Politique de confidentialité
Comment Hook0 collecte, utilise et protège vos données personnelles, conformément à l'article 13 du RGPD.
1. Responsable du traitement
Le responsable du traitement de vos données personnelles dans le cadre du service Hook0 est :
Directeur de la publication : David Sferruzza.
Contact protection des données : [email protected]
Hook0 est une plateforme SaaS exclusivement destinée aux professionnels (B2B). Nous ne collectons pas intentionnellement de données relatives à des personnes physiques agissant à titre privé.
2. Finalités et bases légales des traitements
Le tableau ci-dessous décrit chaque traitement, les données concernées et la base légale applicable au sens de l'article 6 du RGPD.
| Finalité | Catégories de données | Base légale (art. 6 RGPD) |
|---|---|---|
| Fourniture du service Création de compte, authentification, accès à l'API, livraison des webhooks |
Adresse e-mail, nom, clés API, charges utiles des webhooks, adresse IP, journaux d'utilisation | Art. 6(1)(b), exécution du contrat |
| Facturation et paiement Gestion de l'abonnement, émission de factures, obligations fiscales |
Nom, e-mail, adresse de facturation, données d'instrument de paiement (traitées par Stripe), historique d'abonnement | Art. 6(1)(b), exécution du contrat Art. 6(1)(c), obligation légale (droit fiscal français, conservation 10 ans) |
| Analytique du site web Mesure de fréquentation via Matomo (auto-hébergé) |
Adresse IP anonymisée, pages visitées, référent, type d'appareil, durée de session | Art. 6(1)(a), consentement (bandeau cookies) |
| Suivi des conversions publicitaires (server-side) Mesure des conversions Google Ads, exclusivement côté serveur via l'identifiant de clic (gclid). Aucun e-mail, aucune adresse IP, aucun User-Agent n'est transmis à Google. Droit d'opposition à [email protected]. |
Identifiant de clic (gclid), identifiant pseudonyme généré par Google lors du clic publicitaire | Art. 6(1)(f), intérêt légitime (mesure de la performance publicitaire) Droit d'opposition au titre de l'art. 21(2) RGPD |
| Support client, chat en direct Widget Crisp (chargé uniquement après consentement) |
Nom, e-mail, messages de chat, métadonnées du navigateur | Art. 6(1)(a), consentement |
| Support client, e-mail Traitement des demandes adressées à [email protected] ou [email protected] |
Nom, e-mail, contenu des échanges | Art. 6(1)(f), intérêt légitime (répondre aux demandes des clients) |
| Sécurité et supervision Suivi des erreurs, monitoring de disponibilité, protection DDoS, gestion des incidents |
Adresse IP, traces d'erreurs, métadonnées des requêtes, résultats de sondes de disponibilité | Art. 6(1)(f), intérêt légitime (garantir l'intégrité et la sécurité du service) |
| Communications commerciales Mises à jour produit, notes de version, newsletters |
Adresse e-mail, prénom | Art. 6(1)(a), consentement |
3. Catégories de données traitées
-
Données d'identité : prénom, nom de famille, adresse e-mail professionnelle
-
Données de compte : identifiant, mot de passe chiffré, clés API
-
Données de paiement : adresse de facturation, 4 derniers chiffres de la carte et date d'expiration (les données complètes de carte sont stockées par Stripe, Hook0 n'y a pas accès)
-
Données techniques : adresse IP, user-agent du navigateur, horodatages de connexion, journaux d'erreurs
-
Données d'usage : événements webhook envoyés et reçus, volume d'appels API, métriques d'utilisation des fonctionnalités
-
Communications : contenu des échanges de support, transcriptions de chat
Hook0 ne traite pas de catégories particulières de données (art. 9 RGPD) et ne procède à aucune prise de décision automatisée ni à aucun profilage produisant des effets juridiques ou similairement significatifs.
4. Destinataires et sous-traitants
Nous partageons vos données avec nos sous-traitants dans la stricte mesure nécessaire à la fourniture du Service. La liste complète et à jour est disponible sur /sous-traitants-rgpd. Un résumé est présenté ci-dessous.
Infrastructure
| Sous-traitant | Pays | Finalité |
|---|---|---|
| Clever Cloud SAS | France (UE) | Hébergement base de données, API, application web |
| Cloudflare, Inc. | États-Unis | DNS et protection DDoS |
Exploitation du service
| Sous-traitant | Pays | Finalité |
|---|---|---|
| Clever Cloud SAS | France (UE) | Workers appelant les endpoints webhook |
| Scaleway SAS | France (UE) | Workers dédiés privés (offres sélectionnées) |
| Stripe, Inc. | États-Unis | Gestion des abonnements et paiements |
| Brevo (Sendinblue) | France (UE) | Emails transactionnels automatisés |
| Postmark (ActiveCampaign) | États-Unis | Emails transactionnels automatisés |
| BetterUptime | République tchèque (UE) | Monitoring de disponibilité et page de statut |
| Sentry, Inc. | États-Unis | Suivi des erreurs applicatives |
| Crisp | France (UE) | Chat de support client (conditionné au consentement) |
| Google LLC (Gmail) | États-Unis | Boîte email de support |
Mesure marketing (intérêt légitime, server-side)
| Sous-traitant | Pays | Finalité |
|---|---|---|
| Google LLC (Google Ads) | États-Unis | Mesure de conversion côté serveur (gclid uniquement). Voir section 9b. |
Analytique (conditionné au consentement)
| Service | Pays | Finalité |
|---|---|---|
| Matomo (auto-hébergé sur matomo.hook0.com) | France (UE) | Analytique du site web |
Un contrat de traitement de données (DPA) est en vigueur avec chaque sous-traitant. Pour les transferts hors UE, voir la section 5.
5. Transferts hors de l'Union européenne
Plusieurs sous-traitants sont établis aux États-Unis : Cloudflare, Stripe, Postmark, Sentry, Gmail (Google) et Google Ads. Ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914) et par une analyse d'impact des transferts (TIA) documentée, ainsi que, le cas échéant, par le EU-US Data Privacy Framework (Cloudflare, Stripe et Google LLC y sont certifiés). Ces mécanismes garantissent ensemble un niveau de protection adéquat pour les données personnelles.
6. Durées de conservation
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte | Durée du contrat + 30 jours après suppression du compte | Nécessité contractuelle ; période de grâce de 30 jours pour permettre l'export des données |
| Pièces comptables et factures | 10 ans à compter de la date de transaction | Obligation légale, Code général des impôts, art. L102 B du Livre des procédures fiscales |
| Journaux d'événements webhook | Developer 7 jours, Startup 14 jours, Pro 30 jours, Enterprise sur mesure | Fourniture du service ; configurable selon l'offre souscrite |
| Données analytiques (Matomo) | 25 mois | Recommandation CNIL pour les données d'analyse d'audience |
| Communications de support | 3 ans après le dernier échange | Intérêt légitime ; prescription de droit commun des actions contractuelles |
| Preuves de consentement | 5 ans à compter de la date du consentement | Capacité à démontrer la conformité (art. 7(1) RGPD) |
| Journaux serveur | 30 jours minimum, puis rotation et suppression automatiques | Exploitation du service, sécurité et gestion des incidents |
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
-
Droit d'accès (art. 15), obtenir une copie des données personnelles que nous détenons vous concernant
-
Droit de rectification (art. 16), corriger des données inexactes ou incomplètes
-
Droit à l'effacement (art. 17), demander la suppression de vos données, sous réserve des obligations légales de conservation
-
Droit à la limitation du traitement (art. 18), demander la restriction du traitement dans certaines circonstances
-
Droit à la portabilité (art. 20), recevoir vos données dans un format structuré et lisible par machine, lorsque le traitement est fondé sur le consentement ou sur un contrat
-
Droit d'opposition (art. 21), vous opposer au traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale
-
Droit de retrait du consentement (art. 7(3)), retirer votre consentement à tout moment, sans que cela n'affecte la licéité des traitements antérieurs
8. Droit de réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
Site internet : www.cnil.fr
Vous pouvez également saisir l'autorité de contrôle de votre État membre de résidence habituelle ou de lieu de travail au sein de l'Union européenne.
9. Cookies et traceurs
Hook0 dispose d'un mécanisme de gestion du consentement sur son site web. Les services suivants ne sont chargés qu'après recueil de votre consentement explicite :
-
Matomo Analytics (auto-hébergé), mesure d'audience, anonymisée par défaut
-
Crisp, widget de chat en direct
-
Cookie hook0_gclid (Domain
.hook0.com, durée 30 jours), relaie l'identifiant de clic Google Ads entre www.hook0.com et app.hook0.com pour permettre l'attribution d'une inscription différée. Posé uniquement après recueil du consentement et uniquement si vous arrivez depuis un clic publicitaire. Effacé au retrait du consentement. Voir Section 9b pour les détails.
Votre consentement donné sur www.hook0.com s'étend à l'ensemble des sous-domaines hook0.com (y compris app.hook0.com). Les préférences de consentement sont stockées dans le localStorage du navigateur pour une durée de 13 mois, conformément aux lignes directrices de la CNIL. Vous pouvez modifier vos préférences à tout moment :
9b. Mesure des conversions publicitaires (Google Ads, server-side)
Lorsque vous accédez à notre service en cliquant sur une annonce Google Ads, Google Ads ajoute automatiquement un identifiant de clic publicitaire (« gclid ») à l'URL de destination. Ce gclid est transmis à notre backend lors de la création de votre compte et envoyé côté serveur à Google Ads pour mesurer l'efficacité de nos campagnes publicitaires.
-
Finalité : mesurer le coût par acquisition de nos campagnes payantes afin d'allouer notre budget marketing.
-
Base légale : art. 6(1)(f) RGPD, intérêt légitime. Test de proportionnalité documenté disponible sur demande.
-
Données transmises à Google, à savoir le gclid, le type de conversion et la date/heure de conversion. Aucun e-mail, aucune adresse IP, aucun User-Agent n'est transmis à Google dans ce cadre.
-
Co-responsable de traitement : Google LLC, dans le cadre des Customer Data Processing Terms (art. 26 RGPD). Le transfert vers les États-Unis est encadré par les clauses contractuelles types (décision 2021/914) et, le cas échéant, par le EU-US Data Privacy Framework (Google LLC y est certifié).
-
Conservation : le gclid est traité en mémoire vive lors de la requête HTTP d'inscription et n'est pas conservé dans nos bases de données après transmission à Google Ads.
-
Droit d'opposition au titre de l'art. 21(2) RGPD. Vous pouvez vous opposer à ce traitement à tout moment en écrivant à [email protected]. Nous noterons cette opposition sur votre compte afin que votre gclid ne soit pas transmis à Google Ads. Votre inscription n'en est pas affectée.
Note : cette mesure côté serveur ne repose pas sur des cookies, gtag.js, ni aucun traceur côté client. L'article 82 de la loi Informatique et Libertés (transposition de l'article 5(3) de la Directive e-Privacy) ne s'applique pas à ce traitement.
10. Sécurité
Hook0 met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la perte accidentelle, l'accès non autorisé, la divulgation, l'altération ou la destruction. Ces mesures comprennent le chiffrement en transit (TLS 1.2+), le chiffrement au repos, des contrôles d'accès et des revues de sécurité régulières.
Le détail de nos pratiques de sécurité est disponible sur notre page Sécurité.
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures (art. 33 RGPD) et les personnes concernées dans les meilleurs délais lorsque cela est requis (art. 34 RGPD). Si vous constatez une fuite de données potentielle, signalez-la immédiatement à [email protected].
11. Modifications de la présente politique
Nous pouvons mettre à jour la présente politique de confidentialité ponctuellement. Toute mise à jour sera signalée par la modification de la date figurant en haut de cette page. En cas de changement substantiel, nous vous en informerons par e-mail à l'adresse associée à votre compte, ou par un avis bien visible sur le site web, au moins 30 jours avant l'entrée en vigueur de la modification.