Politique de confidentialité

01Responsable de traitement

Le responsable des traitements décrits dans la présente politique est SBCQ SAS, dont le siège social est situé 48 Quai Clémenceau, 69300 Caluire-et-Cuire (SIREN 104 445 093 00016, RCS Lyon 104 445 093).

Pour toute question relative à vos données, vous pouvez nous contacter à contact@mabellenote.com.

02Qui est concerné par cette politique

Cette politique s'applique à trois catégories de personnes :

• Les visiteurs du site : personnes qui consultent les pages publiques sans créer de compte (marketing, pricing, blog, formulaire de contact).
• Les clients professionnels et leurs utilisateurs : personnes titulaires d'un compte sur le Service, agissant dans le cadre d'un abonnement souscrit par un professionnel.
• Les auteurs d'avis clients : personnes dont les avis publics sont agrégés depuis les plateformes tierces connectées par nos clients (notamment Google Business Profile). Dans ce dernier cas, notre client professionnel est responsable du traitement et nous agissons en qualité de sous-traitant au sens du RGPD (cf. DPA).

03Données collectées

04Finalités et bases légales

05Durées de conservation

Données de compte actif

Pendant toute la durée de l'abonnement, puis 30 jours après résiliation pour permettre l'export des données.

Données de compte inactif / essai non concrétisé

90 jours après la fin d'activité, puis suppression automatique.

Factures et pièces comptables

10 ans à compter de la clôture de l'exercice (art. L. 123-22 du Code de commerce).

Logs techniques et journaux d'audit

12 mois, sauf obligation de conservation plus longue pour les logs de sécurité.

Données des auteurs d'avis

Durée de conservation définie par notre client professionnel (responsable de traitement). Par défaut, nous les conservons tant qu'elles restent disponibles sur la plateforme source et que l'abonnement est actif. La suppression d'un avis sur la plateforme source entraîne sa suppression côté Service au prochain cycle de synchronisation.

Jetons d'authentification de plateformes tierces (Google, Meta)

Pendant toute la durée de la connexion. Supprimés immédiatement lors d'une déconnexion par le client, d'une révocation depuis la plateforme tierce, ou à la résiliation de l'abonnement. Les jetons Meta sont également purgés sous 30 jours sur réception d'une demande via le Data Deletion Callback (cf. section « Plateformes tierces connectées »).

Prospects ayant rempli un formulaire sans souscription

3 ans à compter du dernier contact.

06Destinataires et sous-traitants

Vos données peuvent être communiquées aux destinataires suivants, strictement dans la mesure nécessaire aux finalités ci-dessus :

• les membres habilités de l'équipe Ma Belle Note (ingénierie, support, comptabilité) ;
• nos sous-traitants techniques, listés dans le DPA (hébergement, envoi d'emails, paiement, fournisseurs de modèles d'IA, supervision et sécurité) ;
• les autorités administratives et judiciaires compétentes, sur réquisition et dans les limites fixées par la loi ;
• un éventuel repreneur ou acquéreur dans le cadre d'une opération de cession, fusion ou restructuration, sous réserve d'engagements équivalents de confidentialité et de protection.

Nous ne vendons ni ne louons vos données à des tiers à des fins commerciales. La liste à jour de nos sous-traitants ultérieurs est maintenue dans l'annexe du DPA.

07Plateformes tierces connectées

Le Service permet à nos clients professionnels de connecter les plateformes d'avis publics qu'ils utilisent afin que Ma Belle Note y récupère leurs avis et les centralise. Les connexions sont initiées uniquement à la demande explicite du client (clic sur un bouton dédié dans l'application). Pour chaque plateforme, nous nous limitons strictement aux permissions et aux données nécessaires à la centralisation, à l'analyse et, lorsque la plateforme l'autorise, à la publication des réponses du client.

Google Business Profile — Connexion par OAuth (Google Identity).

Permissions demandées

`https://www.googleapis.com/auth/business.manage` (lister les fiches gérées par le client, lire les avis publiés, publier les réponses validées par le client) et les scopes d'identité standards `openid`, `email`, `profile` (afficher le compte Google connecté). Le détail et la justification de chaque scope figurent sur la page Google API Disclosure accessible depuis le pied de page.

Données récupérées

Profil de la fiche (nom, adresse, horaires, catégorie), avis publics (texte, note, auteur tel que publié, date, photos publiques), réponses publiques.

Conservation

Pendant la durée de la connexion. Cache produit limité à 30 jours puis re-fetch depuis Google.

Révocation

(a) bouton « Déconnecter » dans Réglages → Connexion Google ; (b) `https://myaccount.google.com/permissions` côté compte Google. La révocation arrête immédiatement la synchronisation et entraîne la suppression des jetons stockés.

TripAdvisor — Accès en lecture seule via la Content API de TripAdvisor (clé éditeur Ma Belle Note). Le client identifie sa fiche en collant son URL TripAdvisor, en la recherchant par nom + ville, ou en saisissant directement son identifiant public.

Permissions demandées

Aucune permission utilisateur n'est requise — les avis TripAdvisor sont publics. Le client confirme dans le Service qu'il est propriétaire ou gérant de l'établissement.

Données récupérées

Métadonnées publiques de la fiche (nom, adresse, catégorie), avis publics récents (texte, note, auteur tel que publié, date, langue détectée), lien retour vers l'avis original sur tripadvisor.com.

Conservation

Re-fetch périodique conformément aux conditions d'utilisation de la Content API TripAdvisor. La suppression d'un avis côté TripAdvisor entraîne sa disparition côté Service au prochain cycle de synchronisation.

Révocation

Le client peut désactiver à tout moment la connexion TripAdvisor depuis les réglages d'établissement, ce qui interrompt la synchronisation.

Conformité d'affichage

Les Display Requirements de TripAdvisor sont strictement respectés : logo TripAdvisor visible sur chaque avis, lien retour cliquable vers l'avis source, attribution de la note et des photos.

Lecture seule absolue

Aucune réponse, aucun signalement, aucune action en écriture n'est jamais transmis à TripAdvisor depuis le Service. Lorsque le client souhaite répondre, le Service fournit un brouillon copiable et un lien profond vers la plateforme.

Meta — Facebook (Pages) — Connexion par OAuth via Facebook Login for Business. Le client se connecte avec son compte Facebook personnel administrateur d'une Page Business, et autorise Ma Belle Note à lire les Recommendations et les contenus visiteurs de la ou des Pages qu'il sélectionne.

Permissions demandées (scopes)

`pages_show_list` — lister les Pages dont le client est administrateur, afin de lui permettre de choisir lesquelles connecter. `pages_read_engagement` — lire les Recommendations publiées sur la Page (binaire « Recommande » / « Ne recommande pas » + texte libre). `pages_read_user_content` — lire les contenus postés par les visiteurs sur la Page (commentaires, mentions liées aux Recommendations). Aucune permission d'écriture n'est demandée — l'intégration est en lecture seule absolue.

Données récupérées

Identifiant et nom des Pages connectées, Recommendations publiques (sentiment binaire + texte libre lorsqu'il existe), date de publication, auteur tel que publié sur Facebook, identifiants techniques nécessaires à l'unicité de chaque avis. Aucune donnée du graph social du client (amis, groupes, messages privés) n'est lue.

Conservation des jetons

Le jeton d'accès Page (long-lived ~60 jours) est stocké chiffré au repos côté serveur, jamais exposé au navigateur du client, jamais transmis à un tiers. Le jeton est renouvelé automatiquement côté serveur avant expiration. En cas d'échec, le client est invité à reconnecter sa Page.

Conservation des avis

Les Recommendations importées sont conservées pendant la durée de la connexion. À la déconnexion volontaire, à la révocation côté Facebook ou à la résiliation de l'abonnement, les Recommendations historiques restent visibles 30 jours pour permettre l'export, puis sont purgées. La suppression d'une Recommendation côté Facebook entraîne sa disparition côté Service au prochain cycle.

Révocation

Trois canaux indépendants : (a) bouton « Déconnecter » dans Réglages d'établissement → Sources d'avis ; (b) révocation côté Facebook (Paramètres et confidentialité → Paramètres → Apps et sites web → Ma Belle Note → Supprimer), ce qui interrompt l'accès immédiatement ; (c) Data Deletion Callback Meta — Meta notifie automatiquement Ma Belle Note via une URL de rappel publique dès qu'un utilisateur révoque l'application. Sur réception de cette notification, Ma Belle Note purge les données associées dans un délai maximal de 30 jours et confirme la suppression à Meta, conformément aux Platform Terms.

Lecture seule absolue

Aucune réponse, aucun commentaire, aucune publication, aucune modération, aucune action en écriture n'est jamais transmise à Facebook depuis le Service. Lorsque le client souhaite répondre à une Recommendation, le Service fournit un brouillon copiable et un lien profond vers la plateforme.

Note sur les Recommendations Facebook

Depuis 2018, Facebook a remplacé les notes étoilées par des Recommendations binaires (« Recommande » / « Ne recommande pas »). Le Service affiche ces avis avec un badge dédié et applique, pour les calculs de note moyenne consolidée tout-canal, une équivalence configurable rendue transparente côté tableau de bord.

Le client professionnel reste à tout moment maître des connexions actives depuis les Réglages d'établissement. Aucune connexion n'est jamais établie sans une action explicite du client, et chaque connexion peut être révoquée par lui à tout moment, soit depuis le Service, soit depuis la plateforme tierce concernée.

08Transferts hors Union européenne

Certains de nos sous-traitants (notamment les fournisseurs de modèles d'intelligence artificielle) sont établis hors de l'Union européenne, y compris aux États-Unis. Dans ces cas, les transferts sont encadrés par :

• une décision d'adéquation de la Commission européenne lorsqu'elle existe (p. ex. EU-US Data Privacy Framework pour les organisations certifiées) ;
• à défaut, les clauses contractuelles types (CCT) de la Commission européenne, complétées par des mesures supplémentaires techniques et organisationnelles (chiffrement, pseudonymisation, minimisation) ;
• une analyse d'impact des transferts (TIA) pour chaque sous-traitant non couvert par une décision d'adéquation.

Le détail des transferts figure dans le DPA.

09Cookies et traceurs

Le site marketing utilise un nombre restreint de cookies, strictement nécessaires au fonctionnement (préférences de langue, thème clair/sombre, session) ou soumis à votre consentement (mesure d'audience anonymisée, outils de support).

Aucun cookie publicitaire tiers n'est déposé à l'entrée sur le site. Vous pouvez à tout moment modifier vos choix via le module de consentement accessible en bas de page.

10Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles conformes à l'état de l'art pour protéger vos données : chiffrement des flux (TLS 1.2+), chiffrement au repos, hachage des mots de passe (bcrypt/Argon2), contrôle d'accès par rôles, journalisation des actions sensibles, supervision continue, gestion des vulnérabilités, plan de reprise d'activité et sauvegardes chiffrées.

Malgré nos efforts, aucun système ne peut garantir une sécurité absolue. En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous en informons la CNIL dans un délai de 72 heures et, le cas échéant, les personnes concernées dans les meilleurs délais.

11Vos droits

Conformément au RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir confirmation que vos données sont traitées et en recevoir copie.
• Droit de rectification : faire corriger les données inexactes ou incomplètes.
• Droit à l'effacement : demander la suppression de vos données dans les cas prévus par la loi.
• Droit à la limitation : faire geler temporairement le traitement de vos données.
• Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
• Droit d'opposition : vous opposer à un traitement fondé sur notre intérêt légitime ou à la prospection commerciale.
• Droit de définir des directives post mortem sur le sort de vos données.

Vous exercez ces droits en écrivant à contact@mabellenote.com. Nous répondons dans un délai maximal d'un mois, éventuellement prolongé de deux mois en cas de demande complexe.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, 75007 Paris — www.cnil.fr.

12Mineurs

Le Service est destiné à un usage professionnel et n'est pas conçu pour être utilisé par des mineurs. Aucune collecte de données n'est volontairement dirigée vers des personnes de moins de 15 ans. Si vous estimez qu'un mineur a créé un compte, contactez notre DPO pour obtenir la suppression immédiate des données associées.

13Modifications de la politique

Cette politique peut évoluer pour refléter des changements du Service, de nos sous-traitants ou de la réglementation. Toute modification substantielle est notifiée par courriel et dans le Service au moins 30 jours avant sa prise d'effet. La version en vigueur reste accessible en permanence depuis le footer du site.