Politique de confidentialité

1. Responsable du traitement

Navescale, Lda
Praça Duque de Saldanha 1, 2º andar
1050-094 Lisbonne, Portugal
NIF : 518556719
Contact DPO : [email protected]

2. Données collectées

Qaptivo collecte et traite les données suivantes :

• Clients (utilisateurs dashboard) : email, mot de passe (hashé bcrypt), nom de l'établissement
• Visiteurs (utilisateurs du chatbot) : messages de conversation, email/téléphone/nom (si communiqués volontairement), adresse IP (pour le rate limiting uniquement), paramètres UTM et referrer

3. Finalités du traitement

• Fourniture du service de chatbot IA et de capture de leads
• Scoring automatique des leads pour prioriser le suivi commercial
• Amélioration continue du service (questions sans réponse, santé de la base de connaissance)
• Envoi de notifications et rapports hebdomadaires aux Clients
• Facturation et gestion des abonnements

4. Base légale

• Exécution du contrat (art. 6.1.b RGPD) : traitement des données nécessaires à la fourniture du service
• Intérêt légitime (art. 6.1.f RGPD) : capture de leads pour le compte du Client, amélioration du service
• Consentement (art. 6.1.a RGPD) : le visiteur communique volontairement ses coordonnées via le chatbot

5. Statut juridique de Qaptivo

Qaptivo agit selon deux statuts juridiques distincts, à préciser pour chaque traitement :

• Responsable de traitement pour les données de ses propres Clients (comptes dashboard, facturation, support, prospects de qaptivo.com).
• Sous-traitant au sens de l'art. 28 RGPD pour les données des visiteurs et prospects de chaque école Cliente, traitées via le widget chatbot. L'école est alors le responsable de traitement et fixe les finalités. Un Data Processing Agreement (DPA) est conclu avec chaque école Cliente — disponible sur qaptivo.com/dpa.

6. Sous-traitants ultérieurs

Qaptivo fait appel aux sous-traitants ultérieurs suivants, tous couverts par des garanties adéquates (Data Privacy Framework et/ou clauses contractuelles types de la Commission européenne) :

• Hetzner Online GmbH (Allemagne, Frankfurt) — Hébergement serveur, base de données et stockage des fichiers
• Anthropic, PBC (USA) — Traitement IA des conversations (modèle Claude). Les données envoyées via l'API ne sont pas utilisées pour entraîner les modèles.
• OpenAI, L.L.C. (USA) — Génération d'embeddings pour la recherche sémantique. Les données envoyées via l'API ne sont pas utilisées pour entraîner les modèles.
• Cloudflare, Inc. (USA) — Browser Rendering API pour le scraping de sites des écoles, et Turnstile pour la protection anti-bot
• Stripe, Inc. (USA / Irlande) — Paiement et facturation des abonnements Qaptivo
• Sendinblue (Brevo) (France) — Envoi d'emails transactionnels (notifications de leads, rapports hebdomadaires)
• Giphy, Inc. (USA) — Recherche et affichage de GIFs dans les conversations (uniquement si l'option est activée par l'école)
• Functional Software, Inc. (Sentry.io) (USA) — Monitoring d'erreurs applicatives. Filtre actif sur les données personnelles (PII scrubbing).
• JustShipIt Pte. Ltd. (DataFast) (Singapour, infrastructure UE) — Analytics du site marketing qaptivo.com uniquement (n'a aucun accès aux données du widget ni des écoles Clientes)

Toute évolution de cette liste fait l'objet d'une notification préalable aux Clients avec un préavis raisonnable, conformément aux engagements du DPA.

7. Durée de conservation

• Conversations : 12 mois, puis suppression ou anonymisation automatique
• Leads : conservés tant que le compte Client est actif, supprimés sur demande
• Comptes Client : conservés pendant la durée de l'abonnement + 30 jours après résiliation

8. Droits des personnes concernées

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès à vos données personnelles
• Droit de rectification des données inexactes
• Droit à l'effacement (« droit à l'oubli »)
• Droit à la limitation du traitement
• Droit à la portabilité des données
• Droit d'opposition au traitement

Pour exercer ces droits, contactez-nous à [email protected]. Nous répondrons dans un délai de 30 jours.

9. Sécurité

• Mots de passe hashés avec bcrypt (cost factor 12)
• Communications chiffrées en HTTPS (TLS 1.2+)
• Isolation des données par tenant (chaque client n'accède qu'à ses propres données)
• Rate limiting sur les endpoints publics
• Sauvegardes quotidiennes de la base de données

10. Cookies et analytics

Le site qaptivo.com utilise DataFast pour mesurer son audience (pages vues, provenance des visiteurs). Ce service est chargé uniquement après votre consentement explicite via le bandeau cookies. Vous pouvez retirer votre consentement à tout moment en supprimant le cookie qaptivo_consent dans les paramètres de votre navigateur. DataFast n'a aucun accès aux données collectées via le widget chatbot.

Le widget Qaptivo embarqué chez nos écoles Clientes ne dépose aucun cookie ni aucun identifiant local tant que le visiteur n'a pas cliqué sur la bulle pour ouvrir le chat. À l'ouverture, un identifiant de session temporaire en mémoire (non persistant entre rechargements de page) est utilisé pour maintenir la continuité de la conversation. Aucun cookie publicitaire ou de tracking tiers n'est déposé.

11. Transferts hors UE

Certaines données sont transférées vers les États-Unis (Anthropic, OpenAI, Stripe, Cloudflare, Giphy, Sentry). Ces transferts sont encadrés par le EU-US Data Privacy Framework et/ou des clauses contractuelles types approuvées par la Commission européenne. L'hébergement principal (base de données et fichiers applicatifs) reste localisé en Allemagne (Hetzner, Frankfurt).

12. Décisions automatisées et lead scoring

Le service Qaptivo applique aux conversations capturées une analyse automatisée visant à évaluer le niveau d'intérêt commercial du prospect (« lead scoring », score de 0 à 100 calculé à partir de l'engagement et des intentions exprimées).

Conformément à l'article 22 RGPD, cette analyse ne produit aucun effet juridique à l'égard de la personne concernée et ne l'affecte pas significativement de façon similaire. Elle sert uniquement à aider les équipes humaines de l'école à prioriser leurs rappels téléphoniques. Aucune décision (admission, refus, octroi de financement) n'est prise sur la base de ce score. La personne concernée peut à tout moment demander que ce score soit effacé en contactant l'école Cliente ou Qaptivo.

13. Réclamation

Si vous estimez que le traitement de vos données n'est pas conforme au RGPD, vous pouvez introduire une réclamation auprès de la CNPD (Comissão Nacional de Proteção de Dados, autorité de contrôle compétente pour Navescale, Lda au Portugal) ou auprès de l'autorité de protection des données de votre pays de résidence (par exemple la CNIL en France).