MetaMasterRetour à l'accueil

Politique de confidentialité

Dernière mise à jour : 21 mai 2026

La présente politique de confidentialité décrit comment MetaMaster collecte, utilise et protège les données personnelles qui lui sont confiées, en conformité avec le Règlement général sur la protection des données (RGPD) et la loi française Informatique et Libertés modifiée.

1. Responsable du traitement

Le responsable du traitement est l'éditeur de MetaMaster, dont les coordonnées figurent dans les mentions légales. Toute demande relative aux données personnelles peut être adressée à contact@metamaster.fr.

2. Données collectées

2.1 Données d'identification et de compte

  • Nom, prénom
  • Adresse email professionnelle
  • Rôle au sein de l'organisation (admin, agent commercial, etc.)
  • Tenant de rattachement (nom de l'entreprise utilisatrice)
  • Mot de passe (jamais stocké en clair — hash bcrypt géré par Supabase Auth)

2.2 Données d'usage

  • Date et heure de connexion
  • Adresse IP (conservée pour journalisation sécurité uniquement)
  • Pages consultées au sein de l'application
  • Identifiants techniques de session (cookies httpOnly Supabase Auth)

2.3 Données de support et d'intervention

Lorsque l'équipe MetaMaster effectue une intervention de support sur l'espace d'un tenant (impersonation), l'ensemble des informations suivantes est journalisé :

  • Identité de l'opérateur intervenant
  • Identité du compte utilisateur consulté
  • Date, heure de début, heure de fin de l'intervention
  • Motif de l'intervention (saisi obligatoirement avant accès)

Ces journaux sont conservés à des fins d'audit et de preuve, et sont consultables par le tenant sur demande (article RGPD 15 — droit d'accès).

3. Finalités du traitement

  • Fourniture du service: permettre l'accès et l'utilisation du CRM par les utilisateurs autorisés. Base légale : exécution du contrat (article 6.1.b RGPD).
  • Sécurité et lutte contre la fraude: détection d'intrusions, journalisation des accès, mise en œuvre des mesures de sécurité. Base légale : intérêt légitime (article 6.1.f).
  • Support technique : assistance aux utilisateurs, investigation de bugs, accompagnement des tenants. Base légale : exécution du contrat.
  • Amélioration du service : analyse anonymisée des parcours, identification des points de friction. Base légale : intérêt légitime, après anonymisation.
  • Communications commerciales: envoi d'actualités produits et de newsletters, uniquement avec consentement préalable (opt-in actif). Base légale : consentement (article 6.1.a). Désabonnement possible à tout moment.

4. Sous-traitants et destinataires

Pour le fonctionnement du service, MetaMaster s'appuie sur les sous-traitants techniques suivants :

  • Supabase Inc. — base de données et authentification. Région : Union européenne (Francfort, DE).
  • Vercel Inc. — hébergement applicatif (front-end). États-Unis, sous Clauses Contractuelles Types européennes.
  • Resend Inc. — envoi des emails transactionnels (invitations, réinitialisations de mot de passe, notifications). États-Unis, sous CCT.
  • Google LLC(Google Workspace) — boîtes email professionnelles de l'équipe MetaMaster (contact@, admin@). Données stockées dans les centres Google EU.
  • Anthropic PBC(Claude API) — futures fonctionnalités d'assistance IA (extraction de PDF, suggestions). Activé uniquement avec consentement explicite du tenant. États-Unis, sous CCT.

Tous les sous-traitants situés hors UE le sont sous le régime des Clauses Contractuelles Types adoptées par la Commission européenne, garantissant un niveau de protection équivalent.

5. Durée de conservation

  • Compte utilisateur actif : tant que le compte est actif chez le tenant + 6 mois après désactivation pour rétractation éventuelle.
  • Journaux de connexion et d'intervention support : 12 mois glissants.
  • Données après suppression du tenant : 30 jours de sauvegarde sécurisée, puis effacement définitif.
  • Pièces de facturation : 10 ans (obligation comptable et fiscale, article L123-22 Code de commerce).

6. Cookies

MetaMaster utilise uniquement des cookies essentiels au fonctionnement du service (cookies de session Supabase Auth, cookie de consentement). Aucun cookie de tracking publicitaire ou d'analyse cross-domain n'est posé sans votre consentement préalable.

Le bandeau cookies vous permet à tout moment de revoir vos choix — en cliquant sur le lien "Gérer les cookies" présent dans le pied de page.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants concernant vos données personnelles :

  • Droit d'accès : obtenir copie des données qui vous concernent.
  • Droit de rectification : corriger les données inexactes (vous pouvez aussi le faire vous-même via la page Mon profil).
  • Droit à l'effacement("droit à l'oubli") : demander la suppression de votre compte et de vos données.
  • Droit à la limitation : geler temporairement le traitement.
  • Droit à la portabilité : récupérer vos données dans un format structuré et réutilisable.
  • Droit d'opposition : refuser un traitement spécifique (en particulier la prospection commerciale).
  • Droit de retirer son consentement à tout moment, sans que cela remette en cause la licéité des traitements antérieurs.

Pour exercer ces droits, écrivez à contact@metamaster.fr en précisant la nature de votre demande. Vous recevrez une réponse sous 30 jours maximum.

Vous pouvez également introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou via cnil.fr.

8. Sécurité

MetaMaster met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

  • Chiffrement TLS 1.3 sur toutes les communications
  • Chiffrement at-rest des bases de données (AES-256)
  • Isolation stricte des données entre tenants (Row Level Security)
  • Authentification multi-couche (mot de passe + cookies httpOnly + signature HMAC pour les sessions sensibles)
  • Sauvegardes quotidiennes des bases de données, conservées 30 jours
  • Journalisation immuable des actions sensibles (audit trail)

9. Évolutions de la politique

La présente politique peut être mise à jour pour refléter les évolutions techniques, légales ou de service. La date de dernière mise à jour figure en haut de la page. Les utilisateurs sont notifiés par email en cas de modification substantielle.