Le responsable du traitement des données personnelles collectées via la plateforme Réply est :

Au sens du RGPD, Erol Leveque (Réply) agit en qualité de responsable de traitementpour les données de ses clients professionnels (comptes, facturation) et en qualité desous-traitant pour les données des clients finaux que les e-commerçants abonnés lui confient dans le cadre du traitement des tickets support.

Nous collectons uniquement les données strictement nécessaires à la fourniture du Service :

Nous ne collectons aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions politiques, données biométriques, etc.). Nous ne réalisons aucun profilage publicitaire.

Le Service est hébergé par les prestataires suivants, auxquels nous avons recours en qualité de sous-traitants au sens du RGPD :

• Supabase Inc. (base de données PostgreSQL, authentification, stockage) — données hébergées dans la région Europe (Frankfurt, EU-West) via AWS.
• Vercel Inc. (infrastructure applicative) — serveurs d'exécution en Europe pour les fonctions sensibles ; CDN mondial pour les actifs statiques.
• Stripe Inc. (paiement) — traitement des données bancaires hors UE, encadré par les clauses contractuelles types (CCT) approuvées par la Commission européenne.
• Resend Inc. (envoi d'emails transactionnels) — données de messagerie traitées avec des garanties RGPD appropriées.
• Anthropic PBC (modèle Claude) — les messages clients peuvent être traités sur des serveurs situés aux États-Unis. Anthropic s'engage à ne pas utiliser vos données pour entraîner ses modèles via l'API.

Les transferts hors Union Européenne sont encadrés par des garanties appropriées : clauses contractuelles types (CCT), décision d'adéquation ou mécanismes équivalents conformément au chapitre V du RGPD.

La liste complète de nos sous-traitants est disponible sur demande à l'adresse contact@reply.fr.

Nous appliquons le principe de minimisation : les données sont supprimées dès qu'elles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées.

• Données de compte (email, configuration) : conservées pendant toute la durée du contrat, puis 90 jours après résiliation ou suspension définitive.
• Tickets support et base de connaissances : conservés pendant toute la durée du contrat, puis 90 jours, puis suppression définitive.
• Données de facturation : conservées 10 ans conformément aux obligations comptables françaises (article L.123-22 du Code de commerce).
• Logs techniques : 12 mois glissants.
• Sauvegardes de base de données : écrasées dans un délai maximum de 30 jours après l'expiration de la période de conservation principale.

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants concernant vos données personnelles :

• « Droit d'accès » (art. 15) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
• « Droit de rectification » (art. 16) : corriger des données inexactes ou incomplètes.
• « Droit à l'effacement » (art. 17, dit « droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation.
• « Droit à la limitation du traitement » (art. 18) : bloquer temporairement le traitement de vos données.
• « Droit à la portabilité » (art. 20) : recevoir vos données dans un format structuré et lisible par machine (JSON/CSV).
• « Droit d'opposition » (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime.
• « Droit de ne pas faire l'objet d'une décision automatisée » (art. 22) : applicable en cas de profilage automatisé avec effets juridiques.

Pour exercer vos droits, adressez une demande écrite àcontact@reply.fren joignant un justificatif d'identité. Nous nous engageons à répondre dans un délai d'un (1) mois, prolongeable à trois (3) mois pour les demandes complexes.

Erol Leveque (Réply) met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte, destruction ou divulgation :

• Chiffrement TLS 1.3 de toutes les communications réseau.
• Chiffrement au repos des données en base de données (AES-256).
• Row Level Security (RLS) Supabase : isolation stricte des données entre tenants.
• Authentification multi-facteurs disponible pour les comptes à accès élevé.
• Journalisation des accès administrateurs avec rétention 12 mois.
• Revue de sécurité régulière du code source.
• Politique de mot de passe renforcée et tokens à durée de vie limitée.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures et les personnes concernées sans délai injustifié, conformément aux articles 33 et 34 du RGPD.

Compte tenu de la nature et du volume des traitements réalisés, Erol Leveque (Réply) n'est pas dans l'obligation légale de désigner un DPO. Néanmoins, toute question relative à la protection de vos données peut être adressée à notre référent protection des données :

Référent RGPD — Erol Leveque (Réply)
Email :contact@reply.fr

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

• Site : www.cnil.fr
• Formulaire en ligne : https://www.cnil.fr/fr/plaintes
• Adresse : CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
• Téléphone : 01 53 73 22 22

Nous vous encourageons néanmoins à nous contacter préalablement à toute réclamation afin de permettre un règlement amiable.

La présente politique peut être modifiée à tout moment pour s'adapter aux évolutions réglementaires ou à nos pratiques. Toute modification substantielle sera notifiée par email avec un préavis raisonnable. La date de dernière mise à jour est indiquée en haut du présent document.