Politique de confidentialité
Mise à jour : 28 avril 2026
1. Responsable du traitement
Optimass SAS — société par actions simplifiée au capital de 10 000 €, immatriculée au RCS de Paris, dont le siège social est situé en France. Contact : dpo@optimass.fr
2. Données collectées
- Identité et coordonnées : prénom, nom, email, téléphone, nom de l'entreprise.
- Données patrimoniales : revenus, patrimoine, situation familiale, objectifs de placement collectés via le tunnel DP (Dossier Patrimonial).
- Données de navigation : adresse IP, type de navigateur, pages visitées, UTM de campagne.
- Données de compte : identifiants, rôle, historique de connexions.
- Données de facturation : informations de paiement traitées via Stripe (non stockées en clair).
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du service CRM Optimass | Exécution du contrat |
| Conformité ACPR / DDA (traçabilité conseil) | Obligation légale |
| Facturation et recouvrement | Obligation légale |
| Amélioration du produit, analytics | Intérêt légitime |
| Communications commerciales (clients) | Intérêt légitime |
4. Durée de conservation
- Données clients : 5 ans après la fin de la relation contractuelle.
- Données comptables et de facturation : 10 ans (obligation légale).
- Logs de connexion : 12 mois.
- Données de navigation : 13 mois.
5. Sous-traitants
| Sous-traitant | Service | Localisation |
|---|---|---|
| Supabase | Base de données et authentification | Union Européenne |
| Stripe | Paiement en ligne | États-Unis (Clauses contractuelles types) |
| Resend | Envoi d'emails transactionnels | États-Unis (Clauses contractuelles types) |
| Vercel | Hébergement de l'application | États-Unis / UE (Clauses contractuelles types) |
| OAuth calendrier (optionnel) | États-Unis (Clauses contractuelles types) |
6. Cookies et traceurs
Sur les pages publiques du site (hors espaces authentifiés CRM, Marketing et Horizon), Optimass utilise les services suivants :
| Service | Finalité | Conservation | Base légale |
|---|---|---|---|
| Google Analytics 4 Google Ireland Limited | Mesure d'audience anonymisée | 14 mois | Consentement (art. 6.1.a RGPD) |
| Vercel Analytics Vercel Inc. | Mesure de performance (cookieless) | 30 jours | Intérêt légitime (art. 6.1.f RGPD) |
| Axeptio CMP | Gestion du consentement | 6 mois | Obligation légale (RGPD, CNIL) |
Sur les espaces authentifiés (CRM, Marketing, Horizon), seuls les cookies de session nécessaires à l'authentification (NextAuth.js) sont utilisés ; aucun traceur analytique tiers n'y est déposé. Vous pouvez à tout moment modifier vos préférences via le bouton « Gérer mes cookies » dans le pied de page du site public.
7. Vos droits (RGPD)
Conformément au RGPD (art. 15 à 22), vous disposez des droits suivants :
- Accès : obtenir une copie de vos données.
- Rectification : corriger des données inexactes.
- Effacement : demander la suppression de vos données (« droit à l'oubli »).
- Portabilité : recevoir vos données dans un format structuré.
- Opposition : s'opposer aux traitements fondés sur l'intérêt légitime.
- Limitation : suspendre un traitement en cas de contestation.
Pour exercer ces droits : dpo@optimass.fr. En cas de réclamation non résolue, vous pouvez contacter la CNIL.