enco

enco

enco

Politique de Confidentialité

Dernière mise à jour:

La présente politique de confidentialité décrit comment enCo (« nous », « notre », « le Service ») collecte, utilise et protège vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).

1. Responsable du traitement

enco software, SAS au capital de 1 000 euros Siège social : 1 rue Marguerin, 75014 Paris RCS Paris 991 807 306 — SIRET 991 807 306 00014 TVA intracommunautaire : FR 86991807306 Email : contact@encoapp.com

2. Données collectées

2.1 Données fournies directement par l'utilisateur


  • Nom complet - Identification dans l'espace de travail. Base légale : exécution du contrat.

  • Adresse email - Création de compte, authentification, communications transactionnelles. Base légale : exécution du contrat.

  • Mot de passe - Authentification (stocké haché via bcrypt, jamais en clair).

  • Base légale - exécution du contrat.

  • Nom de l'organisation - Gestion multi-tenant. Base légale : exécution du contrat.

  • Photo de profil (optionnel) - Personnalisation du compte. Base légale : consentement.

  • Données de facturation - Traitement des paiements via Stripe. Base légale : exécution du contrat.

2.2 Données générées par l'utilisation du Service

  • Scores et historique de scoring - Analyse et priorisation des features. Base légale : exécution du contrat.

  • Feature requests et messages - Fonctionnalité principale du Service. Base légale : exécution du contrat.

  • Journaux de connexion - Sécurité et détection de fraude. Base légale : intérêt légitime.

2.3 Données d'intégrations tierces (optionnel)

Lorsque vous installez l'application GitHub enCo, nous accédons aux données suivantes :

  • GitHub : métadonnées des dépôts (commits, langages, activité). Les tokens d'installation sont chiffrés AES-256-GCM en base de données.

Nous ne stockons jamais votre code source. Seules des métadonnées agrégées et anonymisées sont utilisées pour le scoring.

2.4 Cookies

Le Service utilise uniquement des cookies essentiels nécessaires au fonctionnement :

  • Session (connect.sid) — Maintien de la session authentifiée. Durée : 7 jours (renouvelée à chaque activité).

  • cookie-consent-acknowledged — Mémorisation du consentement au bandeau cookie. Durée : persistant.

Aucun cookie de suivi, d'analyse ou publicitaire n'est utilisé. Nous n'utilisons pas Google Analytics, Meta Pixel, ni aucun tracker tiers.

3. Utilisation de l'intelligence artificielle

Le Service utilise des API d'intelligence artificielle générative (hébergées par Scaleway, Paris, France) pour le scoring et l'analyse des features.

Garanties :

  • Les prompts envoyés à l'API IA ne contiennent aucune donnée personnelle (pré-traitement côté serveur)

  • Scaleway ne conserve pas, ne réutilise pas et n'analyse pas les données transmises

  • Les données ne sont jamais utilisées pour entraîner des modèles IA

  • Le traitement est effectué exclusivement en France (région Paris)

4. Sous-traitants

Nous faisons appel aux sous-traitants suivants, chacun lié par un accord de traitement des données (DPA) conforme au RGPD :

  • Scaleway (Iliad Group) — Hébergement infrastructure et API IA générative. Données traitées : texte des features (aucune donnée personnelle). Localisation : Paris, France. DPA : https://www-uploads.scaleway.com/DPA_2024_ENG_b0abb5cc26.pdf

  • Brevo (ex-Sendinblue) — Emails transactionnels (vérification, réinitialisation, invitations). Données traitées : adresse email, prénom/nom. Localisation : France / UE. DPA : https://www.brevo.com/legal/termsofuse/

  • Stripe (Stripe Payments Europe, Ltd.) — Paiement et facturation. Données traitées : email de facturation, données bancaires (gérées exclusivement par Stripe, jamais stockées chez enCo). Localisation : Irlande / UE. DPA : https://stripe.com/fr/legal/dpa

  • GitHub (Microsoft) — Intégration GitHub App. Données traitées : tokens d'installation (chiffrés AES-256-GCM). Localisation : USA (Clauses Contractuelles Types UE). DPA : https://github.com/customer-terms

5. Transferts hors UE

L'intégration GitHub implique un transfert de données vers les États-Unis. Ce transfert est encadré par :

  • Les Clauses Contractuelles Types (CCT) de la Commission européenne

  • Le Data Privacy Framework UE-USA

Tous les autres traitements sont effectués exclusivement au sein de l'Union européenne.

6. Durée de conservation


  • Compte utilisateur — Jusqu'à suppression du compte par l'utilisateur.

  • Feature requests et messages — Durée de vie de l'organisation.

  • Journaux de connexion — 12 mois.

  • Données de facturation — 10 ans (obligation légale comptable).

  • Données d'usage agrégées IA — 6 mois.

Après suppression du compte, vos données personnelles sont effacées sous 30 jours, à l'exception des données soumises à une obligation légale de conservation.

7. Vos droits (Articles 15 à 22 du RGPD)

Vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (Art. 15) — Obtenir une copie de toutes vos données. Comment : Profil → « Exporter mes données ».

  • Droit de rectification (Art. 16) — Corriger des données inexactes. Comment : Profil → Modifier vos informations.

  • Droit à l'effacement (Art. 17) — Supprimer votre compte et vos données. Comment : Profil → « Supprimer mon compte ».

  • Droit à la portabilité (Art. 20) — Recevoir vos données dans un format structuré (JSON). Comment : Profil → « Exporter mes données ».

  • Droit à la limitation (Art. 18) — Restreindre le traitement dans certains cas. Comment : contacter le responsable du traitement.

  • Droit d'opposition (Art. 21) — S'opposer au traitement basé sur l'intérêt légitime. Comment : contacter le responsable du traitement.

Pour exercer vos droits, vous pouvez utiliser les fonctionnalités intégrées au Service (export et suppression dans votre profil) ou nous contacter à contact@encoapp.com.

8. Sécurité des données

Nous mettons en œuvre les mesures suivantes pour protéger vos données :

  • Chiffrement en transit : TLS 1.2+ pour toutes les communications

  • Chiffrement des secrets : tokens d'installation GitHub chiffrés AES-256-GCM en base de données

  • Hachage des mots de passe : bcrypt avec salt automatique

  • Sessions sécurisées : cookies HttpOnly, SameSite, durée limitée à 7 jours (renouvelée automatiquement lors de l'activité)

  • Isolation des données : architecture multi-tenant avec séparation stricte par organisation

  • Hébergement : infrastructure Scaleway, certifiée ISO 27001, située en France

9. Consentement à l'inscription

Lors de la création de votre compte, vous acceptez explicitement :

  • Les présentes Conditions Générales d'Utilisation

  • La présente Politique de Confidentialité

Ce consentement est horodaté et conservé en base de données.

10. Modifications de cette politique

Nous nous réservons le droit de modifier cette politique de confidentialité. En cas de modification substantielle, vous serez informé par email ou par une notification dans le Service. La date de dernière mise à jour est indiquée en haut de ce document.

11. Réclamation

Si vous estimez que le traitement de vos données n'est pas conforme au RGPD, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :

  • Site web : www.cnil.fr

  • Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

12. Contact

Pour toute question relative à cette politique de confidentialité ou au traitement de vos données personnelles :