Politique de confidentialité

FirstSales ('nous', 'notre' ou 'nos') exploite la plateforme FirstSales disponible sur firstsales.io, un produit de prospection à froid par email d'entreprise à entreprise (B2B) qui propose la création de séquences d'email assistée par IA, le warm-up automatisé des boîtes mail et des domaines, des outils de délivrabilité, la gestion des listes de prospects et des analyses de campagnes.

Cette Politique de confidentialité décrit comment nous collectons, recevons, utilisons, stockons, partageons, transférons et protégeons les données personnelles dans le cadre de votre utilisation du site web et de la plateforme FirstSales (ensemble, le 'Service'). Elle s'applique à tous les visiteurs de firstsales.io, aux titulaires de comptes enregistrés, aux utilisateurs en période d'essai et à toute personne dont les données sont traitées via notre infrastructure.

Pour les données personnelles de nos propres utilisateurs et visiteurs du site web, FirstSales agit en tant que responsable du traitement : nous déterminons les finalités et les moyens du traitement. Pour les données personnelles que les utilisateurs importent au sujet de leurs propres prospects et contacts (listes de destinataires, données d'enrichissement, imports CRM), FirstSales agit en tant que sous-traitant, opérant selon les instructions de l'utilisateur, qui est le responsable du traitement de ces données.

En créant un compte, en démarrant un essai ou en utilisant une quelconque partie du Service, vous reconnaissez avoir lu et compris cette Politique de confidentialité. Si vous n'en acceptez pas une partie quelconque, vous ne devez pas utiliser le Service.

Nous collectons différentes catégories de données personnelles selon la manière dont vous interagissez avec nous.

Données de compte et de profil : lorsque vous vous inscrivez, nous collectons votre nom, votre adresse email et les éventuels détails de profil facultatifs que vous fournissez, tels que le nom de votre entreprise, votre fonction ou votre site web. Si vous invitez des membres d'équipe, nous collectons leurs adresses email afin d'envoyer les invitations.

Données de facturation et de paiement : lorsque vous démarrez un abonnement payant ou un essai à $1, vous fournissez des informations de facturation telles que le nom du titulaire de la carte et les informations relatives au moyen de paiement. Les paiements sont traités par nos prestataires de paiement tiers (actuellement Stripe). Nous ne recevons ni ne stockons votre numéro complet de carte de crédit, votre CVV ou la date d'expiration complète de votre carte sur nos propres serveurs. Nous recevons et stockons un jeton de paiement, les quatre derniers chiffres, la marque de la carte et le pays de facturation pour la gestion de l'abonnement et la prévention de la fraude.

Données de boîte mail et de domaine connectés : pour envoyer des emails en votre nom, vous autorisez FirstSales à accéder à votre compte de messagerie via OAuth (Google, Microsoft ou des fournisseurs similaires) ou via des identifiants SMTP/IMAP. Cela nous donne accès à l'envoi d'emails depuis votre adresse, à la lecture du statut de livraison des messages envoyés et, lorsque vous activez le warm-up, à l'échange de messages de warm-up au sein de notre réseau. Nous stockons les jetons OAuth (chiffrés), votre adresse email, votre nom d'affichage, l'identité du fournisseur et la configuration d'envoi. Nous accédons aux métadonnées de l'email (objet, horodatage, message-id, adresses des destinataires) et, dans certains cas, à un contenu limité du corps de l'email, uniquement pour exécuter le warm-up, suivre les événements d'ouverture et de clic, et fournir des analyses de délivrabilité.

Données de prospects et de contacts importées par les utilisateurs : vous pouvez importer des fichiers CSV, connecter des intégrations CRM ou ajouter manuellement des fiches de contact contenant des noms, des adresses email professionnelles, des intitulés de poste, des noms d'entreprises, des URLs LinkedIn et d'autres attributs de prospection. Ces données vous appartiennent. Vous êtes le responsable du traitement et vous êtes seul responsable de vous assurer que vous disposez d'une base légale pour traiter et contacter chaque personne.

Données d'utilisation et de produit : nous collectons des informations sur la façon dont vous utilisez le Service, notamment les pages consultées, les fonctionnalités activées, les séquences créées, les campagnes lancées, les emails envoyés et suivis, les événements de clic et d'ouverture, ainsi que la durée des sessions. Ces données sont principalement liées à votre compte plutôt que suivies à travers d'autres sites.

Données d'appareil et de journalisation : nos serveurs enregistrent automatiquement votre adresse IP, le type et la version de votre navigateur, votre système d'exploitation, l'URL de provenance et les horodatages lorsque vous interagissez avec le Service. Ces journaux sont utilisés pour la surveillance de la sécurité, le débogage et la prévention des abus.

• Cookies et technologies similaires : nous utilisons des cookies essentiels pour maintenir votre session de connexion et la protection CSRF. Nous pouvons utiliser des cookies d'analyse pour comprendre l'utilisation agrégée du produit. Les cookies de préférences mémorisent des paramètres tels que le fuseau horaire et la langue. Pour tous les détails sur les cookies, les technologies de suivi et la manière de les désactiver, veuillez consulter notre Politique relative aux cookies.

Nous utilisons les informations que nous collectons aux fins suivantes :

• Fournir et exploiter le Service : vous authentifier, exécuter les envois d'emails et le warm-up en votre nom, gérer les campagnes et les séquences, stocker et afficher vos listes de prospects, et fournir des tableaux de bord d'analyses.
• Gestion du compte et facturation : traiter les abonnements, les activations d'essai et les renouvellements ; communiquer les changements de forfait, les factures et les problèmes de paiement.
• Délivrabilité et warm-up : analyser les schémas d'envoi, les signaux de réputation, les taux de rebond et le placement en boîte de réception afin de vous conseiller et d'ajuster automatiquement les calendriers de warm-up.
• Génération de contenu assistée par IA : utiliser le contexte de votre campagne (persona cible, description du produit, préférences de ton) pour générer des textes d'email personnalisés. Nous n'entraînons pas de modèles d'IA partagés sur vos données privées de prospects ni sur le contenu de vos emails sans votre consentement explicite.
• Assistance client : répondre à vos demandes, résoudre les problèmes et fournir une aide à la prise en main.
• Sécurité et prévention des abus : détecter les comptes frauduleux, les abus de spam provenant de notre plateforme, les tentatives d'accès non autorisé et les violations de nos Conditions d'utilisation.
• Obligations légales et de conformité : conserver des enregistrements comme l'exige la loi applicable, répondre à des procédures judiciaires valides et faire respecter nos accords.
• Amélioration du produit : analyser des tendances d'utilisation agrégées et anonymisées pour améliorer les fonctionnalités, corriger les bugs et prioriser la feuille de route du produit.

Nous ne vendons pas vos données personnelles, le contenu de votre boîte mail connectée ni vos listes de prospects à des tiers à des fins publicitaires.

Si vous êtes situé dans l'Espace économique européen (EEE), au Royaume-Uni ou en Suisse, nous traitons vos données personnelles sur la base d'un ou de plusieurs des fondements juridiques suivants au titre du Règlement général sur la protection des données (GDPR) et du droit national applicable :

• Contrat (article 6(1)(b)) : traitement nécessaire à l'exécution du contrat qui nous lie à vous, notamment l'exploitation de votre compte, l'exécution des envois, la gestion de la facturation et la fourniture de l'assistance.
• Intérêts légitimes (article 6(1)(f)) : traitement au titre de nos intérêts commerciaux légitimes lorsque ces intérêts ne sont pas supplantés par vos droits — par exemple, la détection de la fraude, la surveillance de la sécurité, les analyses produit, le marketing direct auprès des clients existants concernant des fonctionnalités connexes, et l'amélioration des outils de délivrabilité.
• Consentement (article 6(1)(a)) : lorsque nous nous appuyons sur votre consentement, par exemple pour les cookies d'analyse facultatifs ou les communications marketing destinées aux prospects de FirstSales. Vous pouvez retirer votre consentement à tout moment sans que cela n'affecte la licéité du traitement antérieur.
• Obligation légale (article 6(1)(c)) : traitement requis pour se conformer à la loi applicable, comme la conservation des registres fiscaux, la réponse aux décisions de justice ou aux demandes réglementaires.

Pour les catégories particulières de données personnelles (si elles apparaissaient par inadvertance dans les listes de prospects importées), nous ne procédons au traitement que sur la base d'un consentement explicite ou dans la mesure permise par la loi applicable, et nous recommandons vivement aux utilisateurs de ne pas importer de données de catégories sensibles via le Service.

Lorsque vous connectez une boîte mail Google Workspace ou Microsoft 365 via OAuth, vous accordez à FirstSales des portées (scopes) OAuth spécifiques. Pour Google, nous demandons des portées suffisantes pour envoyer des emails (gmail.send), lire les libellés et les métadonnées nécessaires au suivi de la livraison (gmail.readonly ou équivalent) et, lorsque le warm-up est activé, insérer et gérer les messages de warm-up. Nous ne demandons pas l'accès à l'intégralité de votre boîte de réception ni à vos contacts au-delà de ce qui est nécessaire aux fonctionnalités que vous activez.

Les jetons OAuth sont stockés chiffrés au repos à l'aide d'un chiffrement conforme aux normes du secteur. Les jetons d'accès sont actualisés automatiquement et conservés uniquement tant que la connexion de votre boîte mail reste active. La révocation de l'autorisation OAuth depuis les paramètres de votre compte Google ou Microsoft invalidera immédiatement notre accès.

• Nous lisons les métadonnées de l'email (expéditeur, destinataire, objet, message-id, horodatage) pour corréler les messages envoyés avec les événements de suivi d'ouverture et de clic.
• Pour le warm-up, notre système envoie et reçoit de courts messages d'allure humaine entre les comptes connectés de notre réseau de warm-up. Ces messages sont clairement générés par machine à des fins de warm-up et ne contiennent pas le contenu réel de votre campagne.
• Nous ne lisons, n'indexons ni n'analysons le contenu complet des emails de votre boîte de réception au-delà de ce que vous envoyez explicitement via le Service.
• Nous ne partageons, ne vendons ni n'utilisons le contenu de votre email à des fins de publicité, de courtage de données ou d'entraînement de modèles d'IA partagés sans votre consentement explicite.
• Nous agissons uniquement selon vos instructions lorsque nous accédons à votre boîte mail. Vous restez responsable de garantir que votre utilisation des boîtes mail connectées respecte les conditions d'utilisation de votre fournisseur de messagerie.

Si vous déconnectez une boîte mail de FirstSales, nous cessons immédiatement d'y accéder. Les métadonnées conservées (journaux d'envoi, événements d'analyse) liées à l'activité historique de vos campagnes sont conservées conformément à notre politique de conservation des données afin de préserver les rapports de vos campagnes.

FirstSales est un outil de prospection d'entreprise à entreprise. Les utilisateurs importent des listes de contacts professionnels — généralement des professionnels au sein d'entreprises — pour mener des campagnes de cold email. Lorsque vous importez des données de prospects, vous êtes le responsable du traitement de ces données et FirstSales agit en tant que votre sous-traitant.

Vos responsabilités en tant que responsable du traitement des données de prospects comprennent :

• Obtenir vos contacts par des moyens légitimes (par ex. des informations professionnelles disponibles publiquement, des formulaires d'opt-in, des listes achetées auprès de fournisseurs conformes) et confirmer que vous disposez d'une base légale pour la prospection B2B.
• Veiller à ce que chaque campagne d'email contienne une identification claire de l'expéditeur, une ligne d'objet véridique et un mécanisme fonctionnel d'opt-out ou de désinscription, comme l'exigent CAN-SPAM et des lois similaires.
• Honorer rapidement les demandes d'opt-out et de suppression. FirstSales propose des fonctionnalités de liste de suppression que vous êtes tenu d'utiliser lorsqu'un contact demande son retrait.
• Ne pas importer de catégories particulières de données personnelles (données de santé, financières, politiques, biométriques ou autres données sensibles) dans la base de données de prospects.
• Ne pas importer de données pour lesquelles vous ne disposez pas de l'autorité légale de les traiter ou d'envoyer des emails commerciaux.

FirstSales traite les données de prospects uniquement pour exécuter vos campagnes, afficher les fiches dans votre tableau de bord et fournir des analyses sur vos envois. Nous ne recoupons pas vos listes de prospects avec celles d'autres clients, ne vendons pas de données de prospects et ne les utilisons à aucune autre fin que l'exécution de l'activité de campagne que vous nous avez demandée.

Lorsque votre compte est résilié, les données de prospects sont supprimées conformément à notre calendrier de conservation des données décrit à la Section 8.

Nous ne vendons pas de données personnelles. Nous ne partageons des données personnelles que dans les circonstances limitées décrites ci-dessous.

Sous-traitants ultérieurs et prestataires de services : nous faisons appel à des entreprises tierces soigneusement sélectionnées pour nous aider à exploiter le Service. Ces sous-traitants ultérieurs peuvent traiter des données personnelles pour notre compte, mais sont contractuellement tenus de ne les utiliser qu'aux fins que nous spécifions et de maintenir une sécurité appropriée. Les principales catégories de sous-traitants ultérieurs comprennent :

• Infrastructure cloud : services d'hébergement et de bases de données qui stockent les données de compte, les données de campagnes et les journaux dans des environnements cloud sécurisés.
• Infrastructure d'envoi d'emails : services de relais SMTP et de délivrabilité qui aident à acheminer et à surveiller les emails sortants.
• Prestataires de paiement : Stripe (et équivalents) qui gèrent les transactions par carte de crédit. Ces prestataires sont conformes à la norme PCI-DSS.
• Analyse et surveillance des erreurs : outils qui collectent des données agrégées d'utilisation du produit et des journaux d'erreurs applicatives pour nous aider à améliorer la fiabilité et les performances.
• Outils d'assistance client : plateformes de helpdesk et de chat que nous utilisons pour répondre à vos tickets et à vos questions.
• Fournisseurs d'authentification : fournisseurs d'identité OAuth (Google, Microsoft) avec les serveurs d'autorisation desquels vous interagissez lors de la connexion de vos boîtes mail.

Divulgations légales et de sécurité : nous pouvons divulguer des données personnelles si la loi, une réglementation, une procédure judiciaire ou une demande gouvernementale valide (telle qu'une décision de justice ou une assignation) l'exige. Lorsque la loi le permet, nous vous informerons avant de produire des données en réponse à une telle demande. Nous pouvons également divulguer des données pour protéger les droits, les biens ou la sécurité de FirstSales, de nos utilisateurs ou du public.

Transferts d'entreprise : en cas de fusion, d'acquisition, de financement, de réorganisation, de faillite ou de vente de tout ou partie de nos actifs, les données personnelles que nous détenons pourront être transférées à une entité successeur. Nous vous informerons de tout transfert de ce type ainsi que des choix dont vous pourriez disposer.

Avec votre consentement : nous partagerons vos données avec d'autres tiers lorsque vous nous l'aurez explicitement demandé, par exemple lorsque vous autorisez une intégration native avec votre CRM.

Nous conservons les données personnelles tant que votre compte est actif et pendant une période définie par la suite, ou comme l'exige la loi.

• Comptes actifs : le profil du compte, les enregistrements de facturation, les données de campagnes et les métadonnées des boîtes mail connectées sont conservés pendant toute la durée de vie de votre compte.
• Après la résiliation du compte ou l'annulation de l'abonnement : nous conservons les enregistrements essentiels du compte et l'historique de facturation pendant une durée maximale de 7 ans afin de satisfaire aux obligations financières et légales. Les données d'analyse des campagnes (mesures agrégées, journaux d'envoi) sont conservées jusqu'à 2 ans après la résiliation pour le règlement des litiges.
• Données de prospects et de contacts : supprimées dans les 90 jours suivant la résiliation du compte, sauf si une suppression anticipée est demandée.
• Jetons OAuth : révoqués et supprimés immédiatement lors de la déconnexion de la boîte mail ou de la suppression du compte.
• Journaux du serveur et de sécurité : conservés jusqu'à 12 mois pour la surveillance de la sécurité et la prévention des abus, puis supprimés ou anonymisés.
• Sauvegardes : les sauvegardes chiffrées peuvent conserver des données pendant 60 jours supplémentaires au-delà de la période de conservation standard avant d'être purgées.

Vous pouvez demander la suppression de votre compte et des données personnelles associées à tout moment en écrivant à support@firstsales.io. Nous traiterons les demandes de suppression dans un délai de 30 jours, sous réserve de toute obligation légale de conserver certains enregistrements.

La protection de vos données et de l'accès à votre boîte mail connectée est fondamentale pour notre produit. Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles adaptées à la sensibilité des données que nous traitons.

• Chiffrement en transit : toutes les communications entre votre navigateur ou client de messagerie et nos serveurs utilisent TLS 1.2 ou supérieur. Les points de terminaison de l'API sont exclusivement en HTTPS.
• Chiffrement au repos : les bases de données, le stockage d'objets et les espaces de sauvegarde sont chiffrés au repos à l'aide d'AES-256 ou d'un équivalent. Les jetons OAuth et les identifiants SMTP sont en outre chiffrés au niveau de la couche applicative avant leur stockage.
• Contrôles d'accès : l'accès aux systèmes de production et aux données clients est limité au personnel autorisé selon le principe du moindre privilège. Tout accès à la production est journalisé et examiné. Nous utilisons l'authentification multifacteur pour l'accès administratif.
• Gestion des jetons : les jetons OAuth ne sont jamais journalisés ni exposés en clair. Les jetons d'actualisation sont renouvelés à chaque utilisation. Nous stockons le minimum de portées requises pour chaque intégration de boîte mail.
• Gestion des vulnérabilités : nous réalisons des audits réguliers des dépendances, appliquons rapidement les correctifs de sécurité et examinons les modifications de code afin d'en évaluer les implications de sécurité.
• Réponse aux incidents : nous maintenons un plan de réponse aux incidents. En cas de violation de données personnelles, nous informerons les utilisateurs concernés et les autorités de contrôle compétentes dans les délais requis par la loi applicable.

Malgré nos mesures, aucun système de transmission ou de stockage sur internet n'est sûr à 100%. Si vous soupçonnez un accès non autorisé à votre compte FirstSales, veuillez contacter support@firstsales.io immédiatement et modifier votre mot de passe et vos autorisations OAuth.

FirstSales opère à l'échelle mondiale et peut traiter vos données personnelles dans des pays autres que votre pays de résidence. En particulier, notre infrastructure est principalement hébergée aux États-Unis. Si vous êtes situé dans l'EEE, au Royaume-Uni ou en Suisse, vos données personnelles peuvent être transférées et traitées aux États-Unis ou dans d'autres pays susceptibles de ne pas offrir le même niveau de protection des données que votre pays d'origine.

Lorsque nous transférons des données personnelles depuis l'EEE, le Royaume-Uni ou la Suisse vers des pays ne bénéficiant pas d'une décision d'adéquation, nous nous appuyons sur des garanties appropriées, notamment :

• Les Clauses contractuelles types (SCC) approuvées par la Commission européenne, intégrées à nos accords avec les sous-traitants ultérieurs et les importateurs de données.
• L'accord britannique de transfert international de données (IDTA) ou l'addendum aux SCC pour les transferts depuis le Royaume-Uni.
• Des analyses d'impact des transferts réalisées lorsque cela est requis, avec des mesures techniques supplémentaires (chiffrement, pseudonymisation) appliquées selon les besoins.

En utilisant le Service, vous reconnaissez que vos données peuvent être transférées à l'international comme décrit ci-dessus. Si vous avez des questions sur les garanties spécifiques applicables à vos données, contactez-nous à support@firstsales.io.

Selon l'endroit où vous vous trouvez, vous pouvez disposer de certains droits concernant vos données personnelles. Nous nous engageons à honorer ces droits rapidement et sans obstacles indus.

Droits au titre du GDPR (résidents de l'EEE, du Royaume-Uni et de Suisse) :

• Droit d'accès : vous pouvez demander une copie des données personnelles que nous détenons à votre sujet ainsi que des informations sur la manière dont nous les traitons.
• Droit de rectification : vous pouvez nous demander de corriger des données personnelles inexactes ou incomplètes.
• Droit à l'effacement ('droit à l'oubli') : vous pouvez demander la suppression de vos données personnelles lorsqu'elles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées, lorsque vous retirez votre consentement (et qu'aucune autre base légale ne s'applique), ou lorsque le traitement est illicite.
• Droit à la portabilité des données : vous pouvez demander vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, en vue de leur transfert à un autre responsable du traitement, lorsque le traitement est fondé sur le consentement ou un contrat et effectué par des moyens automatisés.
• Droit d'opposition : vous pouvez vous opposer au traitement fondé sur nos intérêts légitimes, y compris le marketing direct. Nous cesserons le traitement à moins de démontrer des motifs légitimes impérieux qui prévalent sur vos intérêts.
• Droit à la limitation du traitement : vous pouvez demander que nous limitions le traitement de vos données dans certaines circonstances, par exemple pendant la résolution d'un litige portant sur leur exactitude.
• Droits relatifs à la prise de décision automatisée : nous ne prenons pas de décisions fondées uniquement sur un traitement automatisé produisant des effets juridiques ou vous affectant de manière significative similaire sans intervention humaine.

Droits au titre du CCPA/CPRA (résidents de Californie) :

• Droit de savoir : vous pouvez demander la divulgation des catégories et des éléments spécifiques d'informations personnelles que nous avons collectés à votre sujet, des sources, des finalités et des tiers avec lesquels nous les partageons.
• Droit de suppression : vous pouvez demander la suppression des informations personnelles que nous avons collectées, sous réserve de certaines exceptions.
• Droit de rectification : vous pouvez demander la correction d'informations personnelles inexactes.
• Droit de refuser la vente ou le partage : nous ne vendons ni ne partageons d'informations personnelles à des fins de publicité comportementale inter-contextes. Aucune action de refus n'est requise, mais vous pouvez nous contacter pour le confirmer.
• Droit à la non-discrimination : nous ne vous traiterons pas de manière discriminatoire pour avoir exercé vos droits en matière de confidentialité.

Comment exercer vos droits : envoyez une demande à support@firstsales.io avec la ligne d'objet 'Privacy Rights Request'. Nous vérifierons votre identité avant de traiter votre demande et répondrons dans un délai de 30 jours (ou 45 jours lorsque cela est permis, moyennant notification). Il n'y a aucun frais pour une demande par période de 12 mois.

Confidentialité des mineurs : le Service est destiné exclusivement aux professionnels et ne s'adresse pas aux enfants de moins de 16 ans (ou à l'âge du consentement numérique applicable dans votre juridiction). Nous ne collectons pas sciemment de données personnelles d'enfants. Si vous pensez qu'un enfant nous a fourni des données personnelles, veuillez nous contacter à support@firstsales.io et nous les supprimerons rapidement.

Modifications de cette politique : nous pouvons mettre à jour cette Politique de confidentialité de temps à autre afin de refléter des changements dans nos pratiques, des exigences légales ou des fonctionnalités du produit. Lorsque nous apportons des modifications importantes, nous vous en informerons par email (à l'adresse figurant sur votre compte) et au moyen d'un avis bien visible dans le produit au moins 14 jours avant l'entrée en vigueur de la modification. La date de 'Dernière mise à jour' en haut de cette page reflète toujours la date de la révision la plus récente. Votre utilisation continue du Service après la date d'entrée en vigueur d'une politique mise à jour constitue votre acceptation des modifications.

Les versions antérieures de cette Politique de confidentialité peuvent être fournies sur demande.

Comment nous contacter : si vous avez des questions, des préoccupations ou des demandes concernant cette Politique de confidentialité ou nos pratiques en matière de données, veuillez nous contacter :

• Email : support@firstsales.io
• Ligne d'objet pour les questions de confidentialité : 'Privacy Inquiry' ou 'Privacy Rights Request'
• Nous nous efforçons de répondre à toutes les demandes de confidentialité dans un délai de 5 jours ouvrés et de satisfaire les demandes d'exercice de droits dans un délai de 30 jours.