Politique de confidentialité
Dernière mise à jour : 25 mai 2026
1. Préambule
BoosterMail (« le Service ») est un assistant email intelligent intégré à Microsoft Outlook. La présente politique décrit comment nous collectons, utilisons et protégeons vos données personnelles.
2. Responsable du traitement et DPO
L'éditeur de BoosterMail (informations administratives en cours de finalisation — voir Mentions légales) est responsable du traitement de vos données.
Délégué à la Protection des Données (DPO) : Yvan Bosser — contact@boostermail.ai
3. Données collectées
3.1 Données fournies par l'utilisateur
- Identité Microsoft 365 : nom, prénom, adresse email, identifiant Microsoft Graph
- Préférences : style d'écriture, signature, importance par défaut, dossier de pièces jointes
3.2 Données collectées via Microsoft Graph (avec votre consentement OAuth)
- Emails reçus : sujet, corps, expéditeur, destinataires, date, pièces jointes
- Emails envoyés : sujet, corps, destinataires, date (pour apprentissage du style)
- Carnet de contacts Outlook : pour l'autocomplétion À/Cc
3.3 Données techniques
- Logs d'utilisation : horodatage, endpoint API, durée d'exécution, agent utilisateur
- Métriques : volumes de génération, satisfaction (envoi vs édition)
- Cookies de session : 1 cookie HttpOnly, durée 7 jours, finalité authentification
4. Finalités et bases légales
| Finalité | Base légale | Conservation |
|---|---|---|
| Génération d'emails adaptés au style | Exécution du contrat (Art. 6.1.b RGPD) | Durée d'utilisation |
| Apprentissage du profil de chaque contact | Exécution du contrat (Art. 6.1.b) | 12 mois post-dernier échange |
| Détection d'échéances et relances | Exécution du contrat (Art. 6.1.b) | 12 mois post-détection |
| Sécurité et prévention des abus | Intérêt légitime (Art. 6.1.f) | 6 mois (logs) |
| Mesures de performance et amélioration | Intérêt légitime (Art. 6.1.f) | 12 mois |
| Facturation (phase payante future) | Obligation légale (Art. 6.1.c) | 10 ans (Code de commerce) |
5. Sous-traitants et destinataires
Pour fournir le Service, nous transférons certaines données à des prestataires soumis à des obligations contractuelles équivalentes au RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| OVH | Hébergement de l'infrastructure | France (Gravelines) |
| Microsoft Corporation | Authentification OAuth + accès Graph aux mailboxes | UE si tenant M365 EU, sinon US (SCCs) |
| Anthropic, PBC | API Claude pour génération de réponses | États-Unis (clauses contractuelles types) |
| Sentry | Détection d'erreurs (sans PII) | UE |
| UptimeRobot | Surveillance de disponibilité (HTTP simple) | États-Unis |
Important : à chaque génération de réponse, le contenu de l'email auquel vous répondez est transmis à l'API Anthropic Claude pour traitement (encadré par clauses contractuelles types post-Schrems II). Cette transmission est strictement nécessaire à l'exécution du Service.
6. Vos droits RGPD
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès (Art. 15) : obtenir la copie de toutes vos données
- Droit de rectification (Art. 16) : corriger une donnée inexacte
- Droit à l'effacement (Art. 17) : suppression complète de votre compte
- Droit à la limitation (Art. 18) : suspendre temporairement le traitement
- Droit à la portabilité (Art. 20) : récupérer vos données en format JSON
- Droit d'opposition (Art. 21) : vous opposer à un traitement basé sur l'intérêt légitime
- Droit de retirer le consentement : à tout moment, sans affecter la licéité du traitement antérieur
Modalités d'exercice : envoyer un email à contact@boostermail.ai avec une copie d'une pièce d'identité. Réponse sous 30 jours maximum.
Réclamation CNIL : si vous estimez vos droits non respectés, vous pouvez introduire une réclamation auprès de la CNIL.
7. Sécurité
- Chiffrement en transit : HTTPS (TLS 1.2+) avec HSTS
- Chiffrement au repos : tokens d'authentification chiffrés en AES-128-CBC (Fernet)
- Hébergement souverain : serveurs OVH en France (Gravelines)
- Isolation multi-tenant : chaque utilisateur dispose d'un espace isolé
- Surveillance : Sentry (sans PII), UptimeRobot, fail2ban
- Sauvegardes : sauvegardes quotidiennes chiffrées
- Notifications : en cas de violation de données, notification CNIL et utilisateurs sous 72 h conformément à l'Art. 33 RGPD
8. Durées de conservation
- Données de contenu (emails, profils, échéances) : tant que vous utilisez le Service, suppression automatique après 12 mois d'inactivité
- Données techniques (logs, métriques) : 6 à 12 mois
- Données de facturation (phase payante) : 10 ans (obligation comptable)
- Suppression de compte : effacement complet sous 30 jours après votre demande
9. Cookies
BoosterMail utilise un seul cookie technique strictement nécessaire : cookie de session (HttpOnly, Secure, SameSite=Lax, durée 7 jours). Aucun cookie publicitaire, analytics tiers ou de tracking. Pas de bannière de consentement requise au titre de l'article 82 de la loi Informatique et Libertés.
10. Mineurs
Le Service est réservé aux personnes âgées de 18 ans ou plus. Nous ne collectons sciemment aucune donnée de mineurs.
11. Transferts internationaux
Comme indiqué en section 5, certains sous-traitants sont situés aux États-Unis. Tout transfert hors UE est encadré par les clauses contractuelles types validées par la Commission européenne (post-Schrems II, Décision 2021/914), et limité aux données strictement nécessaires.
12. Modifications
Nous pouvons faire évoluer cette politique. La version en vigueur sera toujours disponible à cette adresse. Les modifications substantielles vous seront notifiées par email.
13. Contact
Pour toute question relative à cette politique ou à l'exercice de vos droits :
- Email : contact@boostermail.ai
- DPO : Yvan Bosser