Politique de Confidentialité
La société SOARLY (ci-après « Upster » ou « nous ») s'engage à protéger la vie privée des utilisateurs de la plateforme upster.ai. La présente politique décrit comment nous collectons, utilisons et protégeons vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés.
1. Responsable du traitement
| Société | SOARLY, SARL au capital de 2 000 € |
| Siège | 1 rue de la gare, 40100 Dax, France |
| RCS | 939 920 591 R.C.S. Dax |
| Contact DPO | contact@upster.ai |
2. Données collectées
Nous collectons les catégories de données suivantes :
2.1 Données d'identification du Client
- Nom complet, adresse email (inscription)
- Adresse IP, user agent, système d'exploitation, navigateur (consentement RGPD)
- Informations de facturation (traitées par Stripe, jamais stockées chez nous)
2.2 Données liées à l'utilisation du service
- Configuration de l'agent IA (paramètres, ton, personnalité)
- Données de connexion aux plateformes tierces (tokens OAuth Instagram)
- Statistiques d'utilisation agrégées
2.3 Données des prospects du Client (sous-traitance)
Dans le cadre de la fourniture du service, Upster traite en qualité de sous-traitant (au sens de l'Art. 28 RGPD) les données des prospects Instagram du Client. Ce traitement est encadré par le Contrat de Traitement des Données (DPA).
3. Finalités et bases légales
| Finalité | Base légale (Art. 6 RGPD) | Durée de conservation |
|---|---|---|
| Création et gestion du compte | Exécution du contrat (Art. 6.1.b) | Durée du contrat + 3 ans |
| Fourniture du service SaaS | Exécution du contrat (Art. 6.1.b) | Durée du contrat |
| Facturation et paiements | Obligation légale (Art. 6.1.c) | 10 ans (obligation comptable) |
| Preuve du consentement (CGV, DPA) | Obligation légale (Art. 6.1.c) | 5 ans après la fin du contrat |
| Support technique | Intérêt légitime (Art. 6.1.f) | Durée du contrat |
| Amélioration du service (données anonymisées) | Intérêt légitime (Art. 6.1.f) | Indéfinie (données anonymisées) |
4. Destinataires des données
Vos données peuvent être partagées avec les sous-traitants suivants, strictement nécessaires à la fourniture du service :
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Hébergement base de données, authentification | UE (AWS eu-central-1) | CCT, SOC 2 Type II |
| Anthropic PBC | Génération de réponses par IA | USA | CCT, Zero Retention API |
| Meta Platforms Ireland Ltd | Envoi/réception de messages Instagram | Irlande / USA | CCT, DPA Meta |
| Stripe Inc. | Traitement des paiements | Irlande / USA | CCT, PCI DSS Niveau 1 |
| Hostinger International Ltd | Hébergement serveur applicatif | France (datacenter) | CCT |
Les transferts de données hors UE sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne (Décision 2021/914). Les fournisseurs d'IA s'engagent contractuellement à ne pas stocker les données traitées via API (Zero Retention Policy).
5. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
| Droit | Article RGPD | Description |
|---|---|---|
| Accès | Art. 15 | Obtenir une copie de vos données personnelles |
| Rectification | Art. 16 | Corriger des données inexactes ou incomplètes |
| Effacement | Art. 17 | Demander la suppression de vos données |
| Limitation | Art. 18 | Restreindre le traitement de vos données |
| Portabilité | Art. 20 | Recevoir vos données dans un format structuré |
| Opposition | Art. 21 | Vous opposer au traitement de vos données |
Pour exercer vos droits, envoyez votre demande à contact@upster.ai en précisant votre identité et le droit que vous souhaitez exercer. Nous répondrons dans un délai maximum de 30 jours.
En cas de réclamation, vous pouvez contacter la CNIL : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
6. Cookies
Upster utilise uniquement des cookies strictement nécessaires au fonctionnement du service (authentification, maintien de session). Aucun cookie publicitaire, analytique ou de traçage n'est déposé. Ces cookies essentiels ne nécessitent pas de consentement préalable (Art. 82 de la loi Informatique et Libertés, directive ePrivacy).
7. Sécurité
Nous mettons en œuvre les mesures de sécurité suivantes :
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
- Authentification sécurisée avec gestion granulaire des accès
- Sauvegardes quotidiennes chiffrées
- Surveillance continue des infrastructures
- Audits de sécurité réguliers
8. Modifications
Nous nous réservons le droit de modifier la présente politique. En cas de modification substantielle, vous serez informé par email au moins 30 jours avant l'entrée en vigueur des changements.
Dernière mise à jour : 30 janvier 2026 — Version 2026.01