Conformité RGPD
Dernière mise à jour : 14 février 2026
Règlement (UE) 2016/679 — Règlement Général sur la Protection des Données
1. Responsable du traitement
RecoverlyAI
Khalifa Tambadou, Auto-entrepreneur
SIRET : 941 630 204 00019
Adresse : 60 rue François 1er, 75008 Paris
Email : contact@recoverlyai.fr
Délégué à la protection des données (DPO) : contact@recoverlyai.fr
2. Base légale des traitements
Chaque traitement de données repose sur une base légale conforme à l'article 6 du RGPD :
| Finalité | Base légale |
|---|---|
| Création et gestion de compte | Exécution du contrat (Art. 6.1.b) |
| Récupération de paniers abandonnés | Intérêt légitime du marchand (Art. 6.1.f) |
| Génération d'emails par IA | Exécution du contrat (Art. 6.1.b) |
| Facturation et comptabilité | Obligation légale (Art. 6.1.c) |
| Analytics (PostHog) | Consentement (Art. 6.1.a) |
| Cookies non essentiels | Consentement (Art. 6.1.a) |
| Monitoring et sécurité (Sentry) | Intérêt légitime (Art. 6.1.f) |
3. Données collectées
Récapitulatif des données collectées, de leur finalité et de leur durée de conservation :
| Type de données | Finalité | Conservation |
|---|---|---|
| Nom, email, mot de passe | Gestion de compte | Durée du compte + 30 jours |
| Données Shopify (boutique, produits) | Fourniture du service | Durée de la connexion |
| Paniers abandonnés (email, articles) | Récupération de paniers | 90 jours après abandon |
| Données de paiement | Facturation (via Stripe) | 10 ans (obligation fiscale) |
| Logs techniques (IP, user-agent) | Sécurité, débogage | 12 mois |
| Données analytics | Amélioration du service | 26 mois |
4. Sous-traitants (Art. 28 RGPD)
RecoverlyAI fait appel aux sous-traitants suivants pour le traitement de données personnelles :
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Supabase | Base de données PostgreSQL | UE / US | Clauses contractuelles types (CCT) |
| Stripe | Paiements et facturation | US | EU-US Data Privacy Framework |
| Anthropic | Génération d'emails IA (Claude) | US | Pas de rétention des données, CCT |
| Resend | Envoi d'emails transactionnels | US | CCT |
| Railway | Hébergement API backend | US | CCT |
| Vercel | Hébergement frontend | US | CCT |
| PostHog | Analytics produit | UE | Hébergement UE, RGPD natif |
| Sentry | Monitoring et gestion d'erreurs | US | CCT, anonymisation des données |
5. Transferts de données hors UE
Certains de nos sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par :
- Clauses contractuelles types (CCT) : adoptées par la Commission européenne, elles garantissent un niveau de protection adéquat des données
- EU-US Data Privacy Framework : pour les sous-traitants certifiés (Stripe notamment)
- Mesures techniques complémentaires : chiffrement en transit et au repos, pseudonymisation lorsque possible
6. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès (Art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie
- Droit de rectification (Art. 16) : corriger des données inexactes ou compléter des données incomplètes
- Droit à l'effacement (Art. 17) : demander la suppression de vos données dans les cas prévus par le RGPD
- Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine
- Droit d'opposition (Art. 21) : vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière
- Droit à la limitation (Art. 18) : obtenir la limitation du traitement dans certains cas
- Droit de retrait du consentement : retirer votre consentement à tout moment, sans que cela n'affecte la licéité du traitement effectué avant le retrait
7. Exercice de vos droits
Pour exercer l'un de vos droits, envoyez votre demande à :
Email : contact@recoverlyai.fr
Objet : « Exercice de droit RGPD — [votre droit] »
- Une pièce d'identité pourra être demandée pour vérifier votre identité
- Nous répondons dans un délai de 30 jours à compter de la réception de la demande complète
- Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité, avec notification préalable
8. Mesures de sécurité (Art. 32 RGPD)
RecoverlyAI met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données :
- Chiffrement : AES-256-GCM pour les données sensibles au repos, TLS 1.3 pour les données en transit
- Authentification : hachage des mots de passe avec bcrypt (salt rounds : 12)
- Contrôle d'accès : principe du moindre privilège, Row Level Security (RLS) sur la base de données
- Protection applicative : rate limiting, protection CSRF, en-têtes de sécurité (Helmet), validation des entrées
- Monitoring : journalisation des accès, alertes automatiques sur les comportements anormaux
- Vérification HMAC : toutes les communications webhook Shopify sont vérifiées par signature cryptographique
9. Conservation des données
Les données personnelles sont conservées pour la durée strictement nécessaire aux finalités du traitement :
- Données de compte : durée de vie du compte + 30 jours après suppression
- Données de paniers abandonnés : 90 jours après la date d'abandon
- Données de facturation : 10 ans (obligation légale fiscale)
- Logs techniques : 12 mois
- Données analytics : 26 mois
À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible pour un usage statistique uniquement.
10. Violation de données (Art. 33-34 RGPD)
En cas de violation de données personnelles :
- Notification à la CNIL : dans un délai de 72 heures après la prise de connaissance de la violation (Art. 33)
- Notification aux personnes concernées : dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés (Art. 34)
- Documentation : chaque incident est documenté dans un registre des violations, incluant les faits, les effets et les mesures correctives prises
11. Autorité de contrôle
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
Tél. : +33 1 53 73 22 22
Site web : www.cnil.fr