Politique de Confidentialité
Politique de Confidentialité
Plateforme GestionBell - gestionbell.fr
Date d'entrée en vigueur : 08/05/2026
Dernière mise à jour : 08/05/2026
Préambule
La présente Politique de Confidentialité a pour objet d'informer les utilisateurs du site internet https://gestionbell.fr (ci-après le « Site ») et de la plateforme GestionBell (ci-après la « Plateforme ») des modalités de collecte, de traitement, de conservation et de protection de leurs données personnelles, conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel (ci-après le « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci-après la « Loi Informatique et Libertés »).
Elle est distincte des Mentions Légales, des Conditions Générales d'Utilisation (CGU) et des Conditions Générales de Vente (CGV).
1. Responsable du traitement
Le responsable du traitement des données personnelles est :
M. Robin Esclarmonde Entrepreneur individuel 58 Rue de Monceau, 75008 Paris (France) E-mail : contact@gestionbell.fr SIRET : 104 425 137 00015
2. Données personnelles collectées
2.1 - Données des utilisateurs inscrits (abonnés)
| Donnée | Caractère | Base légale |
|---|---|---|
| Nom et prénom | Obligatoire | Exécution du contrat |
| Adresse e-mail | Obligatoire | Exécution du contrat |
| Numéro de téléphone | Facultatif | Intérêt légitime |
| Préférences de communication | Obligatoire | Intérêt légitime |
| Mot de passe | Obligatoire | Exécution du contrat |
| Rôle au sein de l'établissement | Obligatoire | Exécution du contrat |
| Secret d'authentification à deux facteurs | Facultatif | Consentement |
2.2 - Données des établissements
| Donnée | Caractère | Base légale |
|---|---|---|
| Nom commercial | Obligatoire | Exécution du contrat |
| Type d'établissement | Obligatoire | Exécution du contrat |
| Adresse postale complète | Obligatoire | Exécution du contrat |
| Numéros SIRET et SIREN | Facultatif | Intérêt légitime |
| Site web de l'établissement | Facultatif | Exécution du contrat |
| E-mail et numéro de téléphone de contact | Facultatif | Exécution du contrat |
| Données de facturation | Facultatif | Obligation légale |
| Paramètres de configuration IA | Obligatoire | Exécution du contrat |
2.3 - Données relatives aux auteurs d'avis (données de tiers)
Ces données ne sont pas collectées directement par GestionBell auprès des personnes concernées. Elles sont importées par l'utilisateur abonné depuis des plateformes tierces ou saisies manuellement.
| Donnée | Nature |
|---|---|
| Pseudonyme de l'auteur | Potentiellement nominatif |
| Contenu textuel du commentaire | Donnée non nominative mais liée à une personne identifiable |
| Date de publication de l'avis | Donnée non nominative |
| Note (nombre d'étoiles ou score) | Donnée non nominative |
| Plateforme d'origine | Donnée non nominative |
| Avatar ou logo de profil | URL externe uniquement |
2.4 - Données de navigation (mesure d'audience)
Le Site utilise Umami, une solution d'analyse d'audience open source et auto-hébergée (voir section 7). Cette solution ne collecte aucune donnée personnelle identifiante et ne dépose aucun cookie. Seules des données statistiques anonymes et agrégées sont produites.
3. Finalités et bases légales des traitements
Les traitements de données personnelles mis en œuvre via le Site et la Plateforme reposent sur les bases légales suivantes, conformément à l'article 6 du RGPD :
Exécution du contrat (article 6.1.b du RGPD)
- Création et gestion des comptes utilisateurs
- Fourniture des services de la Plateforme
- Gestion des rôles et des accès au sein de l'équipe d'un établissement
- Envoi d'e-mails transactionnels liés au fonctionnement du service
- Traitement des paiements et gestion des abonnements
Intérêt légitime (article 6.1.f du RGPD)
- Traitement des données des auteurs d'avis (tiers) aux fins de gestion de l'e-réputation de l'établissement abonné - l'établissement a un besoin professionnel légitime de répondre aux avis le concernant et de gérer sa réputation en ligne
- Mesure d'audience anonymisée du Site (Umami, sans données personnelles identifiantes)
- Sécurisation de la Plateforme, prévention de la fraude et détection des comportements abusifs
- Journalisation applicative à des fins de diagnostic technique et de sécurité
Obligation légale (article 6.1.c du RGPD)
- Conservation des pièces comptables et des factures pendant une durée de 10 ans à compter de la clôture de l'exercice comptable (article L.123-22 du Code de commerce)
Consentement (article 6.1.a du RGPD)
- Activation optionnelle de l'authentification à deux facteurs
- Connexion du compte Google Business Profile par l'utilisateur pour la récupération des avis et la publication des réponses
- Le cas échéant, tout traitement futur qui ne relèverait pas des bases précitées
Lorsqu'un même traitement poursuit plusieurs finalités, une base légale est définie pour chacune d'elles, conformément aux recommandations de la CNIL.
4. Destinataires des données personnelles
Les données personnelles collectées via le Site et la Plateforme sont destinées à l'Éditeur et, dans la stricte mesure nécessaire à la fourniture des services, aux sous-traitants techniques suivants :
| Sous-traitant | Rôle | Localisation | Données concernées | DPA signé |
|---|---|---|---|---|
| Hetzner Online GmbH | Hébergement | Nuremberg, Allemagne (UE) | Toutes les données stockées | En cours |
| Requesty Ltd | Routeur de requêtes IA | Francfort, Allemagne (UE), Siège social : Londres, Royaume-Uni | Contenu des avis transit en temps réel, aucune conservation | En cours |
| Mistral AI SAS | Fournisseur d'intelligence artificielle | Paris, France (UE) | Contenu des avis, conservation temporaire de 30 jours glissants à des fins de surveillance des abus, puis suppression automatique. Aucun entraînement de modèle. | En cours |
| Brevo SAS | E-mails transactionnels et CRM | Paris, France (UE) | Données utilisateurs et données établissements | En cours |
| Mollie B.V. | Traitement des paiements | Amsterdam, Pays-Bas (UE) | Données de facturation et données établissements | En cours |
| Pennylane | Comptabilité et facturation | Paris, France (UE) | Données de facturation et données établissements | En cours |
| Google Ireland Ltd | API Google Business Profile | Dublin, Irlande (UE) | Avis clients, réponses publiées, identifiant de l'établissement | Conditions de traitement Google |
Les données personnelles ne sont transmises à aucun autre tiers, sauf obligation légale ou décision judiciaire.
5. Transferts de données hors de l'Union européenne
Cas particulier - Requesty Ltd. Requesty Ltd est une société immatriculée au Royaume-Uni (Londres), qui agit en qualité de passerelle technique (routeur API) entre GestionBell et Mistral AI. L'infrastructure technique de Requesty est intégralement hébergée au sein de l'Union européenne (Francfort, Allemagne). Les données transitent en temps réel sans aucune conservation. Le Royaume-Uni bénéficie d'une décision d'adéquation de la Commission européenne au titre de l'article 45 du RGPD (décision du 28 juin 2021, prorogée le 27 juin 2025), garantissant un niveau de protection adéquat des données personnelles. Un accord de traitement de données (DPA) a été conclu avec Requesty.
Cas particulier - Google Ireland Ltd. Lorsque l'utilisateur connecte volontairement son compte Google Business Profile à la Plateforme, les données relatives aux avis clients et aux réponses publiées sont échangées avec Google Business Profile. Google Ireland Ltd opère au sein de l'Union européenne, mais les données transmises à Google peuvent faire l'objet de transferts vers les États-Unis, encadrés par le EU–U.S. Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023). Cette connexion est initiée par l'utilisateur, qui consent à l'échange de données avec Google en autorisant l'accès à son compte Google Business Profile. L'utilisateur peut révoquer cette autorisation à tout moment depuis les paramètres de son compte Google ou de la Plateforme.
6. Durées de conservation
| Catégorie de données | Durée de conservation | Mécanisme |
|---|---|---|
| Données des utilisateurs (abonnés actifs) | Durée de l'abonnement | - |
| Données des utilisateurs (après résiliation) | 12 mois après résiliation effective | Suppression automatisée à l'issue du délai |
| Données des établissements | Durée de l'abonnement + 12 mois après résiliation | Suppression automatisée à l'issue du délai |
| Données des auteurs d'avis | Durée de l'abonnement de l'utilisateur ayant importé les données + 12 mois | Suppression en cascade avec l'établissement |
| Données de facturation et pièces comptables | 10 ans à compter de la clôture de l'exercice comptable | Obligation légale (article L.123-22 du Code de commerce) |
| Logs applicatifs (application) | 90 jours | Rotation automatique |
| Logs d'authentification | 180 jours | Rotation automatique |
| Logs IA (sans données personnelles) | 60 jours | Rotation automatique |
| Logs e-mails | 30 jours | Rotation automatique |
| Sessions utilisateurs | Durée de la session + 120 minutes d'inactivité | Purge automatique |
Le délai de 12 mois après résiliation permet à l'utilisateur de demander une éventuelle réactivation ou un export de ses données. À l'issue de ce délai, les données sont supprimées de manière définitive et irréversible.
7. Cookies et mesure d'audience
7.1 - Cookies strictement nécessaires (exemptés de consentement)
Le Site utilise uniquement des cookies techniques strictement nécessaires au bon fonctionnement de la Plateforme :
Cookie de session : permet de maintenir la connexion de l'utilisateur authentifié pendant sa navigation. Ce cookie est de type « first party », sécurisé et expire à la fermeture du navigateur ou après 120 minutes d'inactivité.
Cookie CSRF : assure la protection contre les attaques de type « Cross-Site Request Forgery » sur les formulaires.
Ces cookies, étant strictement nécessaires à la fourniture du service demandé par l'utilisateur, sont exemptés du recueil du consentement préalable conformément à l'article 82 de la Loi Informatique et Libertés.
7.2 - Absence de cookies tiers
Le Site ne dépose aucun cookie publicitaire, cookie de ciblage, cookie de réseau social ou traceur tiers sur le terminal des utilisateurs.
7.3 - Mesure d'audience
Le Site utilise Umami, une solution d'analyse d'audience open source, auto-hébergée sur le serveur de l'Éditeur (Hetzner, Nuremberg, Allemagne).
Umami est configuré de manière à respecter les critères d'exemption de consentement établis par la CNIL relatives aux solutions de mesure d'audience :
- Aucun cookie n'est déposé sur le terminal de l'utilisateur.
- Aucune donnée personnelle identifiante n'est collectée : les adresses IP ne sont pas stockées, les visiteurs ne sont pas suivis d'une session à l'autre, et aucun identifiant persistant n'est attribué.
- Les données sont exclusivement traitées pour le compte de l'Éditeur, aux seules fins de mesure d'audience (analyse de la fréquentation, des performances et des contenus consultés).
- Aucune donnée n'est transmise à un tiers : Umami est auto-hébergé et les données de navigation restent intégralement sur le serveur de l'Éditeur en Allemagne.
- Aucun suivi intersites n'est opéré et aucun recoupement avec d'autres traitements n'est effectué.
- Les données produites sont exclusivement anonymes et statistiques.
Conformément aux dispositions précitées, cette solution de mesure d'audience, telle que configurée, ne nécessite pas le recueil du consentement préalable des utilisateurs.
Vous pouvez néanmoins vous opposer à cette mesure d'audience en activant la fonctionnalité « Do Not Track » (DNT) de votre navigateur, qui est respectée par Umami.
8. Intelligence artificielle - Transparence
8.1 - Utilisation de l'IA
Conformément à l'article 50 du Règlement (UE) 2024/1689 du 13 juin 2024 relatif à l'intelligence artificielle (« AI Act »), l'Éditeur informe les utilisateurs que la Plateforme GestionBell intègre des modèles d'intelligence artificielle de type « modèle de langage » (LLM) fournis par Mistral AI SAS (Paris, France).
Ces modèles sont utilisés pour générer des propositions de texte : réponses aux avis clients, analyses de sentiment, rapports d'analyse, corrections et traductions.
8.2 - Architecture technique du traitement IA et non-entraînement
Les données des utilisateurs et des établissements ne sont pas utilisées pour entraîner, améliorer ou affiner les modèles d'intelligence artificielle.
Les requêtes IA sont transmises via Requesty Ltd (passerelle API / routeur), dont l'infrastructure est hébergée à Francfort (Allemagne), au sein de l'Union européenne. Requesty agit comme un intermédiaire technique transparent : les requêtes sont transmises en temps réel à Mistral AI et aucune donnée n'est stockée, journalisée ou mise en cache par Requesty après livraison de la réponse.
Mistral AI SAS, fournisseur du modèle de langage, s'engage contractuellement à :
- ne pas utiliser les données traitées via les API à des fins d'entraînement de ses modèles ;
- conserver les données d'entrée et de sortie (Input/Output) pendant une durée maximale de trente (30) jours glissants, aux seules fins de surveillance des abus et de sécurité, conformément à sa politique de confidentialité. Les données sont automatiquement supprimées à l'issue de cette période.
8.3 - Nature des contenus générés
Les contenus générés par l'intelligence artificielle (réponses aux avis, analyses, rapports) sont des suggestions automatisées. Ils ne constituent pas des productions humaines de l'Éditeur et ne sauraient être assimilés à des conseils professionnels, juridiques, financiers ou médicaux. L'utilisateur est seul responsable de la vérification, de la validation et de la publication de tout contenu généré.
9. Sécurité des données
L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre l'accès non autorisé, la perte, l'altération ou la divulgation, notamment :
- Chiffrement des communications par TLS/SSL (HTTPS)
- Hachage irréversible des mots de passe (bcrypt)
- Chiffrement AES-256-CBC des données sensibles applicatives (secrets 2FA, tokens de récupération)
- Pare-feu réseau restreignant l'accès aux seuls ports nécessaires
- Base de données et cache isolés dans des réseaux internes non exposés à internet
- En-têtes HTTP de sécurité systématiques
- Protection CSRF sur toutes les requêtes d'écriture
- Rate limiting sur les routes d'authentification
- Identifiants non séquentiels pour la prévention de l'énumération
- Authentification à deux facteurs optionnelle (2FA/TOTP)
10. Droits des utilisateurs
Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès (article 15 du RGPD) - Obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification (article 16 du RGPD) - Demander la correction de données inexactes ou incomplètes.
Droit à l'effacement (article 17 du RGPD) - Demander la suppression de vos données, sous réserve des obligations légales de conservation.
Droit à la limitation du traitement (article 18 du RGPD) - Obtenir la limitation du traitement dans certains cas prévus par la réglementation.
Droit à la portabilité (article 20 du RGPD) - Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
Droit d'opposition (article 21 du RGPD) - Vous opposer à un traitement fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière.
Droit au retrait du consentement (article 7.3 du RGPD) - Pour les traitements fondés sur votre consentement (notamment l'activation du 2FA ou la connexion Google Business Profile), vous pouvez retirer votre consentement à tout moment, sans que cela ne compromette la licéité du traitement effectué avant le retrait.
Directives relatives au sort des données après le décès (article 85 de la Loi Informatique et Libertés) - Vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données personnelles après votre décès. En l'absence de directives, les héritiers peuvent exercer les droits prévus par la loi.
Exercice de vos droits
Pour exercer ces droits, adressez votre demande à :
E-mail : contact@gestionbell.fr Courrier : M. Robin Esclarmonde - GestionBell, 58 Rue de Monceau, 75008 Paris (France)
Une pièce d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur. L'Éditeur s'engage à répondre dans un délai maximum d'un (1) mois à compter de la réception de la demande, conformément à l'article 12.3 du RGPD.
Réclamation auprès de la CNIL
En cas de désaccord persistant concernant le traitement de vos données personnelles, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL - 3 place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07 Site internet : https://www.cnil.fr
11. Droits des auteurs d'avis (données de tiers)
Les données relatives aux auteurs d'avis (pseudonymes, contenu des commentaires) importées dans la Plateforme par les utilisateurs abonnés sont des données à caractère personnel au sens du RGPD. La base légale de ce traitement est l'intérêt légitime (article 6.1.f du RGPD) de l'établissement abonné.
Les auteurs d'avis souhaitant exercer leurs droits sur les données les concernant sont invités à :
- S'adresser à la plateforme d'origine sur laquelle leur avis a été publié (Google, Booking.com, TripAdvisor, Airbnb, etc.) pour toute demande de suppression ou de modification de l'avis à la source.
- Contacter l'Éditeur à l'adresse contact@gestionbell.fr pour demander la suppression de leurs données au sein de la Plateforme GestionBell. L'Éditeur s'engage à traiter cette demande dans un délai d'un (1) mois.
12. Modifications de la présente politique
L'Éditeur se réserve le droit de modifier la présente Politique de Confidentialité à tout moment, notamment pour se conformer à toute évolution législative, réglementaire ou jurisprudentielle.
Les utilisateurs inscrits seront informés de toute modification substantielle par e-mail et/ou par notification dans l'interface de la Plateforme. La version en vigueur est celle accessible à tout moment sur le Site.
13. Contact
Pour toute question relative à la présente Politique de Confidentialité ou au traitement de vos données personnelles :
GestionBell - M. Robin Esclarmonde Entrepreneur individuel 58 Rue de Monceau, 75008 Paris (France) E-mail : contact@gestionbell.fr Site : https://gestionbell.fr