Politique de confidentialité (RGPD)
Dernière mise à jour : 2 juillet 2026
La présente politique de confidentialité décrit la manière dont les données à caractère personnel sont collectées, utilisées, conservées et protégées dans le cadre de l'utilisation du logiciel en ligne (SaaS) ThumbLead, accessible à l'adresse https://thumblead.com (ci-après le « Service »).
Elle est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci-après la « Loi Informatique et Libertés »).
L'utilisation du Service implique la prise de connaissance et l'acceptation de la présente politique. Nous vous invitons à la lire attentivement.
Article 1 — Responsable de traitement
Le responsable du traitement des données à caractère personnel collectées dans le cadre du fonctionnement du Service est l'éditeur :
- Éditeur : Enzo Violante
- SIRET : 948 968 318 000 14
- Adresse : 6 rue Émile Barthe, 34500 Béziers, France
- N° de TVA intracommunautaire : TVA non applicable, article 293 B du CGI (franchise en base de TVA)
- Contact (données personnelles) : contact@thumblead.com
- Directeur de la publication : Enzo Violante
Ci-après désigné « nous », « l'éditeur » ou « le responsable de traitement ».
L'éditeur agit en qualité de responsable de traitement pour les données qu'il détermine (données de compte, de facturation, jetons techniques, journaux, etc.). Un cas particulier s'applique aux données des prospects importées par l'utilisateur, pour lesquelles l'éditeur agit en qualité de sous-traitant (voir Article 9).
Article 2 — Données à caractère personnel collectées
Nous collectons uniquement les données strictement nécessaires aux finalités décrites à l'Article 3. Les catégories de données traitées sont les suivantes :
2.1 Données de compte
- Nom et/ou prénom (ou nom d'usage renseigné) ;
- Adresse e-mail ;
- Mot de passe, stocké de manière hachée (jamais en clair — voir Article 7) ;
- Le cas échéant, les informations issues de la connexion via un compte Google (« Google / OAuth »), telles que l'identifiant du compte et l'adresse e-mail associée.
2.2 Données de facturation
- Nom / raison sociale, adresse de facturation ;
- Le cas échéant, numéro SIRET et numéro de TVA intracommunautaire ;
- Historique des abonnements, devis, factures et avoirs ;
- Identifiants techniques associés au prestataire de paiement (voir 2.5).
Les données de carte de paiement (numéro de carte, cryptogramme) ne sont jamais collectées ni stockées par ThumbLead. Elles sont traitées directement par notre prestataire de paiement Stripe (voir Article 4). En revanche, si vous renseignez vos propres coordonnées bancaires (IBAN/BIC) pour les faire figurer sur vos factures, celles-ci sont conservées et chiffrées au repos (voir Article 7).
2.3 Données de contacts / CRM saisies par l'utilisateur
Dans le cadre des fonctionnalités de CRM et de gestion commerciale, l'utilisateur peut créer et enregistrer des fiches de contacts (clients, prospects) ainsi que des commandes. Ces données (nom, e-mail, coordonnées, notes, éléments relatifs aux chaînes YouTube prospectées, historique de commandes) sont saisies et gérées sous la seule responsabilité de l'utilisateur. Le régime applicable à ces données est précisé à l'Article 9.
2.4 Jetons d'accès OAuth Google
Lorsque l'utilisateur connecte son compte Google pour la synchronisation Google Calendar (et, le cas échéant, d'autres services Google), nous conservons des jetons d'accès et de rafraîchissement OAuth, chiffrés au repos (voir Article 7) et utilisés uniquement pour exécuter les actions demandées.
Pour l'envoi de ses séquences d'e-mails de prospection, l'utilisateur connecte sa propre boîte e-mail (SMTP). Nous conservons alors ses identifiants d'envoi (adresse e-mail et mot de passe d'application), ce dernier étant chiffré au repos (voir Article 7) et utilisé uniquement pour envoyer les e-mails qu'il programme, depuis sa propre adresse.
2.5 Identifiants Stripe
Pour la gestion des abonnements et des paiements, nous conservons les identifiants techniques attribués par Stripe (par exemple identifiant client, identifiant d'abonnement, identifiant de moyen de paiement tokenisé). Ces identifiants permettent de rattacher un abonnement à un compte, sans jamais donner accès aux coordonnées bancaires complètes.
2.6 Journaux techniques (logs)
Pour des raisons de sécurité, de diagnostic et de bon fonctionnement du Service, nous collectons des journaux techniques : adresse IP, date et heure de connexion, type de navigateur / d'appareil, pages ou fonctionnalités consultées, événements d'erreur et de sécurité.
Article 3 — Finalités et bases légales des traitements
Chaque traitement repose sur une base légale déterminée conformément à l'article 6 du RGPD.
| Finalité | Données concernées | Base légale |
|---|---|---|
| Création et gestion du compte utilisateur, fourniture du Service | Données de compte, jetons OAuth Google | Exécution du contrat (art. 6.1.b) |
| Gestion des abonnements, paiements, devis, factures et avoirs | Données de facturation, identifiants Stripe | Exécution du contrat (art. 6.1.b) et obligation légale (art. 6.1.c — obligations comptables et fiscales) |
| Fonctionnalités de CRM, d'agenda, de séquences d'e-mails et d'analyse de miniatures par IA | Données de compte, données saisies par l'utilisateur, jetons OAuth Google | Exécution du contrat (art. 6.1.b) |
| Synchronisation Google Calendar | Jetons OAuth Google | Consentement (art. 6.1.a — autorisation OAuth, révocable à tout moment) |
| Envoi des séquences d'e-mails depuis la boîte de l'utilisateur | Identifiants de la boîte d'envoi (adresse + mot de passe d'application, chiffré) | Exécution du contrat (art. 6.1.b) |
| Sécurité du Service, prévention des fraudes et abus, diagnostic technique | Journaux techniques | Intérêt légitime (art. 6.1.f) |
| Amélioration du Service et statistiques d'usage internes | Journaux techniques (données agrégées / minimisées) | Intérêt légitime (art. 6.1.f) |
| Mesure d'audience via un outil tiers (PostHog) | Données de navigation et d'usage | Consentement (art. 6.1.a — recueilli via un bandeau, révocable à tout moment) |
| Réponse aux demandes de contact et au support | Données de compte, contenu des échanges | Intérêt légitime (art. 6.1.f) et/ou exécution du contrat |
| Envoi d'e-mails transactionnels (confirmation, facture, information de service) | Adresse e-mail | Exécution du contrat (art. 6.1.b) |
| Respect des obligations légales et réponse aux réquisitions | Selon la demande | Obligation légale (art. 6.1.c) |
Lorsque le traitement repose sur le consentement, celui-ci peut être retiré à tout moment, sans que ce retrait ne remette en cause la licéité des traitements effectués antérieurement. Le retrait de l'autorisation OAuth Google peut notamment s'effectuer depuis les paramètres de sécurité du compte Google de l'utilisateur et/ou depuis le Service.
Article 4 — Destinataires et sous-traitants
Les données ne sont ni vendues, ni louées, ni cédées à des tiers à des fins commerciales.
Elles peuvent être communiquées aux catégories de destinataires suivantes, strictement dans la mesure nécessaire aux finalités décrites ci-dessus :
- L'éditeur et, le cas échéant, les personnes habilitées agissant sous son autorité ;
- Les sous-traitants énumérés ci-dessous, agissant sur nos instructions et présentant des garanties suffisantes au sens de l'article 28 du RGPD ;
- Les autorités administratives ou judiciaires habilitées, sur demande légale.
Sous-traitants et prestataires
| Prestataire | Rôle / finalité | Localisation | Transfert hors UE |
|---|---|---|---|
| Railway Corporation | Hébergement de l'application et de la base de données PostgreSQL | États-Unis | Oui (voir Article 5) |
| Stripe Payments Europe, Ltd. | Traitement des paiements et gestion des abonnements | Irlande (UE) | Non |
| Google Ireland Ltd. | Analyse de miniatures par IA (Google Gemini), connexion Google / OAuth, synchronisation Google Calendar | Irlande (UE) | Voir Article 5 |
| PostHog | Mesure d'audience et statistiques d'usage du Service (sur la base du consentement de l'utilisateur) | Union européenne (hébergement EU) | Non |
| Sentry (Functional Software, Inc.) | Détection et diagnostic des erreurs techniques (monitoring applicatif) | Union européenne (région de données EU) | Non |
| Resend et/ou Gmail SMTP | Envoi d'e-mails transactionnels et de factures | Google (envoi via l’API Gmail / Google Ireland Ltd., Irlande) | Sans objet (prestataire situé dans l’Union européenne) |
L'adresse du prestataire d'hébergement est : Railway Corporation, 548 Market Street, San Francisco, CA 94104, États-Unis.
S'agissant des données transmises à Google (notamment le contenu des miniatures analysées via Gemini), leur traitement est également soumis aux politiques de confidentialité de Google. Le Service n'utilise ces accès que pour exécuter les actions expressément demandées par l'utilisateur.
Article 5 — Transferts de données hors de l'Union européenne
L'hébergement de l'application et de la base de données PostgreSQL est assuré par Railway Corporation, société établie aux États-Unis. À ce titre, certaines données à caractère personnel font l'objet d'un transfert hors de l'Espace économique européen (EEE).
Ce transfert est encadré par des garanties appropriées au sens du chapitre V du RGPD, à savoir la conclusion des clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021), complétées le cas échéant par des mesures techniques et organisationnelles supplémentaires.
S'agissant de Google, lorsque le sous-traitant contractant est Google Ireland Ltd. (UE), les données sont traitées dans le cadre européen ; tout transfert éventuel vers des infrastructures situées hors de l'EEE est encadré par les clauses contractuelles types et les garanties mises en place par Google.
Une copie des garanties applicables peut être obtenue sur demande à l'adresse indiquée à l'Article 1.
Article 6 — Durées de conservation
Les données ne sont conservées que pendant la durée strictement nécessaire aux finalités pour lesquelles elles sont traitées, puis archivées ou supprimées conformément aux durées ci-dessous :
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte | Pendant toute la durée de la relation contractuelle, puis suppression (ou anonymisation) dans un délai maximal de 3 mois après la clôture du compte |
| Jetons OAuth Google | Jusqu'à la révocation de l'autorisation par l'utilisateur, la déconnexion du service Google ou la clôture du compte |
| Données de facturation, factures et pièces comptables | 10 ans à compter de la clôture de l'exercice comptable, conformément à l'article L123-22 du Code de commerce |
| Contacts CRM et commandes saisis par l'utilisateur | Pendant toute la durée d'utilisation du Service par l'utilisateur ; supprimés lors de la clôture du compte, sous réserve de l'action propre de l'utilisateur (voir Article 9) |
| Journaux techniques (logs) | 12 mois conformément aux recommandations en matière de sécurité |
| Données relatives à la gestion des demandes de droits | Le temps nécessaire au traitement de la demande, puis conservation à titre de preuve dans les délais de prescription applicables |
À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible. Certaines données peuvent être conservées en archivage intermédiaire, à accès restreint, pour répondre à une obligation légale ou faire valoir un droit en justice.
Article 7 — Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures comprennent notamment :
- Le hachage des mots de passe au moyen de l'algorithme bcrypt (les mots de passe ne sont jamais stockés ni transmis en clair) ;
- Le chiffrement au repos des données sensibles (notamment les coordonnées bancaires de type IBAN utilisées pour la facturation, les jetons d'accès Google et le mot de passe d'application de la boîte d'envoi) au moyen d'un chiffrement AES-256 ;
- Le chiffrement des communications en transit via le protocole HTTPS/TLS ;
- Le contrôle des accès et la limitation des habilitations au strict nécessaire ;
- La journalisation des événements de sécurité ;
- Le recours à des sous-traitants présentant des garanties de sécurité conformes à l'article 28 du RGPD.
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, nous nous engageons à en notifier la CNIL dans les conditions et délais prévus à l'article 33 du RGPD, et, le cas échéant, à en informer les personnes concernées conformément à l'article 34 du RGPD.
Aucun système n'offrant une sécurité absolue, l'utilisateur est invité à contribuer à la protection de ses données, notamment en choisissant un mot de passe robuste et en le gardant confidentiel.
Article 8 — Droits des personnes concernées
Conformément au RGPD et à la Loi Informatique et Libertés, toute personne concernée dispose des droits suivants sur ses données à caractère personnel :
- Droit d'accès (art. 15 RGPD) : obtenir la confirmation que des données la concernant sont traitées et en recevoir une copie ;
- Droit de rectification (art. 16 RGPD) : faire corriger des données inexactes ou incomplètes ;
- Droit à l'effacement (art. 17 RGPD) : obtenir la suppression de ses données, sous réserve des obligations légales de conservation (notamment comptables et fiscales) ;
- Droit à la portabilité (art. 20 RGPD) : recevoir les données fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement ;
- Droit d'opposition (art. 21 RGPD) : s'opposer, pour des raisons tenant à sa situation particulière, à un traitement fondé sur l'intérêt légitime ;
- Droit à la limitation du traitement (art. 18 RGPD) : demander le gel temporaire de l'utilisation de ses données dans certains cas ;
- Droit de retirer son consentement à tout moment, lorsque le traitement repose sur celui-ci ;
- Droit de définir des directives relatives au sort de ses données après son décès (art. 85 de la Loi Informatique et Libertés).
Comment exercer ses droits
Ces droits peuvent être exercés en adressant une demande à l'adresse de contact indiquée à l'Article 1 : contact@thumblead.com, ou par courrier à l'adresse postale de l'éditeur.
Afin de traiter la demande, il pourra être demandé de justifier de son identité. Une réponse sera apportée dans un délai d'un mois à compter de la réception de la demande, prorogeable de deux mois en cas de complexité ou de nombre élevé de demandes, la personne concernée en étant alors informée.
Réclamation auprès de la CNIL
Si, après avoir contacté l'éditeur, la personne concernée estime que ses droits ne sont pas respectés, elle peut introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :
- CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Site : https://www.cnil.fr
Article 9 — Cas particulier : données des prospects importées par l'utilisateur
Le Service permet à l'utilisateur d'importer, de créer et de gérer des données relatives à des prospects (chaînes YouTube et leurs responsables, contacts commerciaux, coordonnées, notes, historique d'échanges), notamment dans le cadre des fonctionnalités de prospection, de CRM et de séquences d'e-mails.
Pour ces données, la répartition des rôles est la suivante :
- L'utilisateur est le responsable de traitement de ses propres prospects. Il détermine les finalités et les moyens du traitement de ces données, choisit les personnes prospectées et décide des messages qui leur sont adressés.
- L'éditeur (ThumbLead) agit en qualité de sous-traitant au sens de l'article 28 du RGPD : il traite ces données uniquement sur instruction de l'utilisateur et pour le compte de celui-ci, aux seules fins de fournir les fonctionnalités du Service.
À ce titre, il appartient à l'utilisateur, en sa qualité de responsable de traitement de ses prospects :
- de disposer d'une base légale valable pour la prospection (notamment le respect des règles applicables à la prospection en matière B2B et B2C, à la directive « vie privée et communications électroniques », à l'article L34-5 du Code des postes et des communications électroniques et aux lignes directrices de la CNIL) ;
- d'informer les personnes prospectées et de respecter leurs droits (accès, opposition, effacement, etc.) ;
- de recueillir, lorsque cela est requis, le consentement préalable des personnes ;
- de veiller à la licéité des sources d'où proviennent les données importées.
L'éditeur, en tant que sous-traitant, s'engage à ne traiter ces données que conformément aux instructions documentées de l'utilisateur, à en assurer la confidentialité et la sécurité, et à les supprimer ou les restituer au terme de la prestation, dans les conditions prévues par les conditions générales du Service et, le cas échéant, par un accord de sous-traitance (DPA) distinct. Par ailleurs, l'éditeur a conclu des accords de traitement des données (DPA) avec ses propres sous-traitants (Railway, Stripe, Google).
Article 10 — Cookies et traceurs
Le Service utilise essentiellement des cookies techniques, strictement nécessaires à son fonctionnement :
- cookies de session et d'authentification (permettant de maintenir l'utilisateur connecté) ;
- cookies de préférences (mémorisation de choix d'interface).
Ces cookies étant strictement nécessaires à la fourniture du Service expressément demandé, ils sont exemptés de recueil du consentement conformément à l'article 82 de la Loi Informatique et Libertés et aux lignes directrices de la CNIL.
Le Service n'a pas recours à des cookies publicitaires de tiers ni à du pistage à des fins de ciblage publicitaire.
Pour davantage de précisions sur la nature des cookies utilisés et leur gestion, il convient de se reporter à la Politique de cookies du Service : https://thumblead.com/politique-cookies.
Article 11 — Mineurs
Le Service s'adresse à des professionnels (freelances, auto-entrepreneurs) et n'est pas destiné aux mineurs. Nous ne collectons pas sciemment de données relatives à des personnes de moins de 15 ans. Si nous venions à avoir connaissance de la collecte de telles données sans le consentement requis, nous procéderions à leur suppression dans les meilleurs délais. Toute personne estimant qu'un mineur nous a communiqué des données est invitée à nous en informer à l'adresse indiquée à l'Article 1.
Article 12 — Modifications de la présente politique
La présente politique de confidentialité est susceptible d'être modifiée à tout moment, notamment afin de tenir compte des évolutions légales, réglementaires, jurisprudentielles ou techniques, ou d'évolutions du Service.
La version applicable est celle en vigueur à la date d'accès au Service, la date de dernière mise à jour figurant en tête du présent document. En cas de modification substantielle, les utilisateurs pourront en être informés par un moyen approprié (par exemple courriel ou notification au sein du Service). La poursuite de l'utilisation du Service après l'entrée en vigueur des modifications vaut prise de connaissance de celles-ci.