Document provisoire — relecture juridique requise

Ce modèle reflète une architecture SaaS e-mail / assistance à la classification (UE, sous-traitance classique). Les bases légales, durées et formulations doivent être ajustées à votre réalité opérationnelle et validées par un professionnel du droit ou un DPO.

Dernière mise à jour du modèle : 7 avril 2026.

1. Qui est responsable du traitement ?

Le responsable du traitement des données personnelles collectées dans le cadre du service Siftbox est : Webdigit srl, Place de Moulbaix 10 - 7812 Moulbaix, Belgique — contact : hello@siftbox.ai.

2. Quelles données traitons-nous ?

  • Données de compte : identifiant, adresse e-mail de connexion, éléments de profil nécessaires au fonctionnement du service.
  • Données de messagerie (si vous connectez Gmail ou IMAP) : métadonnées des messages (objet, expéditeur, étiquettes, extraits/snippet selon configuration), et éventuellement contenus ou extraits transmis au moteur de classification selon le niveau de consentement / paramètres du compte (ex. standard, extrait pour affinage IA, corps transitoire si activé).
  • Données techniques : journaux de sécurité et d’exploitation, identifiants de corrélation, adresse IP, journaux d’audit sur actions sensibles (connexion, OAuth, paramètres), dans le respect d’une politique de minimisation (pas de mots de passe en clair dans les logs).
  • Données de liste d’attente ou de contact pré-lancement : selon les formulaires affichés sur le site.

3. Pourquoi et sur quelle base légale (RGPD) ?

Les finalités typiques et bases légales **indicatives** (à confirmer avec le juridique) :

  • Fourniture du service SaaS (création de compte, authentification, tableau de bord) — exécution du contrat ou mesures précontractuelles (art. 6(1)(b) RGPD).
  • Liaison OAuth Gmail / IMAP et synchronisation — exécution du contrat et/ou consentement explicite selon le cadre retenu pour l’accès messagerie (art. 6(1)(a) ou (b) selon analyse).
  • Classification et signaux d’aide à la priorisation — exécution du contrat ; pour les traitements optionnels impliquant un prestataire d’IA ou des extraits supplémentaires, **consentement** ou **intérêt légitime** selon analyse de risque et transparence (à trancher et documenter).
  • Sécurité, prévention des abus, preuve en cas de litige — intérêt légitime (art. 6(1)(f)) ou obligation légale le cas échéant.
  • Obligations légales et comptables — art. 6(1)(c) lorsque applicable.

4. Destinataires et sous-traitants

Les données sont traitées par l’éditeur et, dans la limite du nécessaire, par des sous-traitants techniques, notamment : hébergement applicatif (ex. Infomaniak), base de données (ex. OVHcloud France), fournisseur d’e-mail pour messages transactionnels, Google pour l’API Gmail lorsque vous activez la connexion, et infrastructure de cache / files (Redis) selon déploiement.

Une liste à jour des sous-traitants et les garanties (art. 28 RGPD) doit être tenue contractuellement et communiquée aux clients professionnels si un DPA est signé.

5. Transferts hors de l’Espace économique européen

Si un sous-traitant ou un service implique un transfert hors EEE, les clauses contractuelles types de la Commission européenne, le cadre Data Privacy Framework (le cas échéant) ou mécanismes équivalents doivent être documentés. À analyser pour chaque prestataire réel (Google, hébergeur, etc.).

6. Durées de conservation

Les données sont conservées pendant la durée du compte et un délai raisonnable après clôture pour la défense en justice et obligations légales, sauf anonymisation. Les durées précises par catégorie doivent être fixées dans le registre des traitements et communiquées ici de façon compréhensible.

7. Vos droits

Conformément au RGPD, vous disposez, sous conditions, des droits d’accès, de rectification, d’effacement, de limitation, d’opposition, de portabilité (lorsque applicable), et du droit de retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement.

Vous pouvez introduire une réclamation auprès de l’autorité de protection des données de votre pays (en France : CNIL ; en Belgique : APD-GBA).

8. Sécurité

L’éditeur met en œuvre des mesures techniques et organisationnelles appropriées : chiffrement des secrets sensibles au repos lorsque prévu par le produit, contrôle d’accès, journalisation encadrée, isolation multi-locataire (tenant) côté base selon conception du service.

9. Cookies et traceurs

Le site peut utiliser des cookies strictement nécessaires au fonctionnement (session, préférences de langue). Tout traceur non essentiel doit être décrit et, si requis, soumis à consentement conformément à la directive ePrivacy / lois nationales.

10. Mineurs

Le service ne vise pas les mineurs de moins de 16 ans (ou l’âge requis dans votre juridiction). Ne pas collecter sciemment de données les concernant sans base légale adaptée.

11. Évolution de la politique

Cette politique peut être mise à jour. Les changements substantiels devraient être notifiés aux utilisateurs par un canal raisonnable (e-mail ou bannière dans le produit).