Politique de confidentialité
Dernière mise à jour : 29 avril 202601Préambule
La présente politique décrit la manière dont TripFlow (édité par Sacha Depenweiller, micro-entrepreneur, France) collecte, utilise et protège les données à caractère personnel dans le cadre de l'utilisation du site tripflow.io et du service SaaS associé.
Elle s'applique aux clients professionnels de TripFlow (agences de voyages, centres de plongée, tours opérateurs) ainsi qu'aux voyageurs finaux dont les conversations transitent par les agents conversationnels déployés pour le compte du client professionnel.
Elle est conforme au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
02Responsable de traitement
Le responsable de traitement pour le compte client TripFlow est :
Sacha Depenweiller — micro-entrepreneur — SIRET 990 009 466 00014
Email : hello@tripflow.io
Pour les données des voyageurs finaux (clients de l'agence de voyage), TripFlow agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Le responsable de traitement est alors l'agence cliente, qui doit informer ses propres clients du traitement et obtenir, le cas échéant, leur consentement.
03Données collectées
Les données traitées dans le cadre du service sont :
- Compte client (agence) : nom et prénom du contact, email professionnel, numéro de téléphone, nom commercial de l'agence, mot de passe (haché)
- Configuration de l'agent : description de l'activité, catalogue d'excursions, tarifs, horaires, FAQ, prompts personnalisés, identifiants de connexion aux canaux de messagerie
- Conversations entrantes et sortantes échangées via WhatsApp, Instagram Direct, Messenger entre l'agent IA et les voyageurs finaux : contenu des messages, médias, métadonnées (horodatage, identifiant de canal, numéro de téléphone du voyageur)
- Réservations et leads générés : nom du voyageur, numéro de téléphone, dates, nombre de personnes, prestations choisies, montant
- Données de facturation : informations transmises à Stripe pour le prélèvement de l'abonnement (nous ne stockons aucune donnée bancaire)
- Données techniques : adresse IP, type de navigateur, pages visitées, journaux applicatifs, à des fins de sécurité et de diagnostic
04Finalités du traitement
- Permettre la création et la gestion du compte client
- Faire fonctionner l'agent conversationnel (réception, traitement et envoi de messages)
- Stocker les conversations et les réservations dans le tableau de bord du client
- Émettre les factures et prélever les abonnements
- Assurer le support technique et commercial
- Garantir la sécurité du service et détecter les abus
- Améliorer la qualité du service (analyses agrégées et anonymisées)
05Bases légales
- Exécution d'un contrat (art. 6.1.b RGPD) — pour la gestion du compte, la fourniture du service et la facturation
- Intérêt légitime (art. 6.1.f RGPD) — pour la sécurité du service, la prévention de la fraude et l'amélioration produit
- Obligation légale (art. 6.1.c RGPD) — pour la conservation des factures et la lutte contre le blanchiment
- Consentement (art. 6.1.a RGPD) — lorsqu'il est expressément requis (par exemple newsletter, certains cookies non essentiels)
06Sous-traitants
TripFlow recourt aux sous-traitants suivants, chacun lié par un accord conforme à l'article 28 du RGPD :
| Prestataire | Rôle | Zone |
|---|---|---|
| Supabase | Base de données, authentification, stockage | UE (Francfort) |
| Vercel Inc. | Hébergement web et fonctions serverless | États-Unis |
| n8n GmbH | Orchestration des workflows de l'agent IA | UE (Allemagne) |
| OpenAI, L.L.C. | Modèles de langage générant les réponses | États-Unis |
| Stripe Payments Europe Ltd | Traitement des paiements | UE (Irlande) |
| Resend, Inc. | Envoi des emails transactionnels | États-Unis |
| Meta Platforms Ireland Ltd | WhatsApp Cloud API, Messenger, Instagram | UE / États-Unis |
L'option d'entraînement des modèles OpenAI sur les données API a été désactivée. Les conversations ne sont pas réutilisées pour entraîner les modèles.
07Transferts hors Union Européenne
Certains sous-traitants sont établis aux États-Unis (OpenAI, Vercel, Resend) ou peuvent traiter des données dans des pays tiers (Meta). Ces transferts sont encadrés par :
- L'adhésion au Data Privacy Framework (DPF) UE-États-Unis lorsque le prestataire y est certifié (Vercel, Meta US, OpenAI sur certaines offres)
- À défaut, les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne, complétées de mesures techniques (chiffrement en transit et au repos, contrôles d'accès)
L'utilisateur peut, sur simple demande, obtenir une copie des garanties mises en place pour ces transferts.
08Durée de conservation
- Conversations WhatsApp / Instagram / Messenger : 24 mois à compter de la date d'échange, puis suppression automatique
- Données du compte client : pendant toute la durée d'activité du compte, puis 3 ans à compter de la résiliation à des fins probatoires et commerciales
- Réservations et leads : 3 ans après la dernière interaction
- Factures et pièces comptables : 10 ans (obligation légale, art. L.123-22 du Code de commerce)
- Journaux techniques : 12 mois maximum
- Données prospects (non clients) : 3 ans à compter du dernier contact
09Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès aux données vous concernant
- Droit de rectification des données inexactes ou incomplètes
- Droit à l'effacement (« droit à l'oubli »), dans les limites légales
- Droit à la limitation du traitement
- Droit d'opposition au traitement fondé sur l'intérêt légitime
- Droit à la portabilité de vos données dans un format structuré et lisible par machine
- Droit de retirer votre consentement à tout moment, sans remettre en cause la licéité des traitements antérieurs
- Droit de définir des directives post-mortem sur le sort de vos données
Pour exercer ces droits, écrivez à hello@tripflow.io en précisant l'objet de votre demande. Une réponse vous sera apportée dans un délai d'un mois (prolongeable de deux mois en cas de complexité).
10Cookies
Le site tripflow.io utilise un nombre minimal de cookies et traceurs :
- Cookies essentiels — strictement nécessaires au fonctionnement du site (session de connexion, jeton CSRF, préférences de langue). Exemptés de consentement au sens de l'article 82 de la loi Informatique et Libertés.
- Stockage local du navigateur (localStorage) — pour conserver des informations de session et l'état du configurateur en cours de remplissage. Aucune donnée n'est partagée avec un tiers.
- Mesure d'audience anonymisée — éventuellement utilisée pour comprendre l'usage du site, paramétrée pour ne pas nécessiter de consentement (IP tronquée, pas de croisement, durée de vie limitée).
Aucun cookie publicitaire, aucun cookie de réseau social et aucun pixel de retargeting n'est déposé par TripFlow.
11Sécurité
Des mesures techniques et organisationnelles appropriées sont mises en œuvre : chiffrement TLS 1.2+ en transit, chiffrement au repos sur les bases Supabase, isolation par Row Level Security, contrôle d'accès par rôles, journalisation des accès, sauvegardes régulières, mots de passe hachés (bcrypt/argon2).
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, vous serez informé dans les meilleurs délais et la CNIL sera notifiée dans les 72 heures conformément à l'article 33 du RGPD.
12Contact et réclamations
Pour toute question ou demande relative à vos données personnelles : hello@tripflow.io.
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr