MastRetour

Politique de confidentialité

Dernière mise à jour : 14 mai 2026

Mast attache une importance capitale à la protection de vos données personnelles. La présente politique vous explique en toute transparence quelles informations nous collectons, pourquoi, combien de temps nous les conservons et comment vous pouvez exercer vos droits.

1. Qui sommes-nous ?

Le service Mast est édité par Léo Orlandi, exerçant en Auto-entrepreneur (Entreprise individuelle), immatriculé sous le SIREN 937 782 860, dont le siège est situé 9 la Gomette, Bussy-le-Repos.

Pour toute question relative à vos données personnelles : leobusiness45@gmail.com.

2. Description du service

Mast est une plateforme SaaS de gestion destinée aux artisans et entreprises du BTP. Elle permet la création de devis, de factures conformes à la norme Factur-X 2026, la gestion des clients, le suivi de chantiers via un planning, la collaboration en équipe et la génération assistée par intelligence artificielle de descriptifs de prestations.

3. Données collectées

Nous collectons et traitons les catégories de données suivantes :

  • Données de compte : prénom, nom, email, mot de passe chiffré, date de création du compte.
  • Données d'entreprise : SIRET, raison sociale, forme juridique, code APE, adresse postale, RIB (si renseigné), assurance décennale, logo.
  • Données de votre activité professionnelle : informations sur vos clients (noms, emails, téléphones, adresses, SIRET), montants des devis et factures, lignes de prestations, contenu textuel saisi.
  • Données de paiement : gérées exclusivement par Stripe ; nous ne stockons aucune donnée bancaire (PAN, CVC, etc.).
  • Données techniques: adresse IP (sécurité, rate-limiting), type de navigateur, journaux d'accès, horodatage des connexions.

4. Finalités du traitement

Vos données sont utilisées exclusivement pour :

  • Fournir le service : créer et gérer devis, factures, planning, clients.
  • Authentifier les utilisateurs, sécuriser les comptes (rate limit, détection de comportement anormal).
  • Facturer les abonnements via Stripe.
  • Répondre à vos demandes de support technique.
  • Améliorer le service grâce à des statistiques agrégées et anonymisées.
  • Respecter nos obligations légales (conservation des factures, déclarations fiscales).

5. Base légale du traitement (RGPD)

  • Exécution du contrat (art. 6.1.b RGPD) : création de compte, gestion des devis et factures.
  • Obligation légale (art. 6.1.c RGPD) : conservation des factures pendant 10 ans (article L 123-22 du Code de commerce).
  • Intérêt légitime (art. 6.1.f RGPD) : sécurité du service, prévention de la fraude.
  • Consentement(art. 6.1.a RGPD) : envoi d'emails marketing optionnels (à venir).

6. Traitement par intelligence artificielle

La fonctionnalité Mast AIenvoie vos briefs textuels à l'API d'Anthropic (modèle Claude) pour générer des descriptifs de lignes de devis ou facture.

  • Les briefs envoyés à Anthropic ne sont pas utilisés pour entraîner les modèles d'IA, conformément aux conditions de l'API Anthropic.
  • Anthropic conserve les requêtes pendant un maximum de 30 jours pour la détection d'abus, puis les supprime.
  • Ne saisissez jamais d'informations confidentielles ou sensibles (mots de passe, données médicales, etc.) dans les briefs envoyés à Mast AI.

7. Méthodes de connexion

Vous pouvez vous connecter à Mast via :

  • Email + mot de passe : authentification gérée par Supabase Auth, mots de passe stockés avec un algorithme de hachage robuste.
  • Google OAuth : si vous choisissez de vous connecter avec Google, seuls votre email, votre nom et votre photo de profil (le cas échéant) sont récupérés. Aucun accès à votre Gmail ou autres services Google.

8. Services tiers et sous-traitants

Vos données peuvent être traitées par les sous-traitants suivants, chacun lié par un accord de traitement des données (DPA) conforme au RGPD :

  • Supabase Inc. (Supabase Inc. — region EU (Irlande / Francfort)) — hébergement base de données et authentification.
  • Vercel Inc. (Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA) — hébergement de l'application web. Transferts encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne.
  • Stripe Payments Europe Ltd — paiements et abonnements (PCI-DSS Level 1).
  • OpenAI, L.L.C.— service Mast AI (génération de descriptifs, mails, suggestions TVA). Transferts encadrés par SCC. Aucune donnée envoyée à OpenAI n'est utilisée pour l'entraînement de leurs modèles (paramètre opt-out activé).
  • Resend Inc.— envoi d'emails transactionnels (devis/factures envoyés aux clients, confirmation de compte, réinitialisation de mot de passe).
  • Google LLC— (1) authentification OAuth si vous choisissez cette méthode ; (2) avec votre consentement uniquement, Google Analytics 4 pour la mesure d'audience anonymisée. Transferts encadrés par SCC et Data Privacy Framework.
  • Microsoft Corporation— avec votre consentement uniquement, Microsoft Clarity pour l'analyse comportementale anonymisée (heatmaps, parcours utilisateur). Transferts encadrés par SCC et Data Privacy Framework.

9. Transferts de données hors UE

Vos données principales (compte, devis, factures, clients) sont stockées exclusivement dans l'Union européenne (Supabase EU).

Certains sous-traitants (Vercel, Anthropic, Stripe) peuvent traiter des données techniques aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne, ainsi que par le cadre Data Privacy Framework UE-US lorsque applicable.

10. Durée de conservation

  • Compte actif : tant que vous êtes utilisateur du service.
  • Après suppression du compte : effacement effectif sous 30 jours maximum. Exception : les factures émises sont conservées 10 ans (obligation légale L 123-22 du Code de commerce).
  • Logs techniques : 12 mois maximum.
  • Données de prospection (calculateur TVA, leads publics) : 3 ans à compter du dernier contact, conformément aux recommandations CNIL.
  • Cookies de session : durée de la session uniquement (supprimés à la déconnexion).

11. Protection des mineurs

Mastest un service destiné exclusivement à un usage professionnel par des personnes majeures (artisans, entreprises BTP, leurs employés). Nous ne collectons pas sciemment de données concernant des mineurs de moins de 18 ans. Si vous estimez qu'un mineur nous a fourni des données personnelles, contactez-nous immédiatement à leobusiness45@gmail.com pour suppression.

12. Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de toutes les données personnelles que nous traitons à votre sujet.
  • Droit de rectification : modifier vos données inexactes ou incomplètes directement depuis votre espace Paramètres.
  • Droit à l'effacement(droit à l'oubli) : supprimer votre compte et l'ensemble de vos données depuis Paramètres → Sécurité → Zone de danger. Les factures émises restent conservées 10 ans (obligation légale).
  • Droit à la portabilité : récupérer vos données dans un format structuré (JSON / CSV) sur demande à leobusiness45@gmail.com.
  • Droit d'opposition: vous opposer au traitement de vos données pour les finalités fondées sur l'intérêt légitime.
  • Droit à la limitation : restreindre le traitement de vos données dans certaines situations.
  • Droit de réclamation auprès de la CNIL : si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL sur www.cnil.fr.

Nous répondons à vos demandes dans un délai maximum de 30 jours conformément à l'article 12 du RGPD.

13. Sécurité des données

  • Chiffrement TLS de bout en bout (HTTPS obligatoire).
  • Chiffrement au repos des bases de données (AES-256).
  • Isolation stricte des données par compte (Row-Level Security PostgreSQL).
  • Mots de passe stockés avec hachage cryptographique fort (bcrypt / Argon2 via Supabase Auth).
  • Authentification renforcée : rate-limiting, protection contre le bruteforce et le credential stuffing.
  • Audits de sécurité internes réguliers, en particulier sur les politiques RLS et les permissions.
  • Sauvegardes quotidiennes automatiques.

14. Cookies et technologies similaires

Mast distingue deux catégories de cookies, conformément à la directive ePrivacy et aux lignes directrices de la CNIL :

14.1 Cookies essentiels (sans consentement)

Strictement nécessaires au fonctionnement du service :

  • Cookie de session : maintient votre authentification (durée : session navigateur, ou 7 jours si « Se souvenir de moi »).
  • Cookie de préférence : thème clair/sombre, sélection de langue.
  • Stockage local de consentement : mémorise vos choix cookies pour ne pas vous redemander à chaque visite (durée : 6 mois max).

14.2 Cookies de mesure d'audience (avec consentement)

Avec votre consentement explicite, Mastutilise les outils suivants pour comprendre comment le service est utilisé et l'améliorer :

  • Google Analytics 4(Google LLC, États-Unis) — mesure d'audience anonymisée. Adresse IP automatiquement anonymisée (`anonymize_ip: true`). Transfert hors UE encadré par les Clauses Contractuelles Types (CCT) et le Data Privacy Framework (DPF). Durée de conservation : 14 mois.
  • Microsoft Clarity (Microsoft Corporation, États-Unis) — enregistrement anonymisé des sessions (heatmaps, parcours utilisateur). Aucune donnée personnelle directe collectée. Transfert hors UE encadré par CCT et DPF. Durée de conservation : 13 mois.

Aucun cookie publicitaire ni de ciblage marketing n'est déposé. Les données collectées ne sont jamais partagées avec des annonceurs ou des plateformes publicitaires.

14.3 Gestion de votre consentement

Lors de votre première visite, un bandeau vous propose 3 choix : « Tout accepter », « Tout refuser » ou « Personnaliser ». Aucun cookie analytique n'est déposé avant votre choix explicite.

Vous pouvez à tout moment retirer ou modifier votre consentement en cliquant sur le lien « Gérer mes cookies » présent dans le pied de page de chaque page du site. Votre choix est conservé pendant 6 mois maximum, après quoi le bandeau réapparaîtra pour reconfirmation.

Vous pouvez également bloquer les cookies directement dans les paramètres de votre navigateur (voir guide CNIL).

15. Modifications

Cette politique peut être amenée à évoluer pour refléter des changements légaux, techniques ou organisationnels. Toute modification substantielle vous sera notifiée par email avec un préavis raisonnable de 30 jours. La date de dernière mise à jour figure en haut de cette page.

16. Contact

Pour toute question, demande d'exercice de vos droits, ou plainte :