Politique de Confidentialité
Conforme au Règlement (UE) 2016/679 (RGPD) — Version 1.0 — En vigueur au 22 mars 2026
En résumé, ce que vous devez savoir :
- • DeviaSaaS collecte uniquement les données nécessaires à la fourniture de son service.
- • Vos données ne sont jamais vendues, louées ni cédées à des tiers à des fins commerciales.
- • L'API OpenAI utilisée (accès professionnel) ne réutilise pas vos données pour entraîner ses modèles.
- • Vos données sont hébergées dans l'Union Européenne (Francfort, Allemagne) via Supabase.
- • Vous pouvez exercer vos droits à tout moment par email : contact@deviasaas.com.
Table des matières
1. Identité du Responsable de traitement
Le Responsable de traitement des données collectées dans le cadre de l'utilisation de la plateforme DeviaSaaS par ses Clients professionnels est :
Dénomination : DeviaSaaS
Exploitant : Bastien Chapelot EI (Entrepreneur Individuel)
SIRET : 99200107300012
Siège : Yvelines (78), Île-de-France, France
Email : contact@deviasaas.com
Site : deviasaas.com
DPO : Bastien Chapelot (non soumis à l'obligation de désignation d'un DPO — art. 37 RGPD)
2. Champ d'application et double rôle RGPD
DeviaSaaS occupe deux rôles distincts au sens du RGPD selon les catégories de personnes dont les données sont traitées :
Responsable de traitement
Pour les données des Clients professionnels (personnes qui créent un compte et souscrivent à un abonnement DeviaSaaS).
Données : email pro, nom de l'entreprise, données de facturation Stripe, configuration du compte, historique des devis, journaux d'accès.
Sous-traitant
Pour les données des Prospects (clients finaux du Client qui remplissent le formulaire de demande de devis).
Dans ce cas, le Client est Responsable de traitement. DeviaSaaS traite ces données uniquement sur instruction du Client, conformément à l'accord de sous-traitance des CGV (article 13).
La présente politique s'applique aux deux rôles, en distinguant clairement les traitements concernés.
3. Données collectées — Clients Professionnels (Responsable de traitement)
3.1 — Données de compte (inscription)
Collectées lors de la création du compte sur deviasaas.com/signup :
| Donnée | Obligatoire | Finalité |
|---|---|---|
| Adresse email professionnelle | Oui | Authentification OTP, notifications, facturation |
| Nom de l'entreprise | Oui | Personnalisation des devis envoyés aux Prospects |
3.2 — Données de configuration (paramètres du compte)
Saisies volontairement par le Client dans son tableau de bord :
- Informations légales de l'entreprise : nom du contact, adresse, SIRET, numéro de téléphone ;
- Paramètres de facturation : taux de TVA, conditions de paiement, délais d'exécution ;
- URL du logo de l'entreprise (stocké dans Supabase Storage) ;
- Templates d'emails personnalisés (objet, corps, signature) ;
- Adresse email de réception des notifications ;
- Configuration du routage email entrant (adresse de transfert, code de vérification).
3.3 — Données de paiement et d'abonnement
Les données bancaires sont exclusivement gérées par Stripe, Inc. (norme PCI DSS). DeviaSaaS ne stocke jamais de numéros de carte, IBAN ou CVV. DeviaSaaS conserve uniquement le stripe_customer_id (identifiant opaque fourni par Stripe), le plan souscrit, le statut de l'abonnement et la date de fin de période.
3.4 — Données d'utilisation et journaux techniques
- Adresse IP (collectée par le service de gestion d'erreurs Sentry pour la détection d'anomalies) ;
- Journaux d'erreurs et traces techniques (Sentry) incluant potentiellement des informations sur l'environnement utilisateur ;
- Compteur de devis générés (quota mensuel) ;
- Horodatage des connexions (géré par Supabase Auth).
4. Données collectées — Prospects des Clients (Sous-traitant)
Ces données sont collectées au nom et pour le compte du Client (Responsable de traitement). DeviaSaaS n'en est que le processeur technique.
| Donnée | Source | Obligatoire |
|---|---|---|
| Prénom et nom | Formulaire widget / Email entrant | Oui |
| Adresse email | Formulaire widget / Email entrant | Oui |
| Numéro de téléphone | Formulaire widget | Non |
| Réponses au questionnaire | Formulaire widget (questions définies par le Client) | Variable |
| Contenu de l'email entrant | Transfert email vers le système DeviaSaaS | — |
| Décision (accepté / refusé / à rappeler) | Clic sur les boutons du devis reçu par email | — |
| Données reçues via formulaire externe (webhook) | Formulaire WordPress / Wix du Client, transmis via webhook sécurisé (si la fonctionnalité est activée) | — |
| Adresse IP | Soumission du formulaire (rate limiting) | — |
Responsabilité du Client : Le Client, en qualité de Responsable de traitement, est seul tenu d'informer ses Prospects de la collecte de leurs données (mentions d'information RGPD sur son site ou son formulaire) et de s'assurer de la licéité du traitement (consentement ou autre base légale).
5. Bases légales des traitements
| Traitement | Base légale (art. 6 RGPD) | Détail |
|---|---|---|
| Création et gestion du compte Client | Art. 6(1)(b) — Exécution du contrat | Nécessaire à la fourniture du Service souscrit |
| Traitement des paiements et facturation | Art. 6(1)(b) + (c) — Contrat + Obligation légale | Exécution du contrat + conservation 10 ans (Code de commerce) |
| Envoi d'emails transactionnels (devis, OTP) | Art. 6(1)(b) — Exécution du contrat | Fonctionnement essentiel du Service |
| Traitement IA des réponses des Prospects | Art. 6(1)(b) — Exécution du contrat | Analyse et classification des réponses = composante de la prestation commandée par le Client |
| Journaux d'erreurs Sentry (débogage) | Art. 6(1)(f) — Intérêt légitime | Stabilité, sécurité et amélioration du Service |
| Conservation des données de facturation | Art. 6(1)(c) — Obligation légale | Art. L123-22 du Code de commerce (10 ans) |
| Réponses aux exercices de droits | Art. 6(1)(c) — Obligation légale | Art. 12 et suivants RGPD |
| Données des Prospects (traitement pour le Client) | Art. 28 RGPD — Sous-traitance | Traitées sur instruction du Client Responsable de traitement |
6. Flux de données et architecture technique
Le schéma ci-dessous décrit les flux de données dans DeviaSaaS pour la génération d'un devis :
Soumission du formulaire
Le Prospect remplit le formulaire de deux façons possibles : (a) via le widget JS DeviaSaaS intégré sur le site du Client ou un lien partageable — les données sont envoyées directement via HTTPS à /api/webhook ; (b) via le formulaire existant du Client (WordPress, Wix, ou tout autre outil) — les données transitent par /api/webhook-external où elles sont transformées selon le mapping configuré, puis transmises à /api/webhook. Dans les deux cas, la transmission est chiffrée (HTTPS/TLS).
Contrôles de sécurité
Vérification du rate limiting (max 20 demandes/heure/IP), validation des entrées (longueur, format), vérification que le moteur IA est actif pour le compte Client concerné.
Analyse par l'IA OpenAI (si activée)
Pour chaque réponse nécessitant une classification, uniquement le texte de la réponse concernée (sans email, nom, ni téléphone) est envoyé à l'API OpenAI GPT-4o pour catégorisation. Le résultat permet de sélectionner la ligne tarifaire appropriée dans la grille du Client.
Génération du devis PDF
Le devis est calculé côté serveur et généré en PDF. Le fichier est stocké dans le bucket sécurisé devis-pdfs de Supabase Storage (Francfort, DE).
Stockage et envoi
Le lead est enregistré dans la table leads de la base Supabase du Client. Le devis (PDF en pièce jointe) est envoyé au Prospect via l'API Resend. Une notification est envoyée au Client.
Aucune donnée personnelle n'est stockée en localStorage, sessionStorage ou cookie côté navigateur. La session d'authentification du Client professionnel est gérée via des cookies HTTP-only sécurisés (non accessibles au JavaScript) par Supabase Auth.
7. Intelligence Artificielle — Transparence totale
7.1 — Quel outil d'IA est utilisé ?
DeviaSaaS utilise l'API GPT-4o d'OpenAI, L.L.C. (San Francisco, USA) pour analyser les demandes des Prospects et classifier leurs réponses en langage naturel. L'IA n'effectue aucun calcul tarifaire : elle identifie uniquement la catégorie de prestation correspondant à chaque réponse, afin que le moteur de tarification du Client puisse appliquer la ligne de prix appropriée.
7.2 — Quelles données sont envoyées à OpenAI ?
Seules les réponses textuelles spécifiques à analyser sont transmises à OpenAI (ex. : « Je souhaite une refonte complète de mon site en e-commerce »). En aucun cas les champs suivants ne sont transmis à OpenAI :
- Le nom ou prénom du Prospect ;
- L'adresse email du Prospect ;
- Le numéro de téléphone du Prospect ;
- Les données d'identification du compte Client ;
- Les données financières ou tarifaires.
7.3 — Garantie de non-entraînement des modèles (Zero Data Retention)
DeviaSaaS utilise l'API d'OpenAI dans le cadre d'un accès professionnel API. Conformément aux conditions d'utilisation de l'API OpenAI (API Terms of Service, Section 3(c)) :
- OpenAI n'utilise pas les données transmises via l'API pour entraîner ou améliorer ses modèles publics ;
- Les données de requête API ne sont pas conservées par OpenAI au-delà de 30 jours (politique de rétention courte à des fins de sécurité uniquement) ;
- En option, les Clients éligibles peuvent activer le mode Zero Data Retention (ZDR) où aucune donnée n'est conservée par OpenAI.
7.4 — Logique de l'automatisation
Le traitement automatisé effectué par l'IA ne constitue pas une décision automatisée au sens de l'article 22 du RGPD. L'IA agit comme un assistant de classification : elle identifie la catégorie de prestation correspondant aux réponses du Prospect afin que le moteur de tarification du Client puisse appliquer la ligne de prix appropriée. Le Client conserve le contrôle total sur la validation finale du devis et le Prospect dispose d'un droit de recours humain auprès du Client pour contester toute tarification générée.
- Le Client peut activer le mode « Vérification avant envoi » et valider manuellement chaque devis ;
- Le Prospect peut contacter le Client à tout moment pour contester ou affiner le devis reçu ;
- Aucun refus d'accès à un service ou décision juridiquement contraignante n'est prise sur cette seule base.
8. Sous-traitants ultérieurs (Sub-processors)
DeviaSaaS fait appel aux sous-traitants ultérieurs suivants pour fournir son Service. DeviaSaaS a conclu avec chacun d'eux un accord de traitement des données (DPA) conforme au RGPD :
| Sous-traitant | Finalité | Données traitées | Localisation | Garanties RGPD |
|---|---|---|---|---|
Supabase Inc. supabase.com | Base de données, authentification (Auth), stockage fichiers (Storage) | Toutes données du compte Client et des Prospects | UE — Francfort, DE | DPA, SCC, conformité RGPD |
Vercel Inc. vercel.com | Hébergement de l'application web et de toutes les API | Adresses IP, journaux de requêtes, variables d'environnement | USA / UE | DPA, SCC, DPF certifié |
OpenAI L.L.C. openai.com | Analyse IA des réponses des Prospects (classification tarifaire) | Réponses textuelles spécifiques uniquement (sans identifiants) | USA | DPA, SCC, No Training Policy |
Resend resend.com | Envoi des emails transactionnels (devis, notifications, OTP) | Email, nom, contenu du devis, pièces jointes PDF | USA | DPA, SCC |
Stripe Inc. / Stripe Payments Europe stripe.com | Traitement des paiements, gestion des abonnements | Email, identifiant client, historique de facturation | IE / UE | DPA, SCC, PCI DSS Level 1, DPF |
Cloudflare Inc. cloudflare.com | DNS et routage du domaine deviasaas.com | Adresses IP, trafic réseau (DNS uniquement) | USA / UE | DPA, SCC, DPF certifié |
Sentry (Functional Software Inc.) sentry.io | Monitoring des erreurs, stabilité de l'application | Email du Client, traces d'erreurs, enregistrements de session (replays) | USA | DPA, SCC, DPF certifié |
Pennylane SAS pennylane.com | Synchronisation optionnelle des devis acceptés (si le Client active l'intégration) | Nom, email, téléphone du Prospect, lignes du devis (uniquement si clé API renseignée) | France / UE | CGU Pennylane, données hébergées en UE |
Axonaut SAS axonaut.com | Synchronisation optionnelle des devis acceptés (si le Client active l'intégration) | Nom, email, téléphone du Prospect, lignes du devis (uniquement si clé API renseignée) | France / UE | CGU Axonaut, données hébergées en UE |
Google LLC cloud.google.com/maps-platform | Autocomplétion d'adresses, géocodage et calcul de distances / durées de trajet routier (Google Maps Platform). Cette application intègre des fonctionnalités Google Maps. Utilisation soumise aux conditions Google Maps End User et à la politique de confidentialité Google. | Adresses saisies par les Prospects (texte uniquement, sans identifiant) | USA | DPA, SCC, DPF certifié |
SCC = Clauses Contractuelles Types (décision d'exécution UE 2021/914). DPF = Data Privacy Framework UE-USA (décision d'adéquation du 10 juillet 2023, C(2023) 4745).
9. Transferts hors Union Européenne
Certains sous-traitants de DeviaSaaS sont situés hors de l'Union Européenne (principalement aux États-Unis). Ces transferts sont encadrés par les garanties suivantes :
- Clauses Contractuelles Types (SCC) — adoptées par la Commission Européenne par décision 2021/914 du 4 juin 2021. Ces clauses imposent aux destinataires des données des obligations de protection équivalentes à celles du RGPD.
- Data Privacy Framework UE-USA (DPF) — décision d'adéquation de la Commission Européenne du 10 juillet 2023. Cloudflare, Vercel et Stripe sont certifiés DPF.
- DPA OpenAI — accord de traitement des données spécifique, incluant la garantie de non-réutilisation des données à des fins d'entraînement.
Vous pouvez demander une copie des garanties de transfert applicables à votre situation en contactant : contact@deviasaas.com.
10. Sécurité des données
DeviaSaaS met en œuvre les mesures techniques et organisationnelles suivantes conformément à l'article 32 du RGPD :
Chiffrement et transport
- • TLS 1.2+ sur toutes les communications (HTTPS)
- • Chiffrement au repos AES-256 (Supabase)
- • Cookies HTTP-only + Secure flag
- • Secrets API en variables d'environnement chiffrées (Vercel)
Authentification et contrôle d'accès
- • Authentification OTP (One-Time Password) sans mot de passe permanent
- • Hachage bcrypt des tokens de session (Supabase Auth)
- • Row Level Security (RLS) Supabase — isolation des données par Client
- • Déconnexion automatique après 10 min d'inactivité
Protection contre les abus
- • Rate limiting sur toutes les API publiques
- • Validation stricte des entrées (longueur, format UUID, type)
- • Protection XSS par échappement HTML dans tous les templates
- • Vérification de signature cryptographique des webhooks Stripe
Ségrégation des accès
- • Clé service Supabase uniquement côté serveur (jamais exposée au client)
- • Clé API OpenAI uniquement côté serveur
- • Accès administrateur restreint aux équipes autorisées
- • Surveillance des erreurs et anomalies via Sentry
11. Cookies et traceurs
DeviaSaaS utilise un nombre minimal de cookies, tous strictement nécessaires au fonctionnement du Service. Aucun cookie publicitaire, de profilage ou de traçage commercial n'est utilisé.
| Cookie / Traceur | Émetteur | Finalité | Durée | Obligatoire |
|---|---|---|---|---|
sb-[ref]-auth-token | Supabase | Maintien de la session d'authentification du Client (JWT) | Session / 1 heure (auto-refresh) | Oui |
sb-[ref]-auth-token-code-verifier | Supabase | Vérification PKCE lors du flux d'authentification OAuth/OTP | Session (supprimé après auth) | Oui |
Information sur Sentry (monitoring technique)
DeviaSaaS utilise Sentry pour le monitoring technique de la plateforme :
- Logs d'erreurs : strictement nécessaires à la maintenance et à la stabilité du Service (exemptés de consentement en vertu de l'article 82 de la loi Informatique et Libertés).
- Session Replays : utilisés uniquement pour le débogage complexe, exclusivement déclenchés lors d'une erreur (
replaysOnErrorSampleRate: 100%). Les données saisies dans les formulaires sont systématiquement masquées côté client avant toute transmission à Sentry. Vous pouvez vous opposer à ce traçage en contactant contact@deviasaas.com.
Ces données sont transmises à Functional Software Inc. (États-Unis) dans le cadre d'un DPA et de clauses contractuelles types (SCC). Elles sont exclusivement utilisées à des fins de stabilité et de débogage. Aucune donnée Sentry n'est utilisée à des fins commerciales ni partagée avec des tiers.
Ces cookies techniques sont exemptés de consentement en vertu de l'article 82 de la loi Informatique et Libertés et des lignes directrices de la CNIL sur les cookies (délibération n°2020-091). Les utilisateurs peuvent les désactiver dans les paramètres de leur navigateur, mais cela empêchera toute connexion au Service.
12. Durée de conservation des données
| Catégorie de données | Durée de conservation | Base légale |
|---|---|---|
| Données du compte Client (email, nom, config) | Conservées jusqu'à la suppression explicite du Compte par le Client (tableau de bord → Paramètres) ou sur demande à contact@deviasaas.com | Art. 6(1)(b) RGPD |
| Données de facturation (factures Stripe) | 10 ans à compter de la date de facturation (non supprimables) | Art. L123-22 Code de commerce |
| Leads et devis des Prospects | Conservés jusqu'à la suppression explicite du Compte — le Client peut les exporter en CSV à tout moment depuis son CRM | Art. 28 RGPD (instruction du Client) |
| Fichiers PDF des devis (Supabase Storage) | Conservés jusqu'à la suppression explicite du Compte | Art. 6(1)(b) RGPD |
| Messages du formulaire de contact | Non stockés (envoyés directement par email, non persistés) | — |
| Données OpenAI (requêtes API) | Maximum 30 jours (politique OpenAI API) | DPA OpenAI |
| Journaux Sentry (erreurs, session replays) | 90 jours (politique de rétention Sentry) | Art. 6(1)(f) RGPD — Intérêt légitime |
| Tokens de session Supabase Auth | 1 heure (auto-renouvellement si actif) / Invalidés à la déconnexion | Art. 6(1)(b) RGPD |
Passé les délais ci-dessus, les données sont supprimées de manière définitive et irréversible, ou anonymisées lorsqu'une conservation à des fins statistiques est justifiée.
13. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès (art. 15)
Obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification (art. 16)
Corriger des données inexactes ou compléter des données incomplètes.
Droit à l'effacement (art. 17)
Demander la suppression de vos données (« droit à l'oubli »), sous réserve des obligations légales de conservation.
Droit à la portabilité (art. 20)
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (CSV/JSON).
Droit d'opposition (art. 21)
S'opposer à un traitement fondé sur l'intérêt légitime, notamment pour le monitoring Sentry.
Droit à la limitation (art. 18)
Demander la suspension temporaire d'un traitement, notamment pendant la vérification d'une contestation.
Comment exercer vos droits ?
Envoyez votre demande par email à contact@deviasaas.com en précisant :
- Votre identité (prénom, nom, adresse email associée au compte) ;
- La nature du droit que vous souhaitez exercer ;
- Tout élément permettant d'identifier les données concernées.
DeviaSaaS s'engage à répondre dans un délai d'un mois à compter de la réception de votre demande (art. 12.3 RGPD). Ce délai peut être prolongé de deux mois supplémentaires pour les demandes complexes, avec information motivée dans le premier mois.
Pour les Prospects souhaitant exercer leurs droits sur les données collectées par un formulaire DeviaSaaS d'un Client, la demande doit être adressée directement au Client concerné, qui est le Responsable de traitement de ces données. Si vous ne connaissez pas ses coordonnées, contactez-nous et nous ferons le nécessaire pour vous orienter.
14. Notification de violation de données (art. 33 et 34 RGPD)
14.1 — Engagement de notification
En cas de violation de données à caractère personnel (accès non autorisé, destruction, perte, altération ou divulgation accidentelle ou illicite), DeviaSaaS s'engage à :
- Notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance, sauf si la violation est peu susceptible d'engendrer un risque pour les droits et libertés des personnes (art. 33 RGPD) ;
- Notifier les Clients Professionnels affectés par email dans un délai de 72 heures lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés ;
- Documenter toutes les violations dans un registre interne, conformément à l'art. 33.5 RGPD.
14.2 — Contenu de la notification aux Clients
La notification adressée aux Clients inclura : la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables, les mesures prises ou envisagées, et les coordonnées du point de contact pour toute question.
14.3 — Rôle du Client en cas de violation
Lorsque la violation concerne des données de Prospects (dont le Client est Responsable de traitement), DeviaSaaS informera le Client sans délai afin que celui-ci puisse procéder à ses propres obligations de notification (CNIL et personnes concernées) dans les délais réglementaires.
15. Données des mineurs
Le Service DeviaSaaS est exclusivement destiné aux professionnels. DeviaSaaS ne collecte pas sciemment de données personnelles concernant des personnes de moins de 18 ans.
Si vous êtes parent ou tuteur légal et que vous estimez que votre enfant nous a communiqué des données personnelles, contactez-nous immédiatement à contact@deviasaas.com. Nous supprimerons ces données dans les meilleurs délais.
16. Modifications de la présente politique
DeviaSaaS se réserve le droit de modifier la présente politique de confidentialité pour la mettre en conformité avec les évolutions législatives, réglementaires ou les nouvelles pratiques de traitement des données.
Toute modification substantielle sera notifiée aux Clients par email avec un préavis minimum de 15 jours calendaires. La date de mise à jour sera systématiquement indiquée en en-tête du document.
En continuant à utiliser le Service après la date d'entrée en vigueur de la nouvelle version, le Client accepte la politique révisée. En cas de désaccord, il dispose du délai de préavis pour résilier son Abonnement.
17. Contact, réclamations et autorité de contrôle
Contacter DeviaSaaS
Email : contact@deviasaas.com
Formulaire : deviasaas.com/contact
Pour toute question relative au traitement de vos données ou à la présente politique de confidentialité.
Autorité de contrôle (CNIL)
Si vous estimez que vos droits n'ont pas été respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés :
3 Place de Fontenoy — TSA 80715
75334 Paris Cedex 07
www.cnil.fr
DeviaSaaS — Bastien Chapelot EI (Entrepreneur Individuel) — SIRET 99200107300012 — Yvelines, France
contact@deviasaas.com — Politique de confidentialité v1.0 — En vigueur au 22 mars 2026