Retour à l'accueil

Politique de Confidentialité

Dernière mise à jour : 12 mars 2026 — Version 2.0 — Conforme RGPD (Règlement UE 2016/679)

1. Identité du Responsable de Traitement

Le responsable du traitement des données personnelles collectées via la Plateforme Vendo (ci-après « la Plateforme ») est l'entité exploitant la marque Vendo, dont les coordonnées complètes figurent dans les Mentions Légales.

Pour toute question relative à la protection de vos données personnelles, vous pouvez nous contacter à l'adresse suivante : privacy@usevendo.com.

2. Catégories de Données Collectées et Bases Légales

Vendo collecte et traite plusieurs catégories de données personnelles, chacune reposant sur une base légale précise au sens de l'Art. 6 du RGPD :

2.1 Données de compte et d'identité (Art. 6§1 b — Exécution du contrat)

  • Email : collecté lors de l'inscription via formulaire ou Google OAuth. Utilisé pour l'authentification, la communication de service et la facturation.
  • Nom complet : collecté lors de l'inscription (ou récupéré depuis Google OAuth). Utilisé pour personnaliser l'interface.
  • Identifiant unique (UUID) : généré automatiquement pour chaque compte. Utilisé comme clé d'identification dans tous les traitements.

2.2 Données de configuration du Chatbot (Art. 6§1 b — Exécution du contrat)

  • Nom du chatbot, couleur, prompt système, sources de données : fournis par l'Utilisateur pour configurer son chatbot. Stockés dans notre base de données Supabase.
  • Paramètres SMTP, token WhatsApp : fournis optionnellement par l'Utilisateur pour les fonctionnalités d'emailing et de WhatsApp marketing. Stockés de manière sécurisée.

2.3 Données des Visiteurs Finaux (Art. 6§1 f — Intérêt légitime de l'Utilisateur / ou Art. 6§1 a — Consentement)

En tant que sous-traitant pour le compte des Utilisateurs (opérateurs de site), Vendo traite les données suivantes des Visiteurs Finaux afin de faire fonctionner les Chatbots :

  • Contenu des messages : intégralement enregistré dans notre base de données et transmis à l'API d'intelligence artificielle DeepSeek pour générer les réponses.
  • Identifiant visiteur anonyme (visitorId) : identifiant généré côté navigateur, stocké en localStorage, permettant de maintenir la continuité d'une conversation sans identifier personnellement le visiteur.
  • Adresse email : collectée uniquement si l'Utilisateur a activé la fonctionnalité « capture d'email » (opt-in explicit dans la configuration). L'Utilisateur est responsable d'informer et d'obtenir le consentement préalable de ses Visiteurs Finaux.
  • Numéro de téléphone : collecté uniquement si l'Utilisateur a activé la fonctionnalité « capture WhatsApp/téléphone » (opt-in explicit dans la configuration).
  • URL de la page : URL de la page depuis laquelle le message a été envoyé. Permet à l'Utilisateur de comprendre le contexte de la conversation.
  • Données de panier abandonné : pour les Plans Pro et Agence, les produits du panier, montant total et devise peuvent être transmis via le script d'intégration pour activer la récupération de panier.

2.4 Données de facturation (Art. 6§1 b — Exécution du contrat)

  • Identifiant client Stripe : référence générée par notre prestataire de paiement, permettant de gérer les abonnements. Vendo n'a pas accès aux coordonnées bancaires.
  • Plan souscrit, statut d'abonnement : informations nécessaires pour gérer l'accès aux fonctionnalités.
  • Solde de crédits et historique de consommation : données d'usage strictement nécessaires à la facturation.

2.5 Données techniques et de navigation (Art. 6§1 f — Intérêt légitime à la sécurité)

  • Adresses IP : collectées automatiquement par nos serveurs d'hébergement (Vercel) pour assurer la sécurité et prévenir les abus. Non conservées à titre personnel.
  • Cookies techniques : voir la Politique de Cookies.

3. Traitement des Messages via Intelligence Artificielle

3.1 Fonctionnement du traitement IA

Lorsqu'un Visiteur Final envoie un message à un Chatbot, ce message est :

  • Enregistré dans notre base de données sécurisée Supabase (hébergée sur AWS us-east-1, États-Unis).
  • Transmis à l'API DeepSeek (DeepSeek AI, République Populaire de Chine), accompagné du prompt système défini par l'Utilisateur, pour générer une réponse contextuelle.
  • La réponse générée est retournée au Visiteur Final et enregistrée dans notre base de données.

3.2 Absence de modèle local GGUF

Les services Vendo utilisent actuellement l'API distante DeepSeek et non des modèles GGUF locaux. Les messages transitent donc par les serveurs de DeepSeek. Cette information est essentielle pour comprendre le flux de données décrit dans la présente politique.

3.3 Utilisation des données pour l'amélioration de l'IA

Vendo n'utilise pas les messages des Visiteurs Finaux pour entraîner ou améliorer ses propres modèles IA. Les conditions d'utilisation de DeepSeek précisent les modalités de traitement des données qui leur sont soumises. Nous vous recommandons de consulter la politique de confidentialité de DeepSeek à l'adresse https://www.deepseek.com/privacy.

4. Transferts de Données Hors de l'Union Européenne

Dans le cadre de nos services, vos données sont susceptibles d'être transférées en dehors de l'Union Européenne, notamment vers :

  • Supabase (PostgreSQL hébergé sur AWS us-east-1, États-Unis) : hébergement de la base de données (comptes, chatbots, conversations, leads). Le transfert est encadré par les Standard Contractual Clauses (SCCs) de l'Union Européenne, conformément à l'Art. 46 du RGPD.
  • Vercel Inc. (San Francisco, États-Unis) : hébergement et déploiement de l'application Next.js. Le transfert est encadré par les SCCs. Vercel est certifié ISO 27001.
  • DeepSeek AI (République Populaire de Chine) : traitement de l'inférence IA. Les messages des Visiteurs Finaux transitent par les serveurs de DeepSeek. Ce transfert vers un pays tiers sans décision d'adéquation de la Commission Européenne est effectué sur la base de clauses contractuelles types (Art. 46§2c RGPD). Les Utilisateurs sont informés de ce transfert et peuvent choisir de ne pas activer les Chatbots sur leurs sites si ce transfert pose un problème.
  • Stripe Inc. (San Francisco, États-Unis) : traitement des paiements. Stripe est certifié PCI DSS Niveau 1 et ses transferts sont encadrés par des SCCs.
  • Resend Inc. (États-Unis) : envoi d'emails transactionnels internes (notifications système uniquement). Encadré par les SCCs.

5. Durée de Conservation des Données

Vendo applique des durées de conservation strictes, conformément au principe de minimisation des données (Art. 5§1e du RGPD) :

  • Données de compte (email, nom) : conservées pendant toute la durée d'existence du compte, puis supprimées dans les 30 jours suivant la clôture du compte.
  • Données de configuration des chatbots : conservées pendant toute la durée d'existence du compte. Supprimées en cascade lors de la suppression du chatbot ou du compte.
  • Conversations et messages des Visiteurs Finaux : conservés pendant toute la durée de vie du chatbot correspondant. L'Utilisateur peut supprimer les conversations depuis son tableau de bord. En cas de suppression du chatbot ou du compte, toutes les conversations sont supprimées en cascade.
  • Leads (emails, téléphones collectés) : conservés jusqu'à la suppression du chatbot par l'Utilisateur ou suppression du compte. L'Utilisateur peut supprimer individuellement des leads depuis son tableau de bord (Section Conversations).
  • Données de facturation (historique des transactions) : conservées 10 ans conformément aux obligations légales comptables (Art. L.123-22 du Code de commerce).
  • Données d'usage (crédits consommés) : conservées 3 ans à compter de la date de consommation, à des fins de résolution de litiges.
  • Paniers abandonnés : conservés 90 jours maximum, puis supprimés automatiquement.
  • Logs techniques : conservés 30 jours maximum. Les logs ne contiennent pas de données personnelles en clair.

6. Sécurité des Données

Vendo met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre la perte, l'accès non autorisé, la divulgation, l'altération ou la destruction. Ces mesures comprennent notamment :

  • Chiffrement en transit : toutes les communications entre votre navigateur et nos serveurs sont chiffrées via HTTPS/TLS.
  • Chiffrement au repos : les données sont stockées dans des bases de données chiffrées par Supabase (AES-256).
  • Row Level Security (RLS) : chaque Utilisateur ne peut accéder qu'aux données qui lui appartiennent, grâce à la politique RLS de Supabase.
  • Authentification sécurisée : gestion des sessions via Supabase Auth avec tokens JWT à durée de vie limitée.
  • Séparation des clés : une clé de service (service_role_key) distincte est utilisée pour les opérations backend, jamais exposée côté client.

7. Vos Droits au Titre du RGPD

Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants concernant vos données personnelles :

7.1 Droit d'accès (Art. 15 RGPD)

Vous avez le droit d'obtenir confirmation que des données vous concernant sont traitées, et d'en obtenir une copie complète, accompagnée des informations relatives au traitement.

7.2 Droit de rectification (Art. 16 RGPD)

Vous avez le droit de faire corriger des données inexactes ou incomplètes vous concernant. Vous pouvez également modifier votre email et votre nom directement depuis les paramètres de votre compte.

7.3 Droit à l'effacement / « Droit à l'oubli » (Art. 17 RGPD)

Vous avez le droit de demander la suppression de vos données personnelles dans les cas prévus par l'article 17 du RGPD (données non nécessaires, retrait du consentement, opposition au traitement, etc.). La suppression de votre compte entraîne la suppression en cascade de toutes vos données dans les 30 jours, à l'exception des données que nous sommes légalement obligés de conserver (données de facturation pendant 10 ans).

7.4 Droit à la portabilité (Art. 20 RGPD)

Vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement. Pour toute demande d'export, envoyez un email à privacy@usevendo.com.

7.5 Droit d'opposition (Art. 21 RGPD)

Vous avez le droit de vous opposer à tout moment au traitement de vos données fondé sur l'intérêt légitime (Art. 6§1f), pour des raisons tenant à votre situation particulière. En cas d'opposition fondée, nous cesserons le traitement sauf si nous démontrons des motifs légitimes et impérieux prévalant sur vos intérêts.

7.6 Droit à la limitation du traitement (Art. 18 RGPD)

Vous avez le droit de demander la limitation du traitement de vos données dans les cas prévus par l'article 18 du RGPD (données inexactes, opposition au traitement, etc.).

7.7 Droit de retrait du consentement

Lorsque le traitement est fondé sur votre consentement (Art. 6§1a), vous pouvez retirer ce consentement à tout moment, sans porter atteinte à la licéité du traitement effectué avant ce retrait.

7.8 Comment exercer vos droits

Pour exercer l'un quelconque de ces droits, envoyez votre demande à l'adresse email privacy@usevendo.com, en précisant votre identité (email du compte) et le ou les droits que vous souhaitez exercer. Nous nous engageons à répondre dans un délai de 30 jours calendaires à compter de la réception de votre demande complète (Art. 12 RGPD). Ce délai peut être prolongé de 2 mois supplémentaires pour les demandes complexes, avec notification motivée dans le délai initial.

8. Droit de Recours auprès de la CNIL

Si vous estimez que le traitement de vos données personnelles ne respecte pas la réglementation applicable, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site web : https://www.cnil.fr
Formulaire de plainte en ligne : https://www.cnil.fr/fr/plaintes

Ce recours est possible après avoir tenté de résoudre le litige directement avec Vendo. Si vous êtes situé dans un autre État membre de l'Union Européenne, vous pouvez également saisir l'autorité de protection des données de votre pays de résidence.

9. Partage et Communication des Données à des Tiers

Vendo ne vend, ne loue ni ne cède vos données personnelles à des tiers à des fins commerciales. Les données sont partagées uniquement dans les cas suivants :

  • Sous-traitants techniques : Supabase, Vercel, DeepSeek, Stripe, Resend — dans la stricte mesure nécessaire à la fourniture du service (voir Section 4).
  • Obligations légales : si la loi, une décision de justice ou une autorité administrative nous l'impose.
  • Protection des droits : pour faire valoir nos droits en justice ou prévenir une fraude avérée.
  • Cession d'activité : en cas de fusion, acquisition ou cession de tout ou partie de nos actifs, les Utilisateurs seront informés préalablement et pourront supprimer leur compte.

10. Collecte de Données par les Chatbots — Responsabilités

Lorsqu'un Utilisateur déploie un Chatbot Vendo sur son site web ou application, il agit en tant que responsable de traitement des données personnelles des Visiteurs Finaux. Vendo agit en qualité de sous-traitant.

Il appartient à chaque Utilisateur de :

  • Mentionner l'utilisation d'un Chatbot IA dans sa propre politique de confidentialité.
  • Informer ses Visiteurs Finaux de la collecte éventuelle de leurs données (email, téléphone).
  • Obtenir le consentement préalable et explicite des Visiteurs Finaux avant d'activer les fonctionnalités de capture d'email ou de téléphone dans la configuration du Chatbot.
  • Gérer les demandes de droits des personnes (accès, suppression, portabilité) pour les données collectées via ses Chatbots.

Vendo ne saurait être tenu responsable du non-respect par l'Utilisateur de ces obligations à l'égard de ses Visiteurs Finaux.

11. Fonctionnalité de Scraping Web

La fonctionnalité de scraping web (disponible sur les Plans Pro et Agence) permet à l'Utilisateur d'extraire automatiquement le contenu de son site web pour créer la base de connaissances du Chatbot. Les données extraites sont les contenus textuels publics du site indiqué par l'Utilisateur. Ces contenus transitent par l'API DeepSeek pour nettoyage et structuration. L'Utilisateur s'engage à ne scraper que des sites dont il détient les droits ou l'autorisation.

12. Politique de Cookies

La politique de cookies de Vendo est disponible à l'adresse /politique-de-cookies. Elle détaille les cookies utilisés par la Plateforme et la manière dont vous pouvez gérer vos préférences.

13. Notifications de Violation de Données

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, Vendo s'engage à :

  • Notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation (Art. 33 RGPD).
  • Vous informer directement dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés (Art. 34 RGPD), par email à l'adresse de votre compte.

14. Modifications de la Politique de Confidentialité

Vendo se réserve le droit de modifier la présente politique à tout moment, notamment pour se conformer à l'évolution de la réglementation ou de nos services. Les modifications importantes vous seront communiquées par email au moins 30 jours avant leur entrée en vigueur. La version en vigueur est toujours celle accessible à l'adresse /politique-de-confidentialite, avec la date de dernière mise à jour indiquée en en-tête.