que nous utilisons peuvent être situés dans l’EEE (nous privilégions les centres de données en Europe, par ex. en France ou en Irlande). Si, pour des raisons de performance ou de sauvegarde, des données devaient transiter vers des serveurs en dehors de l’UE, ces transferts seraient couverts par les garanties appropriées (ex. AWS est certifié par le nouveau cadre EU–US Data Privacy Framework pour ses entités US, ou à défaut, des Clauses Contractuelles Types sont en place).
  • Nos prestataires Twilio et SendGrid sont basés aux États-Unis. Par conséquent, l’envoi d’un email ou SMS via ces services implique un transfert de vos données (adresse email, numéro de téléphone, contenu du message) vers les États-Unis. Nous avons signé avec eux les Clauses Contractuelles Types de la Commission Européenne et vérifié l’existence de mesures supplémentaires (chiffrement, etc.) afin de nous assurer que vos données bénéficient d’un niveau de protection conforme au RGPD. De plus, SendGrid participe au programme EU–US Data Privacy Framework (certification en cours ou obtenue) ce qui signifie qu’il s’engage à respecter des principes de protection approuvés par l’UE.
  • Le service OpenAI, s’il est utilisé, traite les données aux États-Unis. OpenAI a mis en place des engagements contractuels pour la confidentialité des données de ses API. Nous limitons strictement les informations envoyées (pas de données d’identification directe sauf si vous les fournissez dans la requête) et nous anonymisons le contenu autant que possible. Là aussi, des Clauses Contractuelles Types encadrent juridiquement le transfert.

En tout état de cause, nous nous assurons qu’aucun transfert n’a lieu sans cadre juridique adéquat. Soit le pays de destination bénéficie d’une décision d’adéquation de la Commission européenne, soit nous mettons en place l’un des mécanismes prévus par le RGPD (CCT, règles d’entreprise contraignantes, consentement explicite si approprié, etc.).

Si vous souhaitez en savoir plus sur nos transferts de données hors UE (notamment obtenir une copie des clauses de protection utilisées), vous pouvez nous contacter aux coordonnées fournies en section 11. Nous resterons transparents sur les éventuels traitements transfrontaliers de vos informations.

9. Vos droits sur les données

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez de plusieurs droits relatifs à vos données personnelles que nous collectons :

  • Droit d’accès : vous pouvez nous demander si nous détenons des données personnelles vous concernant et en obtenir une copie intelligible, ainsi que des informations sur les finalités du traitement, les catégories de données, les destinataires, etc. (sous réserve de ne pas affecter les droits des tiers).
  • Droit de rectification : si vous constatez que des données personnelles que nous traitons sont inexactes ou incomplètes, vous avez le droit de les faire rectifier ou compléter. Vous pouvez généralement corriger ou mettre à jour vos informations de compte directement via l’application.
  • Droit à l’effacement (droit à l’oubli) : vous pouvez demander la suppression de vos données personnelles, notamment si elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, si vous retirez votre consentement (et qu’il n’existe pas d’autre base légale), ou si vous vous opposez au traitement et qu’il n’existe pas de motif légitime impérieux de continuer, etc. Ce droit n’est toutefois pas absolu – nous pourrions conserver certaines données si la loi nous y oblige ou pour l’exercice ou la défense de droits en justice. En pratique, la suppression de votre compte Avest entraînera l’effacement de la plupart de vos données (voir section 5). Nous vous informerons des éventuelles données conservées exceptionnellement et des raisons légales.
  • Droit d’opposition : vous avez le droit de vous opposer à tout moment pour des raisons tenant à votre situation particulière à un traitement fondé sur l’intérêt légitime. Si vous exercez ce droit, nous cesserons le traitement en question sauf si nous pouvons démontrer qu’il est nécessaire et impératif (p. ex. protection en justice). Vous pouvez également vous opposer à tout moment aux traitements de prospection (ex. emails marketing), sans justification – il vous suffit de vous désinscrire ou de nous le signaler, et nous arrêterons.
  • Droit à la limitation : vous pouvez demander la suspension temporaire d’un traitement de vos données dans certaines situations (par ex. le temps de vérifier l’exactitude de données contestées, ou si vous en avez besoin pour constatation en justice alors que nous n’en avons plus besoin). Pendant la durée de la limitation, nous ne traiterons plus les données (sauf conservation).
  • Droit à la portabilité : pour les données que vous nous avez fournies directement, et que nous traitons par moyens automatisés sur la base de votre consentement ou d’un contrat, vous pouvez demander à recevoir ces données dans un format structuré, couramment utilisé et lisible par machine, ou à ce qu’on les transmette à un autre responsable de traitement si c’est techniquement faisable. Par exemple, vous pourriez demander la récupération des informations que vous avez importées dans Avest afin de les transférer vers un autre service.
  • Directives post-mortem : en France, vous avez le droit de définir des directives sur le sort de vos données personnelles après votre décès. Le cas échéant, nous respecterons ces directives (ou celles de vos héritiers légitimes) conformément à la loi.

Pour exercer l’un de ces droits, vous pouvez nous contacter (voir section 11 pour les coordonnées). Aucune frais ne vous sera facturé pour ces demandes, sauf abus (demandes manifestement infondées ou excessives). Nous nous efforcerons de répondre dans les meilleurs délais, et en tout état de cause dans un délai d’un mois à compter de la réception de votre demande (prolongeable de deux mois si nécessaire en raison de la complexité ou du volume des demandes, nous vous en informerons le cas échéant). Nous pourrons être amenés à vous demander un justificatif d’identité si nous avons un doute raisonnable sur l’identité du demandeur, ceci afin de protéger votre confidentialité.

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés ou que le traitement n’est pas conforme aux règles de protection des données, vous avez la possibilité d’adresser une réclamation à l’autorité de contrôle compétente. En France, il s’agit de la CNIL (Commission Nationale de l’Informatique et des Libertés – www.cnil.fr). Vous pouvez la saisir par courrier ou en ligne. Nous vous invitons toutefois à nous contacter au préalable pour toute question ou problème, nous ferons de notre mieux pour le résoudre dans un esprit de transparence et de respect de vos droits.

10. Cookies et traceurs

Le site web d’Avest (y compris l’application accessible via un navigateur) utilise des cookies et technologies similaires pour améliorer votre expérience et nos services. Un cookie est un petit fichier texte envoyé par notre site et stocké sur votre terminal (ordinateur, smartphone…) via votre navigateur, qui permet de conserver des informations sur votre navigation. D’autres traceurs similaires incluent par exemple le LocalStorage, les pixels invisibles, etc.

Cookies utilisés : Nous distinguons plusieurs catégories :

  • Cookies strictement nécessaires : indispensables au fonctionnement du site ou de l’application. Par exemple, ils permettent de maintenir votre session connectée, d’accéder à des zones sécurisées (votre compte), ou d’équilibrer la charge du site. Sans ces cookies, le service pourrait ne pas fonctionner correctement.
  • Cookies de préférence : qui mémorisent vos choix (langue, paramètres d’affichage) pour améliorer l’ergonomie.
  • Cookies d’analyse/audience : nous utilisons ces traceurs pour collecter des informations statistiques anonymisées sur la fréquentation de nos pages (nombre de visites, pages les plus consultées, parcours utilisateurs). Cela nous aide à comprendre comment le service est utilisé et où l’améliorer. Nous utilisons à cet effet des services conformes RGPD, pouvant impliquer des cookies tiers (par ex. Google Analytics, avec l’anonymisation IP activée, ou des solutions d’analyse locales).
  • Cookies de publicité : Avest n’affiche pas de publicité de tiers et n’utilise pas de cookies publicitaires ciblés sur son site. Les seules éventuelles publicités concerneraient nos propres services et, le cas échéant, seraient affichées sans traquer votre activité hors de notre site. Actuellement, nous n’utilisons pas ce type de cookies.

Lors de votre première visite sur notre site/app, un bandeau cookies (géré via la solution Axeptio) vous informe de la présence de cookies et vous propose de consentir ou non aux catégories non essentielles. Aucun cookie non strictement nécessaire ne sera déposé sans votre consentement préalable. Vous pouvez à tout moment modifier vos préférences en matière de cookies en cliquant sur le module Axeptio ou via les réglages de votre navigateur.

Durée de vie : Les cookies ont chacun une durée de conservation spécifique. Nous veillons à ce qu’aucun cookie non essentiel ne perdure au-delà de 13 mois sur votre terminal sans être renouvelé par votre consentement. Certains cookies de session disparaissent dès que vous fermez le navigateur. Les cookies analytiques ou de préférence durent généralement entre quelques jours et quelques mois, selon leur fonction. En tout état de cause, vous pouvez les supprimer à tout moment manuellement (voir ci-dessous).

Gestion par l’utilisateur : Vous disposez de plusieurs moyens pour gérer les cookies : - Via notre interface de gestion du consentement (bandeau ou centre de préférences), où vous pouvez accepter/refuser les différentes catégories. - Via les réglages de votre navigateur internet, dans les options de confidentialité, où vous pouvez bloquer ou effacer les cookies de votre choix. Vous pouvez par exemple configurer votre navigateur pour qu’il refuse tous les cookies, ou seulement les cookies tiers. Vous pouvez également effacer l’historique et les cookies déjà enregistrés. Veuillez noter que si vous désactivez tous les cookies, y compris les nécessaires, certaines parties d’Avest risquent de ne pas fonctionner correctement (ex: vous ne pourrez plus rester connecté). Chaque navigateur (Chrome, Firefox, Safari, etc.) propose une section d’aide expliquant comment ajuster vos préférences en matière de cookies. - Via des outils tiers ou extensions de navigateur de type “anti-tracker” si vous en utilisez, en veillant à bien configurer les exceptions nécessaires pour Avest si besoin.

Pour plus d’informations générales sur les cookies et vos choix, vous pouvez consulter le site de la CNIL (www.cnil.fr, section “Cookies et autres traceurs”).

11. Contact et Délégué à la Protection des Données (DPO)

Pour toute question relative à cette politique de confidentialité, pour exercer vos droits ou pour toute demande concernant vos données personnelles, vous pouvez nous contacter aux coordonnées suivantes :

  • Par email : dpo@avest.fr (notre Délégué à la Protection des Données)
  • Par courrier postal : VAP SYSTEMS – DPO, 34 rue Guynemer, 92130 Issy-les-Moulineaux, France.

Nous mettrons tout en œuvre pour vous répondre rapidement et trouver une solution satisfaisante à vos demandes ou réclamations éventuelles. Si vous avez des suggestions pour améliorer la protection de vos données ou des questions spécifiques sur un point de cette politique, n’hésitez pas à nous en faire part.

12. Conformité aux règles Google (Google OAuth / API)

Parce qu’Avest utilise des API Google pour fournir certaines fonctionnalités, nous nous engageons à respecter en tous points les règles de Google en matière de données utilisateur. L’utilisation et le transfert vers toute autre application des informations reçues via les API Google par Avest seront conformes aux Règles relatives aux données utilisateur des services API de Google, y compris les exigences d’utilisation limitée (Limited Use). En d’autres termes, Avest n’utilisera les données obtenues de Google que pour fournir les fonctionnalités explicitement autorisées par l’utilisateur et visibles dans l’application, et s’interdit tout usage secondaire non lié, tel que le ciblage publicitaire, le partage ou la vente à des tiers non autorisés ou l’entraînement de modèles globaux d’apprentissage automatique sur ces données. Cette déclaration est faite pour répondre aux exigences de transparence de Google OAuth.

13. Modifications de la politique de confidentialité

La présente politique de confidentialité est susceptible d’être mise à jour périodiquement afin de refléter les évolutions d’Avest, de la réglementation, ou de nos pratiques. En cas de modification substantielle affectant la manière dont vos données sont traitées, nous vous en informerons par les moyens habituels (par ex. notification sur le site ou email) et, si la loi l’exige, nous recueillerons à nouveau votre consentement. La date de « dernière mise à jour » en haut du document indique la version en vigueur. Nous vous encourageons à consulter régulièrement cette page pour rester informé de nos engagements en matière de confidentialité. En continuant à utiliser Avest après l’entrée en vigueur de ces modifications, vous acceptez la politique ainsi mise à jour.

Logo of AVEST
Tous droits réservés - AVEST 2022
Mentions légales
Politique de confidentialité
Condition générales d'utilisation
Création Site Internet
Logo of Eliot BESSON, Designer