Légal
Politique de confidentialité
Conformément au Règlement Général sur la Protection des Données (UE 2016/679). Dernière mise à jour : 15 mai 2026.
1. Responsable du traitement
Grenn — <Raison sociale à compléter>
<Adresse du siège à compléter>
SIRET : <à compléter>
Délégué à la Protection des Données (DPO) : dpo@grenn.fr
2. Données collectées et finalités
Nous collectons les données suivantes :
| Catégorie | Données | Finalité | Base légale | Durée |
|---|---|---|---|---|
| Compte | Email, nom (optionnel) | Authentification, communication transactionnelle | Contrat (exécution du Service) | Durée du compte + 12 mois (logs) |
| Usage | Workspaces créés, offres, articles, briefs, expertise terrain capitalisée, PDFs joints | Fourniture du Service, génération IA, statistiques internes | Contrat | Durée du compte + suppression sous 30 jours après résiliation |
| Paiement | Stripe Customer ID (pas de carte bancaire stockée chez Grenn) | Facturation, gestion abonnement | Contrat + obligation légale (comptabilité) | 10 ans (obligation fiscale française) |
| Logs techniques | Adresse IP, user-agent, timestamps des actions | Sécurité, debug, anti-abus | Intérêt légitime | 12 mois |
| Search Console (plan Pro) | OAuth refresh token, snapshot positions / impressions 90j | Détection quick wins SEO, statistiques | Consentement (opt-in explicite) | Tant que l'intégration est active, suppression sur déconnexion |
3. Destinataires des données
Tes données sont accessibles aux personnes habilitées chez Grenn (équipe support et technique) et aux sous-traitants suivants :
- Vercel Inc. (USA, données hébergées en EU Frankfurt) — hébergement de l'app et des fonctions serveur. Encadré par SCC.
- Supabase Inc. (USA, données hébergées en EU eu-west-1) — base de données Postgres et authentification. Encadré par SCC.
- Stripe Payments Europe Ltd (Irlande) — gestion paiement et abonnement. Pas d'échange de données utilisateur autre que l'email facturation.
- Anthropic PBC (USA) — appels API IA l'IA pour la génération de contenu. Encadré par SCC. Zero-retention garanti contractuellement (les prompts ne servent pas à entraîner les modèles).
- Resend Inc. (USA) — envoi d'emails transactionnels (magic links, notifications). Encadré par SCC.
- Sentry.io (USA) — monitoring des erreurs applicatives. Aucune donnée utilisateur sensible envoyée (uniquement stack traces techniques).
Aucune donnée n'est cédée, vendue ou échangée à des tiers à des fins commerciales.
4. Transferts hors Union Européenne
Les services Vercel, Supabase et Anthropic sont des entreprises américaines. Les transferts de données vers les États-Unis sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne (Décision 2021/914), constituant un cadre de transfert valable au sens de l'article 46 du RGPD.
Les données hébergées (Vercel, Supabase) restent physiquement en région Frankfurt (Allemagne, EU). Seuls les appels API à Anthropic transitent par les USA, sous garantie zero-retention.
5. Tes droits
Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants :
- Droit d'accès : connaître les données que nous détenons sur toi
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : suppression de tes données (sauf obligation légale contraire)
- Droit à la limitation : restreindre le traitement
- Droit à la portabilité : recevoir tes données dans un format structuré (JSON)
- Droit d'opposition : refuser le traitement de tes données pour des motifs légitimes
- Droit de retirer ton consentement à tout moment pour les traitements basés sur le consentement
Pour exercer ces droits : écris à dpo@grenn.fr. Réponse sous 30 jours maximum (obligation légale).
Si tu estimes que tes droits ne sont pas respectés, tu peux déposer une réclamation auprès de la CNIL.
6. Cookies et traceurs
Grenn utilise un minimum de cookies, exclusivement nécessaires au fonctionnement du Service :
- Cookies de session (Supabase auth) : authentification et persistance de session
- Cookie workspace actif (
grenn_active_workspace) : mémorisation du site sélectionné dans l'app
Aucun cookie publicitaire, aucun tracker analytics tiers (Google Analytics, Meta Pixel, etc.) n'est déposé en V1.
Pour le détail, voir notre Politique cookies.
7. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger tes données : chiffrement TLS 1.3 en transit, isolation par workspace, authentification magic link sans mot de passe, monitoring Sentry, accès production limité au strict nécessaire.
Plus de détails sur notre page Sécurité.
8. Modification de cette politique
Cette politique peut évoluer. Les modifications substantielles te seront notifiées par email avec un préavis de 30 jours.