1. Qui sommes-nous ?
MailBoss est un service en ligne édité par Dynamic Creative, société immatriculée à Aix-en-Provence, France.
- Éditeur : Dynamic Creative (SASU ou forme équivalente — SIREN XXX XXX XXX RCS Aix-en-Provence)
- Siège : Aix-en-Provence, France
- Responsable de traitement : Dynamic Creative
- Contact DPO : privacy@mailboss.app
- Contact général : mecpaillet@gmail.com
2. Données que nous collectons
Quand tu utilises MailBoss, nous collectons :
Données de compte
- Nom, prénom, email, mot de passe hashé (bcrypt)
- Entreprise, rôle, fuseau horaire
- Plan souscrit, historique de facturation
Boîtes mail connectées (OAuth)
- Adresse email professionnelle connectée
- Tokens OAuth 2.0 chiffrés AES-256-GCM au repos
- Aucun mot de passe email n'est jamais collecté ni stocké
Métadonnées des emails traités
- Expéditeur, destinataires, sujet, date, ID de message, thread
- Classification produite par l'IA (urgence, catégorie, action, score d'enjeu)
- Labels appliqués et corrections manuelles que tu apportes
- Le corps des mails n'est pas persisté après analyse. Il peut transiter en mémoire et en cache Redis 15 minutes maximum pendant le traitement.
Données d'usage produit
- Pages visitées, événements anonymisés (PostHog EU)
- Logs techniques (IP tronquée, user-agent, horodatage) conservés 90 jours
3. Bases légales RGPD
| Finalité | Base légale |
|---|---|
| Fournir le service (compte, OAuth, classification) | Exécution du contrat (art. 6.1.b RGPD) |
| Facturation et recouvrement | Obligation légale (art. 6.1.c) |
| Support technique et communication produit | Intérêt légitime (art. 6.1.f) |
| Amélioration des modèles (via opt-in explicite) | Consentement (art. 6.1.a) |
| Sécurité et prévention des abus | Intérêt légitime (art. 6.1.f) |
| Newsletter marketing | Consentement (art. 6.1.a) |
4. Finalités
- Fournir le service MailBoss (classification, brouillons, digest)
- Facturer tes abonnements via Stripe
- Répondre à tes demandes de support et à nos obligations légales
- Améliorer MailBoss sur la base de statistiques agrégées anonymisées
- Détecter les abus, spams et tentatives d'intrusion
- Envoyer notre newsletter (uniquement si tu t'y es inscrit)
5. Destinataires et sous-traitants
MailBoss s'appuie sur des sous-traitants soigneusement sélectionnés et contractualisés (DPA signé, clauses contractuelles types UE quand applicable).
| Sous-traitant | Rôle | Pays |
|---|---|---|
| Anthropic PBC | Classification primaire + jury IA (Claude Sonnet/Opus/Haiku) | États-Unis (Californie) |
| OpenAI LLC | Vérification croisée classification (GPT-5) | États-Unis |
| Google LLC / Google Ireland | Gemini 2.5 Pro (tie-break) + Gmail API | États-Unis / Irlande |
| Voyage AI | Embeddings vectoriels (voyage-3) | États-Unis |
| Microsoft Corp / Microsoft Ireland | Microsoft Graph API (Outlook / 365) | États-Unis / Irlande |
| OVH SAS | Hébergement infrastructure (Roubaix) | France |
| Stripe Inc / Stripe Payments Europe | Paiements par carte et SEPA | États-Unis / Irlande |
| Resend | Emails transactionnels et notifications | États-Unis |
| PostHog Inc (EU region) | Analytics produit | Union européenne |
| Functional Software Inc (Sentry) | Monitoring erreurs | États-Unis |
6. Transferts hors Union européenne
Certains sous-traitants (Anthropic, OpenAI, Voyage AI, Resend, Sentry) sont établis aux États-Unis. Les transferts de données vers ces prestataires s'appuient sur les clauses contractuelles types de la décision européenne 2021/915, complétées si nécessaire par des mesures techniques et organisationnelles supplémentaires (chiffrement, pseudonymisation, restriction des données transmises).
Pour les clients du plan Enterprise, une option de traitement entièrement souverain (modèles Mistral hébergés en France) est disponible sur demande.
7. Durées de conservation
- Données de compte : pendant toute la durée de l'abonnement, puis 3 ans après la résiliation (obligations comptables et commerciales)
- Métadonnées d'emails : 12 mois glissants
- Corpus vectoriel (embeddings de contacts) : 24 mois
- Logs techniques : 90 jours
- Factures : 10 ans (obligation légale)
- Tokens OAuth : tant que la boîte est connectée, supprimés à la déconnexion
- Corps des mails : jamais persistés (cache 15 min max en mémoire chiffrée)
8. Tes droits RGPD
Tu disposes à tout moment des droits suivants :
- Droit d'accès à tes données
- Droit de rectification des données inexactes
- Droit d'effacement (« droit à l'oubli »)
- Droit à la limitation du traitement
- Droit à la portabilité (export JSON/CSV)
- Droit d'opposition au traitement (intérêt légitime)
- Directives post-mortem (loi Informatique et Libertés art. 85)
Pour exercer l'un de ces droits, écris-nous à privacy@mailboss.app. Nous répondons sous 30 jours (et sous 24h ouvrées pour les demandes d'effacement). Une pièce d'identité peut être demandée en cas de doute raisonnable sur ton identité.
9. Cookies
Nous utilisons un minimum de cookies, décrits en détail dans notre politique cookies. Aucun cookie de tracking tiers n'est déposé sans ton consentement explicite.
10. Sécurité
Les détails techniques de notre architecture et de nos pratiques de sécurité sont publiés sur notre page sécurité. En résumé : hébergement France, TLS 1.3, AES-256-GCM au repos, zéro stockage du corps des mails, monitoring 24/7.
11. Réclamation auprès de la CNIL
Si tu estimes que le traitement de tes données ne respecte pas la réglementation, tu peux adresser une réclamation à la CNIL :
- En ligne : cnil.fr
- Par courrier : Commission Nationale de l'Informatique et des Libertés, 3 place de Fontenoy — TSA 80715 — 75334 Paris cedex 07
- Téléphone : 01 53 73 22 22
12. Modifications de cette politique
Nous pouvons mettre à jour cette politique pour refléter des évolutions produit, juridiques ou contractuelles. En cas de modification significative (nouveau sous-traitant, nouvelle finalité), nous te notifions par email au moins 30 jours avant l'entrée en vigueur.