Politique de Confidentialité
Privacy Policy

1. Responsable de traitement

Boost Ta Boite, SARL au capital de 1 000 €, immatriculée au RCS de La Rochelle sous le numéro SIREN 101 644 730.

Siège social : 20 rue du Bourg, 17530 ARVERT, France.

Représentée par M. Romain Pentecôte, gérant.

Contact général : contact@boosttaboite.com

Délégué à la Protection des Données (DPO) : dpo@boosttaboite.com

2. Champ d'application

La présente politique s'applique à l'ensemble des services édités par Boost Ta Boite :

• Le site institutionnel boosttaboite.com et ses sous-domaines (dashboard, cloud, app)
• L'application web app.boosttaboite.com (assistant IA professionnel — Jarvis)
• Les pages de démonstration *.demo.boosttaboite.fr et *.boosttaboite.cloud
• Les communications email, SMS et téléphoniques émises par nos services

3. Données collectées

3.1 Données fournies directement par l'utilisateur

• Identification : nom, prénom, raison sociale, SIRET, adresse postale
• Contact : adresse email, numéro de téléphone
• Authentification : adresse email + mot de passe hashé (bcrypt) ou OAuth Google
• Contenu utilisateur : commandes vocales/textuelles transmises à l'assistant IA Jarvis, devis générés, documents uploadés

3.2 Données collectées via intégrations tierces (avec consentement explicite OAuth)

• Google Workspace (si connecté) : adresse email Gmail, événements Google Calendar (lecture + écriture pour planifier RDV), contacts Google (lecture seule), envoi d'emails au nom de l'utilisateur
• Meta / Instagram (si connecté) : publication de contenu sur pages Facebook et Instagram, lecture des messages directs Instagram
• HubSpot (si connecté) : contacts CRM, deals, propriétés personnalisées
• Stripe : informations de facturation (Stripe est seul responsable des données de carte bancaire — PCI-DSS niveau 1)

3.3 Données collectées automatiquement

• Journaux techniques : adresse IP, user-agent, horodatages des requêtes (durée 30 jours, finalité sécurité)
• Cookies essentiels : session utilisateur (durée 24h), préférences interface
• Cookies analytiques (avec consentement) : Plausible Analytics (sans cookie tiers, anonymisé par design — alternative GDPR-friendly à Google Analytics)

3.4 Données audio (transcription vocale)

Lorsque l'utilisateur utilise la commande vocale de l'assistant Jarvis, le fichier audio est transmis à un service de transcription (Whisper, hébergé en interne ou via OpenAI selon la configuration). L'audio est supprimé immédiatement après transcription. Seule la transcription textuelle est conservée dans l'historique conversationnel pour la durée de la session utilisateur (90 jours maximum).

4. Finalités du traitement

• Fourniture du service : exécution du contrat (Art. 6.1.b RGPD)
• Facturation et comptabilité : obligation légale (Art. 6.1.c RGPD) — conservation 10 ans (Code de commerce)
• Support client : intérêt légitime (Art. 6.1.f RGPD)
• Amélioration produit (statistiques agrégées et anonymisées) : intérêt légitime
• Prospection commerciale B2B : intérêt légitime, opt-out à tout moment via lien dans chaque email
• Cookies non essentiels : consentement (Art. 6.1.a RGPD)

5. Durée de conservation

• Compte utilisateur actif : durée de la relation contractuelle + 3 ans après dernière connexion
• Données de facturation : 10 ans (obligation légale)
• Logs techniques : 30 jours (sécurité) puis suppression automatique
• Historique conversationnel Jarvis : 90 jours glissants
• Audio voix : suppression immédiate après transcription (< 5 secondes)
• Cookies analytiques : 13 mois maximum (recommandation CNIL)
• Prospects non clients : 3 ans à compter du dernier contact (CNIL)

6. Destinataires et sous-traitants

Vos données sont accessibles aux seules personnes habilitées au sein de Boost Ta Boite. Nous faisons appel aux sous-traitants suivants, tous engagés contractuellement au respect du RGPD :

• Hostinger International Ltd. (Lituanie, UE) : hébergement serveur VPS
• Stripe Payments Europe Ltd. (Irlande, UE) : traitement des paiements
• Brevo (France, UE) : envoi d'emails transactionnels et newsletters
• Anthropic PBC (USA) : modèle Claude pour l'assistant IA Jarvis — clauses contractuelles types (CCT) en vigueur, hébergement zero-retention
• OpenAI Inc. (USA) : transcription Whisper si activée — CCT, opt-out training data
• Google LLC (USA, si connecté) : Gmail / Calendar / Contacts API — CCT
• Meta Platforms Ireland Ltd. (UE, si connecté) : Instagram Graph API

7. Transferts hors UE

Certains sous-traitants (Anthropic, OpenAI, Google) sont basés aux États-Unis. Les transferts sont encadrés par les Clauses Contractuelles Types (Décision UE 2021/914) et, le cas échéant, l'adhésion au EU-US Data Privacy Framework.

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Accès : obtenir une copie de vos données
• Rectification : corriger des données inexactes
• Effacement ("droit à l'oubli") : suppression de vos données
• Limitation : geler le traitement
• Portabilité : récupérer vos données dans un format structuré (JSON / CSV)
• Opposition au traitement (notamment prospection)
• Retrait du consentement à tout moment
• Définir des directives post-mortem sur vos données

Pour exercer ces droits : dpo@boosttaboite.com (réponse sous 30 jours).

Vous pouvez également introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.

9. Sécurité

• Chiffrement TLS 1.3 sur l'ensemble des communications
• Mots de passe hashés avec bcrypt (cost factor 12)
• Tokens OAuth chiffrés au repos (AES-256)
• Sauvegardes quotidiennes chiffrées avec rétention 30 jours
• Accès aux serveurs limité par clé SSH + authentification multi-facteur
• Audits de sécurité semestriels

10. Cookies

Notre site utilise un nombre minimal de cookies :

• Cookies essentiels (exemptés de consentement) : session, préférences langue, panier
• Cookies analytiques (Plausible — anonymisé, conforme RGPD sans bannière obligatoire selon la CNIL)
• Aucun cookie publicitaire tiers (pas de Google Ads, Meta Pixel, etc. sur l'application Jarvis)

11. Utilisation par mineurs

Nos services sont destinés à un usage strictement professionnel (B2B). Ils ne sont pas accessibles aux mineurs de moins de 18 ans. Aucune donnée n'est sciemment collectée auprès de mineurs.

12. Modifications

Cette politique peut être mise à jour. Toute modification substantielle sera notifiée par email aux utilisateurs au moins 30 jours avant son entrée en vigueur.

1. Data Controller

Boost Ta Boite, a French SARL with capital of €1,000, registered at La Rochelle Trade and Companies Registry under SIREN 101 644 730.

Registered office: 20 rue du Bourg, 17530 ARVERT, France.

Represented by Mr. Romain Pentecôte, Managing Director.

General contact: contact@boosttaboite.com

Data Protection Officer (DPO): dpo@boosttaboite.com

2. Scope

This policy applies to all services published by Boost Ta Boite:

• The corporate website boosttaboite.com and its subdomains
• The web application app.boosttaboite.com (professional AI assistant — Jarvis)
• Demo pages *.demo.boosttaboite.fr and *.boosttaboite.cloud
• Email, SMS and phone communications sent by our services

3. Data Collected

3.1 Data provided directly by the user

• Identification: first name, last name, company name, VAT/SIRET, postal address
• Contact: email address, phone number
• Authentication: email + bcrypt-hashed password, or Google OAuth token
• User content: voice/text commands sent to the Jarvis AI assistant, generated quotes, uploaded documents

3.2 Data collected via third-party integrations (with explicit OAuth consent)

• Google Workspace (if connected): Gmail address, Google Calendar events (read + write to schedule appointments), Google Contacts (read-only), sending emails on behalf of the user
• Meta / Instagram (if connected): publishing content on Facebook Pages and Instagram, reading Instagram direct messages
• HubSpot (if connected): CRM contacts, deals, custom properties
• Stripe: billing information (Stripe is solely responsible for credit card data — PCI-DSS Level 1)

3.3 Automatically collected data

• Technical logs: IP address, user-agent, request timestamps (30-day retention, security purpose)
• Essential cookies: user session (24h), interface preferences
• Analytics cookies (with consent): Plausible Analytics (no third-party cookies, anonymized by design)

3.4 Audio data (voice transcription)

When using the Jarvis voice command, the audio file is transmitted to a transcription service (Whisper, self-hosted or via OpenAI depending on configuration). Audio is deleted immediately after transcription. Only the text transcript is retained in the conversation history for the duration of the user session (90 days max).

4. Purposes

• Service delivery: contract performance (GDPR Art. 6.1.b)
• Billing and accounting: legal obligation (GDPR Art. 6.1.c) — 10-year retention (French Commercial Code)
• Customer support: legitimate interest (GDPR Art. 6.1.f)
• Product improvement (aggregated and anonymized statistics): legitimate interest
• B2B commercial prospecting: legitimate interest, opt-out anytime via link in each email
• Non-essential cookies: consent (GDPR Art. 6.1.a)

5. Retention Periods

• Active user account: duration of contractual relationship + 3 years after last login
• Billing data: 10 years (legal obligation)
• Technical logs: 30 days (security), then automatic deletion
• Jarvis conversation history: 90 rolling days
• Voice audio: immediate deletion after transcription (< 5 seconds)
• Analytics cookies: 13 months max (CNIL recommendation)
• Non-customer prospects: 3 years from last contact

6. Recipients and Sub-processors

Your data is accessible only to authorized Boost Ta Boite personnel. We rely on the following sub-processors, all contractually bound by GDPR:

• Hostinger International Ltd. (Lithuania, EU): VPS server hosting
• Stripe Payments Europe Ltd. (Ireland, EU): payment processing
• Brevo (France, EU): transactional emails and newsletters
• Anthropic PBC (USA): Claude model powering Jarvis AI assistant — Standard Contractual Clauses (SCCs), zero-retention hosting
• OpenAI Inc. (USA): Whisper transcription if enabled — SCCs, training data opt-out
• Google LLC (USA, if connected): Gmail / Calendar / Contacts API — SCCs
• Meta Platforms Ireland Ltd. (EU, if connected): Instagram Graph API

7. International Transfers

Some sub-processors (Anthropic, OpenAI, Google) are based in the United States. Transfers are governed by the Standard Contractual Clauses (EU Decision 2021/914) and, where applicable, adherence to the EU-US Data Privacy Framework.

8. Your Rights

Under GDPR Articles 15 to 22, you have the following rights:

• Access: obtain a copy of your data
• Rectification: correct inaccurate data
• Erasure ("right to be forgotten"): deletion of your data
• Restriction: freeze processing
• Portability: retrieve your data in structured format (JSON / CSV)
• Objection to processing (especially marketing)
• Withdraw consent at any time
• Set post-mortem directives on your data

To exercise these rights: dpo@boosttaboite.com (response within 30 days).

You may also lodge a complaint with the French data protection authority (CNIL): cnil.fr/en/plaints.

9. Security

• TLS 1.3 encryption on all communications
• Passwords hashed with bcrypt (cost factor 12)
• OAuth tokens encrypted at rest (AES-256)
• Daily encrypted backups with 30-day retention
• Server access restricted by SSH key + multi-factor authentication
• Semi-annual security audits

10. Cookies

Our site uses a minimal number of cookies:

• Essential cookies (consent-exempt): session, language preferences, cart
• Analytics cookies (Plausible — anonymized, GDPR-compliant without mandatory banner per CNIL)
• No third-party advertising cookies (no Google Ads, Meta Pixel, etc. on the Jarvis application)

11. Use by Minors

Our services are intended for strictly professional (B2B) use. They are not accessible to minors under 18. No data is knowingly collected from minors.

12. Changes

This policy may be updated. Any substantial change will be notified by email to users at least 30 days before it takes effect.