VORTEX

Légal

Politique de confidentialité

Derniere mise a jour : 24 juin 2026

La présente politique décrit comment Vortex, édité par Vantura Studio, traite vos données personnelles dans le respect du Règlement (UE) 2016/679 (RGPD) et de la loi Informatique et Libertés. Vortex est un service de messagerie d'équipe enrichi par l'IA, conçu pour être souverain : application et base de données auto-hébergées en France, traitement IA en Union européenne.

1. Responsable du traitement

Le responsable du traitement est Vantura Studio (SAS), dont le siège social est situé 60 bis chemin de Ligne, 97427 L'Étang-Salé, La Réunion, France, immatriculée au RCS Saint-Pierre de la Réunion 105 580 401 (SIRET 105 580 401 00013).

Pour toute question relative à vos données ou pour exercer vos droits, vous pouvez contacter notre point de contact dédié à la protection des données à l'adresse privacy@vantura.studio, ou via la page Contact.

2. Données que nous traitons

Selon votre usage du service, nous traitons les catégories de données suivantes :

  • Données de compte : adresse email, nom, mot de passe (haché, jamais en clair), ou identifiant de connexion Google/Microsoft.
  • Boîtes mail connectées : contenu des emails (texte et HTML), pièces jointes, adresses et noms des expéditeurs/destinataires, libellés/dossiers, dates et en-têtes techniques.
  • Agenda connecté (optionnel) : événements, participants, organisateurs, disponibilités, liens de visioconférence.
  • Données d'organisation : membres, rôles, boîtes partagées, affectations.
  • Facturation : email, nom, formule choisie, nombre de sièges, historique et consommation NOVA.
  • Données techniques : adresse IP, logs d'accès et journal d'audit des actions sensibles.

Accès aux comptes mail

Les identifiants d'accès à vos boîtes (tokens OAuth Gmail/Outlook, mots de passe IMAP, tokens d'agenda) sont chiffrés au repos en AES-256-GCM. Vos emails sont stockés sur notre infrastructure auto-hébergée en France.

3. Source des données

La plupart des données sont collectées directement auprès de vous (création de compte, connexion de vos boîtes et agendas). Certaines données de tiers (noms et adresses des expéditeurs et des personnes en copie) proviennent indirectement des emails et invitations reçus via les boîtes que vous connectez. Nous traitons ces données pour votre compte, sur la base de l'intérêt légitime à la fourniture d'un service de messagerie (Art. 14 RGPD).

4. Finalités et bases légales

FinalitéBase légale (RGPD)
Fournir le service de messagerie (centralisation, envoi, organisation)Exécution du contrat (Art. 6.1.b)
Enrichissement IA des emails (tri, priorité, résumé, brouillons)Exécution du contrat (Art. 6.1.b)
Connexion de vos boîtes mail et agendasConsentement (Art. 6.1.a)
Facturation et gestion des abonnementsExécution du contrat (Art. 6.1.b)
Sécurité, prévention des abus, journal d'auditIntérêt légitime (Art. 6.1.f)
Respect de nos obligations comptables, fiscales et légalesObligation légale (Art. 6.1.c)

5. Traitement par intelligence artificielle (NOVA)

Pour vous fournir les fonctionnalités IA (classification, priorisation, résumé, suggestions de réponses, détection de tâches, synthèse et dictée vocale), le contenu des emails concernés est transmis à notre sous-traitant IA Mistral AI, entreprise française dont l'infrastructure est hébergée dans l'Union européenne.

  • Le traitement IA a lieu en Union européenne (Mistral AI).
  • Il s'agit d'une fonctionnalité du service, demandée par vous : vos emails sont traités uniquement pour produire les résultats que vous utilisez dans l'application.
  • Vos emails ne sont jamais utilisés pour entraîner, développer ou améliorer des modèles d'IA généralistes.
  • Aucune donnée n'est revendue ni utilisée à des fins publicitaires.

Aucune décision produisant des effets juridiques à votre égard, ou vous affectant de manière significative, n'est prise sur le seul fondement d'un traitement automatisé : l'IA assiste, vous restez décisionnaire (Art. 22 RGPD).

6. Données Google et engagement « Limited Use »

Lorsque vous connectez un compte Google (Gmail et/ou Google Calendar), Vortex accède à vos données Google via les API officielles, dans la limite des autorisations (scopes) que vous accordez. Chaque autorisation correspond à une fonctionnalité précise :

Autorisation GoogleUsage dans Vortex
gmail.readonlyLire et afficher vos emails dans l'application (centralisation, tri, résumé).
gmail.sendEnvoyer des emails et des réponses en votre nom, à votre demande.
gmail.modifyRefléter vos actions dans Gmail : lu/non-lu, libellés, mise en corbeille, brouillons.
calendar / calendar.events / calendar.readonlyAfficher et gérer vos événements d'agenda (si vous connectez Google Calendar).
userinfo.email / userinfo.profileIdentifier le compte connecté (adresse email et nom).

Google API Services User Data Policy — Limited Use

L'utilisation et le transfert par Vortex des informations reçues des API Google respectent la « Google API Services User Data Policy », y compris ses exigences d'utilisation limitée (Limited Use). Concrètement : nous utilisons vos données Google uniquement pour vous fournir et améliorer les fonctionnalités visibles dans l'application ; nous ne les transférons pas à des tiers sauf pour fournir ces fonctionnalités, le respect du droit applicable, ou avec votre consentement ; nous ne les utilisons pas à des fins publicitaires ni pour entraîner des modèles d'IA généralisés ; et aucun humain ne lit vos données Google, sauf accord explicite de votre part, pour des raisons de sécurité (ex. enquête sur un abus), pour respecter la loi, ou lorsque ces données sont agrégées et anonymisées.

Les mêmes principes s'appliquent aux données issues de Microsoft (Outlook / Microsoft Graph) lorsque vous connectez un compte Microsoft.

7. Sous-traitants

Nous faisons appel à un nombre limité de sous-traitants, chacun encadré par un accord de traitement (DPA) et, le cas échéant, des clauses contractuelles types pour tout transfert hors UE :

Sous-traitantRôleDonnéesLocalisation
Mistral AITraitement IA (pipeline NOVA, résumé, dictée, embeddings)Contenu des emails traités🇪🇺 UE
Google LLCAPI Gmail / Google Calendar (si compte connecté)Votre boîte mail / agenda🇺🇸 États-Unis
Microsoft Corp.API Outlook / Graph (si compte connecté)Votre boîte mail / agenda🇺🇸 États-Unis
ResendEmails transactionnels (vérification, notifications)Email, nom, contenu de la notificationInternational
PolarFacturation (Merchant of Record)Email, nom, formule, paiementInternational
Hébergeur (France)Infrastructure auto-hébergée (app, base, stockage)Toutes les données🇫🇷 France

Twilio (SMS) et les outils d'analytics ne sont pas actifs ; aucune donnée ne leur est transmise. Cette liste est tenue à jour ; la version contractuelle est disponible sur demande.

8. Transferts hors Union européenne

Vos données sont stockées et traitées principalement en France (infrastructure auto-hébergée) et en Union européenne (IA Mistral). Des transferts hors UE peuvent intervenir lorsque vous connectez une boîte Google ou Microsoft (fournisseurs établis aux États-Unis), ou via certains sous-traitants internationaux (Resend, Polar). Ces transferts sont encadrés par des garanties appropriées au sens des articles 44 et suivants du RGPD (clauses contractuelles types, décisions d'adéquation applicables).

9. Durées de conservation

DonnéeDurée de conservation
Données de compte et emailsPendant la durée du compte, puis supprimées à sa clôture
Emails placés en corbeilleSupprimés après 30 jours
Compte mail déconnectéSuppression définitive après 90 jours
Adresses IP des accusés de lectureAnonymisées dans le mois suivant leur collecte
Exports de données (portabilité)Lien de téléchargement valable 7 jours
Journal d'audit (actions sensibles)Conservé le temps nécessaire à la sécurité et à la traçabilité, conformément à nos obligations légales
Données de facturationConservées jusqu'à 10 ans (obligations comptables et fiscales)

10. Sécurité

  • Chiffrement AES-256-GCM des identifiants d'accès aux boîtes (tokens OAuth, mots de passe IMAP, tokens d'agenda).
  • Authentification par sessions sécurisées et OAuth 2.0.
  • Vérification cryptographique des webhooks entrants (facturation, notifications).
  • Assainissement (DOMPurify) du HTML des emails avant affichage pour prévenir les attaques XSS.
  • Hébergement auto-géré en France, sans cloud SaaS de données américain.

11. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données :

  • Droit d'accès et de rectification.
  • Droit à l'effacement (Art. 17) : depuis vos paramètres, confirmation par double opt-in, puis anonymisation de votre identité et suppression de vos boîtes mail personnelles.
  • Droit à la portabilité (Art. 20) : export de vos données (mail + agenda) au format ZIP, via un lien signé valable 7 jours.
  • Droit à la limitation et droit d'opposition.
  • Droit de retirer votre consentement à tout moment (ex. déconnexion d'une boîte).
  • Droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

Pour exercer ces droits : depuis vos paramètres, ou par email à privacy@vantura.studio.

12. Cookies et traceurs

Vortex utilise uniquement les cookies strictement nécessaires au fonctionnement du service (authentification, sécurité de session). Nous n'utilisons pas de cookies publicitaires ni de traceurs tiers à des fins de profilage. Les pixels de suivi présents dans les emails reçus sont bloqués ; les accusés de lecture que vous activez sont un traitement interne (IP anonymisée après 30 jours).

13. Modifications

Nous pouvons faire évoluer la présente politique. Toute modification substantielle vous sera notifiée. La date de dernière mise à jour figure en tête de ce document.

14. Contact

Vantura Studio — 60 bis chemin de Ligne, 97427 L'Étang-Salé, La Réunion, France. Référent données : privacy@vantura.studio. Contact général : contact@vantura.studio.

Une question ? Contactez-nous.