Funnel Analytics

Politique de confidentialité

Dernière mise à jour : 29 avril 2026

1. Préambule

La présente Politique de confidentialité décrit la manière dont Scallab (ci-après « nous »), éditeur du service Funnel Analytics accessible à l'adresse https://app.funnel-analytics.ai (ci-après « le Service »), collecte, traite et protège vos données personnelles. Pour toute question, vous pouvez nous contacter à marin@scallab.io.

Cette Politique fait partie intégrante de nos Conditions générales d'utilisation et est conforme au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés).

2. Données collectées

2.1 Données d'identification du compte

  • Adresse e-mail (obligatoire)
  • Mot de passe (stocké sous forme hachée, jamais en clair)
  • Nom, prénom, nom de société, nom de marque (facultatifs, profil)
  • Logo et couleur de marque (facultatifs, branding du rapport)

2.2 Données techniques

  • Adresse IP de connexion (logs serveur, conservés 30 jours)
  • User-agent du navigateur (logs techniques)
  • Horodatage des actions (création de run, consultation de rapport, etc.)
  • Cookie de session strictement nécessaire à l'authentification

2.3 Données issues des sources connectées

Lorsque vous connectez une source externe (Airtable, Google Sheets, Meta Ads) ou téléversez un fichier CSV, nous collectons les données nécessaires à l'analyse :

  • Données de leads (e-mails, prénoms, sources d'acquisition) — utilisées uniquement pour calculer les métriques agrégées
  • Données de RDV et ventes (nom, prénom, e-mail, téléphone, montant, statut, closer) — utilisées pour calculer le funnel et les scores
  • Données publicitaires Meta (impressions, clics, dépense, créatives)
  • Logs de chat et participants webinar (présents, durée, timestamps)

Ces données sont stockées dans un environnement chiffré et ne sont jamais partagées avec des tiers à des fins commerciales.

2.4 Credentials d'intégration

Lorsque vous connectez une intégration (Airtable, Google Sheets, Meta), votre jeton d'accès (Personal Access Token, OAuth token) est chiffré côté serveur en AES-256-GCM avec une clé maître non accessible depuis l'application. Ces credentials ne sont jamais affichés en clair, ni dans l'interface, ni dans les logs.

3. Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

  • Fournir et exploiter le Service (création de compte, authentification, génération de rapports)
  • Analyser vos webinars et calculer les indicateurs de performance
  • Vous envoyer les notifications transactionnelles (rapport prêt, comparaison disponible)
  • Assurer la sécurité du Service (détection d'abus, journalisation)
  • Facturer l'abonnement et respecter nos obligations comptables et fiscales
  • Améliorer le Service à partir d'agrégats anonymisés

4. Base légale

Conformément à l'article 6 du RGPD, les bases légales applicables sont :

  • Exécution du contrat (art. 6.1.b) : création de compte, génération des rapports, traitement des données analysées
  • Obligation légale (art. 6.1.c) : conservation des justificatifs comptables et fiscaux
  • Intérêt légitime(art. 6.1.f) : sécurité du Service, prévention des fraudes, statistiques d'usage agrégées
  • Consentement(art. 6.1.a) : connexion d'une source de données externe (Airtable, Google Sheets, Meta), notifications e-mail facultatives

5. Destinataires et sous-traitants

Vos données sont accessibles aux salariés habilités de Scallab et aux sous-traitants techniques suivants, encadrés par des accords de traitement conformes à l'article 28 du RGPD :

  • Supabase (hébergement base de données et stockage de fichiers) — région UE (Francfort)
  • Vercel(hébergement de l'application web et des fonctions serverless) — régions UE
  • Anthropic(génération des rapports par IA via l'API Claude) — voir transferts hors UE ci-dessous
  • Resend (envoi des e-mails transactionnels) — voir transferts hors UE ci-dessous
  • Meta, Google, Airtable(sources connectées par l'utilisateur) — uniquement les données strictement nécessaires à la lecture de votre compte chez ces fournisseurs

Aucune donnée n'est revendue ni partagée à des fins publicitaires.

6. Transferts hors UE

Certains de nos sous-traitants (Anthropic, Resend, Meta, Google) sont établis aux États-Unis. Les transferts vers ces pays sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne adoptées par décision d'exécution (UE) 2021/914, qui garantissent un niveau de protection équivalent à celui prévu par le RGPD. Lorsque cela est applicable, les fournisseurs sont également certifiés au titre du Data Privacy Framework UE-États-Unis.

7. Durée de conservation

  • Données du compte et du Service: pendant toute la durée du compte actif, puis supprimées 30 jours après la résiliation (sauf demande d'effacement immédiat)
  • Données fiscales et comptables(factures, paiements) : jusqu'à 10 ans à compter de la clôture de l'exercice, conformément au Code de commerce
  • Logs de connexion et techniques : 30 jours
  • Credentials d'intégration : supprimés immédiatement à la déconnexion de la source
  • Sauvegardes : conservées 30 jours par roulement

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données, notamment :

  • Chiffrement des communications en HTTPS (TLS 1.2+)
  • Chiffrement applicatif des credentials sensibles en AES-256-GCM avec clés maîtresses isolées de la base de données
  • Isolation des données entre utilisateurs au niveau base de données via Row-Level Security (RLS) Supabase
  • Sauvegardes chiffrées quotidiennes avec rétention de 30 jours
  • Monitoring continu, journalisation des accès et alertes en cas d'anomalie
  • Authentification renforcée et politique de mots de passe stricte

9. Droits des utilisateurs

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :

  • Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie
  • Droit de rectification : faire corriger des données inexactes ou incomplètes
  • Droit à l'effacement(« droit à l'oubli ») : obtenir la suppression de vos données
  • Droit à la limitation : suspendre temporairement le traitement de vos données
  • Droit à la portabilité : récupérer vos données dans un format structuré et lisible par machine
  • Droit d'opposition: vous opposer à un traitement fondé sur l'intérêt légitime
  • Droit de retirer votre consentement : à tout moment lorsque le traitement repose sur ce fondement

Pour exercer ces droits, contactez-nous à marin@scallab.io. Nous répondons dans un délai d'un mois (renouvelable une fois en cas de demande complexe). Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL ( www.cnil.fr).

10. Cookies

Le Service utilise uniquement des cookies strictement nécessaires à son fonctionnement (authentification, sécurité, préférences de session). Ces cookies ne nécessitent pas votre consentement préalable conformément à l'article 82 de la loi Informatique et Libertés. Aucun cookie publicitaire ni de mesure d'audience non exempté n'est déposé.

11. Modifications

Nous pouvons être amenés à modifier la présente Politique de confidentialité. Toute modification substantielle vous sera notifiée par e-mail au moins trente (30) jours avant son entrée en vigueur. La date de dernière mise à jour figure en haut du présent document.

12. Contact

Pour toute question relative à la présente Politique ou à l'exercice de vos droits, vous pouvez nous contacter à marin@scallab.io.