Politique de confidentialité

Le responsable du traitement de vos données à caractère personnel est :

• Ilya Spiridonov, entrepreneur individuel, exerçant sous la marque HummingDeck
• Adresse : Antakalnio 84, Vilnius, Lithuania
• Contact en matière de confidentialité : hello@hummingdeck.com

Pour toute question relative à la présente politique ou à vos données, écrivez-nous à hello@hummingdeck.com. Nous mettrons à jour cette section dès que HummingDeck sera exploité par une personne morale enregistrée.

Nous traitons les données à caractère personnel sur les bases légales suivantes (Article 6 du RGPD) :

• Contrat (Art. 6(1)(b)) : pour fournir le service HummingDeck aux utilisateurs inscrits : gestion du compte, stockage des documents, génération de liens de partage, facturation.
• Intérêt légitime (Art. 6(1)(f)) : pour les analyses relatives aux consultants de documents pour le compte de nos clients (les expéditeurs des liens partagés), l'amélioration du produit, la sécurité et la prévention de la fraude. L'intérêt légitime du client à comprendre l'engagement vis-à-vis de son contenu est mis en balance avec la vie privée du consultant grâce aux garanties décrites dans la présente politique.
• Consentement (Art. 6(1)(a)) : pour les cookies de statistiques et de marketing sur notre site web (gérés via la bannière cookies) et pour les e-mails marketing (gérés via les préférences d'abonnement).
• Obligation légale (Art. 6(1)(c)) : pour respecter les obligations fiscales, comptables et autres exigences légales.

Lorsque vous créez un compte HummingDeck, nous collectons :

• Informations de compte — adresse e-mail, nom et photo de profil (fournis directement ou importés depuis Google lors de l'utilisation de la connexion Google)
• Métadonnées d'inscription — adresse IP, type d'appareil et informations du navigateur au moment de la création du compte. Utilisées à des fins d'analyse et de prévention de la fraude.
• Données d'équipe et d'espace de travail — noms d'équipe, rôles des membres et paramètres d'espace de travail que vous configurez
• Contenu téléchargé — documents et autres fichiers que vous téléchargez pour partager via HummingDeck
• Données CRM — noms de contacts, adresses e-mail et informations d'entreprise que vous ajoutez pour organiser votre activité de partage
• Données d'activité — actions que vous effectuez au sein de la plateforme telles que la création de liens de partage, le téléchargement de documents et la gestion des paramètres d'équipe. Les journaux d'activité incluent l'adresse IP et les informations du navigateur.
• Recherche d'avatar — pour les contacts et les prospects capturés, nous vérifions Gravatar (gravatar.com) en utilisant un hash MD5 de leur adresse e-mail afin d'afficher une photo de profil. Le hash est envoyé aux serveurs de Gravatar. Aucune adresse e-mail n'est transmise en texte clair.

Lorsque quelqu'un ouvre un lien de document partagé, nous collectons automatiquement certaines informations pour fournir des analyses d'engagement au propriétaire du document. Les consultants de documents n'ont pas besoin de créer un compte.

Nous collectons :

• Informations sur l'appareil et le navigateur — type de navigateur, système d'exploitation et catégorie d'appareil
• Informations réseau — adresse IP et localisation géographique approximative (niveau ville/pays, dérivée de l'IP)
• Données d'engagement — quelles pages ont été consultées, temps passé sur chaque page, durée totale de consultation et taux de progression
• Empreinte du navigateur — un hash dérivé des propriétés du navigateur (résolution d'écran, fuseau horaire, langue) utilisé pour regrouper les sessions de consultation d'un même visiteur. Aucun cookie ni stockage persistant n'est utilisé. L'empreinte ne peut pas être utilisée pour vous identifier personnellement.

Ces données sont collectées pour le compte de l'utilisateur HummingDeck qui a créé le lien de partage. La base légale de ce traitement est l<b>intérêt légitime</b> de lexpéditeur à comprendre comment les destinataires interagissent avec leur contenu partagé (Article 6(1)(f) du RGPD).

Les consultants de documents peuvent nous contacter à hello@hummingdeck.com pour se renseigner sur les données collectées lors de leurs sessions de consultation.

Nous utilisons un petit ensemble d'outils tiers pour comprendre comment les personnes utilisent notre site web, mesurer notre marketing et détecter les problèmes. Le fait qu'ils se chargent par défaut ou seulement après votre consentement dépend de la région depuis laquelle vous nous consultez, voir Consentement aux cookies ci-dessous.

• Google Analytics 4 : pages vues, événements et tendances d'utilisation agrégées.
• Microsoft Clarity : enregistrements de session anonymisés et cartes de chaleur utilisés pour comprendre comment les visiteurs interagissent avec les pages. Les champs de formulaire sont masqués par défaut.
• Ahrefs Web Analytics : statistiques de trafic sans cookies, respectueuses de la vie privée. Utilisées uniquement pour des analyses SEO.
• Microsoft Ads (Bing UET) : mesure des conversions pour les annonces que nous diffusons sur Bing / Microsoft Advertising.

Ces outils sont exclus des routes de consultation des documents partagés (/view et /r), ce qui signifie que les destinataires des documents partagés ne sont pas suivis par ces outils lorsqu'ils ouvrent un document.

Google Analytics — Consent Mode v2. Lorsque le consentement à la mesure d'audience n'a pas été accordé (soit parce que vous avez refusé la bannière, soit parce que vous êtes un visiteur californien ayant cliqué sur Ne pas vendre ni partager mes données personnelles, soit parce que vous vous trouvez dans une région où le consentement est requis et que vous n'avez pas encore décidé), nous chargeons tout de même la balise Google Analytics, mais dans un mode strict sans cookies. Dans ce mode, aucun cookie n'est écrit, aucun identifiant client n'est stocké, et les requêtes envoyées à Google ne contiennent qu'un signal anonymisé (sans données de profil). Google utilise ces signaux pour modéliser le trafic agrégé de son côté, afin que nos rapports ne soient pas aveugles aux visiteurs ayant refusé le consentement. Une fois que vous accordez votre consentement à la mesure d'audience, Google Analytics passe à son comportement standard au chargement de page suivant.

Vous pouvez modifier vos préférences à tout moment via le lien Préférences cookies en pied de page de notre site. Les résidents de Californie peuvent se retirer séparément via le lien Ne pas vendre ni partager mes données personnelles dans le même pied de page, voir la section ci-dessous.

Nous utilisons des cookies répartis en trois catégories. Vous contrôlez les cookies optionnels via la bannière cookies ou les liens du pied de page.

Strictement nécessaires (toujours actifs, aucun consentement requis) :

• Cookie de session : HTTP-only, maintient votre connexion. Expire après 14 jours. Indispensable au fonctionnement de l'application.
• Cookie de thème : mémorise votre préférence clair / sombre.
• Cookie de langue : mémorise votre choix de langue.
• Cookie de consentement (hd_consent_v1) : enregistre les catégories de cookies que vous avez acceptées. Encodé en JSON, durée de 12 mois.
• Cookie d'opposition CCPA (ccpa_optout_v1) : déposé lorsque vous cliquez sur Ne pas vendre ni partager mes données personnelles dans le pied de page. Désactive les scripts d'analyse et de marketing dans ce navigateur. Durée de 12 mois.

Statistiques (optionnels, soumis à consentement dans l'UE / le Royaume-Uni / la Suisse / le Brésil ; activés par défaut ailleurs) :

• Google Analytics : dépose _ga et les cookies associés pour distinguer les utilisateurs et les sessions.
• Microsoft Clarity : dépose _clck et _clsk pour les statistiques au niveau de la session.

Marketing (optionnels, soumis à consentement dans l'UE / le Royaume-Uni / la Suisse / le Brésil ; activés par défaut ailleurs) :

• Microsoft Ads UET : dépose _uetsid et _uetvid pour l'attribution des conversions publicitaires.

Ahrefs Web Analytics ne dépose aucun cookie.

L'affichage ou non d'une bannière de consentement aux cookies dépend de votre juridiction.

Bannière affichée, consentement requis avant le chargement des scripts d'analyse ou de marketing :

• L'Union européenne (UE-27) et l'Espace économique européen (Islande, Liechtenstein, Norvège)
• Le Royaume-Uni
• La Suisse
• Le Brésil

Pour les visiteurs de ces régions, la bannière propose Tout accepter, Tout refuser et Personnaliser. Votre choix est enregistré dans le cookie hd_consent_v1 et conservé pendant 12 mois. Tant que vous n'avez pas décidé, aucun script d'analyse ni de marketing ne s'exécute.

Bannière non affichée, l'analyse et le marketing se chargent par défaut :

Pour les visiteurs des autres régions (notamment États-Unis, Canada, la majeure partie de l'Asie, Australie, Nouvelle-Zélande et Amérique latine hors Brésil), les scripts d'analyse et de marketing se chargent en même temps que la page. Vous pouvez néanmoins changer d'avis à tout moment :

• Préférences cookies dans le pied de page ouvre les mêmes contrôles par catégorie et vous permet de refuser les scripts d'analyse ou de marketing pour la suite.
• Ne pas vendre ni partager mes données personnelles dans le pied de page désactive les deux catégories en un seul clic pour ce navigateur (opposition CCPA / CPRA, disponible dans le monde entier par commodité).

Le retrait du consentement n'affecte pas la licéité du traitement effectué pendant que le consentement était actif.

Nous déterminons votre juridiction à partir de l'adresse IP de votre requête, voir Note sur la détection géographique ci-dessous pour les réserves de précision.

Nous déterminons quelles règles de juridiction appliquer en recherchant le pays associé à votre adresse IP. Cette méthode est largement utilisée mais n'est pas précise à 100 %, par exemple, si vous utilisez un VPN, un proxy d'entreprise ou si vous êtes en itinérance internationale, la région détectée peut ne pas correspondre à votre lieu de vie ou de travail réel.

Si vous estimez que notre bannière de consentement aux cookies aurait dû s'afficher pendant votre visite et qu'elle ne l'a pas fait, écrivez-nous à hello@hummingdeck.com et nous traiterons vos données en conséquence. Vous pouvez également utiliser le lien Préférences cookies en pied de page de toute page pour refuser manuellement les scripts d'analyse ou de marketing.

Nous utilisons les informations que nous collectons pour :

• Fournir le service — héberger vos documents téléchargés, générer des liens de partage et fournir des analyses d'engagement
• Fournir des analyses d'engagement de documents — montrer aux utilisateurs inscrits comment les destinataires interagissent avec leurs documents partagés, y compris les modèles de consultation et les métriques d'engagement
• Améliorer le produit — comprendre les modèles d'utilisation pour corriger les problèmes et développer de nouvelles fonctionnalités
• Communiquer avec vous — envoyer des e-mails transactionnels (notifications de partage, mises à jour de compte) et répondre aux demandes d'assistance
• Assurer la sécurité — détecter et prévenir la fraude, les abus et les accès non autorisés

Nous ne vendons pas vos informations personnelles.

Nous pouvons partager des données dans les circonstances suivantes :

• Fournisseurs de services — nous partageons des données avec des fournisseurs tiers qui nous aident à exploiter le service (voir Services tiers ci-dessous). Ces fournisseurs sont liés par des accords de traitement de données et ne peuvent utiliser les données que pour nous fournir des services.
• Sur votre demande — lorsque vous partagez un document, le destinataire peut voir le contenu du document et toute information que vous choisissez d'inclure dans le lien de partage.
• Exigences légales — nous pouvons divulguer des données si la loi, une ordonnance du tribunal ou une réglementation gouvernementale l'exige.
• Transferts d'entreprise — si HummingDeck est acquis ou fusionné, les données utilisateur peuvent être transférées dans le cadre de la transaction. Nous informerons les utilisateurs concernés avant que leurs données ne soient soumises à une politique de confidentialité différente.

Nous utilisons les services tiers suivants pour exploiter HummingDeck :

• Google Firebase : authentification et gestion de l'identité utilisateur
• Google Cloud Storage : stockage sécurisé des fichiers téléchargés
• Resend : envoi d'e-mails transactionnels (notifications de partage, e-mails de compte)
• FastSpring : traitement des paiements pour les abonnements (FastSpring agit en tant que vendeur officiel ; nous ne stockons aucune coordonnée de carte de paiement)
• Loops : envoi d'e-mails marketing (newsletters, annonces produit) pour les utilisateurs qui s'y abonnent

Les services suivants ne s'exécutent qu'après que vous avez donné votre consentement via notre bannière cookies :

• Google Analytics 4 : statistiques d'utilisation du site et de l'application
• Microsoft Clarity : enregistrements de session et cartes de chaleur pour la recherche produit
• Ahrefs Web Analytics : analyses SEO sans cookies
• Microsoft Ads (Bing UET) : mesure des conversions publicitaires

Chacun de ces fournisseurs dispose de sa propre politique de confidentialité régissant la façon dont il traite les données.

La liste complète et à jour des services qui traitent des données clients pour notre compte est publiée à l'adresse hummingdeck.com/sub-processors. Les clients agissant en tant que responsables du traitement peuvent consulter notre Accord de Traitement de Données pour connaître les conditions contractuelles régissant ce traitement. Chaque fournisseur dispose également de sa propre politique de confidentialité régissant la façon dont il traite les données.

Si vous utilisez HummingDeck via notre intégration d'application Canva, nous collectons en plus :

• Identifiants de compte Canva — votre ID utilisateur Canva et votre ID de marque (équipe), utilisés pour lier votre compte Canva à votre compte HummingDeck
• Designs exportés — lorsque vous choisissez de partager un design depuis Canva, le fichier exporté (PDF) est transféré vers et stocké par HummingDeck

Nous n'accédons pas à vos designs Canva, données de compte ou tout autre contenu Canva au-delà de ce que vous choisissez explicitement d'exporter. Nous ne minons ni ne récupérons aucune donnée de la plateforme Canva.

Si vous utilisez HummingDeck via notre module complémentaire Google Workspace pour Google Slides ou Google Docs, nous accédons aux données suivantes :

• Adresse e-mail Google — votre adresse e-mail, utilisée pour identifier et authentifier votre compte HummingDeck
• Métadonnées du document en cours — le titre et l'URL du document que vous êtes en train de modifier, utilisés pour identifier le document partagé dans HummingDeck
• Document exporté — lorsque vous choisissez de partager un document, HummingDeck exporte une copie PDF du document en cours et la stocke en votre nom

Le module complémentaire ne demande que les autorisations minimales nécessaires à son fonctionnement : accès à votre adresse e-mail, accès en lecture seule au document en cours et permission d'effectuer des requêtes HTTP vers le service HummingDeck. Nous n'accédons pas à votre Google Drive, à d'autres documents, à vos contacts ni à aucune donnée Google Workspace au-delà de ce qui est énuméré ci-dessus.

Si vous utilisez l'extension Chrome HummingDeck pour Gmail, les données suivantes sont consultées :

• Adresse e-mail du compte Google — utilisée pour authentifier votre compte HummingDeck via Google OAuth
• Fenêtre de rédaction Gmail — l'extension détecte lorsque vous rédigez un e-mail pour afficher le bouton de suivi
• Adresse e-mail du destinataire — l'extension lit la première adresse e-mail du champ À de votre fenêtre de rédaction pour créer un lien de suivi personnalisé. Cela vous permet de voir le nom du destinataire dans vos analyses. L'adresse e-mail est envoyée à HummingDeck pour créer le lien de suivi. Elle n'est pas stockée localement ni utilisée à d'autres fins
• Fichiers que vous choisissez de suivre — lorsque vous cliquez sur le bouton de suivi et sélectionnez un fichier, l'extension télécharge ce fichier vers HummingDeck. Seuls les fichiers que vous sélectionnez explicitement sont téléchargés
• Jeton d'authentification — stocké localement dans votre navigateur via chrome.storage pour maintenir votre connexion

L'extension ne demande que les autorisations nécessaires à son fonctionnement : accès à mail.google.com (pour afficher le bouton de suivi et lire l'adresse du destinataire pour les liens personnalisés), stockage (pour enregistrer votre jeton d'authentification), notifications (pour vous alerter lorsque quelqu'un consulte votre document), identité (pour s'authentifier auprès de Google) et alarmes (pour vérifier périodiquement les nouvelles consultations).

L'extension ne lit, ne stocke et ne transmet pas le contenu du corps de vos e-mails, l'objet, les destinataires CC/BCC, les contacts, les fils de discussion ni aucune autre donnée Gmail au-delà du destinataire principal du champ À.

HummingDeck n'utilise aucune donnée obtenue via les API Google Workspace pour développer, améliorer ou entraîner des modèles d'intelligence artificielle (IA) ou d'apprentissage automatique (ML) généralisés.

Les données accessibles via les intégrations Google Workspace — y compris le contenu des documents, les métadonnées et les informations utilisateur — sont utilisées uniquement pour vous fournir le service de partage de documents et d'analyses de HummingDeck. Ces données ne sont jamais transférées, partagées avec ou utilisées par un système d'IA ou de ML au-delà de ce qui est nécessaire pour fournir les fonctionnalités avec lesquelles vous interagissez directement.

L'utilisation et le transfert par HummingDeck des informations reçues des API Google sont conformes à la Politique relative aux données utilisateur des services API Google, y compris les exigences d'utilisation limitée. Plus précisément, nous limitons notre utilisation des données utilisateur Google à la fourniture et à l'amélioration des fonctionnalités destinées aux utilisateurs de HummingDeck. Nous ne vendons pas les données utilisateur Google, ne les utilisons pas à des fins publicitaires et ne les transférons pas à des tiers, sauf dans la mesure nécessaire pour fournir le service, respecter la loi applicable, ou dans le cadre d'une fusion ou d'une acquisition avec des protections adéquates des données.

Nous mettons en œuvre des mesures de sécurité conformes aux normes de l'industrie pour protéger vos données :

• Toutes les données sont chiffrées en transit à l'aide de TLS (HTTPS)
• Les fichiers téléchargés sont chiffrés au repos dans Google Cloud Storage
• Les cookies de session sont HTTP-only et sécurisés, empêchant l'accès côté client
• L'authentification est gérée via Google Firebase avec gestion sécurisée des sessions
• L'accès aux systèmes de production est restreint et journalisé

Aucune méthode de transmission ou de stockage électronique n'est parfaitement sécurisée. Bien que nous prenions des mesures raisonnables pour protéger vos données, nous ne pouvons garantir une sécurité absolue.

Nous conservons les données comme suit :

• Données de compte — conservées tant que votre compte est actif. Lorsque vous supprimez votre compte, nous supprimons vos données personnelles dans les 30 jours, sauf lorsque nous sommes tenus de les conserver par la loi.
• Fichiers téléchargés — supprimés lorsque vous supprimez le document associé de votre compte.
• Données des consultants de documents — conservées pour fournir des analyses d'engagement. Les données des consultants sont anonymisées après 24 mois.
• Données d'analyse — les données d'analyse agrégées et anonymes peuvent être conservées indéfiniment.

Gestion de vos données : Vous pouvez gérer et supprimer vos données directement dans HummingDeck à tout moment. Vous pouvez supprimer des documents individuels, des liens de partage, des contacts et des données d'équipe depuis l'interface de l'application. Pour supprimer l'intégralité de votre compte et toutes les données associées, contactez-nous à hello@hummingdeck.com.

Depending on your location, you may have the following rights regarding your personal data:

• Access — request a copy of the personal data we hold about you
• Correction — request correction of inaccurate data
• Deletion — request deletion of your personal data
• Portability — request a machine-readable copy of your data
• Objection — object to processing based on legitimate interest
• Restriction — request that we restrict processing of your data
• Withdraw consent — where processing is based on consent, you can withdraw it at any time without affecting processing already carried out

To exercise any of these rights, contact us at hello@hummingdeck.com. We will respond to your request within 30 days.

Right to lodge a complaint: if you believe we have not handled your data in accordance with applicable law, you have the right to lodge a complaint with a data protection supervisory authority. In Lithuania this is the State Data Protection Inspectorate (Valstybinė duomenų apsaugos inspekcija, VDAI), vdai.lrv.lt. EU/EEA residents may also file with their local national authority.

California residents: Under the California Consumer Privacy Act (CCPA) and CPRA, you have the right to know what personal information we collect and how it is used, request deletion of your data, and opt out of the sale or sharing of personal information. HummingDeck does not sell or share personal information.

HummingDeck n'est pas destiné à être utilisé par des personnes de moins de 13 ans (ou l'âge légal minimum requis pour fournir un consentement au traitement de données personnelles dans la juridiction de l'utilisateur). Nous ne collectons pas sciemment de données personnelles auprès d'enfants.

Si vous pensez qu'un enfant nous a fourni des données personnelles, veuillez nous contacter à hello@hummingdeck.com et nous prendrons des mesures pour supprimer ces informations.

Vos données peuvent être traitées dans des pays autres que le vôtre. Nous traitons principalement les données sur l'infrastructure Google Cloud située aux États-Unis et dans l'Union européenne.

Lorsque des données sont transférées en dehors de l'Espace économique européen, nous nous appuyons sur les clauses contractuelles types ou d'autres mécanismes de transfert approuvés pour garantir que vos données sont protégées selon les normes européennes.

Nous pouvons mettre à jour cette politique de confidentialité de temps à autre. Si nous apportons des changements importants, nous vous en informerons par e-mail ou par un avis dans l'application avant que les changements ne prennent effet.

Nous vous encourageons à consulter cette politique périodiquement. Votre utilisation continue de HummingDeck après la publication des modifications constitue l'acceptation de la politique mise à jour.

Si vous avez des questions, des préoccupations ou des demandes concernant cette politique de confidentialité ou nos pratiques en matière de données, contactez-nous à hello@hummingdeck.com.

HummingDeck est basé à Vilnius, en Lituanie.