Politique de Confidentialité
Dernière mise à jour : 24 juin 2026
1. Responsable du traitement
Le responsable du traitement est COVERBAY, société par actions simplifiée (SAS) au capital social de 1 000 €, immatriculée au Registre du commerce et des sociétés de Paris sous le numéro 102 539 012, dont le siège social est situé 203 quai de Valmy, 75010 Paris.
- SIRET (siège) : 102 539 012 00017
- N° TVA intracommunautaire : FR75 102 539 012
- Activité : édition de logiciels applicatifs (NAF 58.29C)
- Contact : julien@gocoverbay.com
2. Données que nous collectons
- Compte et profil : nom et adresse email, via votre connexion sécurisée Google ou Microsoft (OAuth).
- Données métier que vous saisissez : contacts, projets d'assurance, contrats, documents importés.
- Données d'intégration email et agenda, si vous connectez ces services (voir section 3).
- Données de facturation : coordonnées et historique de facturation.
- Données techniques : journaux de connexion, adresse IP, à des fins de sécurité et de prévention de la fraude.
3. Intégration email et agenda (Google / Microsoft)
Lorsque vous choisissez de connecter votre boîte email ou votre agenda, Coverbay accède aux données suivantes, uniquement pour fournir les fonctionnalités que vous activez :
Pour chaque autorisation, le périmètre Google est indiqué en premier, suivi de son équivalent Microsoft.
- Lecture des emails (
gmail.readonly/Mail.Read) : analyse des emails entrants pour détecter les documents d'assurance et fournir du contexte. Le contenu est traité en mémoire et n'est pas stocké dans nos bases. - Création de brouillons (
gmail.compose/Mail.ReadWrite) : préparation de brouillons de relance que vous relisez avant tout envoi. - Envoi d'emails (
gmail.send/Mail.Send) : envoi des emails que vous rédigez depuis Coverbay. - Agenda (
calendar.events.owned/Calendars.ReadWrite) : création d'événements sur votre propre agenda à partir de rendez-vous confirmés par email. Aucun contenu d'agenda existant n'est lu ni exporté ; par défaut, votre client n'est pas ajouté comme participant.
Seules les métadonnées des emails envoyés (objet, destinataire, aperçu d'environ 200 caractères) sont conservées, à des fins de journal d'activité, pendant 1 an, puis supprimées automatiquement. Les jetons d'accès sont chiffrés (AES) et révoqués auprès du fournisseur lors de la déconnexion ou de la suppression du compte.
4. Traitement par intelligence artificielle (Anthropic / Claude AI)
Le contenu de vos emails et documents est analysé par Claude AI, service tiers fourni par Anthropic, sous-traitant agissant pour notre compte, uniquement pour :
- la détection automatique de documents dans vos emails ;
- la vérification de conformité des documents ;
- la rédaction automatique de rappels et de brouillons.
Anthropic n’utilise pasces données pour entraîner ses modèles. Ces données peuvent être conservées par Anthropic pendant une durée limitée, à des seules fins de sécurité et de prévention des abus, puis sont supprimées. Ce traitement est encadré par un accord de traitement des données (DPA) et par des clauses contractuelles types (voir section 7 « Transferts hors Union européenne »).
5. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Fourniture du service (CRM, comparaison, conformité) | Exécution du contrat |
| Intégrations email et agenda | Votre consentement (activation explicite, révocable) |
| Sécurité, prévention de la fraude, amélioration du service | Intérêt légitime |
| Facturation et obligations comptables | Obligation légale |
6. Sous-traitants et partage des données
Coverbay ne vend pasvos données personnelles et ne les transfère pas à des fins publicitaires. Vos données sont traitées par les sous-traitants suivants, strictement pour le fonctionnement du service :
- Render— hébergement du back-end de l'application et de la base de données PostgreSQL ;
- Cloudflare— hébergement et distribution (CDN) de l'interface front-end de l'application ;
- Amazon Web Services (AWS)— stockage chiffré des documents (S3) et gestion des secrets (Secrets Manager, région UE) ;
- Anthropic (Claude AI)— analyse par intelligence artificielle (voir section 4) ;
- Google et Microsoft— authentification et accès aux API email/agenda que vous connectez ;
- Google Cloud Vision — reconnaissance de texte (OCR) de secours sur certains documents PDF.
Vos données peuvent également être communiquées si la loi l'exige (réquisition judiciaire, obligation légale).
7. Transferts hors Union européenne
L'application est hébergée par Render dans l'Union européenne. Certains sous-traitants (notamment Anthropic, établi aux États-Unis) peuvent toutefois traiter des données en dehors de l'Union européenne. Ces transferts sont encadrés par des clauses contractuelles types de la Commission européenne et des garanties appropriées.
8. Durées de conservation
- Données de compte : pendant toute la durée de l'abonnement, puis 3 ans après la résiliation.
- Données de facturation : 7 ans (obligation légale comptable).
- Journaux des emails envoyés : 1 an, puis suppression automatique.
- Contenu des emails entrants : traité en mémoire uniquement, non conservé.
- Données d'agenda : aucun contenu conservé ; seul un lien technique (identifiant d'email → identifiant d'événement) est gardé pour éviter les doublons.
- Journaux techniques / analytics du site vitrine : 14 mois.
À la résiliation, vous disposez de 30 jours pour exporter vos données avant leur suppression.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :
- chiffrement des communications en transit (HTTPS/TLS, en-tête HSTS) ;
- chiffrement au repos des jetons OAuth (Fernet / AES-128-CBC) ;
- gestion centralisée des secrets via un coffre-fort (AWS Secrets Manager) ;
- authentification par connexion sécurisée Google ou Microsoft (aucun mot de passe stocké) ;
- cloisonnement strict des données par organisation ;
- révocation des jetons à la déconnexion et journalisation d'audit ;
- limitation de débit, en-têtes de sécurité (CSP) et politique CORS restreinte.
10. Vos droits
Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de portabilité, d'opposition et de limitation du traitement de vos données.
Pour les exercer, rendez-vous dans les paramètres de votre profil (section « Zone de danger » pour l'export et la suppression) ou contactez-nous à julien@gocoverbay.com. Nous répondons à toute demande dans un délai maximum de 30 jours.
En cas de suppression de votre compte, vos données personnelles sont anonymisées ou supprimées, vos jetons d'accès Google et Microsoft sont révoqués auprès des fournisseurs, et votre accès est désactivé.
Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).
11. Cookies et stockage local
L'application (app.coverbay.co) n'utilise aucun cookie publicitaire ni traceur. Elle recourt uniquement à un stockage local strictement nécessaire à l'authentification et à un cookie de sécurité (protection CSRF) — exemptés de consentement.
Le site vitrine (www.coverbay.co) utilise des cookies décrits dans notre Politique de cookies.
12. Google API Services — Limited Use
Coverbay's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
L'utilisation et le transfert par Coverbay des informations reçues des API Google à toute autre application sont conformes à la Politique relative aux données utilisateur des services API Google, y compris les exigences d'utilisation limitée.
13. Contact
Pour toute question relative à cette politique de confidentialité : julien@gocoverbay.com.