Politique de confidentialité

Qui nous sommes

Apshan édite apshan.com et exploite le service Apshan. Apshan est le responsable du traitement des données personnelles collectées via ce site et le service. L'identification de la société, son immatriculation et les informations d'hébergement sont indiquées dans les Mentions légales.

Pour toute question relative à la protection des données, écrivez à privacy@apshan.com.

Données que nous collectons

Apshan collecte les catégories de données personnelles décrites ci-dessous. Toutes les catégories ne s'appliquent pas à chaque utilisateur ; ce que nous collectons dépend de la manière dont vous interagissez avec le site et le service.

Données de compte

Adresse e-mail, nom, fonction, société, pays. Fournies par vous lors de la création d'un compte ou de l'inscription à une liste d'attente.

Données d'authentification

Identifiants hachés, secrets d'authentification multifacteur, jetons de session, identifiants OAuth. Générés lors de la connexion.

Données d'usage

Requêtes que vous soumettez au service, sources consultées, fonctionnalités utilisées, exports demandés, appels API. Générées au fil de votre utilisation du produit.

Télémétrie

Vues de page, mesures de latence, rapports d'erreur, informations sur l'appareil et le navigateur, adresse IP tronquée. Voir la section Télémétrie ci-dessous.

Communications

Tickets de support, réponses par e-mail, messages in-app. Fournies par vous lorsque vous nous contactez ou répondez à nos communications.

Données de facturation

Factures, adresse de facturation, identification TVA, métadonnées de transaction. Les numéros de carte sont traités directement par notre prestataire de paiement et ne transitent jamais par les serveurs d'Apshan.

Apshan ne collecte pas sciemment de données personnelles auprès de mineurs de moins de 16 ans. Si vous pensez qu'un mineur a fourni des données personnelles à Apshan, contactez privacy@apshan.com et nous supprimerons l'enregistrement.

Pourquoi nous les traitons

Fournir et améliorer le service

Exécution d'un contrat (article 6.1.b du RGPD). Nécessaire pour faire fonctionner le produit.

Authentification et sécurité

Intérêt légitime (article 6.1.f). Prévention de la fraude, des abus et des accès non autorisés.

Communications de service

Exécution d'un contrat (article 6.1.b). Notifications opérationnelles concernant votre compte.

Mises à jour produit et marketing

Consentement (article 6.1.a). Opt-in uniquement ; vous pouvez retirer votre consentement à tout moment.

Télémétrie et analyses

Intérêt légitime pour la télémétrie strictement nécessaire (article 6.1.f) ; consentement pour les analyses optionnelles (article 6.1.a).

Conformité légale et fiscale

Obligation légale (article 6.1.c). Y compris les exigences du Code de commerce français.

Répondre à vos demandes d'exercice des droits

Obligation légale (article 6.1.c). Articles 15 à 22 du RGPD.

Apshan ne vend pas de données personnelles, ne les utilise pas pour du profilage publicitaire, et n'utilise pas les données client pour entraîner les modèles d'Apshan.

Cookies

Apshan utilise des cookies répartis en quatre catégories. Vous gérez vos préférences via la bannière de consentement affichée à la première visite et pouvez les modifier à tout moment via le lien « Réglages des cookies » dans le pied de page. La bannière est opérée par Axeptio, notre plateforme de gestion du consentement résidente UE, répertoriée sur /subprocessors avec divulgation complète.

Strictement nécessaires

Session, CSRF, authentification, sécurité. Requis pour le fonctionnement du site. Déposés sans consentement au titre de l'exception de stricte nécessité de la directive ePrivacy.

Fonctionnels

Langue, thème et autres préférences d'interface. Déposés avec votre consentement ou après une action affirmative claire.

Analyses

Analyses d'usage anonymisées. Deux prestataires : PostHog (données résidentes en UE à Francfort, couvertes par des Clauses Contractuelles Types avec sa maison mère américaine) et Google Analytics 4 (Google Ireland Limited, avec transferts ultérieurs vers les États-Unis dans le cadre du Data Privacy Framework UE-États-Unis). Activé uniquement après votre consentement préalable et contrôlé par fournisseur dans la bannière de cookies. Sur les pages de liste d'attente et de soumission de formulaire, Google Ads reçoit également un hachage SHA-256 non salé de votre adresse e-mail aux fins d'attribution des conversions. Google utilise ce hachage pour faire correspondre la soumission avec les comptes qu'il détient déjà à des fins d'attribution. Apshan ne peut pas inverser le hachage. Si vous accordez votre consentement marketing, la même soumission envoie également un hachage SHA-256 non salé de votre adresse e-mail, ainsi que votre adresse IP et votre chaîne user-agent, à Meta Platforms Ireland Limited via son Conversions API et à LinkedIn Ireland Unlimited Company via son Conversions API. Ces flux serveur à serveur respectent la spécification Conversions API publiée par chaque fournisseur, s'exécutent en parallèle du consentement par fournisseur dans la bannière de cookies, et sont limités à la finalité d'attribution de conversion. Sans votre consentement marketing, aucune donnée côté serveur n'est transmise à l'une ou l'autre plateforme.

Marketing et publicité

Balises de suivi de conversion et d'invitation à laisser un avis. Le LinkedIn Insight Tag n'est déposé qu'avec votre consentement préalable et est exclu des pages traitant de données sensibles (formulaires de candidature, documents de confidentialité et de conformité, pages de contact) conformément aux conditions d'utilisation de LinkedIn. Si vous naviguez vers l'une de ces pages après avoir consenti ailleurs, la balise est désactivée avant qu'aucun nouvel événement ne soit envoyé. Le SDK d'invitation Trustpilot n'est déposé qu'avec votre consentement préalable et n'est invoqué qu'à nos points de déclenchement explicites.

Apshan ne dépose pas de pixels de « partage » de réseaux sociaux, ne participe pas à des enchères publicitaires en temps réel ni ne travaille avec des data brokers, et ne vend, ne loue, ni n'échange les données des visiteurs.

Télémétrie

La télémétrie couvre les signaux opérationnels dont Apshan a besoin pour maintenir la fiabilité du service et l'améliorer dans le temps. Nous séparons la télémétrie en deux couches :

Télémétrie opérationnelle

Journaux serveur, rapports d'erreur, métriques de latence et de performance, événements de sécurité. Nécessaires à l'exploitation sécurisée du service. Traités sur la base de l'intérêt légitime (article 6.1.f). Les identifiants personnels sont supprimés ou tronqués à l'ingestion lorsque cela est faisable. Conservés pour la durée indiquée dans « Durée de conservation ».

Analyses produit

Signaux agrégés et anonymisés sur les fonctionnalités utilisées et la performance du produit. Optionnels et soumis à consentement (article 6.1.a). Vous pouvez vous retirer à tout moment via la bannière de cookies ou les paramètres de votre compte, sans affecter votre accès au service.

Apshan n'utilise pas la télémétrie pour profiler des utilisateurs à des fins publicitaires, ni pour prendre des décisions automatisées qui vous affectent.

Tiers et sous-traitants

Apshan s'appuie sur un ensemble restreint de sous-traitants évalués pour exploiter le service. Chaque sous-traitant ne reçoit que les données nécessaires à sa fonction spécifique et est lié par un accord de traitement des données, avec Clauses Contractuelles Types lorsque pertinent. Les catégories sont :

Hébergement et infrastructure

Prestataires basés en UE qui exécutent les serveurs applicatifs, bases de données et stockage objet.

CDN du site marketing

Les ressources statiques (HTML, CSS, JavaScript, images) du site marketing public sont servies via un CDN global. Les adresses IP visiteur et chaînes user-agent transitent par le bord du CDN mais ne sont pas conservées au-delà des fenêtres standard de journaux d'accès. Aucune donnée client ne transite par ce CDN.

Envoi d'e-mails

Prestataires basés en UE ou couverts par CCT, chargés des e-mails transactionnels et opérationnels.

Analyses et suivi des erreurs

Prestataires respectueux de la vie privée, à préférence européenne, pour les analyses produit et la surveillance des erreurs d'exécution.

Traitement des paiements

Prestataire conforme PCI-DSS chargé des données de carte. Les numéros de carte ne transitent jamais par les serveurs d'Apshan.

Inférence IA

Fournisseurs de grands modèles de langage (Mistral, Anthropic) utilisés pour générer les réponses. Apshan sélectionne cette liste auprès de fournisseurs dont la résidence des données et la posture de conformité s'alignent avec les nôtres. Voir le Centre de confiance pour les fournisseurs nommés et la posture actuelle de résidence des données.

Authentification et identité

Prestataires optionnels de single sign-on et de multifacteur utilisés par les clients entreprise qui choisissent de les activer.

Support client

Logiciel d'assistance utilisé pour traiter les tickets de support et les communications avec les clients.

Retours et avis clients

Plateformes d'avis et de notation utilisées pour collecter des retours après des événements clés. Le suivi des visiteurs est conditionné au consentement ; aucune donnée n'est envoyée sans votre consentement explicite.

Publicité et suivi de conversion

Pixels marketing (par exemple, LinkedIn Insight Tag) utilisés pour attribuer les campagnes et mesurer les conversions. Chargés uniquement après consentement explicite et exclus entièrement des pages traitant de données sensibles (formulaires de candidature, documents de confidentialité et de conformité, pages de contact) conformément aux conditions d'utilisation propres aux fournisseurs.

La liste actuelle et complète des sous-traitants nommés, incluant nom de société, pays, rôle et référence du contrat de sous-traitance, est disponible sur /subprocessors. Nous donnons un préavis de trente jours avant d'ajouter, retirer ou modifier substantiellement un sous-traitant.

Transferts internationaux

La résidence principale des données d'Apshan est l'Union européenne. Lorsqu'un sous-traitant traite des données personnelles en dehors de l'UE/EEE, nous nous appuyons sur une décision d'adéquation de la Commission européenne, sur les Clauses Contractuelles Types (CCT) de la Commission européenne, ou sur un autre mécanisme de transfert licite. En pratique, certains sous-traitants d'analyses, de télémétrie et d'infrastructure traitent des données aux États-Unis et à Singapour sous CCT. La page /subprocessors indique le pays de traitement pour chaque sous-traitant.

Durée de conservation

Données de compte

Tant que votre compte est actif et pendant douze mois après sa fermeture, sauf si une durée plus longue est requise par la loi.

Données d'authentification

Identifiants hachés conservés tant que le compte est actif ; jetons de session renouvelés régulièrement.

Données d'usage

Conservées selon votre offre et les Conditions ; requêtes et sorties peuvent être conservées à des fins opérationnelles et de conformité pour une période définie.

Télémétrie opérationnelle

Conservée treize mois sous forme brute, puis anonymisée ou agrégée.

Analyses produit

Anonymisées à l'ingestion ou sous trente jours ; les agrégats sont conservés indéfiniment.

Communications

Conservées vingt-quatre mois après la dernière interaction.

Données de facturation

Conservées dix ans, conformément au Code de commerce français.

Sauvegardes

Les sauvegardes contenant des données personnelles peuvent subsister jusqu'à trente jours au-delà de la période de conservation active avant purge automatique.

Sécurité

Apshan applique des mesures techniques et organisationnelles standard pour protéger les données personnelles : chiffrement en transit (TLS 1.3), chiffrement au repos pour les données sensibles, principe du moindre privilège pour les accès internes, séparation des environnements de production et hors production, et revue régulière des journaux d'accès.

En cas de violation de données personnelles, Apshan notifie la CNIL dans les soixante-douze heures suivant la prise de connaissance, conformément à l'article 33 du RGPD, et informe les personnes concernées sans retard injustifié lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34).

Vos droits

Au titre du RGPD, vous disposez du droit :

• Accès — obtenir une copie des données personnelles que nous détenons (article 15) ;
• Rectification — faire rectifier les données inexactes (article 16) ;
• Effacement — faire effacer vos données, sous réserve d'exceptions légales (article 17) ;
• Limitation — limiter la manière dont nous traitons vos données (article 18) ;
• Portabilité — recevoir vos données dans un format structuré et couramment utilisé (article 20) ;
• Opposition — vous opposer à certains traitements (article 21) ;
• Retrait du consentement — à tout moment, lorsque le traitement repose sur le consentement.

Pour exercer ces droits, écrivez à privacy@apshan.com. Nous répondrons sans retard injustifié, et dans un délai maximal d'un mois, conformément à l'article 12 du RGPD.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

Délégué à la protection des données

Apshan n'a pas désigné de Délégué à la protection des données. Les conditions de l'article 37 du RGPD (autorité publique, suivi systématique à grande échelle, traitement à grande échelle de catégories particulières) ne s'appliquent pas à Apshan à ce stade.

Pour toute question relative à la protection des données, contactez privacy@apshan.com.

Décision automatisée

apshan.com ne procède pas à des décisions automatisées, y compris du profilage, produisant des effets juridiques ou affectant de manière significative les personnes concernées.

Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité. La date « Dernière révision » en haut de la page reflète la modification la plus récente. Les changements substantiels affectant la manière dont nous traitons les données personnelles seront annoncés par e-mail et, le cas échéant, signalés dans le produit avant leur entrée en vigueur.

Contact

privacy@apshan.com
Apshan, 6 Rue d'Armaillé, 75017 Paris, France.