Politique de confidentialité
Dernière mise à jour : 30 janvier 2026 — Version 2026.01
La société SOARLY (ci-après « Upster » ou « nous ») s'engage à protéger la vie privée des utilisateurs de la plateforme upster.ai. La présente politique décrit comment nous collectons, utilisons et protégeons vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés.
1. Responsable du traitement
| Société | SOARLY, SARL au capital de 2 000 € |
| Siège | 1 Avenue de la gare, 40100 Dax, France |
| RCS | 939 920 591 R.C.S. Dax |
| Contact DPO | contact@upster.ai |
2. Données collectées
Nous collectons les catégories de données suivantes :
2.1 Données d'identification du Client
- Nom complet, adresse email (inscription)
- Adresse IP, user agent, système d'exploitation, navigateur (consentement RGPD)
- Informations de facturation (traitées par Stripe, jamais stockées chez nous)
2.2 Données liées à l'utilisation du service
- Configuration de l'agent IA (paramètres, ton, personnalité)
- Données de connexion aux plateformes tierces (tokens OAuth Instagram)
- Statistiques d'utilisation agrégées
2.3 Données des prospects du Client (sous-traitance)
Dans le cadre de la fourniture du service, Upster traite en qualité de sous-traitant (au sens de l'Art. 28 RGPD) les données des prospects Instagram du Client. Ce traitement est encadré par le Contrat de Traitement des Données (DPA).
3. Finalités et bases légales
| Finalité | Base légale (Art. 6 RGPD) | Durée de conservation |
|---|---|---|
| Création et gestion du compte | Exécution du contrat (Art. 6.1.b) | Durée du contrat + 3 ans |
| Fourniture du service SaaS | Exécution du contrat (Art. 6.1.b) | Durée du contrat |
| Facturation et paiements | Obligation légale (Art. 6.1.c) | 10 ans (obligation comptable) |
| Preuve du consentement (CGV, DPA) | Obligation légale (Art. 6.1.c) | 5 ans après la fin du contrat |
| Support technique | Intérêt légitime (Art. 6.1.f) | Durée du contrat |
| Amélioration du service (données anonymisées) | Intérêt légitime (Art. 6.1.f) | Indéfinie (données anonymisées) |
4. Destinataires des données
Vos données peuvent être partagées avec les sous-traitants suivants, strictement nécessaires à la fourniture du service :
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Hébergement base de données, authentification | UE (AWS eu-central-1) | CCT, SOC 2 Type II |
| Anthropic PBC | Génération de réponses par IA | USA | CCT, Zero Retention API |
| Meta Platforms Ireland Ltd | Envoi/réception de messages Instagram | Irlande / USA | CCT, DPA Meta |
| Stripe Inc. | Traitement des paiements | Irlande / USA | CCT, PCI DSS Niveau 1 |
| Hostinger International Ltd | Hébergement serveur applicatif | France (datacenter) | CCT |
| Google LLC | Mesure d'audience (Google Analytics 4) et suivi de conversion publicitaire (Google Ads) | USA | CCT, EU-US Data Privacy Framework, Consent Mode v2 |
| Meta Platforms Ireland Ltd | Pixel Meta — suivi de conversion publicitaire (Facebook & Instagram Ads) | Irlande / USA | CCT, DPA Meta |
Les transferts de données hors UE sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne (Décision 2021/914). Les fournisseurs d'IA s'engagent contractuellement à ne pas stocker les données traitées via API (Zero Retention Policy).
5. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
| Droit | Article RGPD | Description |
|---|---|---|
| Accès | Art. 15 | Obtenir une copie de vos données personnelles |
| Rectification | Art. 16 | Corriger des données inexactes ou incomplètes |
| Effacement | Art. 17 | Demander la suppression de vos données |
| Limitation | Art. 18 | Restreindre le traitement de vos données |
| Portabilité | Art. 20 | Recevoir vos données dans un format structuré |
| Opposition | Art. 21 | Vous opposer au traitement de vos données |
Pour exercer vos droits, envoyez votre demande à contact@upster.ai en précisant votre identité et le droit que vous souhaitez exercer. Nous répondrons dans un délai maximum de 30 jours.
En cas de réclamation, vous pouvez contacter la CNIL : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
6. Cookies
Upster utilise trois catégories de cookies :
- Cookies strictement nécessaires au fonctionnement du service (authentification, maintien de session). Ces cookies ne requièrent pas de consentement préalable (Art. 82 LIL, directive ePrivacy).
- Cookies de mesure d'audience (Google Analytics 4), déposés uniquement après votre consentement.
- Cookies marketing (Pixel Meta, Google Ads), déposés uniquement après votre consentement pour mesurer l'efficacité de nos campagnes publicitaires.
Vous pouvez accepter ou refuser ces cookies à tout moment via le bandeau présent à votre première visite, et modifier votre choix ensuite. Le détail est précisé dans notre Politique de cookies.
7. Sécurité
Nous mettons en œuvre les mesures de sécurité suivantes :
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
- Authentification sécurisée avec gestion granulaire des accès
- Sauvegardes quotidiennes chiffrées
- Surveillance continue des infrastructures
- Audits de sécurité réguliers
8. Modifications
Nous nous réservons le droit de modifier la présente politique. En cas de modification substantielle, vous serez informé par email au moins 30 jours avant l'entrée en vigueur des changements.
SOARLY — 1 Avenue de la gare, 40100 Dax — RCS Dax 939 920 591 — contact@upster.ai