Politique de confidentialité

Dernière mise à jour : 10/05/2026

La présente politique décrit comment Chatbot Flow (édité par Winevizer SRL) traite les données à caractère personnel dans le cadre de la fourniture de son service. Elle s'applique aussi bien à nos clients (administrateurs WordPress qui souscrivent un abonnement) qu'aux visiteurs des sites où le widget est installé.

1. Responsable du traitement

Winevizer SRL
Résidence de la Bascule, 33 — 7000 Mons (Belgique)
Numéro d'entreprise : BE 1034.941.894 — TVA : BE1034941894
Représentée par Sébastien Demoustiez, administrateur.
Contact général : contact@chatbot-flow.com
Contact RGPD / DPO : gdpr@chatbot-flow.com

2. Quelles données collectons-nous ?

Nous collectons uniquement les données nécessaires à la fourniture du service.

2.1 Pour le client (administrateur WordPress)

• Email administrateur, nom de l'entreprise, URL du site
• Adresse de facturation, numéro de TVA (le cas échéant), pays
• Identifiant Stripe Customer (les données de carte bancaire sont collectées et stockées exclusivement par Stripe, jamais par nos serveurs)
• Préférences de configuration du widget (couleurs, déclencheurs, contenu additionnel)
• Logs techniques minimaux (timestamps, codes d'erreur) pour diagnostic

2.2 Pour le visiteur du site où le widget est installé

• Messages échangés avec le chatbot
• URL et titre de la page consultée au moment de l'échange
• Type d'appareil (mobile / desktop) et un identifiant de session anonyme (cookie technique cf_session)
• Si le visiteur le choisit volontairement : nom, email, téléphone via le formulaire « Recontactez-moi »

Aucune donnée de tracking publicitaire, aucune empreinte numérique, aucun pixel tiers.

3. Pourquoi ces données et sur quelle base légale ?

Finalité	Base légale (RGPD art. 6)
Fournir le service souscrit	Exécution du contrat
Facturer l'abonnement	Exécution du contrat + obligation légale (comptabilité)
Indexation du contenu du site (RAG)	Exécution du contrat
Notifier l'admin (résumé quotidien, alerte de leads)	Intérêt légitime
Lutte contre la fraude / abus du service	Intérêt légitime
Recontact d'un visiteur ayant laissé ses coordonnées	Consentement (action volontaire du visiteur)

4. Hébergement et localisation des données

Toutes les données applicatives (conversations, leads, base de connaissance vectorielle, configurations) sont hébergées chez OVHcloud, en France (Union européenne).

Chaque client dispose d'un espace logiquement isolé dans la base vectorielle (séparation par client_id) afin que vos contenus ne soient jamais mélangés à ceux d'un autre client.

5. Sous-traitants et destinataires

Pour fonctionner, Chatbot Flow s'appuie sur les sous-traitants suivants. Tous sont liés à nous par un contrat de sous-traitance (DPA) conforme à l'article 28 RGPD.

Sous-traitant	Rôle	Localisation
OVH SAS	Hébergement serveur applicatif et base de données	France (UE)
OVH SAS (SMTP)	Envoi des emails transactionnels (notifications, factures)	France (UE)
Stripe Payments Europe Ltd	Traitement des paiements et facturation	Irlande (UE) — infrastructure mondiale
OpenAI Ireland Ltd	Modèles de langage (LLM) — clients sur plan Managed uniquement	Irlande (UE), avec sous-traitance possible vers les États-Unis
Google Ireland Ltd	reCAPTCHA / Gemini — protection anti-bot et alternative LLM	Irlande (UE), avec sous-traitance possible vers les États-Unis

6. Transferts hors Union européenne

Bien que nos sous-traitants principaux aient leurs entités contractantes dans l'Union européenne, OpenAI et Google peuvent traiter techniquement certaines requêtes sur des infrastructures situées aux États-Unis.

Ces transferts sont encadrés par les clauses contractuelles types (SCC) de la Commission européenne et, pour OpenAI et Google, par leur certification au Data Privacy Framework (DPF) UE-USA. Aucune donnée n'est transférée vers un pays tiers ne disposant pas d'un niveau de protection adéquat.

Les contenus envoyés à OpenAI dans le cadre des appels API ne sont pas utilisés pour l'entraînement de leurs modèles, conformément à leurs conditions API en vigueur.

7. Durée de conservation

• Compte client et configurations : pendant toute la durée de l'abonnement, plus 30 jours après résiliation pour permettre l'export.
• Conversations et leads collectés : pendant toute la durée de l'abonnement, plus 30 jours après résiliation.
• Factures et données comptables : 7 ans (obligation légale belge).
• Logs techniques : 90 jours maximum.

À l'expiration des durées ci-dessus, les données sont supprimées définitivement. À tout moment pendant l'abonnement, le client peut exporter ses conversations et ses leads depuis son tableau de bord WordPress.

8. Cookies

Le widget chatbot dépose un seul cookie technique strictement nécessaire :

• cf_session — identifiant de session anonyme permettant au visiteur de retrouver sa conversation s'il recharge la page. Durée : 30 jours. Pas de tracking, pas de partage.

Aucun cookie publicitaire, analytique tiers ou de remarketing n'est déposé par Chatbot Flow.

9. Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Accès : obtenir copie des données vous concernant
• Rectification : corriger des données inexactes
• Effacement : demander la suppression de vos données
• Limitation : restreindre temporairement le traitement
• Portabilité : récupérer vos données dans un format structuré (CSV/JSON)
• Opposition : vous opposer à un traitement basé sur l'intérêt légitime
• Retrait du consentement à tout moment lorsque celui-ci est la base légale

Pour exercer ces droits, écrivez à gdpr@chatbot-flow.com. Nous répondons dans un délai d'un mois maximum, conformément à l'article 12.3 RGPD.

10. Réclamation auprès d'une autorité de contrôle

Si vous estimez qu'un traitement de vos données par nos soins n'est pas conforme au RGPD, vous avez le droit d'introduire une réclamation auprès de l'Autorité de protection des données (APD) en Belgique :

Autorité de protection des données
Rue de la Presse 35, 1000 Bruxelles
contact@apd-gba.be — www.autoriteprotectiondonnees.be

Vous pouvez également saisir l'autorité de contrôle de votre pays de résidence si vous résidez dans un autre État membre de l'Union européenne.

11. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles raisonnables pour protéger vos données : chiffrement TLS pour tous les échanges, hash SHA-256 pour les clés API, signatures HMAC sur les webhooks, isolation logique par client, séparation des secrets, durcissement de l'infrastructure, journalisation et revue de sécurité régulière.

12. Modifications de la politique

Nous pouvons être amenés à modifier la présente politique. Toute modification substantielle sera notifiée aux clients par email au moins 15 jours avant son entrée en vigueur. La date en haut de cette page reflète la dernière mise à jour.