Privacy Policy / Politique de Confidentialité
🇫🇷 Version française
Politique de Confidentialité
Extension Outlook "Themysia Search"
Dernière mise à jour : 08/07/2025
1. Qui sommes-nous ?
Responsable du traitement : EURL STX, SARL unipersonnelle au capital social de 100 €, immatriculée au RCS de Paris sous le n° 983 755 174, dont le siège social est situé 60 rue François Iᵉʳ, 75008 Paris, France.
Contact "privacy" / DPO : silvere@themysia.com
Pour toute question relative à la protection des données ou pour exercer vos droits, écrivez-nous à cette adresse.
2. Champ d'application
La présente politique explique la manière dont nous collectons et traitons vos données personnelles lorsque vous utilisez notre complément Outlook "Themysia Search" (ci-après "l'Add-in") et, le cas échéant, le site web associé. Elle s'applique à tous les utilisateurs, y compris les mineurs autorisés à utiliser Outlook ; aucune fonctionnalité n'est destinée spécifiquement aux enfants.
All processing is carried out in accordance with applicable data protection laws, including the General Data Protection Regulation ("GDPR").
3. Données collectées
| Catégorie | Détails | Origine |
|---|---|---|
| Contenu de messagerie | Corps des e-mails, pièces jointes | Outlook API (permission `MailboxItem.Read.User`) |
| Métadonnées | Date, heure, expéditeur, destinataires, objet | Outlook API |
| Identité utilisateur | Nom, adresse e-mail, rôle, ID Microsoft 365 | Graph / MSAL |
| Journaux & télémétrie | Logs techniques, diagnostics, journal des requêtes | Add-in & backend |
| Cookies | Cookies de session et cookies analytiques (Matomo auto-hébergé, exempt de consentement) | Interface web |
Aucune donnée sensible au sens du RGPD n'est sollicitée.
4. Finalités et bases légales
| Finalité | Base légale | Description |
|---|---|---|
| Recherche et affichage de courriels / documents | Exécution du contrat (art. 6-1-b RGPD) | Fournir la fonctionnalité principale de l'Add-in : retrouver rapidement des pièces jointes et contenus pertinents. |
| Statistiques, débogage, sécurité | Intérêt légitime (art. 6-1-f RGPD) | Améliorer la stabilité du service, prévenir la fraude, établir des mesures d'audience anonymisées. |
Nous n'utilisons pas vos données pour l'entraînement de modèles d'IA ni à des fins marketing.
5. Partage et sous-traitance
| Destinataire | Pays | Garantie | RĂ´le |
|---|---|---|---|
| Vercel (hébergement) | UE | Sous-traitant RGPD, chiffrement TLS/at-rest | Frontend / API |
| Supabase (Base de données & stockage) | UE | Chiffrement AES-256 at-rest, TLS en transit | Persistance des données |
| OpenAI (API d'IA) | UE datacenter (option "Europe") | Clauses Contractuelles Types (SCC) | Traitement temporaire du texte pour requĂŞtes IA |
Aucune donnée n'est vendue ni transmise à des partenaires commerciaux.
6. Stockage, rétention et purge
- Localisation : toutes les données persistantes sont stockées dans l'Union européenne.
- Durée de conservation :
- Données opérationnelles (courriels indexés, métadonnées) : conservées pendant toute la durée du contrat, puis supprimées 30 jours après résiliation pour permettre une exportation ou récupération.
- Journaux techniques : conservés 90 jours maximum, puis anonymisés ou supprimés.
- Purge : à l'issue des durées ci-dessus, les enregistrements sont effacés automatiquement des bases Supabase et des sauvegardes chiffrées ; une demande manuelle de suppression peut accélérer le processus (voir § 8).
7. Sécurité
- Chiffrement : TLS 1.2+ pour les flux réseau ; données chiffrées au repos sur Supabase (AES-256) et Vercel.
- Contrôles d'accès : authentification forte MSAL ; journalisation des accès et principe du moindre privilège pour nos collaborateurs.
- Tests & audits : Revues de code internes et scans de vulnérabilités réguliers.
8. Vos droits
Conformément au RGPD, vous disposez des droits : accès, rectification, effacement, limitation, portabilité, opposition.
Pour exercer vos droits, envoyez un e-mail à silvere@themysia.com et indiquez "Demande RGPD". Nous répondrons sous 14 jours.
Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).
9. Cookies
| Type | Finalité | Nom(s) | Durée |
|---|---|---|---|
| Session | Maintien de la session utilisateur | `sessionid` | Jusqu'Ă 24 h |
| Analytics | Mesure d'audience (Matomo, IP anonymisées) | `_pk_*` | 13 mois max |
Les cookies strictement nécessaires sont toujours actifs. Les cookies analytics sont configurés de façon conforme aux lignes directrices CNIL (exemption de consentement).
10. Mise Ă jour de la politique
Nous pouvons mettre cette politique à jour pour refléter des évolutions légales ou techniques. La date de "Dernière mise à jour" en haut du document indique la version en vigueur. Si la modification affecte substantiellement vos droits, nous vous en informerons via Outlook ou par e-mail.
🇬🇧 English Version
Privacy Policy
Outlook Add-in "Themysia Search"
Last updated: 8 July 2025
1. Who We Are
The data controller is EURL STX, a French single-member limited liability company (SARL unipersonnelle) with a share capital of €100, registered with the Paris Trade and Companies Register under No. 983 755 174.
Registered office: 60 Rue François Iᵉʳ, 75008 Paris, France.
Privacy contact / DPO: silvere@themysia.com
2. Scope of This Policy
This Policy explains how we collect and process personal data when you use the Themysia Search Outlook add-in (the "Add-in") and, where applicable, our associated web interface. It applies to all users, including minors who may use Outlook; the Add-in is not specifically directed to children.
All processing is carried out in accordance with applicable data protection laws, including the General Data Protection Regulation ("GDPR").
3. Data We Collect
| Category | Details | Source |
|---|---|---|
| Email content | Body text, attachments | Outlook API (`MailboxItem.Read.User`) |
| Metadata | Date, time, sender, recipients, subject | Outlook API |
| User identity | Name, email address, role, Microsoft 365 ID | Microsoft Graph / MSAL |
| Logs & telemetry | Technical logs, request diagnostics | Add-in and backend |
| Cookies | Session cookies, analytics cookies (self-hosted Matomo) | Web interface |
We do not purposely collect sensitive data as defined by the GDPR.
4. Purposes and Legal Bases
| Purpose | Legal basis | Description |
|---|---|---|
| Search & display of emails/documents | Performance of a contract (Art. 6 (1) (b) GDPR) | Provide the core functionality: fast retrieval of relevant mails and attachments. |
| Statistics, debugging, security | Legitimate interest (Art. 6 (1) (f) GDPR) | Ensure service stability, prevent abuse, compile anonymised usage metrics. |
We do not use your data for marketing or to train machine-learning models.
5. Sharing and Sub-Processors
| Recipient | Location | Safeguard | Role |
|---|---|---|---|
| Vercel (hosting) | European Union | TLS in transit, data at rest encrypted | Front-end & API hosting |
| Supabase (database & storage) | European Union | AES-256 at rest, TLS in transit | Persistent storage |
| OpenAI (LLM API) | EU data centre option | Standard Contractual Clauses (SCCs); no raw data is stored by OpenAI | Temporary text processing |
No data is sold or shared with commercial partners.
6. Storage, Retention and Deletion
- Location – Data is securely stored in European data centers, fully compliant with GDPR.
- Retention periods
- Operational data (indexed emails, metadata): kept for the duration of your subscription and permanently deleted 30 days after termination, unless earlier deletion is requested.
- Technical logs: retained up to 90 days, then anonymised or erased.
- Deletion & purge – When retention periods expire, records are automatically removed from Supabase and encrypted backups. You may request expedited deletion at any time (see § 8).
7. Security Measures
- Encryption – TLS 1.2+ for all network traffic; AES-256 encryption at rest on Supabase and Vercel.
- Access control – Strong MSAL authentication, audited access logs, and role-based, least-privilege permissions for staff.
- Testing & audits – Regular code reviews, vulnerability scanning, and incident-response procedures.
8. Your Rights
Subject to law, you may request access, rectification, erasure, restriction, portability, or objection to the processing of your personal data.
Send your request to silvere@themysia.com with the subject line "Data Protection Request". We will reply within 14 days.
You may also file a complaint with your local data protection authority.
9. Cookies
| Type | Purpose | Names | Duration |
|---|---|---|---|
| Session | Maintain user session | `sessionid` | ≤ 24 h |
| Analytics | Audience measurement (self-hosted Matomo, IP anonymised) | `_pk_*` | ≤ 13 months |
Strictly necessary cookies are always active. Analytics cookies are configured to comply with CNIL guidelines and do not require prior consent.
10. Changes to This Policy
We may update this Policy to reflect legal, technical or business changes. The "Last updated" date indicates its effective version. Significant changes will be notified via Outlook or email.