Aller au contenu principal
Avizo
ConnexionEssayer

Document légal

Politique de confidentialité

Comment Avizo collecte, traite et protège vos données personnelles et celles de votre restaurant, dans le respect du RGPD.

Dernière mise à jour : 4 mai 2026

Cette politique RGPD est rédigée selon les standards CNIL 2026 pour SaaS B2B. Une revue par un DPO ou un avocat spécialisé est recommandée avant le launch payant.

Article 1 — Responsable de traitement

Le responsable de traitement des données personnelles est :

  • NS Participations, SASU au capital de 100 €
  • Siège social : 4 Rue de la République, 69001 Lyon, France
  • RCS Lyon : 884 245 051
  • Représentant légal : Nicolas Spielmann, président
  • Contact RGPD : contact@avizo.io(objet « RGPD » ou « DPO »)

Article 2 — Données collectées

Avizo collecte les catégories de données suivantes :

  • Données d'identification : email utilisateur, nom, prénom (si fourni)
  • Données restaurant : nom, ville, cuisine_type, ton calibré, contenus textuels (réponses, posts, articles)
  • Avis clients importés depuis Google Business Profile : auteur, note, commentaire, date — informations rendues publiques par Google sur la fiche du restaurant
  • Données techniques : adresse IP, user-agent, logs de requêtes, timestamps de connexion
  • Données de facturation : raison sociale, adresse, numéro de TVA, historique des factures (pas de numéro de carte stocké, géré par Stripe)
  • Tokens OAuth Google : access_token, refresh_token, expires_at (chiffrés au repos en base)

Article 3 — Finalités du traitement et bases légales

Vos données sont traitées pour les finalités suivantes :

  • Fourniture du Service (génération IA des réponses, publication GMB, etc.) — base légale : exécution du contrat
  • Facturation et obligations comptables — base légale : obligation légale (Code général des impôts)
  • Support client et communications transactionnelles (confirmations, alertes) — base légale : exécution du contrat
  • Amélioration produit, sécurité, prévention de la fraude — base légale : intérêt légitime
  • Newsletter ou communications marketing (le cas échéant) — base légale : consentement explicite et révocable

Article 4 — Durées de conservation

  • Données utilisateur et restaurant: conservées pendant la durée de l'abonnement, puis 3 ans après résiliation à des fins probatoires (preuve d'exécution du contrat)
  • Factures et données comptables : 10 ans (obligation légale)
  • Logs techniques : 12 mois maximum
  • Données après suppression du compte : un délai de 30 jours est observé pour permettre une réactivation, puis suppression définitive

Article 5 — Destinataires et sous-traitants

Les données sont accessibles uniquement par les personnes habilitées au sein de l'Éditeur. Les sous-traitants intervenant dans le traitement sont :

  • Supabase Inc. (base de données) — données stockées en région Europe Paris (eu-west-3)
  • Vercel Inc. (hébergement applicatif) — serveurs aux États-Unis pour les requêtes web
  • Stripe Inc. (paiement) — certifié PCI DSS Level 1
  • Anthropic, PBC (modèle Claude IA) — traitement ponctuel des textes (avis, prompts) sans stockage persistant côté Anthropic
  • Resend Inc.(envoi d'emails transactionnels)
  • Google LLC(intégration Google Business Profile via OAuth — vous nous déléguez l'accès, pas inversement)
  • SerpAPI (monitoring de positions sur les plans Pro et Dominant)

Tous les sous-traitants sont contractuellement engagés à respecter le RGPD via des clauses contractuelles types ou des accords équivalents.

Article 6 — Transferts hors Union européenne

Certains sous-traitants (Vercel, Stripe, Anthropic, Resend, Google, SerpAPI) ont leur siège aux États-Unis. Les transferts de données vers ces destinataires sont encadrés par :

  • Le EU-US Data Privacy Framework lorsque le sous-traitant y adhère
  • Des Clauses Contractuelles Types(CCT) de la Commission européenne lorsqu'applicable

Vos données utilisateur et restaurant à proprement parler sont stockées en Europe (Supabase Paris). Les transferts hors UE se limitent aux fonctions techniques (hébergement web, paiement, IA, email).

Article 7 — Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données
  • Droit de rectification : corriger des données inexactes
  • Droit à l'effacement(« droit à l'oubli »)
  • Droit à la portabilité : récupérer vos données dans un format structuré (JSON, Markdown)
  • Droit d'opposition au traitement
  • Droit à la limitation du traitement
  • Droit de retirer votre consentement à tout moment (pour les traitements basés sur le consentement)
  • Droit d'introduire une réclamation auprès de la CNIL (cnil.fr)

Pour exercer ces droits, contactez notre Délégué à la Protection des Données à dpo@avizo.io. Nous répondons dans un délai d'un mois maximum (prolongeable à 3 mois pour les demandes complexes, avec notification préalable). Pour toute autre question, écrivez-nous à contact@avizo.io.

Coordonnées complètes du DPO : page dédiée.

Article 8 — Cookies et traceurs

Le site avizo.io utilise des cookies strictement nécessaires au fonctionnement du Service (authentification, session). Ces cookies ne nécessitent pas de consentement préalable selon la CNIL.

Aucun cookie publicitaire ou de tracking tiers n'est actuellement utilisé. Si nous ajoutons des outils d'analytics dans le futur, un consentement explicite via bandeau dédié sera demandé.

Article 9 — Sécurité

Mesures de sécurité mises en œuvre :

  • Chiffrement TLS 1.3 sur l'ensemble des communications
  • Row Level Security (RLS) Postgres sur toutes les tables user-facing : cloisonnement strict des données entre utilisateurs
  • Tokens OAuth chiffrés au repos, jamais bundlés côté client
  • Authentification passwordless par lien magique : aucun mot de passe utilisateur stocké
  • Audits de sécurité réguliers du code et des dépendances
  • Sauvegardes automatiques quotidiennes (Supabase) avec rétention 7 jours

Article 10 — Contact et réclamations

Pour toute question relative à cette politique ou à l'exercice de vos droits : contact@avizo.io.

Vous pouvez également déposer une réclamation auprès de la CNIL (3 Place de Fontenoy, 75007 Paris, cnil.fr).

Article 11 — Newsletter Avizo

Si vous vous inscrivez à la newsletter Avizo via la popup ou le footer, le traitement suivant s'applique :

  • Base légale : consentement explicite (Art. 6.1.a RGPD), recueilli via une case à cocher non pré-cochée.
  • Finalité: envoi de communications marketing relatives à Avizo, à raison d'un email par mois maximum. Aucun envoi pour le compte de tiers.
  • Données collectées : adresse email, adresse IP au moment du consentement, user agent du navigateur (preuve du recueil de consentement, Art. 7.1 RGPD).
  • Durée de conservation: tant que l'abonnement à la newsletter est actif. Après désabonnement, l'email est conservé 3 ans en archive à des fins de preuve de consentement, puis effacé automatiquement.
  • Désabonnement : 1 clic via le lien présent dans chaque email envoyé, ou en écrivant à contact@avizo.io. Le retrait du consentement est libre, gratuit et instantané.

Article 12 — Programme de parrainage

Si vous utilisez le programme de parrainage Avizo (parrain ou filleul), les règles suivantes s'appliquent :

  • Données du parrain visibles dans le dashboard : son code de parrainage, le nombre de filleuls inscrits, le nombre de filleuls convertis (clients payants), le crédit gagné, l'adresse email anonymisée de chaque filleul (format j****@gmail.com) et la date d'inscription du filleul. Le parrain ne voit jamais l'email complet du filleul.
  • Données du filleul visibles côté Avizo: son email, le code parrain qu'il a utilisé, son historique d'inscription et de paiement Stripe. Le filleul ne voit aucune donnée de son parrain.
  • Crédit parrainage : non transférable entre comptes, valable 12 mois après attribution, déduit automatiquement de la prochaine facture Stripe.
  • Anti-fraude: les parrainages entre comptes contrôlés par la même personne (même email, même IP) sont exclus du programme. Au-delà de 5 parrainages convertis pour un même parrain, les suivants sont soumis à validation manuelle (vérification « humaine » pour confirmer l'authenticité).
  • Conservation: les données de parrainage sont conservées tant que les comptes parrain et filleul sont actifs. À la suppression d'un des deux comptes, la ligne de parrainage est anonymisée mais conservée à des fins comptables (Art. 6.1.c RGPD, obligation légale).

Article 13 — Modifications

Cette politique peut être modifiée pour refléter les évolutions du Service ou du cadre réglementaire. Toute modification substantielle sera notifiée par email aux utilisateurs avec un préavis de 30 jours.

Pour toute question : contact@avizo.io