Légal

Politique de confidentialité

Dernière mise à jour : 9 juin 2026

1. Responsable du traitement

Les données personnelles collectées via marydesk.com sont traitées par :

  • MARY SAS, Salle d'Asile, 97139 Les Abymes, Guadeloupe
  • RCS Pointe-à-Pitre : 102 589 546
  • Contact DPO : marydesk.contact@gmail.com

2. Données collectées et finalités

2.1 Compte utilisateur

Lors de la création d'un compte, nous collectons : nom, prénom, adresse e-mail, mot de passe (haché), organisation. Ces données sont utilisées pour l'authentification et la gestion du compte.

2.2 Données commerciales

Dans le cadre de l'utilisation de la plateforme (devis, factures, contrats, contacts CRM, commandes), vous saisissez des données concernant vos clients et vos transactions. Ces données sont strictement cloisonnées par organisation (architecture multi-tenant) et ne sont jamais partagées entre utilisateurs.

2.3 Données de navigation

Nous collectons des journaux techniques (adresse IP, pages visitées, navigateur) à des fins de sécurité et de débogage. Ces journaux sont conservés 90 jours.

3. Intégrations Google — Utilisation des API Google

Mary propose des intégrations optionnelles avec les services Google suivants. Ces intégrations sont activées uniquement avec votre consentement explicite.

3.1 Connexion Google (authentification)

Données collectées : adresse e-mail, prénom, nom de famille, identifiant Google (sub).

Finalité : permettre la connexion à Mary via votre compte Google sans créer de mot de passe séparé.

Scopes demandés : email, profile.

3.2 Intégration Gmail

Données collectées : messages e-mail (expéditeur, destinataires, objet, corps), métadonnées (date, labels), adresse Gmail connectée.

Finalité : afficher et envoyer vos e-mails directement depuis Mary, associer les échanges à vos contacts et dossiers CRM.

Scopes demandés : gmail.readonly, gmail.send, gmail.modify, gmail.compose.

Stockage : les jetons d'accès et de rafraîchissement sont chiffrés avec AES-256 (PBKDF2-HMAC-SHA256, 600 000 itérations) avant d'être stockés. Les messages sont synchronisés localement pour accélerer l'affichage mais ne sont pas transmis à des tiers.

Révocation : vous pouvez déconnecter votre compte Gmail à tout moment depuis Paramètres → Messagerie → Déconnecter Gmail. La révocation supprime immédiatement les jetons stockés.

3.3 Intégration Google Calendar

Données collectées : événements (titre, date, lieu, participants, description), calendriers connectés, adresse Google connectée.

Finalité : afficher et créer des événements depuis l'agenda Mary, synchroniser les rendez-vous avec Google Calendar.

Scopes demandés : https://www.googleapis.com/auth/calendar.

Stockage : identique à Gmail — jetons chiffrés AES-256. Les événements sont synchronisés localement.

Révocation : depuis Paramètres → Agenda → Déconnecter Google Calendar. Vous pouvez également révoquer l'accès depuis votre compte Google.

3.4 Déclaration de conformité Google API

L'utilisation par Mary des informations reçues des API Google est conforme à la Politique d'utilisation des données utilisateur des services API Google, y compris aux exigences d'utilisation limitée (Limited Use requirements). Plus précisément :

  • Les données Google ne sont utilisées que pour fournir les fonctionnalités de messagerie et d'agenda décrites ci-dessus.
  • Elles ne sont pas utilisées pour afficher des publicités.
  • Elles ne sont pas vendues ni partagées avec des tiers.
  • Elles ne sont pas utilisées pour entraîner des modèles d'IA ou de machine learning.

4. Base légale des traitements (RGPD)

  • Exécution du contrat (art. 6.1.b) : données nécessaires à la fourniture du service (compte, données commerciales).
  • Consentement (art. 6.1.a) : intégrations Google (Gmail, Calendar, Connexion Google). Ce consentement est retirable à tout moment.
  • Intérêt légitime (art. 6.1.f) : journaux de sécurité, détection de fraude.
  • Obligation légale (art. 6.1.c) : conservation des données comptables et fiscales (10 ans, CGI art. 54).

5. Durée de conservation

CatégorieDurée
Données de compte actifDurée de l'abonnement + 1 an
Données comptables et factures10 ans (obligation légale)
Jetons Google (Gmail, Calendar)Jusqu'à déconnexion ou révocation
Journaux de sécurité90 jours
Données après résiliation3 ans (prescription civile), puis suppression

6. Partage des données

Nous ne vendons pas vos données. Elles peuvent être transmises à :

  • Amazon Web Services (AWS) — hébergement (région Paris, UE)
  • Stripe — traitement des paiements d'abonnement
  • Amazon SES — envoi d'e-mails transactionnels (ex. confirmation de compte)
  • Sentry — collecte d'erreurs techniques (données anonymisées)

Ces sous-traitants sont liés par des accords de traitement des données conformes au RGPD. Aucune donnée n'est transférée hors de l'Espace Économique Européen, sauf sous garanties appropriées (clauses contractuelles types).

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Accès : obtenir une copie de vos données (via Paramètres → Mon compte → Exporter mes données)
  • Rectification : corriger des données inexactes
  • Effacement : supprimer votre compte et vos données
  • Portabilité : recevoir vos données dans un format structuré (JSON/CSV)
  • Opposition : s'opposer à certains traitements
  • Retrait du consentement : déconnecter les intégrations Google à tout moment

Pour exercer ces droits : marydesk.contact@gmail.com. Délai de réponse : 30 jours. Vous pouvez également adresser une réclamation à la CNIL.

8. Sécurité

Mary met en œuvre les mesures suivantes :

  • Chiffrement TLS 1.2/1.3 en transit
  • Chiffrement AES-256 des jetons d'API sensibles au repos
  • Isolation complète des données entre organisations (architecture multi-tenant)
  • Authentification à deux facteurs disponible
  • Journaux d'audit pour les actions sensibles
  • Infrastructure AWS hébergée en France (eu-west-3)

9. Cookies

Pour les détails sur les cookies utilisés par marydesk.com, consultez notre Politique de cookies.

10. Modifications

Toute modification substantielle de cette politique vous sera notifiée par e-mail ou par notification dans l'application au moins 15 jours avant son entrée en vigueur.