Politique de confidentialité
Votre vie privée est notre priorité. Cette politique décrit comment Plune collecte, utilise et protège vos données personnelles, conformément au Règlement général sur la protection des données 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée.
0. Responsable du traitement
Le responsable du traitement de vos données personnelles au sens de l'article 4 du RGPD est :
Inkspire, Edouard Hue, micro-entreprise.
SIRET : 890 422 603 00013
TVA : non applicable, art. 293 B du CGI (franchise en base de TVA)
Adresse : 39 rue de Jaumont, 57855 Saint-Privat-la-Montagne, France
Contact DPO / RGPD : dpo@plune.app
1. Collecte des données
Nous collectons les informations suivantes pour fournir notre service :
- Informations de compte : nom, prénom, email, nom de l'entreprise, SIRET, numéro de TVA, pour la création du compte et la facturation.
- Données d'usage : enregistrements vocaux (temporaires, pour la transcription), devis et factures générés (pour l'historique et l'export).
- Données techniques : adresse IP, type de navigateur, journal d'événements, pour la sécurité et l'amélioration du service.
2. Utilisation des données
Vos données sont utilisées uniquement pour :
- Fournir le service (transcription, génération de PDF, envoi d'emails transactionnels).
- Améliorer la qualité de reconnaissance vocale, de manière anonymisée et agrégée.
- Assurer la facturation, le support client et le respect des obligations comptables.
Nous ne revendons jamais vos données personnelles à des tiers.
3. Sous-traitants (article 28 RGPD)
Plune fait appel aux sous-traitants suivants pour fournir le service :
| Sous-traitant | Pays | Finalité | Garanties |
|---|---|---|---|
| Supabase Inc. | Union européenne (Francfort) | Base de données + authentification | DPA + hébergement UE |
| Vercel Inc. | USA, datacenters européens (Paris/Francfort) | Hébergement, déploiement et CDN | DPA + SCC 2021/914 |
| Stripe Payments Europe Ltd. | Irlande (UE), siège US | Paiements en ligne, dunning | DPA + SCC 2021/914 |
| Resend Inc. | USA | Emails transactionnels | DPA + SCC 2021/914 |
| Twilio Inc. | USA | SMS et communications vocales (optionnel) | DPA + SCC 2021/914 |
| OpenAI | USA (sous-traitant pouvant opérer hors UE) | Transcription vocale (Whisper) | DPA + SCC 2021/914 |
| Sentry GmbH | Union européenne (Frankfort) | Supervision des erreurs (PII désactivé) | DPA + hébergement UE |
| Vercel Analytics | UE | Mesure d'audience anonyme (gated post-consentement) | Sans cookie tiers, sans profilage |
| Google Ireland Ltd. / Google LLC | Irlande (UE), transferts possibles vers les USA | Mesure d'audience (GA4) et conversion publicitaire (Google Ads) — uniquement après consentement explicite via la bannière cookies | DPA + SCC 2021/914 + Data Privacy Framework UE-USA + Consent Mode v2 |
| Meta Platforms Ireland Ltd. | Irlande (UE), transferts possibles vers les USA | Meta Pixel : mesure de l'efficacité publicitaire — uniquement après consentement explicite via la bannière cookies | DPA + SCC 2021/914 |
Un DPA Plune (Data Processing Agreement) consolidé est disponible sur demande à dpo@plune.app.
4. Bases légales (article 6 RGPD)
- Exécution du contrat : gestion du compte, génération de devis et factures, facturation et encaissement.
- Obligation légale : comptabilité, archivage Factur-X, obligations fiscales (article L102 B LPF).
- Intérêt légitime : sécurité de la plateforme, prévention de la fraude, statistiques anonymes d'usage.
- Consentement : mesures d'audience non-essentielles (Vercel Analytics, Google Analytics 4), cookies publicitaires (Meta Pixel, Google Ads) et toute communication marketing facultative.
5. Durées de conservation
- Compte utilisateur actif : durée de l'abonnement.
- Compte inactif après résiliation : 3 ans à des fins de prospection commerciale, puis suppression automatique.
- Factures et données comptables : 10 ans, article L123-22 du Code de commerce et article L102 B LPF (Factur-X inclus).
- Logs techniques et journaux de sécurité : 1 an maximum.
- Fichiers audio : supprimés sous 24 heures après transcription.
- Piste d'audit de signature électronique simple (empreinte SHA-256 du document et code de validation à usage unique) : 60 jours.
6. Délégué à la protection des données
Plune n'est pas légalement tenu de désigner un DPO (effectif < 250, pas de traitement à grande échelle de données sensibles). Néanmoins, un point de contact dédié est en place pour centraliser vos demandes d'exercice de droits : dpo@plune.app. Réponse sous 1 mois (article 12 RGPD), prolongeable de 2 mois en cas de demande complexe avec notification motivée.
7. Transferts hors Union européenne
Certains traitements impliquent des transferts hors Union européenne, encadrés par les clauses contractuelles types (SCC) 2021/914 de la Commission européenne. Les pays destinataires identifiés sont les États-Unis pour Stripe (filiale UE), Resend, Twilio, Vercel (orchestration) et OpenAI (transcription vocale), avec garanties SCC et chiffrement en transit et au repos.
8. Vos droits (RGPD)
- Droit d'accès (art. 15) : obtenir une copie de vos données.
- Droit de rectification (art. 16) : corriger des données inexactes.
- Droit à l'effacement (art. 17) : demander la suppression sous conditions légales.
- Droit à la limitation (art. 18) : geler temporairement un traitement.
- Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré (CSV + PDF, disponible en libre-service depuis l'espace client).
- Droit d'opposition (art. 21) : vous opposer aux traitements fondés sur l'intérêt légitime.
- Retrait du consentement : à tout moment, sans porter atteinte au traitement antérieur.
- Directives post-mortem : définir le sort de vos données après votre décès (article 85 de la loi Informatique et Libertés).
- Droit de plainte : saisir la CNIL sur cnil.fr ou par courrier au 3 place de Fontenoy, 75007 Paris.
Plune répond aux demandes d'exercice de droits dans un délai de 1 mois conformément à l'article 12 du RGPD.
9. Sécurité
Nous appliquons les mesures techniques et organisationnelles suivantes : chiffrement TLS de bout en bout, chiffrement au repos sur les bases de données, séparation logique des organisations, authentification renforcée, journalisation des actions sensibles, sauvegardes quotidiennes avec procédure de restauration documentée. En cas de violation de données, nous notifions la CNIL sous 72 heures et les personnes concernées si nécessaire, conformément aux articles 33 et 34 du RGPD.
10. Cookies et traceurs
Nous utilisons uniquement des cookies strictement nécessaires (session, préférences) sans consentement et, après consentement explicite via notre bandeau CNIL-conforme, une mesure d'audience anonyme (Vercel Analytics et Speed Insights, gated post-consentement, sans cookie tiers ni profilage). Détails complets sur la politique de cookies.
11. Contact
Pour toute question concernant vos données : dpo@plune.app ou par courrier à l'adresse du siège (Inkspire, 39 rue de Jaumont, 57855 Saint-Privat-la-Montagne).
Dernière mise à jour : 31 mai 2026.