Politique de confidentialite
La presente politique explique quelles donnees personnelles UpFlo traite, pour quelles finalites, sur quelle base legale, pour quelles durees, avec quels destinataires et selon quelles garanties.
Responsable
L'entite exploitant UpFlo identifiee dans les Mentions legales
Contact privacy
contact@upflo.fr
Zone principale
France / EEE, sous reserve des prestataires techniques utilises
Autorite de controle
CNIL
1. Responsable du traitement et perimetre
Le responsable du traitement est l'entite qui exploite la plateforme UpFlo, telle qu'identifiee dans les Mentions legales. Lorsqu'un utilisateur de la plateforme transmet des donnees concernant une autre personne, il peut egalement agir comme responsable distinct ou conjoint selon le contexte ; cette politique decrit le traitement effectue par UpFlo en tant qu'operateur du service.
La presente politique s'applique aux traitements de donnees personnelles effectues sur les pages publiques, l'espace connecte, les flux de paiement, les interfaces d'administration, les demandes de support, les cookies et les services techniques associes a UpFlo.
2. Personnes concernees
- Visiteurs du site et pages publiques.
- Prospects inscrits a la waitlist, aux communications de lancement ou aux programmes de parrainage prelaunch.
- Talents commerciaux, candidats et titulaires de comptes.
- Representants, membres, administrateurs et invites des startups utilisatrices.
- Tiers dont les informations sont renseignees dans le cadre d'une invitation, d'un accord, d'une offre finale ou d'un litige.
- Utilisateurs laissant un feedback, un avis ou interagissant avec le support.
- Membres de l'equipe admin habilites a traiter des litiges, operations et demandes de support.
3. Categories de donnees traitees
- Donnees d'identification et de contact : nom affiche, email, langue, avatar, role, organisation active.
- Donnees de waitlist et de lancement : email, langue, source d'inscription, parametres UTM, code de parrainage, rang indicatif, compteur de filleuls, hash IP, historique d'envoi et de desinscription.
- Donnees de profil talent : bio, headline, experiences, localisation, preferences, competences, lien LinkedIn, progression d'onboarding.
- Donnees organisation et mission : nom de startup, description, site web, logo, missions, candidatures, contrats, signatures et preuves associees.
- Donnees importees pour assistance au remplissage : fichiers CV ou briefs mission, texte OCR, champs extraits, erreurs techniques et resultats de normalisation lorsque l'utilisateur utilise ces fonctions.
- Donnees de contrat et notifications : candidatures, signatures, evenements de notification, regles de revelation des coordonnees et journaux associes.
- Donnees de resultats : titre, statut, montant, motif de litige, notes, liens de preuve, informations sensibles de contexte.
- Donnees de paiement : identifiants Stripe, statut de paiement, remboursements, transferts, lots de payout et solde interne.
- Donnees techniques et de securite : cookies de session, identifiants de contexte, adresses IP ou user-agent lorsqu'ils sont necessaires a la preuve, aux signatures, a la prevention de la fraude ou a la securite.
- Donnees de support et de qualite : feedback, page d'origine, user-agent, locale, role actif, journaux d'erreurs et evenements produit.
4. Sources des donnees
Les donnees proviennent principalement des informations fournies directement par l'utilisateur lors de l'inscription, de la creation d'un profil, de la publication d'une mission, de la candidature, de la signature d'un accord, de l'envoi d'une offre finale, du partage d'un resultat ou d'une demande de support.
Les donnees de waitlist proviennent du formulaire public, des liens de parrainage, des parametres de campagne presents dans l'URL et des informations techniques strictement utiles a la securite ou a la mesure du fonctionnement.
Les donnees de CV ou de brief mission proviennent des fichiers ou textes importes volontairement par l'utilisateur afin de pre-remplir un profil, une mission ou des champs de contexte.
Certaines donnees proviennent de fournisseurs tiers choisis par l'utilisateur ou par UpFlo pour le fonctionnement du service, notamment les fournisseurs d'authentification, le prestataire de paiement, les outils de securite, l'hebergeur et les services de monitoring.
UpFlo peut egalement recevoir des donnees de facon indirecte lorsqu'un utilisateur renseigne l'email d'une personne invitee ou des informations de contact utiles apres ouverture des contacts.
5. Finalites et bases legales
| Finalite | Exemples de donnees | Base legale principale |
|---|---|---|
| Creation de compte, authentification, gestion de session et securite de connexion | Email, identifiant utilisateur, cookies de session, fournisseur OAuth, journaux techniques | Execution du contrat et interet legitime de securisation |
| Waitlist, communications de lancement, parrainage et desinscription | Email, langue, source/referral, UTM, code de parrainage, position, hash IP, journaux d'envoi et de desinscription | Consentement pour les communications et interet legitime de securite, mesure et anti-abus |
| Gestion des profils talents et startups | Nom affiche, avatar, bio, localisation, logo, site web, preferences, experiences | Execution du contrat |
| Import, analyse et pre-remplissage assistes de CV ou briefs mission | Fichiers importes, texte OCR, champs extraits, erreurs techniques | Execution du contrat ou mesures precontractuelles demandees par l'utilisateur |
| Publication des missions, candidatures et contractualisation | Mission, candidature sans message libre, statut, signature, IP et user-agent de preuve | Execution du contrat et interet legitime de preuve |
| Revelation des coordonnees, notifications et prevention du contournement | Coordonnees separees, signatures, regles de revelation, notifications | Execution du contrat et interet legitime de protection du modele |
| Resultats, paiements, remboursements, litiges et transferts | Montants, statuts, resultats, identifiants Stripe, motifs de litige, logs d'audit | Execution du contrat, obligations legales comptables et interet legitime de lutte contre la fraude |
| Support, feedback, mesure d'audience et amelioration du service | Titres de feedback, messages, page URL, user-agent, logs d'erreurs, evenements produit et statistiques agregees | Interet legitime et, selon le cas, execution du contrat |
| Operations d'administration, audit, securite et prevention des abus | Logs, evenements produit, journaux d'echec de webhook, traces internes | Interet legitime, obligations legales et defense des droits |
| Respect des obligations legales, fiscales, comptables et gestion des contentieux | Facturation, preuves de consentement, suivi de paiement, journaux d'audit | Obligations legales et interet legitime de defense |
Important
Lorsque plusieurs bases legales se cumulent pour un meme traitement, la base mentionnee ci-dessus est celle qui justifie principalement l'operation consideree.
6. Caractere obligatoire ou facultatif
Les donnees strictement necessaires a l'ouverture d'un compte, a l'authentification, a la publication d'une mission, a la gestion d'un profil, au paiement securise, au versement d'un payout ou a la securisation du service sont obligatoires. A defaut, UpFlo peut ne pas etre en mesure de fournir tout ou partie du service.
Certaines donnees sont facultatives ou purement enrichissantes, par exemple certaines informations de presentation du profil, certains visuels, certains champs de feedback ou certaines preferences. Leur absence peut toutefois limiter la qualite de l'experience ou la visibilite d'un profil.
7. Destinataires des donnees
Les donnees sont accessibles, dans la limite du besoin d'en connaitre, aux equipes internes habilitees d'UpFlo chargees du support, des operations, de la moderation, de la facturation, de la securite et de l'administration.
Les donnees peuvent egalement etre transmises a des sous-traitants et partenaires techniques utilises pour l'hebergement, l'authentification, la base de donnees, le paiement, la protection anti-bot, le monitoring, la limitation de debit et l'exploitation technique du service.
A la date de mise a jour, les principales categories de prestataires peuvent notamment inclure Vercel, Supabase, Stripe, Resend, Mistral AI, Brandfetch et les fournisseurs d'authentification choisis par l'utilisateur, selon les fonctionnalites activees.
- Hebergement et deploiement applicatif.
- Base de donnees, authentification et services temps reel.
- Prestataire de paiement.
- Service d'envoi d'emails transactionnels, de waitlist ou de notifications.
- Services d'extraction OCR et d'assistance IA lorsque l'utilisateur importe un CV ou un brief mission.
- Services d'enrichissement de marque ou de logo lorsque l'utilisateur fournit un domaine ou une organisation.
- Mesure d'audience ou d'usage produit sans cookie lorsque l'outil est active.
- Fournisseur OAuth choisi par l'utilisateur, tel que Google ou LinkedIn.
- Service anti-bot ou captcha, lorsque la fonctionnalite est activee.
- Outils de suivi d'erreurs, d'observabilite et de limitation de debit selon l'environnement.
- Conseils, auditeurs, assureurs, autorites competentes ou juridictions lorsque cela est necessaire.
8. Transferts hors EEE
Selon la region d'hebergement retenue et les prestataires techniques actives, certaines donnees peuvent etre traitees en dehors de l'Espace economique europeen, notamment lorsque des fournisseurs americains ou mondiaux interviennent pour l'hebergement, le paiement, l'authentification, la protection anti-bot, la surveillance d'erreurs ou l'assistance.
Lorsqu'un transfert hors EEE est realise, UpFlo s'appuie sur un mecanisme juridique approprie, tel qu'une decision d'adequation, les clauses contractuelles types adoptees par la Commission europeenne ou toute autre garantie reconnue par le droit applicable, completee si necessaire par des mesures supplementaires raisonnables.
9. Durees de conservation
| Categorie | Duree active | Archivage / suppression |
|---|---|---|
| Compte, profil et donnees de contexte utilisateur | Pendant la relation contractuelle et jusqu'a suppression ou fermeture | Suppression ou anonymisation a l'issue d'un delai raisonnable, avec archivage probatoire si necessaire |
| Waitlist, communications de lancement et parrainage | Jusqu'au desabonnement, a la conversion en compte ou a la fin de la campagne concernee | Suppression ou anonymisation dans un delai raisonnable ; conservation probatoire limitee des traces de desinscription ou consentement si necessaire |
| Fichiers importes pour parsing CV ou brief mission | Temps strictement necessaire au traitement technique | Pas de conservation du fichier par UpFlo sauf action explicite ; les champs extraits suivent ensuite la duree applicable au profil ou a la mission s'ils sont enregistres |
| Invitations d'organisation | Jusqu'a expiration, acceptation ou retrait | Suppression ou purge periodique, sauf preuve d'un litige |
| Missions, candidatures, contrats, signatures et preuves conservees | Pendant l'execution du service | Archivage probatoire jusqu'a 5 ans a compter de la derniere operation utile, sauf obligations plus longues |
| Resultats, litiges et journaux d'audit lies a l'execution | Pendant la vie de la relation et le traitement operationnel | Archivage jusqu'a 5 ans apres cloture, et davantage si un contentieux l'exige |
| Paiements, factures, remboursements, transferts et ecritures comptables | Pendant l'execution et le suivi financier | Conservation comptable et fiscale jusqu'a 10 ans lorsque la loi l'impose |
| Feedback support et demandes internes | Temps necessaire au traitement puis suivi raisonnable | Suppression ou anonymisation au plus tard 3 ans apres cloture sauf contentieux |
| Journaux de securite, erreurs techniques et evenements produit bruts | Temps necessaire a la supervision et a l'analyse | Rotation, suppression ou agregation selon la nature du journal, en principe dans un delai n'excedant pas 12 a 13 mois pour les traces brutes non necessaires plus longtemps |
| Cookies et traceurs | Selon leur finalite et leur nature | Durees detaillees dans la Politique cookies ; 13 mois maximum lorsqu'un cadre CNIL equivalent s'applique |
Important
Ces durees peuvent etre prolongees lorsque cela est necessaire a la defense d'un droit, au respect d'une obligation legale ou a la gestion d'un contentieux, d'un controle ou d'un audit.
10. Visibilite publique et cloisonnement
Toutes les donnees ne sont pas destinees a etre publiques. UpFlo applique des regles de cloisonnement selon les roles, les etapes du parcours et les habilitations. Les coordonnees directes sont separees du coeur de la mission afin d'eviter leur exposition prematuree.
Les informations de contact direct des utilisateurs ne sont pas librement exposees sur les pages publiques. Certaines coordonnees peuvent etre masquees, redactees ou differees jusqu'a la double signature de l'accord de protection.
11. Donnees de tiers communiquees par un utilisateur
Lorsqu'un utilisateur renseigne l'email d'une personne invitee, des coordonnees utiles ou toute autre information concernant un tiers, il garantit disposer d'une base legale et, lorsque la loi l'exige, avoir fourni l'information requise a cette personne.
UpFlo traite ces donnees pour permettre l'execution du service, la preuve des operations, la protection anti-fraude, la resolution des litiges et le respect de ses obligations legales. Lorsque la collecte est indirecte, la presente politique vaut information generale au sens du RGPD, sous reserve des modalites pratiques d'information individuelle prevues par la loi.
12. Droits des personnes
Sous reserve des conditions et limites prevues par la reglementation applicable, toute personne concernee dispose d'un droit d'acces, de rectification, d'effacement, de limitation, d'opposition, de portabilite lorsqu'il s'applique, ainsi que du droit de retirer son consentement lorsque le traitement repose sur celui-ci.
Les demandes peuvent etre adressees a l'adresse privacy indiquee dans la presente politique. UpFlo peut demander tout element raisonnable permettant de verifier l'identite du demandeur lorsque cela est necessaire pour proteger les donnees et les droits de tiers.
- Contact principal : contact@upflo.fr
- Contact support : contact@upflo.fr
- Autorite de controle competente en France : CNIL.
13. Decisions automatisees et scoring
A la date de mise a jour de la presente politique, UpFlo n'organise pas de decision fondee exclusivement sur un traitement automatise produisant des effets juridiques ou affectant de maniere significative une personne au sens de l'article 22 du RGPD.
Lorsque des indicateurs, quotas, scores internes, rangs de waitlist, boosts de parrainage ou regles produit automatiques sont utilises, ils servent principalement d'aide operationnelle, de garde-fou securite ou de parametre d'acces a une fonctionnalite, avec intervention de regles humaines et/ou de revues administratives selon les cas.
14. Securite
UpFlo met en oeuvre des mesures techniques et organisationnelles raisonnables et proportionnees afin de proteger la confidentialite, l'integrite et la disponibilite des donnees. Ces mesures peuvent comprendre l'authentification securisee, le cloisonnement par roles, la limitation des acces, des journaux d'audit, la separation de certaines donnees sensibles, l'usage de protocoles securises et des controles d'administration.
Aucune mesure de securite ne garantissant un risque zero, l'utilisateur est egalement invite a securiser ses terminaux, mots de passe, environnements d'utilisation et canaux de communication.
16. Evolution de la politique
La presente politique peut etre modifiee afin de refleter les evolutions du service, des prestataires, des traitements ou du cadre legal. La date de derniere mise a jour figure en en-tete du document.
En cas de modification substantielle, UpFlo peut informer les utilisateurs par le site, par email, par notification ou par tout autre moyen approprie.