Mentions légales

·English →

Politique de confidentialité

Date d’effet : 19 avril 2026 · Dernière mise à jour : 19 avril 2026

⚠️ Traduction non officielle / Unofficial Reference Translation

Ce document est une traduction française de référence. En cas de divergence avec la version anglaise (anvilhk.com/privacy), la version anglaise prévaut. Nous recommandons de consulter un avocat local avant toute exploitation dans votre juridiction.

La présente Politique de confidentialité décrit la manière dont Hong Kong Anvil Ltd. (« Anvil », « nous ») collecte, utilise, communique et protège les données à caractère personnel dans le cadre de son logiciel de génération de leads et de gestion de la relation client assisté par intelligence artificielle (le « Service »), disponible sur anvilhk.com. En utilisant le Service, vous acceptez les pratiques décrites ici.

Nous respectons le Règlement général sur la protection des données (RGPD), la Loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée), le UK GDPR, la Loi pour la Confiance dans l’Économie Numérique (LCEN), la PIPL chinoise, le HK PDPO et le CCPA/CPRA californien. Pour toute question, écrivez-nous à 738888@proton.me.

1. Qui sommes-nous

Hong Kong Anvil Ltd. est une société enregistrée à Hong Kong SAR (numéro d’enregistrement en cours de publication). Notre siège social est inscrit au Registre des sociétés de Hong Kong. Vous pouvez joindre notre Délégué à la protection des données (DPO) à 738888@proton.me ou par téléphone au +852 4748 1911.

Aux fins du RGPD et du UK GDPR, Anvil agit en qualité de :

  • Responsable de traitement pour les données personnelles des titulaires de comptes Anvil (vous) et de vos utilisateurs finaux autorisés.
  • Sous-traitant pour les fiches clients, messages et informations de prospection que vous téléversez ou collectez via le Service — vous restez responsable de traitement de ces données.

2. Données collectées

2.1 Données que vous nous fournissez

  • Données de compte — nom, adresse e-mail, mot de passe (haché avec bcrypt ou argon2), numéro de téléphone, photo de profil, raison sociale, fonction et nom de l’espace de travail (tenant).
  • Données d’authentification — lorsque vous vous connectez via Google ou Apple, le fournisseur d’identité nous transmet votre e-mail, votre nom et un identifiant de sujet. Nous ne recevons jamais votre mot de passe de fournisseur.
  • Données de facturation — adresse de facturation, numéro d’identification fiscale et les quatre derniers chiffres de la carte de paiement (le numéro complet est détenu par Stripe — nous ne le voyons jamais).
  • Contenu que vous créez — contacts, leads, pipelines, notes, modèles d’e-mails, séquences de relance, tâches de collecte, salles de deal, workflows et fichiers téléversés (logos, pièces jointes, enregistrements).
  • Identifiants de comptes connectés — mots de passe SMTP, jetons de rafraîchissement OAuth pour Google Agenda / Gmail, jetons d’accès WhatsApp Business et autres clés d’API tiers que vous choisissez de connecter. Ils sont chiffrés au repos avec AES-256-GCM.

2.2 Données collectées automatiquement

  • Données d’usage — pages consultées, fonctionnalités utilisées, événements de clic, durée de session, géolocalisation approximative déduite de l’adresse IP.
  • Données d’appareil — type de navigateur, système d’exploitation, identifiants d’appareil, langue, fuseau horaire.
  • Journaux — adresse IP, méthode de requête, URL, horodatages, statut HTTP, identifiant de requête et traces d’erreur.
  • Cookies et technologies similaires — voir la section 10.

2.3 Données issues de tiers

  • Fournisseurs d’identité auprès desquels vous choisissez de vous connecter (Google, Apple).
  • Processeurs de paiement (Stripe) — métadonnées de transaction, statut de remboursement, scores de risque.
  • Sources publiques que vous nous autorisez à explorer en votre nom — voir la section 5 pour le traitement spécifique des données de prospection.

3. Utilisation de vos données

Nous utilisons les données personnelles pour :

  • Fournir, exploiter, authentifier et maintenir le Service.
  • Gérer vos abonnements et envoyer les communications transactionnelles (factures, réinitialisations de mot de passe, alertes de sécurité, notifications produit).
  • Exécuter les fonctionnalités que vous activez sur vos données — par exemple, classer une réponse entrante, rédiger un e-mail personnalisé ou calculer un score de pertinence pour un lead ajouté à votre espace de travail.
  • Superviser l’usage, détecter les abus, prévenir la fraude et sécuriser les comptes.
  • Respecter nos obligations légales et faire valoir nos accords.
  • Avec votre consentement explicite, vous adresser des actualités produit ou e-mails marketing. Vous pouvez vous désinscrire à tout moment via le lien présent dans chaque e-mail marketing.

Nous n’utilisons pas votre contenu — e-mails rédigés, leads téléversés, conversations avec vos prospects — pour entraîner des modèles d’IA partagés avec d’autres clients. Des statistiques d’usage agrégées et anonymisées peuvent servir à améliorer le Service.

5. Données de prospection et contacts professionnels

Anvil aide ses utilisateurs à identifier et à contacter des prospects B2B. Les données relatives à ces prospects peuvent provenir :

  • D’annuaires professionnels publiquement accessibles (OpenStreetMap, Google Maps, sites d’entreprises, pages publiques LinkedIn, communiqués de presse).
  • De sources que vous autorisez explicitement (imports CSV, imports CRM, flux API).
  • Des champs de contact professionnel affichés sur le propre site web du prospect (par exemple l’adresse info@societe.com figurant sur sa page de contact).

Nous nous appuyons sur l’intérêt légitime prévu à l’art. 6(1)(f) du RGPD pour ce traitement. Concrètement :

  • Nous ne collectons que des données professionnelles (e-mail professionnel, fonction, téléphone professionnel) — jamais de données personnelles sans lien avec la capacité professionnelle du prospect.
  • Nous effectuons un test de mise en balance avant chaque workflow de collecte et respectons les jetons d’opt-out, les directives robots.txt et les conditions des sites sources lorsque cela est techniquement possible.
  • Les utilisateurs d’Anvil sont contractuellement tenus de respecter les lois anti-spam applicables (RGPD art. 21, LCEN, directive ePrivacy, CAN-SPAM, CASL, règles de marketing direct de la PIPL chinoise).
  • Chaque e-mail sortant envoyé via Anvil comporte un lien de désinscription fonctionnel. La désinscription en un clic est honorée sous 24 heures et le destinataire est ajouté à une liste de suppression couvrant tous les espaces de travail du même utilisateur.

Droit d’information et d’effacement des prospects. Si vous êtes un prospect dont les données ont été collectées pour une campagne par un client d’Anvil, vous pouvez exercer vos droits directement auprès de ce client ou nous contacter à 738888@proton.me. Nous relaierons votre demande ou y donnerons suite dans un délai de 30 jours.

6. Prestataires et partage

Nous ne vendons jamais de données personnelles. Nous partageons des données limitées avec les sous-traitants suivants, chacun lié par un accord de traitement des données :

  • Hébergement cloud — l’infrastructure serveur sur laquelle le Service s’exécute (région : Hong Kong / Singapour / UE, sélectionnée par client).
  • Cloudflare Inc. (US/mondial) — CDN, WAF, protection DDoS, DNS.
  • Stripe Payments Europe Ltd. — traitement des paiements. Votre numéro de carte n’est jamais envoyé à Anvil.
  • Resend Inc. (US) — envoi d’e-mails transactionnels et marketing.
  • OpenAI, LLC (US) — inférence IA optionnelle pour la découverte, l’analyse et la rédaction de messages. Le contenu client envoyé à OpenAI n’est pas utilisé pour entraîner leurs modèles (politique d’usage des données de l’API OpenAI).
  • Google LLC (US) — Google OAuth, Calendar, API Places optionnelle (uniquement si vous activez ces intégrations).
  • Meta Platforms Ireland Ltd. — WhatsApp Cloud API (uniquement si vous connectez un canal WhatsApp).
  • Sentry Inc. (US) — monitoring des erreurs. Les données personnelles sont expurgées avant transmission.
  • Twilio Inc. (US) — téléphonie, SMS (uniquement si vous activez les fonctions voix/SMS).
  • ElevenLabs Inc. (US) — synthèse vocale IA (uniquement si vous activez la fonction voix).
  • GitHub Inc. (US) — hébergement du code source ; aucun contenu client n’y est stocké.

Une liste à jour des sous-traitants est maintenue sur anvilhk.com/legal/subprocessors. Les clients Enterprise reçoivent un préavis de 30 jours avant tout changement significatif.

Nous communiquons également des informations lorsque la loi l’exige (assignations, décisions de justice, demandes d’autorités), ou pour protéger nos droits, biens ou la sécurité. Nous contestons les demandes excessives ou illégales lorsque cela est raisonnable.

En cas de fusion, acquisition ou cession d’actifs, les données personnelles peuvent être transférées. Nous vous en informerons par e-mail et via l’application au moins 30 jours avant ce transfert.

7. Conservation des données

Nous ne conservons les données personnelles que le temps nécessaire :

  • Données de compte et de facturation — conservées pendant la durée de vie de votre compte, plus 7 ans pour satisfaire aux obligations fiscales et comptables.
  • Contenu (CRM, e-mails, workflows) — conservé pendant la durée de votre abonnement. Supprimé dans les 30 jours suivant la clôture du compte, sauf si vous demandez une prolongation.
  • Sauvegardes — les snapshots chiffrés tournent sur un cycle de 30 jours et sont entièrement purgés sous 90 jours.
  • Journaux d’accès et d’audit — conservés jusqu’à 1 an pour des finalités de sécurité et d’investigation.
  • Listes de suppression de prospection — conservées indéfiniment afin d’honorer les demandes de désinscription même en cas de changement d’espace de travail.

8. Sécurité

  • TLS 1.2+ en transit ; HSTS appliqué sur tous les domaines clients.
  • AES-256 au repos pour le stockage objet, les sauvegardes de base de données et tous les identifiants tiers (mots de passe SMTP, jetons OAuth).
  • Les jetons d’accès JWT sont des cookies HttpOnly, Secure et SameSite-strict. Les jetons de rafraîchissement tournent à chaque usage ; les jetons révoqués sont mis en liste noire.
  • L’authentification multi-facteurs est disponible et requise par défaut pour les rôles Owner et Admin sur les plans Business.
  • Principe du moindre privilège : seul un petit nombre de collaborateurs agréés peut accéder aux données de production, uniquement pour diagnostic en cas d’urgence, chaque accès étant journalisé.
  • Gestion des vulnérabilités : les dépendances tierces sont surveillées quotidiennement et corrigées selon un SLA défini selon la sévérité.
  • Nous notifierons les clients concernés de toute violation de données personnelles confirmée dans un délai de 72 heures après en avoir pris connaissance, conformément à l’art. 33 du RGPD, à la Loi Informatique et Libertés et au HK PDPO DPP4.

9. Vos droits

Selon votre lieu de résidence, vous disposez de tout ou partie des droits suivants :

  • Droit d’accès — demander une copie des données personnelles que nous détenons sur vous.
  • Droit de rectification — nous demander de corriger des données inexactes ou incomplètes.
  • Droit à l’effacement (« droit à l’oubli ») — demander la suppression de vos données, sous réserve des obligations légales de conservation.
  • Droit à la limitation — demander la suspension du traitement le temps qu’un litige soit résolu.
  • Droit à la portabilité — recevoir un export lisible par machine de vos données.
  • Droit d’opposition — vous opposer aux traitements fondés sur l’intérêt légitime, y compris la prospection directe.
  • Retrait du consentement — lorsque le traitement repose sur le consentement, vous pouvez le retirer à tout moment.
  • Droit de définir des directives post-mortem — conformément à l’article 85 de la Loi Informatique et Libertés.
  • Droit de réclamation — auprès de votre autorité locale de protection des données (par exemple la CNIL en France, le PCPD à Hong Kong, la Data Protection Commission irlandaise pour les résidents UE, ou la California Privacy Protection Agency pour les résidents californiens).

Vous pouvez exercer la plupart de ces droits directement dans le Service sous Paramètres → Confidentialité, ou par e-mail à 738888@proton.me. Nous répondons sous 30 jours (délai prolongeable de 2 mois pour les demandes complexes, conformément à l’art. 12(3) du RGPD).

Résidents californiens (CCPA/CPRA) : droit de savoir, de supprimer, de rectifier, de refuser le partage à des fins de publicité comportementale inter-contextuelle (Anvil ne vend pas de données personnelles) et de non-discrimination.

Résidents de Chine continentale (PIPL) : droit de savoir, décider, accéder, rectifier, copier, transférer et supprimer leurs données, et de retirer leur consentement. Pour les transferts hors de la RPC, nous nous fondons sur le contrat type RPC pour le transfert transfrontalier.

10. Cookies et traceurs

Nous utilisons un nombre minimal de cookies :

  • Strictement nécessaires — cookies de session (authentification), jetons CSRF, préférence de langue. Ils ne peuvent être désactivés.
  • Préférence — mode sombre, langue, état de la barre latérale.
  • Mesure d’audience — statistiques anonymisées de première partie (aucun traceur tiers par défaut).

Nous n’utilisons pas de cookies publicitaires ni de traceurs inter-sites. Conformément à la directive ePrivacy et aux recommandations de la CNIL, les visiteurs UE/UK verront une bannière cookies lors de leur première visite, où ils peuvent accepter ou refuser les cookies non essentiels.

11. Transferts internationaux de données

Anvil est exploité depuis Hong Kong. Les données peuvent être transférées et traitées dans des pays autres que celui où vous résidez, notamment les États-Unis et l’Union européenne, en fonction de la localisation de nos sous-traitants (voir section 6).

Pour les transferts hors EEE, Royaume-Uni ou Suisse, nous nous appuyons sur les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914/UE), Module 2 (Responsable vers Sous-traitant), et, le cas échéant, sur l’addendum britannique (UK IDTA). Conformément à la jurisprudence Schrems II, nous réalisons une analyse d’impact de transfert (TIA) pour chaque sous-traitant et appliquons des mesures complémentaires (chiffrement, segmentation des clés, contrôles d’accès).

Pour les transferts hors de Chine continentale, nous nous fondons sur le contrat type RPC pour le transfert sortant, déposé auprès de la CAC lorsque requis.

12. Protection des mineurs

Le Service est destiné à un usage professionnel et n’est pas adressé aux personnes de moins de 16 ans (limite d’âge prévue par la Loi Informatique et Libertés modifiée). Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous pensez que tel est le cas, contactez-nous immédiatement et nous les supprimerons.

13. Modifications et contact

Nous pouvons mettre à jour la présente Politique de confidentialité. Les modifications substantielles sont notifiées aux titulaires de compte par e-mail au moins 30 jours avant leur prise d’effet. La date de « Dernière mise à jour » en tête de page reflète toujours la dernière version.

Pour toute question relative à la vie privée, demande d’exercice de droits ou réclamation :

  • E-mail : 738888@proton.me
  • Téléphone : +852 4748 1911
  • Adresse : Hong Kong Anvil Ltd., Hong Kong SAR

Si notre réponse ne vous satisfait pas, vous pouvez introduire une réclamation auprès de l’autorité de contrôle compétente, notamment la CNIL en France (www.cnil.fr).