RGPD & Protection des Données
Notre engagement pour la protection de vos données personnelles.
La protection des données personnelles est intégrée au cœur d'Envopulse.
Envopulse est une plateforme SaaS permettant à ses clients professionnels d'envoyer et de gérer des communications SMS via une interface web et une API REST. Dans ce cadre, Envopulse traite des données personnelles pour le compte de ses clients, dans le respect du Règlement Général sur la Protection des Données (RGPD).
Cette page décrit :
- notre rôle au sens du RGPD
- les mesures techniques et organisationnelles mises en place
- les mécanismes concrets de conformité intégrés à la plateforme
- les responsabilités respectives d'Envopulse et de ses clients
Notre rôle au regard du RGPD
Envopulse, sous-traitant de données
Envopulse agit en tant que sous-traitant au sens de l'article 4.8 du RGPD.
Nous traitons les données personnelles uniquement sur instruction de nos clients, qui restent responsables de traitement des données qu'ils envoient via la plateforme, notamment :
- numéros de téléphone
- contenus des messages
- paramètres de diffusion
Envopulse ne réutilise jamais les données à d'autres fins que la fourniture du service SMS.
Sous-traitance & accord de traitement des données (DPA)
Dans le cadre de l'envoi de SMS via la plateforme, Envopulse agit en tant que sous-traitant au sens du RGPD (article 28). Les clients de Envopulse restent responsables de traitement des données de leurs contacts.
Un accord de sous-traitance des données (Data Processing Agreement – DPA) est disponible sur demande ou accessible depuis l'espace client. Il définit les obligations respectives des parties et les garanties mises en place pour assurer la conformité au RGPD.
Bases légales et principes de traitement
Les traitements réalisés par Envopulse reposent sur des bases légales valides, définies par ses clients :
- exécution du contrat
- consentement explicite (le cas échéant)
- obligation légale
- intérêt légitime (traitements techniques strictement nécessaires)
Principes RGPD appliqués
Minimisation des données
Seules les données strictement nécessaires au fonctionnement du service sont traitées.
Finalité déterminée
Les données ne sont jamais utilisées à des fins commerciales, analytiques ou publicitaires par Envopulse.
Limitation de la conservation
Les durées de conservation sont configurables et limitées.
Sécurité et confidentialité
Les données sont protégées par des mesures techniques et organisationnelles strictes.
Mesures techniques et organisationnelles mises en place
Envopulse met à disposition de ses clients des outils concrets pour soutenir leur conformité RGPD.
Sécurité des accès et des données
- chiffrement des communications via HTTPS / TLS
- accès restreint aux environnements de production
- authentification et autorisation strictes
- protection CSRF sur les interfaces
- audits et contrôles de sécurité internes
- sauvegardes régulières
Hébergement des données
- données hébergées exclusivement en Europe
- infrastructures situées dans l'Union Européenne
- aucun transfert hors EEE par défaut
Gestion des durées de conservation
Envopulse permet de configurer précisément la conservation des données :
- conservation des SMS et des logs : 1 à 730 jours
- conservation des statuts d'envoi (DLR) : jusqu'à 12 mois (configurable)
- suppression ou anonymisation automatique à l'issue de la durée définie
Toutes les modifications liées à la conservation sont journalisées et traçables.
Journalisation et traçabilité (logs techniques)
Journalisation des erreurs critiques API
Les erreurs critiques générées lors des appels à l'API REST sont journalisées avec :
- méthode et URL
- code d'erreur métier et code HTTP
- horodatage
- identifiant unique traceId
- contexte technique anonymisé (IP, User-Agent)
⏱️ Durée de conservation : 90 jours maximum, puis suppression automatique.
Journalisation des statuts d'envoi (DLR)
Envopulse enregistre uniquement des métadonnées techniques, utilisées pour :
- assurer le fonctionnement du service
- fournir une preuve d'envoi
- analyser la délivrabilité
Aucune donnée personnelle n'est stockée dans les journaux DLR.
| Donnée | Type | Nature RGPD |
|---|---|---|
| Statut final | DELIVERED / FAILED / EXPIRED | Métadonnée |
| Horodatages | sentAt / deliveredAt | Métadonnée |
| Code opérateur | Anonymisé | Métadonnée |
| Délai de délivrance | Indicateur technique | - |
Base légale : article 6(1)(f) – intérêt légitime
Finalité : preuve technique du service et amélioration de la qualité.
Gestion des DLR tardifs
Les accusés de réception reçus après expiration :
- sont journalisés à des fins d'audit interne
- ne modifient pas les statuts clients
- ne génèrent aucune donnée personnelle supplémentaire
Gestion du droit d'opposition (STOP SMS)
STOP SMS automatique
Envopulse intègre nativement un mécanisme de gestion du droit d'opposition (article 21 RGPD) :
- obligation d'inclure une mention « STOP au XXXXX » dans les SMS promotionnels
- traitement automatique des réponses STOP
- ajout immédiat en liste d'opposition
- blocage automatique de tout nouvel envoi
- opposition illimitée dans le temps
Les STOP n'affectent pas les journaux techniques, qui ne contiennent aucune donnée personnelle.
Restrictions d'envoi pour les SMS promotionnels
Envopulse applique automatiquement les règles réglementaires :
- envoi autorisé uniquement entre 8h et 20h
- blocage automatique en dehors de cette plage
- les SMS transactionnels ne sont pas soumis à ces restrictions
ℹ️ Les restrictions liées aux dimanches et jours fériés seront appliquées ultérieurement.
Conformément au RGPD et à la réglementation française applicable aux communications électroniques, le droit d'opposition pour les SMS promotionnels s'exerce directement par le canal SMS.
Chaque message promotionnel doit contenir une mention permettant au destinataire de se désinscrire simplement, par exemple en répondant STOP au message reçu.
La réponse STOP constitue une opposition :
- immédiate
- simple
- traçable
Elle entraîne automatiquement l'ajout du numéro en liste d'opposition et le blocage de tout envoi futur.
Responsabilités respectives
Responsabilités d'Envopulse
- fournir une plateforme conforme par conception
- appliquer automatiquement les règles réglementaires
- bloquer les envois non conformes
- garantir la sécurité et la traçabilité
Responsabilités du client
Le client reste responsable :
- de l'obtention du consentement (le cas échéant)
- de la licéité de ses envois
- de la conformité de ses propres traitements
- de la gestion des droits des personnes concernées
- de l'utilisation correcte des outils fournis
Documentation RGPD disponible
Depuis l'espace client :
- registre des traitements (export PDF)
- paramètres de conservation
- historique des modifications RGPD
- outils d'effacement et de gestion des droits
Contact & DPO
Pour toute question relative au RGPD ou à la protection des données :
Email DPO : dpo@envopulse.fr
Délai de réponse : 30 jours maximum
Vous pouvez également introduire une réclamation auprès de la CNIL : https://www.cnil.fr