Politique de confidentialité
Dernière mise à jour : 2026-03-05
2.1 Introduction et champ d'application
yukolab (« nous », « notre », « nos ») s'engage à protéger la vie privée et les données personnelles de toutes les personnes qui interagissent avec la plateforme SaaS UGC Travel (« Plateforme »). La présente Politique de confidentialité explique quelles données personnelles nous collectons, pourquoi nous les collectons, comment nous les utilisons et les protégeons, ainsi que vos droits en la matière.
Cette Politique s'applique à :
- Utilisateurs inscrits et abonnés de la Plateforme ;
- Visiteurs de yukolab.com ;
- Personnes dont les adresses e-mail sont affichées aux utilisateurs de la Plateforme (contacts d'établissements).
Responsable du traitement. yukolab, che fourcade 97430, Le Tampon, privacy@yukolab.com, est le responsable du traitement des données personnelles traitées via la Plateforme, au sens du Règlement Général sur la Protection des Données (RGPD) Règlement (UE) 2016/679.
2.2 Données que nous collectons
2.2.1 Données que vous fournissez directement
| Catégorie | Exemples | Finalité |
|---|---|---|
| Données de compte | Nom, adresse e-mail, nom de l'entreprise | Création de compte et authentification (via Clerk) |
| Données de paiement | Adresse de facturation, 4 derniers chiffres de la carte (tokenisés) | Gestion des abonnements (traité par Stripe ; nous ne stockons jamais les données brutes de carte) |
| Données de profil | Rôle professionnel, réseaux sociaux, liens de portfolio | Personnalisation du service |
| Communications | Messages de support, retours d'expérience | Support client |
| Contenu des e-mails | Modèles et messages rédigés sur la Plateforme | Fourniture du service de prospection par e-mail |
2.2.2 Données collectées automatiquement
| Catégorie | Exemples | Finalité |
|---|---|---|
| Données d'utilisation | Pages visitées, fonctionnalités utilisées, clics, durée de session | Amélioration du service et analyses |
| Données techniques/appareil | Adresse IP, type de navigateur, système d'exploitation, résolution d'écran | Sécurité, prévention de la fraude, compatibilité |
| Journaux | Journaux serveur, rapports d'erreurs, horodatages | Débogage et surveillance de la sécurité |
| Données de cookies | Identifiants de session, cookies de préférences, identifiants d'analyse | Voir la Politique de cookies |
2.2.3 Données provenant de tiers
| Source | Type de données | Finalité |
|---|---|---|
| Clerk | Jetons OAuth, données SSO | Authentification |
| Bright Data | Données commerciales publiques (noms, adresses, numéros de téléphone des établissements) | Fonction de recherche principale |
| Hunter.io | Adresses e-mail professionnelles déduites publiquement | Enrichissement des e-mails |
| API Google Gmail | Adresse e-mail, nom de profil, photo de profil, signature Gmail, métadonnées d'e-mails, contenu des fils de discussion (uniquement pour les e-mails de prospection) | Intégration Gmail : envoi d'e-mails de prospection, détection des réponses, récupération de la signature, identification du compte connecté |
| Stripe | Statut de paiement, événements d'abonnement | Gestion de la facturation |
Nous ne collectons pas sciemment de données personnelles de personnes de moins de 18 ans.
2.3 Comment et pourquoi nous utilisons vos données (bases légales)
| Finalité | Données utilisées | Base légale (RGPD Art. 6) |
|---|---|---|
| Création de compte et authentification | Données de compte | Contrat (Art. 6(1)(b)) |
| Fourniture des fonctionnalités de la Plateforme | Données d'utilisation, contenu des e-mails, recherches | Contrat (Art. 6(1)(b)) |
| Traitement des paiements | Données de paiement | Contrat (Art. 6(1)(b)) |
| Support client | Données de communication | Contrat / Intérêt légitime (Art. 6(1)(f)) |
| Sécurité et prévention de la fraude | Données techniques, journaux | Intérêt légitime (Art. 6(1)(f)) |
| Amélioration de la Plateforme et analyses | Données d'utilisation, données techniques | Intérêt légitime (Art. 6(1)(f)) |
| Envoi de communications de service (transactionnelles) | Adresse e-mail | Contrat (Art. 6(1)(b)) |
| Envoi de communications marketing | Adresse e-mail | Consentement (Art. 6(1)(a)) |
| Conformité légale | Toutes données pertinentes | Obligation légale (Art. 6(1)(c)) |
2.4 Données de contact des établissements
La Plateforme affiche des informations de contact publiquement disponibles sur les établissements hôteliers (noms, adresses, numéros de téléphone, adresses e-mail professionnelles) récupérées auprès de fournisseurs de données tiers.
Ces données sont traitées en tant qu'informations de contact professionnelles. Lorsque les adresses e-mail d'employés individuels sont récupérées, nous nous appuyons sur l'intérêt légitime de la prospection professionnelle B2B (considérant 47 du RGPD et directives nationales applicables en matière de marketing B2B), sous réserve que :
- Les données ont été rendues publiques par la personne ou son employeur ;
- La prospection est pertinente par rapport au rôle professionnel de la personne ;
- La personne dispose d'un mécanisme de désinscription clair dans chaque communication.
Les utilisateurs de la Plateforme sont indépendamment responsables de s'assurer que leur utilisation des données de contact des établissements est conforme aux lois applicables en matière de protection des données et anti-spam dans la juridiction du destinataire.
2.5 Partage et divulgation des données
Nous ne vendons pas vos données personnelles à des tiers.
Nous partageons des données personnelles uniquement dans les circonstances suivantes :
- Prestataires de services (sous-traitants) : Prestataires tiers agissant selon nos instructions documentées, notamment Clerk (authentification), Stripe (paiements), Inngest (traitement de tâches en arrière-plan), Bright Data (sourcing de données), Hunter.io (enrichissement d'e-mails) et hébergeurs. Tous les sous-traitants sont liés par des accords de traitement des données.
- Exigences légales : Lorsque la loi, une décision de justice ou une autorité réglementaire l'exige ; ou lorsque cela est nécessaire pour protéger les droits, la propriété ou la sécurité de la Société, de ses utilisateurs ou du public.
- Transferts d'entreprise : Dans le cadre d'une fusion, acquisition, financement ou vente de tout ou partie des actifs de la Société, sous réserve que l'acquéreur s'engage à respecter les protections de cette Politique.
- Avec votre consentement : Pour toute autre finalité avec votre consentement explicite préalable.
2.6 Transferts internationaux de données
Certains de nos prestataires de services (notamment Stripe, Clerk, Bright Data et Hunter.io) opèrent en dehors de l'Espace Économique Européen (EEE). Lorsque des données personnelles sont transférées vers des pays non reconnus par la Commission européenne comme offrant un niveau de protection adéquat, nous mettons en œuvre des garanties appropriées conformément au Chapitre V du RGPD, notamment :
- Clauses Contractuelles Types (CCT) approuvées par la Commission européenne ; et/ou
- Règles d'Entreprise Contraignantes (BCR) le cas échéant.
Vous pouvez demander une copie des garanties de transfert pertinentes en nous contactant à privacy@yukolab.com.
2.7 Conservation des données
Nous conservons les données personnelles uniquement aussi longtemps que nécessaire pour atteindre les finalités pour lesquelles elles ont été collectées, ou tel que requis par la loi applicable.
| Type de données | Durée de conservation |
|---|---|
| Données de compte | Durée du compte + 3 ans après clôture |
| Relevés de paiement | 10 ans (droit fiscal/comptable français) |
| Journaux de campagnes e-mail | 3 ans |
| Communications de support | 3 ans |
| Journaux serveur et de sécurité | 12 mois |
| Données analytiques (agrégées) | 25 mois (recommandation CNIL) |
Lorsqu'une durée de conservation expire, les données sont supprimées de manière sécurisée ou anonymisées.
2.8 Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées au risque, notamment :
- Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256) ;
- Contrôles d'accès et permissions basées sur les rôles ;
- Revues de sécurité régulières et tests d'intrusion ;
- Procédures de réponse aux incidents conformes aux exigences de notification de 72 heures du RGPD.
Aucune transmission sur internet n'est sécurisée à 100%. Bien que nous utilisions des protections conformes aux normes de l'industrie, nous ne pouvons garantir une sécurité absolue.
2.9 Vos droits
Selon votre localisation, vous disposez des droits suivants concernant vos données personnelles :
| Droit | Description |
|---|---|
| Accès (Art. 15 RGPD) | Demander une copie des données personnelles que nous détenons sur vous |
| Rectification (Art. 16 RGPD) | Demander la correction de données inexactes ou incomplètes |
| Effacement (Art. 17 RGPD) | Demander la suppression de vos données personnelles (« droit à l'oubli ») |
| Limitation (Art. 18 RGPD) | Demander que nous limitions le traitement dans certaines circonstances |
| Portabilité (Art. 20 RGPD) | Recevoir vos données dans un format structuré et lisible par machine |
| Opposition (Art. 21 RGPD) | S'opposer au traitement fondé sur l'intérêt légitime, y compris le marketing direct |
| Retrait du consentement (Art. 7(3) RGPD) | Retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement |
| Déposer une plainte | Déposer une plainte auprès d'une autorité de contrôle (France : CNIL, www.cnil.fr) |
Droits CCPA (résidents de Californie). Les résidents de Californie disposent de droits supplémentaires en vertu du California Consumer Privacy Act (CCPA), notamment le droit de savoir quelles informations personnelles sont collectées, le droit de suppression, le droit de refuser la vente (nous ne vendons pas de données) et le droit à la non-discrimination. Pour exercer ces droits, contactez-nous à privacy@yukolab.com.
Pour exercer vos droits, envoyez une demande à privacy@yukolab.com. Nous répondrons dans un délai de trente (30) jours (extensible de soixante (60) jours supplémentaires avec notification pour les demandes complexes). Nous pouvons avoir besoin de vérifier votre identité avant de traiter votre demande.
2.10 Délégué à la protection des données
Si vous avez des questions sur nos pratiques de protection des données ou souhaitez contacter notre délégué à la protection des données, veuillez nous contacter à privacy@yukolab.com.
2.11 Modifications de cette Politique
Nous pouvons mettre à jour cette Politique de temps en temps. Nous vous informerons des changements importants au moins trente (30) jours à l'avance par e-mail ou notification dans l'application. La date « Dernière mise à jour » en haut de cette Politique reflète la révision la plus récente.
2.12 Contact
Pour toute question relative à la confidentialité : privacy@yukolab.com — yukolab, che fourcade 97430, Le Tampon.
2.13 Intégration Google Gmail et divulgation d'utilisation limitée
2.13.1 Quelles données Gmail nous accédons
Lorsque vous connectez votre compte Gmail, notre application demande l'accès aux scopes suivants de l'API Google :
| Scope | Ce qu'il fait | Données accédées |
|---|---|---|
| gmail.send | Envoyer des e-mails de prospection aux établissements de voyage en votre nom | Composer et envoyer des e-mails depuis votre adresse Gmail |
| gmail.readonly | Détecter les réponses des établissements à vos e-mails de prospection et afficher les conversations | Fils de discussion et métadonnées (expéditeur, destinataire, objet, identifiants de fil) liés aux e-mails envoyés via notre Plateforme |
| userinfo.email | Identifier votre compte Google connecté | Votre adresse e-mail |
| userinfo.profile | Afficher votre nom et photo de profil dans le tableau de bord | Votre nom et photo de profil |
2.13.2 Comment nous utilisons les données Gmail
Nous utilisons vos données Gmail exclusivement pour :
- Envoyer des e-mails de prospection aux établissements de voyage en votre nom, depuis votre adresse Gmail
- Détecter les réponses des établissements pour annuler automatiquement les e-mails de relance programmés
- Inclure votre signature Gmail dans les e-mails de prospection pour plus d'authenticité
- Afficher les informations de votre compte connecté (e-mail, nom, avatar) dans le tableau de bord
2.13.3 Comment nous stockons les données Gmail
- OAuth tokens: Jetons OAuth : Chiffrés (AES-256) et stockés dans notre base de données pour maintenir votre connexion Gmail
- E-mails envoyés : L'objet, le destinataire et le statut des e-mails envoyés via notre Plateforme sont conservés pour vos archives
- Détection de réponses : Nous stockons uniquement si une réponse a été reçue (statut booléen) et l'identifiant du fil — nous ne stockons pas le contenu des réponses
- Signature : Mise en cache localement pour l'affichage dans les aperçus d'e-mails ; actualisée à chaque session
- Nous ne stockons PAS : Le contenu complet de votre boîte Gmail, brouillons, contacts, ni aucun e-mail non lié à notre Plateforme
2.13.4 Ce que nous ne faisons PAS avec les données Gmail
- Nous ne vendons pas vos données Gmail à des tiers
- Nous n'utilisons pas vos données Gmail pour la publicité, le reciblage ou les annonces personnalisées
- Nous ne partageons pas vos données Gmail avec des courtiers en données ou des revendeurs d'informations
- Nous n'utilisons pas vos données Gmail pour déterminer la solvabilité ou à des fins de prêt
- Nous n'utilisons pas vos données Gmail pour l'entraînement de modèles IA/ML sans rapport avec la fourniture de notre service
- Nous n'autorisons aucun humain à lire vos données Gmail sauf si requis pour des raisons de sécurité, pour se conformer à la loi applicable, ou avec votre consentement explicite
2.13.5 Divulgation d'utilisation limitée
Notre utilisation des informations reçues des API Gmail est conforme à la Politique relative aux données utilisateur des services API Google, y compris les exigences d'utilisation limitée.
2.13.6 Déconnexion de Gmail et révocation de l'accès
Vous pouvez déconnecter votre compte Gmail à tout moment :
- Depuis la Plateforme : Accédez aux paramètres de votre tableau de bord et cliquez sur « Déconnecter Gmail ». Cela arrête immédiatement tout accès Gmail et supprime les jetons OAuth stockés.
- Depuis Google : Visitez les Autorisations du compte Google et supprimez l'accès de notre application. Cela révoque toutes les autorisations accordées.
Après la déconnexion, nous cessons d'accéder à vos données Gmail. Les jetons OAuth stockés sont supprimés. Les enregistrements historiques des e-mails envoyés via la Plateforme sont conservés conformément à notre politique standard de conservation des données (section 2.7).