Politique de confidentialité
Cette politique décrit quelles données personnelles Pulzeo collecte, pourquoi, comment elles sont protégées, et quels droits vous avez sur ces données. Elle s'applique à tous les utilisateurs du service, qu'ils soient situés en Europe, à Maurice ou ailleurs.
Qui sommes-nous
Le responsable de traitement des données personnelles collectées via Pulzeo est :
- Ecom Liberty, entreprise enregistrée à l'Île Maurice, BRN I21008419
- Royal Road, Les Terrasses du Barachois, 90901, Tamarin, Mauritius
- Email DPO / RGPD : privacy@pulzeo.com
Bien qu'Ecom Liberty soit basée à l'Île Maurice (et donc soumise au Mauritius Data Protection Act 2017), nous appliquons aussi le Règlement Général sur la Protection des Données (RGPD)dès lors que nous traitons des données de résidents de l'Espace économique européen.
Représentant dans l'Union européenne
Ecom Liberty est établie hors de l'Espace économique européen (Île Maurice). À ce jour, Pulzeo n'a pas désigné de représentant dans l'Union européenneau sens de l'article 27 du RGPD, en application de l'exemption prévue à l'article 27.2.a (traitement occasionnel, n'incluant pas, à grande échelle, des données sensibles ou relatives à des condamnations pénales, et n'étant pas susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées).
Cette analyse repose sur les éléments suivants :
- Pulzeo est un service strictement B2Bdestiné aux professionnels du marketing digital (agences, freelances, annonceurs). Aucun usage grand public n'est proposé.
- Les traitements de données de résidents de l'Union sont occasionnelsau regard de l'activité globale d'Ecom Liberty et ne constituent pas un suivi régulier systématique du comportement des personnes concernées.
- Pulzeo ne traite aucune catégorie particulière de donnéesau sens de l'article 9 du RGPD (santé, opinions politiques, données biométriques, orientation sexuelle, etc.) ni de données relatives à des condamnations pénales ou infractions (art. 10).
- Au regard du contexte, de la portée, du contexte et des finalités des traitements, le risque pour les droits et libertés des personnes concernées est évalué comme faible.
Cette position est réévaluée à chaque évolution significative du service. Si l'activité de Pulzeo venait à élargir son périmètre (ouverture B2C, fonctionnalités de profilage publicitaire, traitement de données sensibles, croissance significative du volume d'utilisateurs UE), un représentant UE serait formellement désigné conformément à l'article 27 du RGPD et cette politique serait mise à jour en conséquence.
Dans l'intervalle, les personnes concernées résidant dans l'Union européenne peuvent exercer l'ensemble de leurs droits directement auprès de notre point de contact RGPD : privacy@pulzeo.com. Elles conservent par ailleurs le droit de saisir l'autorité de contrôle de leur pays de résidence (en France, la CNIL).
Données collectées
Informations de compte
- Adresse email(nécessaire à la création de compte et à l'authentification)
- Mot de passe (haché via bcrypt, jamais stocké en clair)
- Nom de l'organisation (par défaut votre email, modifiable)
- Préférences d'affichage (thème clair/sombre, langue, fuseau horaire)
Informations de facturation
- Pour les plans payants : nom, adresse de facturation, informations de paiement (gérées exclusivement par Stripe. Nous ne stockons aucune donnée de carte bancaire).
- Identifiant client Stripe associé à votre organisation.
Données techniques
- Adresse IP (utilisée pour le rate limiting et la détection d'abus, jamais associée à un profil marketing).
- User-Agent du navigateur (debug et compatibilité).
- Logs d'erreur runtime applicatifs (anonymisés, tokens et secrets filtrés).
Données Google Ads accédées via OAuth
Pulzeo se connecte à votre compte Google Ads via le mécanisme OAuth 2.0 de Google. Vous nous autorisez explicitement à accéder à votre compte et pouvez révoquer cette autorisation à tout moment depuis votre compte Google.
Scopes OAuth demandés
| Scope | Pourquoi |
|---|---|
https://www.googleapis.com/auth/adwords | Accès en lecture et en écritureà vos comptes Google Ads. Google Ads API ne propose pas de scope en lecture seule : ce scope unique couvre les deux modes d'accès, mais Pulzeo n'exécute aucune action d'écriture sans votre déclenchement explicite. Usages en lecture : synchronisation des comptes, campagnes, groupes d'annonces, annonces, mots-clés et métriques de performance pour alimenter le tableau de bord, les rapports et les analyses. Usages en écriture(à votre initiative uniquement) : pause ou reprise de mots-clés et campagnes sous-performantes, ajustement de budgets, application des recommandations générées par notre assistant Zeo. Chaque action d'écriture est précédée d'une confirmation explicite de votre part et tracée dans nos journaux internes. |
https://www.googleapis.com/auth/tagmanager.edit.containers | (Optionnel) Lecture et création de tags Google Tag Manager pour la fonctionnalité d'assistant de configuration de conversions. Activé uniquement si vous initiez ce flux. Chaque création de tag est déclenchée explicitement par vous, jamais en arrière-plan. |
Ce que nous stockons réellement
L'application stocke en base de données :
- Tokens OAuth (access token, refresh token), chiffrés AES-256-GCM avant insertion en base.
- Liste des comptes Google Ads connectés (ID, nom, devise, statut).
- Métriques agrégées par jour (impressions, clics, coût, conversions, ROAS, CPA…), pour permettre les comparaisons historiques sans re-fetch.
- Liste des campagnes, ad groups, annonces, mots-clés synchronisés depuis Google Ads.
Nous ne stockons jamais : votre mot de passe Google, vos données bancaires liées à Google Ads, vos données de facturation Google Ads.
Conformité Google API Services User Data Policy
L'utilisation que Pulzeo fait des données reçues via l'API Google Ads respecte les Google API Services User Data Policy, y compris les exigences de Limited Use. Concrètement :
- Les données Google Ads ne sont utilisées que pour fournir les fonctionnalités du service Pulzeo (tableau de bord, rapports, analyses, audits de tracking, actions d'optimisation déclenchées par l'utilisateur) à l'utilisateur qui a connecté son compte.
- Aucune donnée Google Ads n'est transférée à des tiers à des fins publicitaires ou de revente.
- Aucune donnée Google Ads n'est utilisée pour entraîner des modèles d'intelligence artificielle généralistes.
- Les humains chez Pulzeo n'accèdent à vos données qu'à votre demande explicite (support technique) ou sous obligation légale.
Finalités et bases légales
| Finalité | Données concernées | Base légale (RGPD) |
|---|---|---|
| Fourniture du service Pulzeo | Compte, organisation, tokens OAuth, métriques | Exécution du contrat (art. 6.1.b) |
| Facturation | Email, infos de facturation, ID Stripe | Exécution du contrat + obligation légale (art. 6.1.b et c) |
| Sécurité et détection d'abus | IP, logs d'erreur, rate limit counters | Intérêt légitime (art. 6.1.f) |
| Amélioration du produit | Logs anonymisés, métriques d'usage | Intérêt légitime (art. 6.1.f) |
| Communications transactionnelles (rapports envoyés) | Email, contenu du rapport | Exécution du contrat (art. 6.1.b) |
Profilage et décisions automatisées
L'application Pulzeo embarque un assistant intelligent baptisé Zeo, qui s'appuie sur des modèles de langage tiers (notamment Anthropic Claude) pour produire des analyses de campagnes, des recommandations d'optimisation et des synthèses de rapports.
Au sens de l'article 22 du RGPD, ces traitements constituent une aide à la décisionet non une décision automatisée produisant des effets juridiques ou affectant significativement la personne concernée. Concrètement :
- Aucune décision contractuelle, financière ou juridique opposable à un tiers n'est prise par Pulzeo sur la seule base des sorties produites par Zeo, sans intervention humaine de l'utilisateur professionnel.
- Les analyses produites par Zeo sont des suggestions consultativesdestinées à l'utilisateur. Ce dernier reste seul décisionnaire de leur exploitation auprès de ses propres campagnes ou de ses clients.
- Aucun score automatisén'est attribué aux utilisateurs Pulzeo ni aux personnes concernées par les campagnes analysées (employés, clients, audiences).
- Aucun profilage publicitairedes utilisateurs Pulzeo n'est réalisé à des fins de ciblage, de mesure d'audience ou de revente à des tiers.
- Les données Google Ads transmises à Anthropic dans le cadre d'une analyse Zeo ne sont pas utilisées pour entraîner les modèles de langage tiers (cf. conditions Anthropic « zero retention »).
Si vous estimez qu'une analyse produite par Zeo vous a induit en erreur ou si vous souhaitez la contester, écrivez-nous à privacy@pulzeo.com. Une revue humaine est systématiquement accessible sur simple demande.
Durées de conservation
- Compte actif : tant que votre compte Pulzeo est actif.
- Après suppression de compte : les données sont supprimées sous 30 jours, à l'exception des données comptables conservées 10 ans (obligation fiscale mauricienne).
- Logs d'erreur : 30 jours puis purge automatique.
- Métriques Google Ads synchronisées : conservées tant que le compte Google Ads est connecté ; supprimées si vous déconnectez le compte.
- Tokens OAuth Google Ads : supprimés immédiatement si vous déconnectez le compte ou si Google révoque le token.
- Cookies de session : durée de la session + 7 jours de refresh.
- Cookie de préférences cookies : 13 mois (recommandation CNIL).
Sous-traitants
Pour fournir le service, Pulzeo s'appuie sur des prestataires techniques qui peuvent traiter vos données pour notre compte. Tous sont liés par contrat et engagés à respecter le RGPD.
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Vercel Inc. | Hébergement applicatif, edge network | États-Unis (régions multiples) |
| Supabase Inc. | Base de données PostgreSQL, authentification | Singapore, base hébergée AWS région UE |
| Resend Inc. | Envoi d'emails transactionnels | États-Unis |
| Anthropic PBC | Service Claude. Analyses générées par Zeo. Données transmises uniquement quand vous activez explicitement l'option « Analyse Zeo » sur un rapport. | États-Unis |
| Google LLC | API Google Ads (lecture et écriture sur vos comptes, à votre initiative), Google Tag Manager | États-Unis |
| Stripe Inc. | Traitement des paiements pour les plans payants | États-Unis (succursales locales pour la facturation EU) |
| Upstash Inc. | Stockage clé-valeur Redis pour le rate limiting (compteurs de requêtes par utilisateur) | États-Unis |
| OVH SAS | Boîtes mail professionnelles (contact@, support@, etc.) | France |
Transferts de données hors Union européenne
Plusieurs de nos sous-traitants sont basés aux États-Unis. Pour encadrer ces transferts, nous nous appuyons sur :
- Le Data Privacy Framework UE / États-Unis, lorsque les sous-traitants y sont certifiés.
- Les clauses contractuelles types (CCT) de la Commission européenne pour les autres cas, complétées au besoin par des mesures supplémentaires.
L'Île Maurice fait par ailleurs l'objet d'une décision d'adéquation partielle de la Commission européenne (2024). Les transferts depuis l'UE vers Ecom Liberty bénéficient à ce titre d'un cadre simplifié.
Vos droits
Conformément au RGPD et au Mauritius Data Protection Act 2017, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir une copie des données qu'on détient sur vous.
- Droit de rectification : corriger des données inexactes.
- Droit à l'effacement(« droit à l'oubli ») : demander la suppression de vos données, dans la limite de nos obligations légales.
- Droit à la limitation du traitement.
- Droit à la portabilité : récupérer vos données dans un format structuré et lisible (JSON / CSV).
- Droit d'oppositionà un traitement fondé sur l'intérêt légitime.
- Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement.
- Droit d'introduire une réclamationauprès d'une autorité de contrôle (CNIL en France, ou Data Protection Office à Maurice).
Pour exercer ces droits, écrivez-nous à privacy@pulzeo.com. Nous répondons sous 30 jours maximum.
Cookies
Pulzeo utilise des cookies pour faire fonctionner le service et, sous réserve de votre consentement, mesurer l'audience ou améliorer l'expérience. Pour la liste complète des cookies, leur durée, leur finalité et le détail du mécanisme de consentement, consultez notre politique cookies dédiée.
Cookies strictement nécessaires (déposés sans consentement)
| Nom | Finalité | Durée |
|---|---|---|
sb-*-auth-token | Session d'authentification (Supabase Auth) | 1 heure (rafraîchi automatiquement) |
sb-*-refresh-token | Rafraîchissement automatique de la session | 7 jours |
pulzeo_cookie_consent | Mémorisation de vos préférences cookies | 13 mois |
Cookies optionnels (soumis à consentement)
À ce jour, Pulzeo n'utilise aucun cookie tiers pour la mesure d'audience, le marketing ou la personnalisation. Si nous en ajoutons à l'avenir, ils ne seront déposés qu'après votre consentement explicite via notre bandeau cookies.
Vous pouvez à tout moment modifier vos préférences cookies via le lien « Gérer les cookies » en bas de page.
Sécurité
Les mesures techniques et organisationnelles que nous mettons en place pour protéger vos données sont détaillées sur notre page Sécurité. Synthétiquement : chiffrement TLS en transit, AES-256 au repos pour les tokens, isolation par tenant via Row Level Security PostgreSQL, authentification déléguée à Supabase Auth (bcrypt), monitoring actif des endpoints critiques.
Notification en cas de violation de données
Conformément aux articles 33 et 34 du RGPD ainsi qu'aux dispositions équivalentes du Mauritius Data Protection Act 2017, Ecom Liberty a mis en place une procédure interne de gestion des incidents de sécurité affectant les données personnelles.
Notification à l'autorité de contrôle
Toute violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées sera notifiée à l'autorité de contrôle compétente (CNIL pour les résidents de l'Union européenne, Data Protection Office à Maurice) dans un délai maximal de 72 heuresà compter de la prise de connaissance de l'incident. La notification précisera, autant que les éléments le permettent à ce stade :
- La nature de la violation, les catégories de données et le volume approximatif de personnes et d'enregistrements concernés.
- Les conséquences probables de la violation.
- Les mesures prises ou proposées pour remédier à la violation et atténuer ses conséquences éventuelles.
- Le nom et les coordonnées du point de contact RGPD chez Pulzeo.
Notification aux personnes concernées
Lorsque la violation est susceptible d'engendrer un risque élevépour vos droits et libertés, nous vous notifions également directement, par email, dans les meilleurs délais. La notification décrit en langage clair :
- La nature de l'incident.
- Ses conséquences potentielles pour vous.
- Les mesures que nous avons prises et celles que nous vous recommandons d'adopter (changement de mot de passe, révocation de tokens, surveillance de vos comptes connectés, etc.).
- Les coordonnées de notre point de contact RGPD pour toute précision.
Registre interne des violations
Toute violation de données, y compris celles n'ayant pas donné lieu à notification (risque faible), est documentée dans un registre interne tenu par Ecom Liberty, conformément à l'article 33.5 du RGPD. Ce registre est tenu à disposition de l'autorité de contrôle compétente sur demande.
Modifications de cette politique
Nous pouvons être amenés à mettre à jour cette politique pour refléter des changements de service, des nouvelles obligations légales ou de nouveaux sous-traitants. La date de dernière mise à jour est indiquée en haut de page. Pour les changements substantiels, nous vous notifierons par email avant entrée en vigueur.
Contact
Pour toute question relative à cette politique ou à vos données personnelles :
- privacy@pulzeo.com : questions RGPD, exercice de vos droits
- contact@pulzeo.com : autres questions