Does Hook0 have a free tier?

Yes. Hook0 has a free tier that includes 100 webhook events per day, HMAC signatures, and delivery monitoring. No credit card required. Hook0 is also fully open-source — you can self-host it at no cost.

What is webhooks as a service?

Webhooks as a service means you send events to Hook0 via a REST API, and Hook0 delivers them to your users' endpoints. It handles retries, cryptographic signatures, delivery logging, and subscriber management so you don't have to build that infrastructure yourself.

Is Hook0 open-source?

Yes. The source code is available on GitHub and GitLab under the SSPL-1.0 license (client SDKs are MIT). You can self-host it with Docker Compose or Kubernetes, or use the managed cloud service hosted in Europe.

Can I self-host Hook0?

Yes. Hook0 supports self-hosting via Docker Compose or Kubernetes. The self-hosted version has the same features as the cloud version. Documentation is at documentation.hook0.com/self-hosting.

How does Hook0 compare to Svix, Hookdeck, or HostedHooks?

Hook0 is the only fully open-source option with self-hosting support. Unlike Svix (open-core), Hook0 has no proprietary enterprise tier. Compared to Hookdeck (webhook gateway) and HostedHooks (closed-source SaaS), Hook0 is bootstrapped with no VC funding and offers both cloud and on-premise deployment.

Hook0 - Privacy Policy / Politique de confidentialité

Name: Hook0
Author: Hook0

1. Data Controller

The data controller responsible for processing your personal data in connection with the Hook0 service is:

FGRibreau SARL
3 rue de l'Aubépine
85110 Chantonnay, France
SIRET: available on request
Privacy contact: [email protected]

Hook0 is a 100% B2B SaaS platform. We do not intentionally collect data from individuals acting in a personal capacity.

2. Purposes and Legal Bases

The following table sets out each processing activity, the data involved, and the legal basis under Article 6 GDPR.

Purpose	Data categories	Legal basis (Art. 6 GDPR)
Service provision Account creation, authentication, API access, webhook delivery	Email address, name, API keys, webhook payloads, IP address, usage logs	Art. 6(1)(b) — Performance of a contract
Billing and payment Subscription management, invoicing, tax records	Name, email, billing address, payment instrument data (processed by Stripe), subscription history	Art. 6(1)(b) — Performance of a contract Art. 6(1)(c) — Legal obligation (French fiscal law, 10-year retention)
Website analytics Understanding how visitors use our site via Matomo (self-hosted)	Anonymised IP address, pages visited, referrer, device type, session duration	Art. 6(1)(a) — Consent (cookie banner)
Conversion tracking (server-side) Google Ads conversion measurement, server-side via the click identifier (gclid) only — no email, no IP, no User-Agent transmitted to Google. Right to object at [email protected].	Click identifier (gclid) — pseudonymous identifier issued by Google during the ad click	Art. 6(1)(f) — Legitimate interests (measuring advertising ROI) Right to object: Art. 21(2) GDPR
Customer support — live chat Crisp widget (loaded only after consent)	Name, email, chat messages, browser metadata	Art. 6(1)(a) — Consent
Customer support — email Handling support requests sent to [email protected] or [email protected]	Name, email, content of exchanges	Art. 6(1)(f) — Legitimate interests (responding to customer requests)
Security and monitoring Error tracking, uptime monitoring, DDoS protection, incident response	IP address, error stack traces, request metadata, uptime check results	Art. 6(1)(f) — Legitimate interests (ensuring service integrity and security)
Commercial communications Product updates, release notes, newsletters	Email address, first name	Art. 6(1)(a) — Consent

3. Categories of Personal Data

Identity data: first name, last name, professional email address
Account data: username, encrypted password, API keys
Payment data: billing address, last 4 digits of card and expiry date (Stripe stores full card data — Hook0 never has access to full card numbers)
Technical data: IP address, browser user-agent, connection timestamps, error logs
Usage data: webhook events sent and received, API call volume, feature usage metrics
Communications: content of support exchanges, chat transcripts

Hook0 does not process special categories of personal data (Article 9 GDPR) and does not perform automated decision-making or profiling with legal or similarly significant effects.

4. Recipients and Subprocessors

We share data with our subprocessors strictly as needed to provide the Service. The complete and up-to-date list is maintained at /gdpr-subprocessors. A summary is provided below.

Infrastructure

Subprocessor	Country	Purpose
Clever Cloud SAS	France (EU)	Database, API, web application hosting
Cloudflare, Inc.	USA	DNS and DDoS protection

Service operation

Subprocessor	Country	Purpose
Clever Cloud SAS	France (EU)	Workers calling webhook subscription endpoints
Scaleway SAS	France (EU)	Private dedicated workers (selected plans)
Stripe, Inc.	USA	Subscription and payment management
Brevo (Sendinblue)	France (EU)	Automated transactional emails
Postmark (ActiveCampaign)	USA	Automated transactional emails
BetterUptime	Czech Republic (EU)	Uptime monitoring and status page
Sentry, Inc.	USA	Application error tracking
Crisp	France (EU)	Customer support chat (consent-gated)
Google LLC (Gmail)	USA	Support inbox

Marketing measurement (legitimate interest, server-side)

Subprocessor	Country	Purpose
Google LLC (Google Ads)	USA	Server-side conversion measurement (gclid only). See Section 9b.

Analytics (consent-gated)

Service	Country	Purpose
Matomo (self-hosted on matomo.hook0.com)	France (EU)	Website analytics

A Data Processing Agreement (DPA) is in place with each subprocessor. For transfers outside the EU, see Section 5.

5. Transfers Outside the European Union

Several subprocessors are established in the United States: Cloudflare, Stripe, Postmark, Sentry, Gmail (Google), and Google Ads. These transfers are governed by Standard Contractual Clauses (SCCs) approved by the European Commission (Decision 2021/914), which provide an adequate level of protection for personal data.

CLOUD Act notice: US-established providers may be subject to the CLOUD Act (Clarifying Lawful Overseas Use of Data Act), which may allow US authorities to require access to data held by those providers, even when stored outside the US. Hook0 applies a data minimisation approach and limits the personal data shared with US-based subprocessors to what is strictly necessary.

6. Retention Periods

Data category	Retention period	Justification
Account data	Duration of the contract + 30 days after account deletion	Contractual necessity; 30-day grace period to allow data export
Billing and invoicing records	10 years from the date of the transaction	Legal obligation — French General Tax Code (Code général des impôts), Art. L102 B of the Tax Procedures Book
Webhook event logs	7 to 30 days depending on the subscription plan	Service delivery; configurable per plan
Website analytics (Matomo)	25 months	CNIL recommendation for analytics data
Support communications	3 years from the last exchange	Legitimate interests; statutory limitation period for contractual claims
Consent records	5 years from the date of consent	Ability to demonstrate compliance (Art. 7(1) GDPR)

7. Your Rights

Under the GDPR, you have the following rights with respect to your personal data:

Right of access (Art. 15) — obtain a copy of the personal data we hold about you
Right to rectification (Art. 16) — correct inaccurate or incomplete data
Right to erasure (Art. 17) — request deletion of your data, subject to legal retention obligations
Right to restriction (Art. 18) — request that we restrict processing in certain circumstances
Right to data portability (Art. 20) — receive your data in a structured, machine-readable format, where processing is based on consent or contract
Right to object (Art. 21) — object to processing based on legitimate interests or for direct marketing purposes
Right to withdraw consent (Art. 7(3)) — withdraw consent at any time without affecting the lawfulness of prior processing

To exercise any of these rights, send a request to [email protected]. We will respond within 30 days. We may ask you to verify your identity before processing your request.

8. Right to Lodge a Complaint with the CNIL

If you consider that the processing of your personal data infringes the GDPR, you have the right to lodge a complaint with the French data protection authority:

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715
75334 Paris Cedex 07, France
Website: www.cnil.fr

You may also contact any EU supervisory authority in the Member State of your habitual residence or place of work.

9. Cookies and Trackers

Hook0 uses a consent management mechanism on its website. The following services are only loaded after you have given explicit consent:

Matomo Analytics (self-hosted) — website usage analytics, anonymised by default
Crisp — live chat widget
hook0_gclid cookie (Domain .hook0.com, 30-day TTL) — bridges the Google Ads click identifier between www.hook0.com and app.hook0.com so a deferred signup can still be attributed. Set only after consent and only when an ad click brought you here. Cleared when consent is withdrawn. See Section 9b for details.

Your consent on www.hook0.com covers all hook0.com subdomains (including app.hook0.com). Consent preferences are stored in localStorage with a validity of 13 months, in line with CNIL guidelines. You can change your preferences at any time:

9b. Server-Side Conversion Measurement (Google Ads)

When you reach our service by clicking on a Google Ads advertisement, Google Ads automatically appends a click identifier ("gclid") to the destination URL. This gclid is forwarded to our backend during your account creation and uploaded server-side to Google Ads to measure the effectiveness of our advertising campaigns.

Purpose: measure cost-per-acquisition of our paid campaigns to allocate marketing budget.
Legal basis: Art. 6(1)(f) GDPR — legitimate interests. Documented balance test available on request.
Data transmitted to Google: gclid, conversion type, conversion date/time. No email, IP address, or User-Agent is transmitted to Google in this context.
Joint Controller: Google LLC, under the Customer Data Processing Terms (Art. 26 GDPR). Transfer to the USA is governed by Standard Contractual Clauses (Decision 2021/914).
Retention: the gclid is processed in memory during the registration HTTP request and is not persisted in our databases after transmission to Google Ads.
Right to object (Art. 21(2) GDPR): you may object to this processing at any time by emailing [email protected]. We will mark your account so the gclid is not transmitted to Google Ads. Your registration is not affected.

Note: this server-side measurement does not rely on cookies, gtag.js, or any client-side tracker. Article 82 of the French Data Protection Act (transposing Article 5(3) of the e-Privacy Directive) does not apply to this processing.

10. Security

Hook0 implements appropriate technical and organisational measures to protect personal data against accidental loss, unauthorised access, disclosure, alteration, or destruction. These include encryption in transit (TLS 1.2+), encryption at rest, access controls, and regular security reviews.

Details of our security practices are available on our Security page.

In the event of a personal data breach likely to result in a risk to your rights and freedoms, we will notify the CNIL within 72 hours (Art. 33 GDPR) and affected individuals without undue delay where required (Art. 34 GDPR). If you discover a potential data exposure, please report it immediately to [email protected].

11. Changes to This Policy

We may update this Privacy Policy from time to time. When we do, we will update the "Last updated" date at the top of this page. For material changes, we will notify you by email to the address associated with your account or by a prominent notice on the website at least 30 days before the change takes effect.

1. Responsable du traitement

Le responsable du traitement de vos données personnelles dans le cadre du service Hook0 est :

FGRibreau SARL
3 rue de l'Aubépine
85110 Chantonnay, France
SIRET : disponible sur demande
Contact protection des données : [email protected]

Hook0 est une plateforme SaaS exclusivement destinée aux professionnels (B2B). Nous ne collectons pas intentionnellement de données relatives à des personnes physiques agissant à titre privé.

2. Finalités et bases légales des traitements

Le tableau ci-dessous décrit chaque traitement, les données concernées et la base légale applicable au sens de l'article 6 du RGPD.

Finalité	Catégories de données	Base légale (art. 6 RGPD)
Fourniture du service Création de compte, authentification, accès à l'API, livraison des webhooks	Adresse e-mail, nom, clés API, charges utiles des webhooks, adresse IP, journaux d'utilisation	Art. 6(1)(b) — Exécution du contrat
Facturation et paiement Gestion de l'abonnement, émission de factures, obligations fiscales	Nom, e-mail, adresse de facturation, données d'instrument de paiement (traitées par Stripe), historique d'abonnement	Art. 6(1)(b) — Exécution du contrat Art. 6(1)(c) — Obligation légale (droit fiscal français, conservation 10 ans)
Analytique du site web Mesure de fréquentation via Matomo (auto-hébergé)	Adresse IP anonymisée, pages visitées, référent, type d'appareil, durée de session	Art. 6(1)(a) — Consentement (bandeau cookies)
Suivi des conversions publicitaires (server-side) Mesure des conversions Google Ads, exclusivement côté serveur via l'identifiant de clic (gclid) — aucun e-mail, aucune adresse IP, aucun User-Agent n'est transmis à Google. Droit d'opposition à [email protected].	Identifiant de clic (gclid) — identifiant pseudonyme généré par Google lors du clic publicitaire	Art. 6(1)(f) — Intérêt légitime (mesure de la performance publicitaire) Droit d'opposition : art. 21(2) RGPD
Support client — chat en direct Widget Crisp (chargé uniquement après consentement)	Nom, e-mail, messages de chat, métadonnées du navigateur	Art. 6(1)(a) — Consentement
Support client — e-mail Traitement des demandes adressées à [email protected] ou [email protected]	Nom, e-mail, contenu des échanges	Art. 6(1)(f) — Intérêt légitime (répondre aux demandes des clients)
Sécurité et supervision Suivi des erreurs, monitoring de disponibilité, protection DDoS, gestion des incidents	Adresse IP, traces d'erreurs, métadonnées des requêtes, résultats de sondes de disponibilité	Art. 6(1)(f) — Intérêt légitime (garantir l'intégrité et la sécurité du service)
Communications commerciales Mises à jour produit, notes de version, newsletters	Adresse e-mail, prénom	Art. 6(1)(a) — Consentement

3. Catégories de données traitées

Données d'identité : prénom, nom de famille, adresse e-mail professionnelle
Données de compte : identifiant, mot de passe chiffré, clés API
Données de paiement : adresse de facturation, 4 derniers chiffres de la carte et date d'expiration (les données complètes de carte sont stockées par Stripe — Hook0 n'y a pas accès)
Données techniques : adresse IP, user-agent du navigateur, horodatages de connexion, journaux d'erreurs
Données d'usage : événements webhook envoyés et reçus, volume d'appels API, métriques d'utilisation des fonctionnalités
Communications : contenu des échanges de support, transcriptions de chat

Hook0 ne traite pas de catégories particulières de données (art. 9 RGPD) et ne procède à aucune prise de décision automatisée ni à aucun profilage produisant des effets juridiques ou similairement significatifs.

4. Destinataires et sous-traitants

Nous partageons vos données avec nos sous-traitants dans la stricte mesure nécessaire à la fourniture du Service. La liste complète et à jour est disponible sur /gdpr-subprocessors. Un résumé est présenté ci-dessous.

Infrastructure

Sous-traitant	Pays	Finalité
Clever Cloud SAS	France (UE)	Hébergement base de données, API, application web
Cloudflare, Inc.	États-Unis	DNS et protection DDoS

Exploitation du service

Sous-traitant	Pays	Finalité
Clever Cloud SAS	France (UE)	Workers appelant les endpoints webhook
Scaleway SAS	France (UE)	Workers dédiés privés (offres sélectionnées)
Stripe, Inc.	États-Unis	Gestion des abonnements et paiements
Brevo (Sendinblue)	France (UE)	Emails transactionnels automatisés
Postmark (ActiveCampaign)	États-Unis	Emails transactionnels automatisés
BetterUptime	République tchèque (UE)	Monitoring de disponibilité et page de statut
Sentry, Inc.	États-Unis	Suivi des erreurs applicatives
Crisp	France (UE)	Chat de support client (conditionné au consentement)
Google LLC (Gmail)	États-Unis	Boîte email de support

Mesure marketing (intérêt légitime, server-side)

Sous-traitant	Pays	Finalité
Google LLC (Google Ads)	États-Unis	Mesure de conversion côté serveur (gclid uniquement). Voir section 9b.

Analytique (conditionné au consentement)

Service	Pays	Finalité
Matomo (auto-hébergé sur matomo.hook0.com)	France (UE)	Analytique du site web

Un contrat de traitement de données (DPA) est en vigueur avec chaque sous-traitant. Pour les transferts hors UE, voir la section 5.

5. Transferts hors de l'Union européenne

Plusieurs sous-traitants sont établis aux États-Unis : Cloudflare, Stripe, Postmark, Sentry, Gmail (Google) et Google Ads. Ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914), qui garantissent un niveau de protection adéquat pour les données personnelles.

Note CLOUD Act : Les prestataires établis aux États-Unis peuvent être soumis au CLOUD Act (Clarifying Lawful Overseas Use of Data Act), qui peut contraindre ces prestataires à communiquer des données aux autorités américaines, y compris lorsque ces données sont hébergées hors des États-Unis. Hook0 applique un principe de minimisation des données et limite les données personnelles transmises à ses sous-traitants américains au strict nécessaire.

6. Durées de conservation

Catégorie de données	Durée de conservation	Justification
Données de compte	Durée du contrat + 30 jours après suppression du compte	Nécessité contractuelle ; période de grâce de 30 jours pour permettre l'export des données
Pièces comptables et factures	10 ans à compter de la date de transaction	Obligation légale — Code général des impôts, art. L102 B du Livre des procédures fiscales
Journaux d'événements webhook	7 à 30 jours selon le plan d'abonnement	Fourniture du service ; configurable selon l'offre souscrite
Données analytiques (Matomo)	25 mois	Recommandation CNIL pour les données d'analyse d'audience
Communications de support	3 ans après le dernier échange	Intérêt légitime ; prescription de droit commun des actions contractuelles
Preuves de consentement	5 ans à compter de la date du consentement	Capacité à démontrer la conformité (art. 7(1) RGPD)

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès (art. 15) — obtenir une copie des données personnelles que nous détenons vous concernant
Droit de rectification (art. 16) — corriger des données inexactes ou incomplètes
Droit à l'effacement (art. 17) — demander la suppression de vos données, sous réserve des obligations légales de conservation
Droit à la limitation du traitement (art. 18) — demander la restriction du traitement dans certaines circonstances
Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré et lisible par machine, lorsque le traitement est fondé sur le consentement ou sur un contrat
Droit d'opposition (art. 21) — vous opposer au traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale
Droit de retrait du consentement (art. 7(3)) — retirer votre consentement à tout moment, sans que cela n'affecte la licéité des traitements antérieurs

Pour exercer l'un de ces droits, adressez votre demande à [email protected]. Nous y répondrons dans un délai de 30 jours. Nous pourrons vous demander de justifier de votre identité avant de traiter votre demande.

8. Droit de réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715
75334 Paris Cedex 07
Site internet : www.cnil.fr

Vous pouvez également saisir l'autorité de contrôle de votre État membre de résidence habituelle ou de lieu de travail au sein de l'Union européenne.

9. Cookies et traceurs

Hook0 dispose d'un mécanisme de gestion du consentement sur son site web. Les services suivants ne sont chargés qu'après recueil de votre consentement explicite :

Matomo Analytics (auto-hébergé) — mesure d'audience, anonymisée par défaut
Crisp — widget de chat en direct
Cookie hook0_gclid (Domain .hook0.com, durée 30 jours) — relaie l'identifiant de clic Google Ads entre www.hook0.com et app.hook0.com pour permettre l'attribution d'une inscription différée. Posé uniquement après recueil du consentement et uniquement si vous arrivez depuis un clic publicitaire. Effacé au retrait du consentement. Voir Section 9b pour les détails.

Votre consentement donné sur www.hook0.com s'étend à l'ensemble des sous-domaines hook0.com (y compris app.hook0.com). Les préférences de consentement sont stockées dans le localStorage du navigateur pour une durée de 13 mois, conformément aux lignes directrices de la CNIL. Vous pouvez modifier vos préférences à tout moment :

9b. Mesure des conversions publicitaires (Google Ads, server-side)

Lorsque vous accédez à notre service en cliquant sur une annonce Google Ads, Google Ads ajoute automatiquement un identifiant de clic publicitaire (« gclid ») à l'URL de destination. Ce gclid est transmis à notre backend lors de la création de votre compte et envoyé côté serveur à Google Ads pour mesurer l'efficacité de nos campagnes publicitaires.

Finalité : mesurer le coût par acquisition de nos campagnes payantes afin d'allouer notre budget marketing.
Base légale : art. 6(1)(f) RGPD — intérêt légitime. Test de proportionnalité documenté disponible sur demande.
Données transmises à Google : gclid, type de conversion, date/heure de conversion. Aucun e-mail, aucune adresse IP, aucun User-Agent n'est transmis à Google dans ce cadre.
Co-responsable de traitement : Google LLC, dans le cadre des Customer Data Processing Terms (art. 26 RGPD). Le transfert vers les États-Unis est encadré par les clauses contractuelles types (décision 2021/914).
Conservation : le gclid est traité en mémoire vive lors de la requête HTTP d'inscription et n'est pas conservé dans nos bases de données après transmission à Google Ads.
Droit d'opposition (art. 21(2) RGPD) : vous pouvez vous opposer à ce traitement à tout moment en écrivant à [email protected]. Nous noterons cette opposition sur votre compte afin que votre gclid ne soit pas transmis à Google Ads. Votre inscription n'en est pas affectée.

Note : cette mesure côté serveur ne repose pas sur des cookies, gtag.js, ni aucun traceur côté client. L'article 82 de la loi Informatique et Libertés (transposition de l'article 5(3) de la Directive e-Privacy) ne s'applique pas à ce traitement.

10. Sécurité

Hook0 met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la perte accidentelle, l'accès non autorisé, la divulgation, l'altération ou la destruction. Ces mesures comprennent le chiffrement en transit (TLS 1.2+), le chiffrement au repos, des contrôles d'accès et des revues de sécurité régulières.

Le détail de nos pratiques de sécurité est disponible sur notre page Sécurité.

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures (art. 33 RGPD) et les personnes concernées dans les meilleurs délais lorsque cela est requis (art. 34 RGPD). Si vous constatez une fuite de données potentielle, signalez-la immédiatement à [email protected].

11. Modifications de la présente politique

Nous pouvons mettre à jour la présente politique de confidentialité ponctuellement. Toute mise à jour sera signalée par la modification de la date figurant en haut de cette page. En cas de changement substantiel, nous vous en informerons par e-mail à l'adresse associée à votre compte, ou par un avis bien visible sur le site web, au moins 30 jours avant l'entrée en vigueur de la modification.

Privacy Policy Politique de confidentialité

1. Data Controller

2. Purposes and Legal Bases

3. Categories of Personal Data

4. Recipients and Subprocessors

Infrastructure

Service operation

Marketing measurement (legitimate interest, server-side)

Analytics (consent-gated)

5. Transfers Outside the European Union

6. Retention Periods

7. Your Rights

8. Right to Lodge a Complaint with the CNIL

9. Cookies and Trackers

9b. Server-Side Conversion Measurement (Google Ads)

10. Security

11. Changes to This Policy

1. Responsable du traitement

2. Finalités et bases légales des traitements

3. Catégories de données traitées

4. Destinataires et sous-traitants

Infrastructure

Exploitation du service

Mesure marketing (intérêt légitime, server-side)

Analytique (conditionné au consentement)

5. Transferts hors de l'Union européenne

6. Durées de conservation

7. Vos droits

8. Droit de réclamation auprès de la CNIL

9. Cookies et traceurs

9b. Mesure des conversions publicitaires (Google Ads, server-side)

10. Sécurité

11. Modifications de la présente politique