1. Responsable du traitement
Le responsable du traitement des données personnelles est Gapnex, société par actions simplifiée (SAS), dont le siège social est situé 14 avenue Édouard Herriot, 81000 Albi (France), immatriculée au RCS d'Albi sous le numéro SIREN 982 417 149.
Pour toute question relative au traitement de vos données, contactez-nous à contact@gapila.com.
2. Données collectées
Selon votre usage du Service, nous collectons les catégories de données suivantes :
- Données de compte : email, mot de passe haché, nom, prénom, numéro de téléphone (facultatif).
- Données d'établissement : nom commercial, adresse, secteur, lien Google Business Profile.
- Données de campagne : configuration des jeux, lots, visuels, règles de participation.
- Données de participants (collectées via vos campagnes pour votre compte) : prénom, nom, email, téléphone, date de naissance et consentements marketing, selon ce que vous avez configuré.
- Données techniques: adresse IP, type de navigateur, pages visitées, durée de session, à des fins de sécurité et de mesure d'audience.
- Données de facturation : nom, adresse, moyen de paiement (traité par Stripe — nous ne stockons jamais le numéro de carte).
3. Finalités
- fournir et exploiter le Service ;
- gérer votre compte, vos abonnements et la facturation ;
- permettre la création, la publication et l'exécution de vos campagnes ;
- collecter et restituer les avis Google ;
- assurer la sécurité, prévenir la fraude et respecter nos obligations légales ;
- améliorer le Service (mesure d'audience, analyse d'usage) ;
- vous adresser des communications opérationnelles ou, sous réserve de votre consentement, des communications marketing.
4. Base légale
Les traitements reposent, selon le cas, sur :
- l'exécution du contrat entre vous et Gapila (compte, abonnement, exécution des campagnes) ;
- votre consentement (cookies non essentiels, communications marketing) ;
- le respect d'une obligation légale (facturation, conservation comptable) ;
- notre intérêt légitime à sécuriser le Service et à le faire évoluer.
5. Destinataires
Vos données ne sont jamais vendues. Elles peuvent être transmises à nos sous-traitants strictement nécessaires au fonctionnement du Service :
- Vercel Inc.— hébergement de l'application (États-Unis, encadré par des Clauses Contractuelles Types).
- Supabase Inc. — base de données et authentification (Union Européenne).
- Stripe — traitement des paiements (Union Européenne / États-Unis).
- PostHog— mesure d'audience produit (Union Européenne).
- Better Stack — journalisation technique.
6. Durée de conservation
- Données de compte : durée de vie du compte, puis 12 mois en base d'archives.
- Données de participants à vos campagnes : 36 mois après la dernière interaction, sauf consentement marketing renouvelé.
- Factures et obligations comptables : 10 ans (article L.123-22 du Code de commerce).
- Données techniques et logs : 13 mois maximum.
7. Hébergement
Les données sont hébergées principalement dans l'Union Européenne. Certains services secondaires (CDN, monitoring) sont opérés depuis les États-Unis dans le cadre de garanties appropriées (CCT, Data Privacy Framework).
8. Vos droits (RGPD)
Conformément au Règlement (UE) 2016/679 et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- droit d'accès (art. 15) — obtenir une copie de vos données ;
- droit de rectification (art. 16) — corriger des données inexactes ;
- droit à l'effacement (art. 17) — demander la suppression de vos données ;
- droit à la limitation (art. 18) du traitement ;
- droit à la portabilité (art. 20) — recevoir vos données dans un format structuré ;
- droit d'opposition (art. 21) à un traitement, notamment marketing ;
- droit de retirer votre consentement à tout moment, sans remettre en cause les traitements antérieurs.
Pour exercer ces droits, écrivez à contact@gapila.com. Nous répondons sous un délai d'un mois maximum.
Vous pouvez également introduire une réclamation auprès de la CNIL.
9. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées : chiffrement TLS des communications, mots de passe hachés (bcrypt), authentification multifacteur, sauvegardes régulières, contrôle des accès, journalisation des opérations sensibles.
10. Cookies
L'usage des cookies est détaillé dans notre Politique de cookies.
11. Données Google Business Profile (API Google)
Si vous connectez votre compte Google à Gapila pour gérer vos avis, les traitements suivants s'appliquent. Cette connexion est optionnelle et soumise à votre consentement explicite via le flux OAuth de Google.
- Niveau d'accès demandé : uniquement
https://www.googleapis.com/auth/business.manage. Gapila ne demande aucune autre donnée Google et n'accède jamais à votre mot de passe. - Données consultées : vos comptes et établissements Google Business Profile que vous êtes autorisé à gérer, leurs avis, les réponses et leur statut de modération.
- Finalités : afficher vos avis, générer des suggestions de réponses, et publier les réponses après votre approbation explicite. Gapila ne publie jamais de réponse automatiquement sans votre validation.
- Stockage : les jetons OAuth sont conservés chiffrés côté serveur et ne sont jamais exposés au navigateur. Le contenu Google est conservé de manière sécurisée et pour une durée limitée, dans la stricte mesure nécessaire au service.
- Suppression: lorsque vous déconnectez votre compte Google (depuis Gapila ou depuis votre compte Google), Gapila révoque l'accès, cesse tout appel aux API Google et supprime les jetons associés.
- Partage : ces données ne sont ni vendues, ni partagées, en dehors des sous-traitants techniques strictement nécessaires au fonctionnement du Service (voir section 5).
L'usage et le transfert par Gapila des informations reçues des API Google respectent la Google API Services User Data Policy, y compris ses exigences de Limited Use. Les détails du fonctionnement sont décrits sur notre page Intégration Google Business Profile.
12. Modification de la politique
Cette politique peut évoluer pour refléter des changements techniques ou réglementaires. La date de dernière mise à jour figure en haut du présent document.