Pendi

Politique de confidentialité

Dernière mise à jour : 15 janvier 2025

La présente politique de confidentialité (ci-après la « Politique ») a pour objet d'informer les utilisateurs du Site accessible à l'adresse app.pendi.ai (ci-après le « Site ») sur la manière dont OffQuest SAS (ci-après le « Responsable de traitement ») collecte, utilise, conserve et protège leurs données personnelles, en conformité avec le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le « RGPD ») et la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après la « Loi Informatique et Libertés »).

1. Responsable du traitement

Dénomination socialeOffQuest SAS
Forme juridiqueSociété par actions simplifiée
Siège social10 rue de Penthièvre, 75008 Paris, France
Contactlegal@pendi.ai

2. Données personnelles collectées

Le Responsable de traitement est susceptible de collecter les catégories de données personnelles suivantes :

  • Données d'identification : nom, prénom, adresse électronique professionnelle, numéro de téléphone
  • Données de connexion : adresse IP, identifiants de session, logs de navigation, type et version du navigateur, système d'exploitation
  • Données d'entreprise : dénomination sociale, forme juridique, numéro SIRET, secteur d'activité
  • Données d'utilisation : fonctionnalités sollicitées, pages visitées, durée de navigation, interactions avec le Site

3. Finalités du traitement

Les données personnelles sont collectées et traitées pour les finalités suivantes :

  • Gestion de la relation client : réponse aux demandes de contact, suivi des échanges et fourniture de support technique
  • Création et gestion des comptes utilisateurs : inscription, authentification, administration du profil
  • Exécution contractuelle : fourniture des services souscrits, gestion des transactions, facturation
  • Amélioration des services : analyse de l'utilisation du Site, détection et correction d'anomalies, personnalisation de l'expérience utilisateur
  • Sécurité : protection du Site contre les accès non autorisés, les attaques et les fraudes
  • Obligations légales : respect des obligations comptables, fiscales et réglementaires

4. Base légale des traitements

Les traitements de données personnelles sont fondés sur les bases légales suivantes, conformément à l'article 6 du RGPD :

  • Consentement de la personne concernée (art. 6.1.a) : pour le dépôt de cookies non essentiels et l'envoi de communications commerciales
  • Exécution d'un contrat (art. 6.1.b) : pour les données nécessaires à la fourniture des services souscrits
  • Intérêt légitime (art. 6.1.f) : pour l'amélioration des services, la sécurité du Site et les analyses statistiques anonymisées
  • Obligation légale (art. 6.1.c) : pour les données relatives aux obligations comptables et fiscales

5. Durée de conservation

Les données personnelles sont conservées pour une durée proportionnée à la finalité pour laquelle elles ont été collectée, conformément aux dispositions applicables :

  • Données de contact et d'échanges : 3 ans à compter du dernier contact avec la personne concernée
  • Données de compte utilisateur : pendant la durée du contrat et 3 ans après sa résiliation
  • Données de transaction et de facturation : 10 ans à compter de la clôture de l'exercice comptable, conformément aux obligations du Code de commerce
  • Données de connexion et d'utilisation : 13 mois maximum, conformément aux recommandations de la CNIL
  • Données à caractère financier : 5 ans à compter de la fin de la relation contractuelle

À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

6. Destinataires des données

Les données personnelles sont accessibles aux seules personnes habilitées à les traiter, dans le strict cadre de leurs attributions. Les destinataires internes comprennent les équipes chargées du développement, du support client, de la facturation et de la conformité.

Les données peuvent être communiquées à des destinataires externes dans les cas suivants :

  • Prestataires techniques (sous-traitants) : hébergeur et prestataire d'analyse, dans les conditions définies à l'article 7 de la présente Politique
  • Autorités compétentes : en cas d'obligation légale, de réquisition judiciaire ou d'instruction par une autorité publique habilitée

7. Sous-traitants

Le Responsable de traitement fait appel aux sous-traitants suivants, chacun ayant conclu un contrat comportant les clauses types prévues à l'article 28 du RGPD :

  • Vercel Inc. : hébergement du Site et des données applicatives — traitement réalisé au sein de l'Union européenne
  • Vercel Inc. (Vercel Analytics) : analyse de l'utilisation du Site — données anonymisées et agrégées, aucun identifiant individuel collecté

8. Cookies et technologies de suivi

Le Site utilise Vercel Analytics, une solution d'analyse d'audience respectueuse de la vie privée. Cette technologie ne recourt pas à des cookies tiers et ne collecte aucune donnée identifiante. Les données recueillies sont anonymisées avant tout traitement et ne permettent en aucun cas l'identification individuelle des utilisateurs.

Le Site peut également utiliser des cookies strictement nécessaires à son bon fonctionnement (session, sécurité). Ces cookies ne nécessitent pas le recueil du consentement préalable de l'utilisateur au sens de la directive ePrivacy.

9. Transferts de données hors de l'Union européenne

Dans la mesure où Vercel Inc. est une société de droit américain, certaines données peuvent être transférées vers les États-Unis. Ces transferts s'effectuent dans le cadre des garanties appropriées prévues par le RGPD, notamment la décision d'adéquation de la Commission européenne du 10 juillet 2023 (Data Privacy Framework). Vercel Inc. est certifié conforme au Data Privacy Framework.

10. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD et à la Loi Informatique et Libertés, toute personne concernée dispose des droits suivants sur ses données personnelles :

  • Droit d'accès (art. 15) : obtenir la confirmation que des données personnelles sont ou ne sont pas traitées, ainsi qu'une copie de celles-ci
  • Droit de rectification (art. 16) : obtenir la correction de données inexactes ou incomplètes
  • Droit à l'effacement (art. 17) : obtenir la suppression de ses données lorsque les conditions prévues par le RGPD sont remplies
  • Droit à la limitation du traitement (art. 18) : s'opposer à ce que ses données fassent l'objet d'un traitement dans les cas prévus par le RGPD
  • Droit à la portabilité (art. 20) : recevoir ses données dans un format structuré, couramment utilisé et lisible par machine
  • Droit d'opposition (art. 21) : s'opposer au traitement de ses données pour des motifs légitimes, ou s'opposer à la prospection commerciale

Pour exercer l'un de ces droits, la personne concernée peut adresser sa demande par courrier électronique à l'adresse : legal@pendi.ai. Le Responsable de traitement s'engage à répondre dans un délai maximum d'un mois à compter de la réception de la demande, conformément aux dispositions de l'article 12 du RGPD.

11. Réclamation auprès de la CNIL

Si la personne concernée estime que le traitement de ses données personnelles n'est pas conforme au RGPD, elle dispose du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) par tout moyen, notamment par voie électronique, à l'adresse : www.cnil.fr.

12. Modifications de la présente Politique

Le Responsable de traitement se réserve le droit de modifier la présente Politique à tout moment. Toute modification sera publiée sur le Site avec mise à jour de la date de « Dernière mise à jour » figurant en en-tête. Les utilisateurs sont invités à consulter régulièrement la présente Politique afin de prendre connaissance des éventuelles modifications.