Document légal
Politique de confidentialité
Comment GetFlo traite les données des clients professionnels (artisans, agences, TPE/PME) et de leurs prospects. Cette politique s'applique à l'ensemble du service GetFlo accessible depuis getflo.fr.
Version 1.0 - dernière mise à jour le 30 avril 2026
Responsable du traitement
GetFlo (en cours d'immatriculation) - contact : contact@getflo.fr.
1. Données collectées et finalités
1.1 Données des clients professionnels (artisans, agences, TPE/PME)
Lors de l'inscription d'un client à GetFlo, nous collectons :
- Informations professionnelles : raison sociale, nom du gérant, métier, zone d'intervention, grille tarifaire, taux de TVA. Utilisées pour personnaliser les réponses automatiques.
- Adresse Gmail : utilisée pour la connexion à l'API Gmail via OAuth et pour l'envoi des réponses depuis la bonne adresse.
- Numéro de téléphone : utilisé pour l'envoi de SMS d'alerte sur les leads à forte valeur nécessitant une validation manuelle.
- URL du site, mentions légales, SIRET : utilisés pour générer les signatures d'emails conformes au droit commercial français.
Ces données sont stockées dans notre base Supabase (région UE lorsque disponible) et ne sont jamais vendues ni partagées avec des tiers, à l'exception des sous-traitants listés en section 4.
1.2 Données des prospects (tiers)
Lorsqu'un prospect envoie un email à un client et que cet email est
identifié par Flo dans la boîte de réception et étiqueté
automatiquement getflo-leads, GetFlo traite :
- Nom et adresse email du prospect
- Objet et corps du message
- Photos jointes au message (par ex. photo d'une fuite, d'un tableau électrique) - utilisées pour l'analyse visuelle qui améliore la qualité de la réponse
- Contexte du fil de discussion (échanges précédents dans le même fil Gmail)
Ces données sont traitées pour le compte du client, qui est le responsable de traitement vis-à-vis de ses prospects au sens du RGPD. GetFlo agit en tant que sous-traitant.
Les données prospect sont conservées dans Supabase pendant
24 mois maximum à compter du dernier échange.
Les photos sont stockées dans Supabase Storage (bucket
lead-attachments) pendant la durée de vie de la
fiche lead, et supprimées avec elle.
1.3 Données que GetFlo ne collecte pas
-
Flo analyse la boîte de réception pour identifier les emails
commerciaux et leur appliquer le label
getflo-leads, mais seuls les emails portant ce label sont lus, traités et stockés. Les autres emails sont ignorés immédiatement après identification et ne sont jamais accédés ni conservés. - GetFlo n'accède pas aux contacts Gmail, à Google Calendar, à Google Drive ni à aucun autre service Google.
- GetFlo ne stocke pas les jetons d'authentification Gmail au-delà de ce qui est nécessaire à la connexion OAuth, gérée par notre plateforme d'automatisation N8N Cloud.
2. Utilisation de l'accès Gmail
GetFlo demande la permission
https://www.googleapis.com/auth/gmail.modify
uniquement pour les opérations suivantes :
- Analyser la boîte de réception pour identifier
automatiquement les emails commerciaux entrants et leur appliquer
le label
getflo-leads. - Lire les emails portant le label
getflo-leadspour qualifier les demandes des prospects - Flo ne répond jamais aux emails non étiquetés. - Envoyer les emails de réponse depuis l'adresse Gmail du client, dans le fil existant.
- Gérer les labels Gmail (label parent
getfloet ses sous-labelsgetflo-leadsetgetflo-archives) pour suivre le cycle de vie de chaque lead. - Retirer de la boîte de réception les emails traités, pour que la boîte du client reste propre.
GetFlo n'utilise pas l'accès Gmail à d'autres fins que ces cinq opérations. Cette restriction est appliquée au niveau de l'application (logique des workflows N8N) et garantie contractuellement dans l'Accord de traitement des données signé avec chaque client.
3. Bases légales du traitement
- Données des clients professionnels : exécution du contrat de service.
- Données prospect : intérêt légitime du client (répondre aux demandes commerciales entrantes) et, le cas échéant, consentement obtenu via les formulaires de contact du client.
- Accès à l'API Gmail : consentement explicite via l'écran de consentement OAuth de Google, révocable à tout moment.
4. Sous-traitants
GetFlo utilise les sous-traitants tiers suivants pour fournir le service :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase Inc. | Base de données (leads, configuration client) + stockage des photos prospect | US / UE (configurable) |
| Anthropic PBC | Qualification par LLM, analyse visuelle des photos prospect | États-Unis |
| N8N GmbH | Automatisation des workflows, gestion des credentials OAuth | UE (Allemagne) |
| Twilio Inc. | Envoi des SMS de validation aux clients | États-Unis |
| Google LLC | API Gmail (lecture, envoi, gestion des labels) | Infrastructure Google |
| Cloudflare, Inc. | Hébergement du site getflo.fr | États-Unis (réseau mondial) |
Les transferts vers des sous-traitants hors UE sont encadrés par les Clauses Contractuelles Types (CCT) au sens de l'article 46 du RGPD.
5. Durées de conservation
| Type de donnée | Durée de conservation |
|---|---|
| Fiches lead prospect (Supabase) | 24 mois à compter du dernier échange |
| Photos prospect (Supabase Storage) | Durée de vie de la fiche lead associée |
| Configuration client (Supabase) | Durée du contrat + 30 jours après résiliation |
| Logs d'exécution des workflows (N8N) | 7 jours (paramètre par défaut N8N Cloud) |
6. Droits des personnes concernées
Conformément au RGPD, les prospects et les clients professionnels disposent des droits suivants :
- Droit d'accès - obtenir une copie des données personnelles détenues
- Droit de rectification - demander la correction de données inexactes
- Droit à l'effacement - demander la suppression des données (traitée sous 30 jours)
- Droit d'opposition - s'opposer à un traitement fondé sur l'intérêt légitime
- Droit à la portabilité - récupérer les données dans un format lisible par machine
Pour exercer l'un de ces droits, contactez : contact@getflo.fr.
Pour les données prospect, le client (responsable de traitement) est le point de contact principal ; GetFlo exécute les demandes techniques de suppression sous 30 jours.
7. Sécurité des données
- HTTPS imposé sur tous les endpoints
- Jetons OAuth stockés chiffrés au repos par N8N Cloud
- Aucun jeton Gmail en clair dans les logs ; double authentification activée sur les comptes administrateurs
- Une credential OAuth dédiée par client (aucun compte partagé)
8. Révocation de l'accès Gmail
À tout moment, le client peut révoquer l'accès accordé à GetFlo depuis myaccount.google.com → Sécurité → Applications tierces → GetFlo → Supprimer l'accès. La révocation est instantanée et ne nécessite aucune intervention de notre part.
9. Modifications de cette politique
Cette politique peut être mise à jour pour refléter des évolutions du service ou de la réglementation. La date de dernière modification est indiquée en haut de cette page. Les modifications substantielles sont notifiées par email aux clients professionnels.
10. Réclamation
Toute personne s'estimant lésée peut introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.