Politique de confidentialité

ULTIMATE KLOUD UNIPESSOAL LDA

NIPC : 519404670

Rua Dr. Francisco Sá Carneiro nº 371, Vila Nova de Paiva, Portugal

Contact protection des données : dpo@dotgrey.co

Cette politique s’applique à dotgrey IA, disponible sur app.dotgrey.co, ainsi qu’aux fonctionnalités CRM automobile, assistance IA, communications et WhatsApp Business opérées par ULTIMATE KLOUD UNIPESSOAL LDA.

Données que vous fournissez directement

• Données d’identification, comme le nom, l’email et le téléphone
• Données de compte, y compris identifiants et préférences
• Données professionnelles, y compris nom de l’entreprise, NIPC et adresse
• Données clients, leads, contacts, véhicules, dossiers et processus saisis dans la plateforme
• Communications opérationnelles, y compris support, email, inbox, WhatsApp, notes et feedback
• Documents, pièces jointes, justificatifs, contrats et photos associés aux opérations

Données Google et Gmail

Lorsqu’un utilisateur autorisé connecte un compte Gmail, ULTIMATE KLOUD UNIPESSOAL LDA utilise Google OAuth et peut demander des autorisations Gmail pour identifier l’adresse connectée, lire les messages entrants et métadonnées dans l’inbox dotgrey IA, et envoyer des réponses depuis le compte connecté lorsque l’utilisateur ou un workflow approuvé le décide.

Les données Gmail peuvent inclure l’adresse du compte, identifiants de messages et threads, en-têtes, expéditeurs, destinataires, objets, corps des messages, dates, labels et métadonnées opérationnelles. Nous les utilisons uniquement pour les fonctionnalités visibles de CRM, inbox, routage des leads, support, filtrage, automatisations approuvées et réponses email.

ULTIMATE KLOUD UNIPESSOAL LDA ne vend pas les données utilisateur Google, ne les utilise pas à des fins publicitaires, ne les utilise pas pour déterminer une éligibilité au crédit ou au financement, et n’utilise pas le contenu Gmail pour entraîner des modèles IA généralistes.

Les utilisateurs peuvent déconnecter Gmail dans les paramètres dotgrey IA et révoquer l’accès dans leur compte Google. Les demandes de suppression peuvent être envoyées à privacy@dotgrey.co. Notre utilisation des informations reçues via les APIs Google respecte la Google API Services User Data Policy, y compris les exigences Limited Use.

Données collectées automatiquement

• Adresse IP et informations appareil
• Type de navigateur et système d’exploitation
• Données de navigation, pages visitées et fonctionnalités utilisées
• Cookies et technologies similaires, comme décrit dans notre Politique relative aux cookies

Données de conversations IA

Lorsque vous utilisez des fonctionnalités assistées par IA, nous pouvons traiter texte, instructions, contexte opérationnel, métadonnées d’utilisation et, dans certains flux, photos de véhicules pour exécuter la fonctionnalité demandée, l’audit, la sécurité et l’amélioration opérationnelle.

Lorsque c’est possible, nous appliquons minimisation, pseudonymisation, tokenisation, validation humaine et limitation des finalités. Les flux documentaires sensibles sont traités localement ou soumis à revue manuelle lorsque approprié.

Données de tiers saisies par des clients professionnels

Si vous utilisez la plateforme pour gérer clients, leads, fournisseurs, acheteurs, vendeurs ou autres tiers, vous agissez généralement comme responsable du traitement et nous comme sous-traitant pour fournir la plateforme. Il vous appartient de garantir base légale, informations et autorisations nécessaires.

Nous ne vendons pas vos données personnelles. Nous pouvons partager des informations uniquement lorsque nécessaire avec :

• Fournisseurs d’infrastructure, authentification, base de données et stockage, comme des fournisseurs cloud et Supabase
• Fournisseurs IA approuvés, comme OpenAI, pour des fonctionnalités spécifiques de support, résumé, génération, classification et analyse opérationnelle
• Fournisseurs de communications, comme Resend, Meta WhatsApp et Twilio, lorsque vous activez ces canaux
• Fournisseurs de paiement et facturation, comme Stripe
• Autorités compétentes, conseillers et auditeurs lorsque requis par la loi ou nécessaire à la défense de droits
• Partenaires ou intégrations activés par vous, uniquement selon votre configuration ou autorisation

Certains fournisseurs peuvent opérer dans l’Espace économique européen, au Royaume-Uni, aux États-Unis ou dans d’autres pays. Lorsque des données sont transférées hors EEE, nous appliquons des garanties appropriées et évaluons la base juridique du transfert.

• Décisions d’adéquation de la Commission européenne
• Clauses contractuelles types approuvées par l’UE
• Certifications ou codes de conduite approuvés

Pour plus d’informations sur les transferts liés à votre compte, contactez privacy@dotgrey.co. Pour les personnes concernées en Suisse, nous appliquons également les principes nFADP/LPD.

En vertu du RGPD, vous pouvez exercer les droits suivants :

Pour exercer vos droits, utilisez Paramètres de confidentialité dans votre compte ou contactez dpo@dotgrey.co. Nous répondons sous 30 jours conformément au RGPD.

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

• Chiffrement en transit et au repos
• Authentification à deux facteurs disponible
• Contrôle d’accès basé sur les rôles
• Audits de sécurité, sauvegardes sécurisées et plans de récupération
• Formation du personnel à la protection des données
• Minimisation, masquage ou tokenisation dans certains flux IA
• Revue humaine et pistes d’audit pour les flux sensibles

Nous utilisons des systèmes IA pour assistance client, suggestions de réponse, résumés, classification opérationnelle, extraction structurée, productivité, évaluation assistée de véhicules et génération de contenus marketing, vente et communication.

Ces fonctionnalités soutiennent des équipes humaines et ne remplacent pas la revue humaine lorsqu’une décision est sensible, contractuelle, financière ou juridiquement pertinente. En vertu de l’Art. 22 RGPD, nous ne prenons pas de décisions uniquement automatisées produisant des effets juridiques ou similaires sans supervision humaine applicable.

Extension de remplissage de financement

L’extension DotGrey Financing Autofill aide les utilisateurs autorisés à transférer des données de demandes de financement de dotgrey IA vers des formulaires de portails bancaires tiers. Elle ne collecte pas d’identifiants bancaires, ne soumet pas les formulaires finaux et fonctionne uniquement après une session temporaire créée par un utilisateur authentifié.

Lorsque la classification de champs du portail est nécessaire, la requête peut contenir libellés, options, placeholders et contexte visuel du formulaire. Nous n’envoyons pas de valeurs client ni de documents chargés pour cette classification IA.

Notre service n’est pas destiné aux mineurs de moins de 18 ans. Nous ne collectons pas sciemment des données de mineurs. Si vous apprenez qu’un mineur nous a fourni des données personnelles, contactez-nous immédiatement afin que nous les supprimions.

Nous pouvons mettre à jour cette politique périodiquement. Les changements importants seront notifiés par email ou avis dans la plateforme. La poursuite de l’utilisation après publication vaut acceptation.

ULTIMATE KLOUD UNIPESSOAL LDA agit comme responsable du traitement pour les données de compte, facturation, sécurité, marketing propre, gestion du site, support, analytics consenties et conformité légale. Elle agit comme sous-traitant lorsqu’elle traite des données de clients finaux, leads, vendeurs, acheteurs, employés ou tiers saisies par des clients professionnels pour fournir la plateforme.

Lorsque nous agissons comme sous-traitant, nous traitons les données selon les instructions documentées du client sauf obligation légale contraire. Le client reste responsable des notices de confidentialité à ses contacts, bases légales, demandes de personnes concernées et configuration correcte des permissions, durées de conservation et intégrations.

La plateforme n’est pas conçue pour collecter à grande échelle des catégories particulières de données, données pénales, données de santé, données biométriques d’identification unique ou données de mineurs. Si le client charge ces données, il doit garantir une base légale spécifique, minimisation, accès restreint et garanties supplémentaires appropriées.

Documents d’identité, justificatifs, contrats, relevés, photos, données financières ou informations de crédit peuvent contenir des données sensibles ou hautement confidentielles. Le client doit charger uniquement le nécessaire et masquer ou supprimer les informations excessives lorsque possible.

Nous pouvons utiliser des fournisseurs d’hébergement, base de données, authentification, stockage, email, messagerie, paiement, analytics, monitoring, IA, sécurité, support et productivité. Nous exigeons des fournisseurs pertinents des mesures techniques et organisationnelles appropriées et des limitations contractuelles proportionnées au risque.

Lorsqu’un client active une intégration tierce, ce tiers peut agir comme responsable indépendant, sous-traitant du client ou sous-traitant de ULTIMATE KLOUD UNIPESSOAL LDA selon le flux. Le client doit également consulter les conditions et politiques de ces tiers.

Nous pouvons envoyer des communications transactionnelles, techniques, de sécurité, administratives et de support. Les communications promotionnelles de ULTIMATE KLOUD UNIPESSOAL LDA sont envoyées uniquement lorsqu’une base légale appropriée existe et peuvent être refusées via lien de désinscription ou contact direct.

Lorsque les clients utilisent la plateforme pour contacter des tiers, le client est responsable des consentements, oppositions, listes d’exclusion, preuve d’opt-in, contenu, horaires, règles de plateformes et obligations de marketing direct applicables.

Nous maintenons des mesures pour prévenir, détecter et répondre aux incidents de sécurité. Lorsqu’un incident constitue une violation de données personnelles et qu’une notification est requise, nous notifierons clients ou autorités compétentes selon le rôle applicable, les informations disponibles et les délais légaux.

Sauvegardes, logs et registres de sécurité peuvent conserver des données pendant des périodes limitées après suppression opérationnelle lorsque nécessaire pour récupération, intégrité, prévention de fraude, audit, défense de droits ou conformité.

Nous pouvons demander des informations supplémentaires pour confirmer identité, autorité ou relation avec une organisation avant de répondre aux demandes d’accès, portabilité, rectification, effacement, opposition ou limitation. Les demandes manifestement infondées, excessives ou répétitives peuvent être refusées ou facturées lorsque la loi le permet.

Lorsqu’une demande concerne des données saisies par un client professionnel, nous pouvons l’orienter vers ce client ou coordonner la réponse avec lui car il est généralement le responsable principal.

Lorsque des données sont transférées hors EEE, nous utilisons des mécanismes reconnus tels que décisions d’adéquation, Clauses Contractuelles Types, mesures supplémentaires, évaluations fournisseurs et contrôles d’accès proportionnés au risque.

Certaines fonctionnalités peuvent être bloquées, limitées ou soumises à revue humaine si documentation fournisseur, base de transfert, région, statut de sous-traitant ou évaluation du risque ne convient pas au flux envisagé.

Pour protéger la plateforme, nous pouvons traiter signaux techniques, modèles d’utilisation, logs, adresses IP, identifiants d’appareil, tentatives d’authentification, événements de permissions, erreurs, journaux d’audit d’actions et métadonnées d’intégrations.

Ces traitements sont nécessaires à la sécurité, prévention de fraude, enquête sur abus, conformité, défense de droits et maintien de l’intégrité du service.

Pour toute question sur la protection des données ou pour exercer vos droits, contactez dpo@dotgrey.co.