Politique de confidentialité

Lorsque vous visitez notre site ou notre blog (sans créer de compte) :

• Données techniques : adresse IP, user-agent, horodatage, page consultée
• Cookies de mesure d’audience et de publicité (uniquement si vous y consentez)
• Identifiants liés aux campagnes publicitaires (cookies _fbp, _fbc, _ga) — voir notre politique cookies

Lorsque vous créez un compte Zenask :

• Nom, email, mot de passe haché (Argon2), informations de facturation (Stripe)
• Contenus que vous créez : configuration de votre agent IA, produits, offres, voix de marque, fichiers uploadés
• Conversations : messages échangés entre vos visiteurs et votre agent IA, incluant les identifiants utilisateur fournis par le canal
• Données Meta / Instagram (uniquement si vous connectez un compte Instagram) : ID et nom du compte business, contenus des messages, profils basiques des personnes qui vous écrivent, tels que retournés par la Graph API de Meta

Lorsque vous réservez un appel via Cal.com : email, prénom, nom, numéro de téléphone (si rempli) et créneau choisi. Ces informations sont traitées par Cal.com en qualité de sous-traitant et transmises à Zenask.

Nous traitons vos données pour les finalités suivantes :

• Fournir et opérer le Service (authentification, hébergement de l’agent, inbox, paiements) — exécution d’un contrat (art. 6.1.b RGPD)
• Envoyer des emails transactionnels (compte, sécurité, facturation) — exécution d’un contrat
• Mesurer l’audience et l’efficacité publicitaire sur notre site et notre blog (Meta Pixel, Meta Conversions API, Google Analytics, Linkjolt) — consentement (art. 6.1.a RGPD), révocable à tout moment
• Cibler et reciblage publicitaire sur Meta — consentement
• Prévention de la fraude, sécurité et journalisation — intérêt légitime (art. 6.1.f)
• Obligations comptables et légales — obligation légale (art. 6.1.c)

Nous ne vendons pas vos données. Nous n’utilisons pas le contenu de vos conversations pour entraîner des modèles d’IA.

Sur notre site public et notre blog, nous utilisons des outils de mesure et de publicité pour évaluer l’efficacité de nos campagnes et adapter nos contenus.Aucun de ces outils n’est chargé tant que vous n’avez pas donné votre consentement via notre bandeau cookies.

• Meta Pixel (Meta Platforms Ireland Ltd.) — tracking côté navigateur des visites et des clics sur nos boutons « Réserver un appel ». Cookies _fbp et _fbc déposés.
• Meta Conversions API (CAPI) — envoi côté serveur des mêmes événements à Meta pour améliorer la fiabilité de la mesure (contournement des bloqueurs de publicité). Les données transmises sont les mêmes que celles du Pixel, avec les champs email / prénom / nom / téléphone hachés en SHA-256 lorsqu’ils sont disponibles.
• Google Analytics 4 (Google Ireland Ltd.) — mesure d’audience agrégée. Cookies _ga, _gid.
• Microsoft Clarity (Microsoft Corporation) — mesure d’audience, heatmaps et replay anonymisé de sessions pour comprendre comment notre site est utilisé. Cookies _clck et _clsk. Les replays n’incluent pas les champs de saisie sensibles (masqués par défaut).
• Linkjolt — attribution des visites issues de nos liens de campagne.

Voir le détail complet (nom, durée, finalité, émetteur) dans notre politique cookies.

Lorsqu’un visiteur réserve un appel via Cal.com, Zenask transmet à Meta un événement dit « Schedule » via l’API Conversions. Cet événement contient : l’email, le prénom, le nom et éventuellement le téléphone du visiteur, tous hachés en SHA-256 avant envoi.

La base légale de ce traitement est l’intérêt légitime (art. 6.1.f RGPD) : mesurer l’efficacité de nos campagnes publicitaires sur des appels effectivement réservés. Nous considérons que cet intérêt légitime prévaut sur les droits du visiteur pour les raisons suivantes :

• Le visiteur a volontairement rempli un formulaire de réservation — acte positif, libre et informé
• Les données transmises sont limitées à celles strictement nécessaires
• Toutes les données d’identification sont hachées irréversiblement avant envoi (principe de minimisation)
• Le visiteur peut à tout moment s’opposer au traitement en écrivant à admin@zenask.ai
• L’annulation du rendez-vous sur Cal.com interrompt par ailleurs tout traitement lié à ce rendez-vous

Nous partageons le minimum de données nécessaires avec les sous-traitants suivants, tous engagés contractuellement au respect du RGPD :

• Amazon Web Services (AWS) — hébergement et stockage de fichiers (région UE / Irlande)
• Stripe — traitement des paiements (IE / USA, Data Privacy Framework)
• Google Ireland Ltd. (Gemini, Analytics) — inférence LLM et mesure d’audience
• Microsoft Corporation (Clarity) — mesure d’audience et heatmaps (USA, Data Privacy Framework + SCC)
• xAI (Grok), OpenAI — inférence LLM (USA, SCC) ; les fournisseurs agissent comme sous-traitants et n’entraînent pas leurs modèles sur nos données
• Meta Platforms Ireland Ltd. — Graph API Instagram (produit) + Meta Pixel / Conversions API (mesure publicitaire)
• Cal.com, Inc. — prise de rendez-vous
• Axeptio — gestion du consentement cookies (CMP, conservé en France)
• Resend — envoi d’emails transactionnels
• Linkjolt — attribution publicitaire

Certains sous-traitants (Stripe, OpenAI, xAI, Meta, Cal.com) peuvent traiter des données personnelles en dehors de l’Union Européenne, notamment aux États-Unis. Dans ce cas, nous nous appuyons sur :

• les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne ;
• le Data Privacy Framework (DPF) pour les fournisseurs certifiés (Meta, Google, Stripe).

• Données de compte et facturation : pendant toute la durée de votre abonnement, puis 10 ans pour les obligations comptables
• Conversations et messages Meta / Instagram : tant que votre compte est actif ou jusqu’à suppression par vous
• Logs techniques : 90 jours
• Registre des consentements cookies : 3 ans (conformément aux recommandations CNIL)
• Données de mesure d’audience et publicité : 13 mois maximum (durée de vie standard des cookies Meta et Google)

À la suppression de votre compte, nous supprimons ou anonymisons vos données personnelles dans un délai de 30 jours, sauf pour ce que la loi nous impose de conserver.

Conformément au RGPD, vous disposez des droits d’accès, de rectification, d’effacement, de portabilité, de limitation, d’opposition et du retrait de votre consentement à tout moment. Vous pouvez également définir des directives post-mortem concernant vos données.

Pour exercer ces droits, écrivez à admin@zenask.ai — nous répondrons dans un délai maximum de 30 jours.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés).

Nous utilisons des cookies et traceurs similaires. Le détail complet — nom, finalité, durée, émetteur — figure dans notre politique cookies. Vous pouvez modifier vos préférences à tout moment via le lien « Gérer mes cookies » en pied de page.

Cette section précise quelles données issues de votre compte Instagram nous accédons via l’API Meta, à quelles fins, et comment elles sont protégées et supprimées. Elle complète la section 1 en se concentrant sur la connexion Instagram.

Permissions demandées et données accédées

Lorsque vous connectez un compte Instagram à Zenask via Instagram Login, vous nous accordez les permissions suivantes :

• instagram_business_basic — identifiant du compte (ig_user_id), nom d’utilisateur, photo de profil, type de compte (business / creator), nom affiché.
  Usage : afficher le compte connecté dans votre tableau de bord, router les événements webhook entrants vers le bon agent Zenask, identifier l’expéditeur lorsqu’il vous écrit en DM.
• instagram_business_manage_messages — contenu textuel des messages directs (DM) reçus, pièces jointes (images, vidéos, audio, partages de stories ou de posts), identifiant et profil basique de l’expéditeur, horodatage, accusés de lecture.
  Usage : afficher les conversations dans votre inbox Zenask ; permettre à votre agent IA de générer et envoyer des réponses automatiques en votre nom (lorsque cette fonctionnalité est activée) ; permettre à un utilisateur humain (vous ou un membre de votre équipe) de reprendre la main et de répondre manuellement (fonctionnalité « Human Agent »).
• instagram_business_manage_comments — contenu des commentaires sur vos posts Instagram, identifiant et nom de l’auteur du commentaire, identifiant du post concerné.
  Usage : afficher les commentaires dans l’inbox Zenask, permettre à votre agent IA de répondre publiquement, ou d’initier une conversation privée en DM en réponse à un commentaire.

Traitement par notre IA

Le contenu des messages et des commentaires reçus via Instagram est transmis aux modèles de langage (LLM) listés en section 5 (Google Gemini, OpenAI, xAI Grok) afin que votre agent puisse comprendre et formuler une réponse. Ces fournisseurs agissent en qualité de sous-traitants au sens de l’article 28 du RGPD : ils traitent les données uniquement pour générer la réponse demandée, ne les conservent pas durablement, et n’entraînent pas leurs modèles sur vos données. Vos données Instagram ne sont jamais transmises à des tiers à des fins publicitaires, marketing ou de revente.

Stockage et sécurité

• Les tokens d’accès Instagram sont chiffrés au repos (AES-GCM) dans notre base de données.
• Toutes les données Meta sont stockées en Union Européenne (AWS région eu-west-3, Paris).
• Les transferts API se font exclusivement en TLS 1.2+.
• L’accès aux systèmes de production est restreint à un nombre limité de personnes et journalisé.

Information des utilisateurs Instagram

Lorsqu’un utilisateur Instagram vous écrit, ses messages sont traités par Zenask au nom de votre compte. En tant que titulaire du compte, vous êtes responsable de la configuration de votre agent — Zenask met à votre disposition les outils nécessaires (instructions système, message d’introduction, prompts personnalisables) pour que votre agent réponde de manière honnête et transparente lorsqu’un abonné lui demande explicitement s’il s’agit d’une intelligence artificielle, conformément aux bonnes pratiques de transparence et aux Platform Terms de Meta.

Conservation et suppression

Les données Meta / Instagram sont conservées tant que votre compte Zenask est actif et que la connexion Instagram n’est pas révoquée. Plusieurs mécanismes de suppression existent :

• Déconnexion depuis Zenask : depuis votre tableau de bord, vous pouvez déconnecter votre compte Instagram à tout moment. Cela révoque immédiatement le token d’accès, cesse la réception des webhooks, et planifie la suppression des données associées sous 30 jours.
• Désautorisation depuis Instagram : si vous retirez Zenask depuis vos paramètres Instagram (« Apps and Websites → Remove »), Meta nous notifie automatiquement via le deauthorize_callback. Nous marquons immédiatement la connexion comme déconnectée.
• Demande de suppression via Meta : si vous cochez « Also delete my data » lors du retrait depuis Instagram, Meta nous notifie via le data_deletion_callback. Nous procédons à la suppression définitive des données associées sous 30 jours.
• Demande manuelle : envoyez un email à admin@zenask.ai depuis l’adresse liée à votre compte. Nous traitons votre demande sous 30 jours.

Zenask n’est pas destiné aux personnes de moins de 16 ans (Union Européenne) ni aux personnes de moins de 13 ans (autres juridictions). Nous ne collectons pas sciemment de données de mineurs en deçà de ces seuils. Si nous apprenons qu’un compte Zenask appartient à un mineur, nous le supprimons. Si vous pensez qu’un mineur nous a transmis des données personnelles, contactez admin@zenask.ai.

Les mots de passe sont hachés via Argon2. Les sessions utilisent des JWT signés stockés dans des cookies HTTP-only. Les données en transit sont chiffrées via TLS. L’accès aux systèmes de production est restreint et journalisé.

Nous pouvons mettre à jour cette politique. Les modifications substantielles vous seront notifiées par email ou dans le produit avant leur entrée en vigueur.