Politique de confidentialité

Dernière mise à jour : 8 April 2026

EN FR

Cette Politique de confidentialité explique comment CallMeLater et Memline collectent, utilisent et protègent les données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et au droit belge de la protection des données.

1. Responsable du traitement

Canell SRL (numéro d'entreprise belge BE0778.716.691) est le responsable du traitement pour CallMeLater (API B2B) et Memline (application mobile).

Email de contact : privacy@callmelater.io
Email juridique : legal@callmelater.io
Adresse de l'entreprise : avenue de l'avenir 7, 1330 Rixensart, Belgium

2. Champ d'application

Cette politique couvre deux produits exploités par Canell SRL :

  • CallMeLater — une API B2B pour planifier des webhooks HTTP et des rappels
  • Memline — une application mobile grand public pour planifier des rappels personnels

Canell SRL est le responsable du traitement pour les données de compte utilisateur. Lorsque les utilisateurs soumettent des données de destinataires (adresses email, numéros de téléphone) pour envoyer des rappels en leur nom, l'utilisateur agit en tant que responsable du traitement pour ces données de destinataires, et Canell SRL agit en tant que sous-traitant suivant les instructions de l'utilisateur.

3. Données que nous collectons

Nous collectons et traitons les catégories suivantes de données personnelles :

3.1 Données de compte

  • Adresse email
  • Nom (optionnel)
  • Hash du mot de passe (bcrypt)
  • Identifiant unique Memline (memline_id)
  • Fuseau horaire et préférences de langue
  • Horodatages de création de compte et de dernière connexion

3.2 Données de compte invité

  • Identifiant de l'appareil (via le plugin @capacitor/device)
  • Plateforme de l'appareil et version de l'application
  • Aucune adresse email jusqu'à ce que l'utilisateur migre vers un compte complet

3.3 Contenu des actions et rappels

  • Nom et description de l'action
  • Heure d'exécution planifiée
  • Entités de métadonnées (dates, heures, personnes extraites du contenu)
  • Portes de confirmation et règles de récurrence

3.4 Enregistrements vocaux

  • Blobs audio enregistrés via le microphone de l'appareil
  • Texte transcrit généré par les fournisseurs d'IA (Anthropic ou OpenAI)
  • Les enregistrements vocaux sont envoyés aux fournisseurs d'IA pour transcription lorsque l'utilisateur choisit d'utiliser la fonctionnalité d'entrée vocale

3.5 Photos jointes

  • Images jointes aux rappels
  • Les photos sont envoyées aux fournisseurs d'IA (Anthropic ou OpenAI) pour analyse uniquement lorsque l'utilisateur appuie sur « Suggestion IA »
  • Les photos sont stockées sur les serveurs de Canell pendant toute la durée de vie du rappel

3.6 Contacts

  • Noms, adresses email et numéros de téléphone importés depuis l'appareil ou saisis manuellement
  • Ces contacts sont stockés pour faciliter l'envoi de rappels au nom de l'utilisateur

3.7 Données des destinataires

  • Adresses email et numéros de téléphone des personnes recevant des rappels
  • Statut de livraison (envoyé, délivré, rejeté, cliqué)
  • Jetons de réponse (jetons à usage unique pour confirmer ou répondre aux rappels)

3.8 Emails transférés

  • Sujet, corps et pièces jointes des emails transférés vers l'adresse de boîte de réception Memline unique de l'utilisateur (par ex., user123@inbox.callmelater.io)
  • Adresse email de l'expéditeur et horodatage

3.9 Jetons de notification push

  • Jetons Firebase Cloud Messaging (FCM) pour Android
  • Jetons Apple Push Notification Service (APNs) pour iOS

3.10 Métadonnées de l'appareil

  • Plateforme (iOS, Android, web)
  • Version de l'application
  • Horodatage de dernière activité

3.11 Journaux d'utilisation

  • Adresses IP (pour la sécurité et la prévention des abus)
  • Horodatages d'action (créée, exécutée, échouée)
  • Compteurs de quota (actions créées, exécutions, échecs)

3.12 Données de paiement

  • Les données de paiement sont traitées entièrement par Stripe (notre processeur de paiement)
  • Nous stockons uniquement votre identifiant client Stripe et le statut de votre abonnement
  • Nous ne stockons pas les numéros de carte de crédit, CVV ou autres informations de paiement sensibles

4. Comment nous utilisons vos données

Nous traitons les données personnelles aux fins suivantes :

  • Fonctionnement du service — pour exploiter CallMeLater et Memline, exécuter les actions planifiées, livrer les rappels et gérer votre compte
  • Assistance IA — pour fournir des fonctionnalités optionnelles alimentées par l'IA (transcription vocale, analyse de texte, analyse de photos, suggestions intelligentes)
  • Communication — pour envoyer des rappels par email/SMS en votre nom, livrer des emails transactionnels (réinitialisations de mot de passe, reçus) et envoyer des annonces de service
  • Sécurité et prévention des abus — pour détecter et prévenir la fraude, le spam et les abus du service
  • Facturation — pour gérer les abonnements, traiter les paiements et émettre des factures
  • Support client — pour répondre aux demandes de support et résoudre les problèmes
  • Analytique produit — pour comprendre comment le service est utilisé et améliorer les fonctionnalités du produit (uniquement si vous y consentez)

5. Bases juridiques du traitement (RGPD Art. 6)

Nous nous appuyons sur les bases juridiques suivantes pour traiter les données personnelles :

  • Exécution du contrat (Art. 6(1)(b)) — le traitement est nécessaire pour exploiter votre compte, livrer les rappels et remplir nos obligations contractuelles
  • Intérêt légitime (Art. 6(1)(f)) — le traitement est nécessaire pour la surveillance de la sécurité, la détection de fraude, les mesures anti-abus, la fiabilité du service et les améliorations du produit. Nous avons mis en balance ces intérêts avec vos droits et libertés.
  • Consentement (Art. 6(1)(a)) — nous obtenons votre consentement explicite avant de :
    • Traiter des enregistrements vocaux ou des photos avec l'IA
    • Envoyer des emails marketing
    • Utiliser des outils d'analytique optionnels (lorsque disponibles)
    Vous pouvez retirer votre consentement à tout moment via les Paramètres.
  • Obligation légale (Art. 6(1)(c)) — le traitement est requis pour se conformer à la législation fiscale, aux exigences comptables ou aux demandes légales des autorités

6. IA et traitement automatisé

Memline propose des fonctionnalités optionnelles alimentées par l'IA qui utilisent des fournisseurs d'IA tiers :

Fournisseurs d'IA

  • Anthropic (États-Unis) — modèles Claude pour la transcription vocale, l'analyse de texte et les suggestions intelligentes
  • OpenAI (États-Unis) — modèles GPT pour la transcription vocale et l'analyse d'images

Quelles données sont envoyées aux fournisseurs d'IA ?

Les fonctionnalités d'IA sont optionnelles par action. Les données ne sont envoyées aux fournisseurs d'IA que lorsque vous :

  • Enregistrez une note vocale (l'audio est transcrit en texte)
  • Appuyez sur « Suggestion IA » sur un rappel avec des photos (les images sont analysées pour leur contenu)
  • Utilisez les fonctionnalités de suggestion intelligente (le texte est analysé pour les dates, heures, personnes)

Si vous n'utilisez pas ces fonctionnalités, aucune donnée n'est envoyée aux fournisseurs d'IA.

Traitement des données par les fournisseurs d'IA

  • Le contenu est envoyé dans le cadre d'un Accord de Traitement de Données (DPA) avec des Clauses Contractuelles Types (CCT)
  • Les données API ne sont pas utilisées pour entraîner des modèles publics (selon les politiques de conservation des données API d'Anthropic et OpenAI)
  • Les fournisseurs d'IA conservent les données pendant un maximum de 30 jours pour la surveillance des abus, puis les suppriment

Aucune prise de décision automatisée

Nous n'utilisons pas l'IA pour une prise de décision automatisée qui aurait des effets juridiques ou similaires significatifs sur vous. Les suggestions de l'IA sont toujours optionnelles et contrôlées par l'utilisateur.

7. Partage et sous-traitants

Nous partageons les données personnelles avec des sous-traitants de confiance pour exploiter le service. Une liste complète des sous-traitants est disponible sur /subprocessors.

Principaux sous-traitants par catégorie

  • Hébergement — OVH (France, UE)
  • Paiements — Stripe (Irlande + États-Unis)
  • Email transactionnel — Postmark (États-Unis)
  • Livraison SMS — Brevo (France, UE)
  • Traitement IA — Anthropic (États-Unis), OpenAI (États-Unis)
  • Notifications push — Apple APNs (États-Unis), Google FCM (États-Unis)
  • Analytique — Aucune au lancement. Lorsqu'ajoutée (Google Analytics, Meta Pixel), les utilisateurs seront notifiés 30 jours à l'avance et les cookies d'analytique ne se chargeront qu'après consentement explicite.
  • Suivi des erreurs — Aucun au lancement

Tous les sous-traitants traitent les données dans le cadre d'Accords de Traitement de Données (DPA) conformes au RGPD avec des mesures techniques et organisationnelles appropriées.

8. Transferts internationaux

Notre infrastructure principale (OVH) et notre fournisseur SMS (Brevo) sont hébergés dans l'Union européenne.

Les données sont transférées vers les États-Unis pour les processeurs suivants :

  • Stripe (paiements)
  • Postmark (email transactionnel)
  • Anthropic et OpenAI (traitement IA, optionnel uniquement)
  • Apple APNs et Google FCM (notifications push)

Garanties pour les transferts vers les États-Unis

Nous nous appuyons sur les garanties suivantes pour les transferts vers les États-Unis :

  • Clauses Contractuelles Types (CCT) — Décision de la Commission européenne 2021/914
  • Mesures supplémentaires — chiffrement en transit (TLS 1.2+), pseudonymisation lorsque réalisable, droits d'audit contractuels

Une Évaluation d'Impact des Transferts (TIA) formelle est prévue après le lancement pour évaluer les risques et documenter les garanties supplémentaires.

9. Conservation des données

Nous ne conservons les données personnelles que le temps nécessaire pour fournir le service ou nous conformer aux obligations légales :

  • Comptes actifs — les données sont conservées tant que votre compte existe
  • Comptes supprimés — les données sont purgées sous 30 jours (conservation de sauvegarde : 90 jours)
  • Comptes invités — automatiquement purgés après 180 jours d'inactivité
  • Journaux d'exécution d'action — conservés pendant 365 jours sur le plan gratuit, configurable jusqu'à 3 ans pour les plans payants
  • Enregistrements vocaux (sur l'appareil) — stockés jusqu'à ce que vous supprimiez le rappel
  • Enregistrements vocaux (envoyés à l'IA) — supprimés par le fournisseur sous 30 jours
  • Journaux IP/Sécurité — conservés pendant 12 mois

10. Vos droits (RGPD Art. 12-22)

Vous disposez des droits suivants en vertu du RGPD :

  • Droit d'accès (Art. 15) — demander une copie de vos données personnelles
  • Droit de rectification (Art. 16) — corriger les données inexactes
  • Droit à l'effacement (Art. 17) — demander la suppression de vos données (« droit à l'oubli »)
  • Droit à la limitation (Art. 18) — limiter la façon dont nous traitons vos données
  • Droit à la portabilité (Art. 20) — recevoir vos données dans un format lisible par machine (JSON)
  • Droit d'opposition (Art. 21) — s'opposer au traitement fondé sur l'intérêt légitime
  • Droit de retirer le consentement — retirer le consentement pour le traitement IA, le marketing ou l'analytique à tout moment
  • Droit de porter plainte — déposer une plainte auprès de l'Autorité belge de protection des données

Comment exercer vos droits

Vous pouvez exercer vos droits en :

  • Envoyant un email à privacy@callmelater.io
  • Utilisant les Paramètres dans l'application → Confidentialité → Exporter les données / Supprimer le compte

Nous répondrons à votre demande sous 30 jours.

11. Enfants

CallMeLater et Memline ne sont pas destinés aux utilisateurs de moins de 16 ans. Si nous apprenons que nous avons collecté des données personnelles d'un utilisateur de moins de 16 ans sans consentement parental, nous supprimerons le compte et les données associées.

Si vous pensez qu'un enfant de moins de 16 ans a créé un compte, veuillez nous contacter à privacy@callmelater.io.

12. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles, notamment :

  • Chiffrement en transit — TLS 1.2+ pour toutes les connexions HTTP
  • Hachage des mots de passe — bcrypt avec sels par utilisateur
  • Stockage sécurisé des jetons — stockage sécurisé Capacitor pour les jetons d'authentification de l'application mobile
  • Contrôle d'accès basé sur les rôles (RBAC) — accès backend restreint par rôle
  • Surveillance de la sécurité — journalisation et alertes pour activité suspecte

Aucun système de sécurité n'est parfait. Si vous découvrez une vulnérabilité de sécurité, veuillez la signaler de manière responsable à legal@callmelater.io.

13. Cookies

CallMeLater et Memline utilisent uniquement des cookies strictement nécessaires pour l'authentification et la sécurité. Pour plus de détails, consultez notre Notice sur les cookies.

14. Modifications de cette politique

Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre pour refléter les changements dans nos services, les exigences légales ou les pratiques de traitement des données.

Toutes les versions de la politique sont suivies avec une date de version (voir en haut de page). Si nous apportons des modifications substantielles, nous :

  • Vous notifierons par email ou notification dans l'application
  • Vous inviterons à nouveau à accepter la politique mise à jour avant de pouvoir continuer à utiliser le service

15. Contact

Pour les questions, demandes ou plaintes relatives à la confidentialité, veuillez nous contacter à :

Canell SRL
Belgique
Numéro d'entreprise : BE0778.716.691
Email : privacy@callmelater.io
Adresse postale : avenue de l'avenir 7, 1330 Rixensart, Belgium

16. Autorité de contrôle

Vous avez le droit de porter plainte auprès de l'Autorité belge de protection des données :

Autorité de protection des données (APD)
Gegevensbeschermingsautoriteit (GBA)
Rue de la Presse 35
1000 Bruxelles, Belgique
Email : contact@apd-gba.be
Site web : https://www.autoriteprotectiondonnees.be