Politique de confidentialité
Dernière mise à jour : 20 mai 2026
Informations que nous collectons
Lorsque vous créez un compte QMailing, nous collectons votre nom et votre adresse e-mail (ou les informations de profil OAuth de Google, Microsoft, GitHub ou Telegram). Nous ne demandons pas de numéro de téléphone.
Lorsque vous utilisez QMailing, nous stockons les e-mails que vous envoyez et recevez, la configuration des boîtes mail et les données d'utilisation (espace utilisé, nombre de boîtes).
Comment nous utilisons vos informations
Nous utilisons vos informations pour :
- Fournir, maintenir et améliorer le service QMailing
- Vous envoyer des notifications transactionnelles (alertes de sécurité, reçus de facturation)
- Détecter et prévenir les abus, fraudes et menaces à la sécurité
- Respecter les obligations légales
Nous ne lisons, ne scannons ni n'analysons le contenu de vos e-mails à des fins publicitaires.
Stockage et sécurité des données
Vos données sont stockées sur des serveurs chiffrés au sein de l'Union européenne. Nous utilisons le chiffrement TLS pour toutes les données en transit et le chiffrement AES-256 pour les données au repos.
Services tiers
Pour faire fonctionner le service, nous nous appuyons sur un petit ensemble de fournisseurs tiers :
- Un prestataire de paiement — gère les abonnements et les factures des plans payants
- Suivi des erreurs — pour détecter et corriger rapidement les problèmes
Sub-processors
QMailing s'appuie sur un petit ensemble de fournisseurs de confiance pour exploiter le service. Chacun est lié par un DPA (Data Processing Agreement) conforme à l'Article 28 du RGPD. La liste complète est ci-dessous ; nous mettons à jour cette section avant d'ajouter ou de retirer un sub-processor.
| Fournisseur | Service | Localisation | DPA |
|---|---|---|---|
| Amazon Web Services | Envoi/réception de mail (SES), stockage d'objets (S3), base de données (RDS PostgreSQL), compute (EC2, Lambda), compteurs rate-limit et abuse (DynamoDB). | EU (eu-north-1, Stockholm) | DPA |
| Paddle | Traitement des paiements (merchant of record). Cartes, factures, taxes, remboursements. | EU / UK | DPA |
| Grafana Labs | Télémétrie frontend (Grafana Faro) : erreurs JavaScript, métriques de performance. Sans contenu d'e-mail. | EU | DPA |
| Cloudflare | Challenge bot (Turnstile) à la connexion. Mitigation DDoS au edge réseau. | Global (EU edge) | DPA |
| Connexion OAuth uniquement. Nous ne lisons jamais votre Gmail, Drive ou Contacts. | Global | DPA | |
| Microsoft | Connexion OAuth uniquement. Nous ne lisons jamais votre Outlook, OneDrive ou Calendar. | Global | DPA |
| GitHub | Connexion OAuth uniquement. Nous ne lisons jamais vos dépôts ou données d'organisation. | Global | DPA |
| Telegram | Connexion OAuth uniquement. Nous ne lisons jamais vos discussions. | Global | DPA |
Connexion OAuth
Quand vous vous connectez avec Google, Microsoft, GitHub ou Telegram, le fournisseur renvoie à QMailing un profil minimal : votre adresse e-mail, votre nom d'affichage et (si disponible) l'URL de votre avatar. Nous utilisons ces données strictement pour créer votre compte au premier login et pour vous reconnecter aux visites suivantes.
QMailing ne lit ni n'écrit jamais de données dans votre compte Google/Microsoft/GitHub/Telegram au-delà du handshake OAuth lui-même. Nous ne demandons pas de scopes pour boîte de réception, drive, agenda, dépôt ou contacts. Nous ne vous envoyons pas de marketing via ces fournisseurs. Nous ne partageons pas les données issues d'OAuth avec des tiers.
Accès API et intégrations MCP
QMailing émet des tokens Bearer de style OAuth (qm_live_*) pour l'accès programmatique via l'API REST publique et le serveur MCP hébergé à https://qmailing.com/mcp. Chaque token reçoit ses scopes à l'émission (par exemple mailbox:read, email:send) et est lié à un seul compte.
Quand un agent IA se connecte avec un token, QMailing logue les métadonnées de requête — timestamp, nom d'outil, statut HTTP, temps de réponse — pendant 30 jours pour la détection d'abus et la comptabilité du rate-limit. Les bodies de requête et les résultats d'outils NE sont PAS persistés dans les logs. Les tokens sont stockés côté serveur sous forme de hash bcrypt ; la valeur en clair est affichée exactement une fois à l'émission.
Vous pouvez révoquer n'importe quel token dans Paramètres → Développeurs, ou pour les connexions OAuth dans Paramètres → Connexions. La révocation est honorée à la requête suivante — sans cache.
Cookies
Nous utilisons des cookies essentiels pour l'authentification et la gestion des sessions. Les cookies d'analyse ne sont déposés qu'avec votre consentement explicite. Vous pouvez gérer vos préférences en matière de cookies à tout moment.
Vos droits
Conformément au RGPD, vous avez le droit de :
- Accéder à vos données personnelles
- Exporter vos données dans un format lisible par machine
- Demander la suppression de votre compte et de toutes les données associées
- Vous opposer au traitement des données
Vous pouvez exercer ces droits dans Paramètres > Confidentialité ou en nous contactant à privacy@qmailing.com.
Transferts internationaux de données
QMailing est hébergé dans l'Union européenne (AWS eu-north-1, Stockholm). La livraison d'e-mails via Amazon SES traverse l'infrastructure edge d'AWS, qui peut inclure des installations hors EEE selon le serveur de mail du destinataire. Les Clauses Contractuelles Types (SCC) approuvées par la Commission européenne s'appliquent à tout transfert de données personnelles hors EEE. Nous ne transférons pas de données vers des juridictions sans décision d'adéquation ou garanties équivalentes.
Conservation et suppression des données
Nous conservons vos données tant que votre compte est actif. Lorsque vous supprimez votre compte, une boîte mail ou un e-mail, les données entrent dans une fenêtre de suppression différée de 30 jours — pendant cette période, vous pouvez les restaurer (comptes en se reconnectant et en annulant la suppression, boîtes mail et e-mails depuis la Corbeille). Après 30 jours, les données sont définitivement supprimées de nos systèmes actifs.
Nous ne conservons pas de copies de sauvegarde hors-système au-delà de la fenêtre de suppression différée — une fois ce délai écoulé, la récupération n'est plus possible.
Notification de violation de données
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons l'autorité de contrôle compétente dans les 72 heures suivant la prise de connaissance de la violation, conformément à l'Article 33 du RGPD. Si la violation est susceptible d'engendrer un risque ÉLEVÉ, nous notifierons les utilisateurs concernés directement sans retard injustifié, par e-mail à votre adresse enregistrée.
Confidentialité des enfants
QMailing n'est ni destiné ni adressé aux enfants. Nous ne collectons pas sciemment de données personnelles de personnes de moins de 16 ans dans l'Espace économique européen, ou de moins de 13 ans aux États-Unis. Si vous pensez que nous avons collecté de telles données par inadvertance, contactez-nous et nous les supprimerons sans retard injustifié.
Responsable du traitement
Le responsable du traitement pour QMailing est Bohdan Abramovych, une personne physique résidant à Kyiv, Ukraine. Pour toute question relative à la confidentialité, l'exercice des droits RGPD (accès, rectification, effacement, limitation, portabilité, opposition) ou une plainte, écrivez à privacy@qmailing.com.
Contact
Pour toute question relative à la confidentialité, contactez-nous à privacy@qmailing.com.