La présente Politique de Confidentialité décrit comment BP Assist (ci-après « nous », « notre » ou « la Plateforme ») collecte, utilise, stocke et protège vos données personnelles lorsque vous utilisez notre service de génération d'études de marché et de business plans assistés par intelligence artificielle.

Nous nous engageons à respecter votre vie privée et à protéger vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD - Règlement UE 2016/679) et à la loi française Informatique et Libertés du 6 janvier 1978 modifiée.

1. Responsable du traitement

Le responsable du traitement de vos données personnelles est :

Pour toute question relative à la protection de vos données, vous pouvez nous contacter à l'adresse email indiquée ci-dessus.

2. Données personnelles collectées

Dans le cadre de l'utilisation de notre Plateforme, nous collectons les catégories de données personnelles suivantes :

2.1 Données d'identification

• Nom et prénom
• Adresse email
• Photo de profil (facultatif)
• Nom de l'entreprise (facultatif)
• Fonction/rôle professionnel (facultatif)

2.2 Données de connexion

• Identifiants de connexion (email et mot de passe chiffré)
• Données d'authentification Google (si connexion via Google OAuth)
• Adresse IP
• Type de navigateur et appareil utilisé
• Horodatage des connexions

2.3 Données d'utilisation

• Projets créés (études de marché, business plans)
• Réponses aux questionnaires d'analyse
• Données sectorielles et commerciales saisies
• Historique des actions sur la Plateforme
• Progression et statistiques d'utilisation (streaks)

2.4 Données de facturation

• Historique des achats de crédits
• Transactions effectuées

Note : Les données de paiement (numéro de carte bancaire) sont traitées directement par notre prestataire de paiement Stripe et ne sont jamais stockées sur nos serveurs.

3. Finalités et bases légales du traitement

Vos données personnelles sont traitées pour les finalités suivantes :

4. Destinataires des données

Vos données personnelles peuvent être communiquées aux catégories de destinataires suivants :

4.1 Nos sous-traitants

• Google Firebase (États-Unis) : Hébergement, authentification et stockage des données. Transfert encadré par les Clauses Contractuelles Types de la Commission européenne.
• Stripe (États-Unis) : Traitement des paiements. Certifié PCI-DSS niveau 1. Transfert encadré par les Clauses Contractuelles Types.
• Anthropic (Claude AI) (États-Unis) : Traitement par intelligence artificielle pour la génération d'analyses. Les données sont utilisées uniquement pour fournir le service et ne sont pas utilisées pour l'entraînement des modèles.
• SendGrid (Twilio) (États-Unis) : Envoi d'emails transactionnels. Transfert encadré par les Clauses Contractuelles Types.
• Mixpanel (États-Unis) : Analyse d'usage et statistiques. Données pseudonymisées. Transfert encadré par les Clauses Contractuelles Types.

4.2 Autres destinataires

• Collaborateurs invités sur vos projets (accès limité aux données du projet partagé)
• Autorités compétentes en cas d'obligation légale

Nous ne vendons jamais vos données personnelles à des tiers.

5. Transferts de données hors Union européenne

Certains de nos sous-traitants sont situés aux États-Unis. Ces transferts sont encadrés par :

• Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne
• Le Data Privacy Framework UE-États-Unis pour les entités certifiées
• Des mesures de sécurité supplémentaires (chiffrement, pseudonymisation)

Vous pouvez obtenir une copie des garanties appropriées en nous contactant à l'adresse indiquée ci-dessus.

6. Durée de conservation des données

Vos données personnelles sont conservées pendant les durées suivantes :

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• Droit d'accès : Obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
• Droit de rectification : Demander la correction de données inexactes ou incomplètes.
• Droit à l'effacement : Demander la suppression de vos données dans les cas prévus par la réglementation.
• Droit à la limitation : Demander la limitation du traitement de vos données dans certaines circonstances.
• Droit à la portabilité : Recevoir vos données dans un format structuré et couramment utilisé, ou les transmettre à un autre responsable de traitement.
• Droit d'opposition : Vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière, notamment pour la prospection commerciale.
• Droit de retirer votre consentement : Retirer à tout moment votre consentement pour les traitements fondés sur celui-ci.
• Droit de définir des directives post-mortem : Définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès.

Pour exercer vos droits, contactez-nous à : support@bp-assist.ai

Nous répondrons à votre demande dans un délai d'un mois. Ce délai peut être prolongé de deux mois en cas de demande complexe ou de nombre élevé de demandes.

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr

8. Sécurité des données

Nous mettons en oeuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, perte, destruction ou altération :

• Chiffrement des données en transit (TLS/SSL) et au repos
• Authentification sécurisée avec vérification email
• Hachage des mots de passe avec algorithmes robustes
• Contrôle d'accès strict basé sur les rôles
• Surveillance et journalisation des accès
• Sauvegardes régulières et plan de continuité d'activité
• Formation de notre personnel aux bonnes pratiques de sécurité

9. Cookies et technologies de suivi

Notre Plateforme utilise des cookies et technologies similaires pour assurer son bon fonctionnement et améliorer votre expérience.

9.1 Cookies essentiels

Nécessaires au fonctionnement du site, ils ne peuvent pas être désactivés :

• Cookies de session et d'authentification
• Préférences de langue et d'affichage
• Protection contre les attaques CSRF

9.2 Cookies analytiques

Nous permettent de comprendre comment vous utilisez la Plateforme :

• Mixpanel : Analyse du comportement utilisateur (données pseudonymisées)

Vous pouvez gérer vos préférences de cookies via le bandeau de consentement affiché lors de votre première visite ou via les paramètres de votre navigateur.

10. Utilisation de l'intelligence artificielle

Notre Plateforme utilise des technologies d'intelligence artificielle pour générer des analyses de marché et des recommandations. Voici comment nous protégeons vos données dans ce contexte :

• Transparence : Les contenus générés par l'IA sont clairement identifiés comme tels.
• Minimisation des données : Seules les données nécessaires à la génération des analyses sont transmises aux modèles d'IA.
• Non-entraînement : Vos données ne sont pas utilisées pour entraîner ou améliorer les modèles d'intelligence artificielle.
• Pas de décision automatisée : Les analyses générées sont des outils d'aide à la décision. Aucune décision produisant des effets juridiques n'est prise de manière entièrement automatisée.

11. Protection des mineurs

Notre Plateforme n'est pas destinée aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles concernant des mineurs. Si nous découvrons que des données d'un mineur ont été collectées, nous les supprimerons dans les meilleurs délais.

12. Modifications de la politique

Nous pouvons modifier cette Politique de Confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par email ou par notification sur la Plateforme.

La date de dernière mise à jour est indiquée en haut de ce document. Nous vous encourageons à consulter régulièrement cette page pour rester informé de nos pratiques en matière de protection des données.