Politique de confidentialité
Date d'entrée en vigueur : 2026-04-23 Dernière mise à jour : 2026-04-23
Langues. Ce document est publié en anglais et en espagnol ; les deux versions (anglaise, espagnole) font également foi. La présente traduction est fournie à titre d'information et ne modifie pas vos droits ou obligations. Les dispositions impératives du droit de la consommation de votre pays de résidence s'appliquent quelle que soit la version linguistique.
La présente Politique de confidentialité explique comment Overspiral S.L. (« Overspiral », « nous ») traite les données à caractère personnel dans le cadre du service Overslash (https://overslash.com, https://app.overslash.com — le « Service »).
1. Responsable du traitement
- Responsable : Overspiral S.L.
- N° fiscal (NIF) : B27633486
- Siège social : C/ Fuenterrabía 9, 28014 Madrid, Espagne
- Courriel : privacy@overslash.com
- Contact sécurité : security@overslash.com
Si vous êtes une organisation qui utilise Overslash pour relayer l'accès à vos propres sources de données (Google Workspace, etc.), Overspiral agit en qualité de sous-traitant au sens du RGPD pour les données à caractère personnel contenues dans ces sources, et vous demeurez le responsable du traitement. Pour les données de compte, de facturation et de télémétrie du Service décrites ci-dessous, Overspiral est le responsable du traitement.
2. Données que nous collectons
Données de compte
Adresse électronique, nom affiché, organisation et identifiants d'authentification du fournisseur OAuth avec lequel vous vous connectez (Google, GitHub, etc.).
Données de facturation
Pour les offres payantes : raison sociale, adresse de facturation, numéro de TVA et métadonnées de paiement. Les données de carte sont traitées directement par notre prestataire de paiement (Stripe) et ne transitent jamais par nos serveurs.
Télémétrie du Service
Journaux d'exploitation du Service : horodatages, adresses IP, chaînes user-agent, chemins de requête, traces d'erreur et compteurs d'utilisation agrégés. Utilisés pour exploiter, sécuriser et déboguer le Service.
Données des services connectés (lorsque vous connectez Google Workspace, etc.)
Lorsque vous autorisez Overslash à agir comme passerelle vers un service tiers en votre nom, nous conservons les jetons OAuth de ce service et nous relayons les requêtes émises par vos agents au travers de ces jetons. Le contenu de ces requêtes et réponses est traité de manière transitoire pour appliquer vos politiques et générer un enregistrement d'audit, et n'est pas conservé au-delà de ce qui est nécessaire à ces fins, sauf si vous activez explicitement une conservation plus longue.
Granularité
Par conception, Overslash vous permet d'octroyer des autorisations granulaires par utilisateur et par agent, plus restreintes que les portées du fournisseur sous-jacent. Vous pouvez révoquer toute délégation à tout moment depuis le Service.
3. Services API Google — Limited Use
Lorsque vous connectez Google Workspace, Google Docs, Google Drive ou Gmail à Overslash, l'utilisation par Overslash des informations reçues des API Google respecte la Google API Services User Data Policy, y compris les exigences de Limited Use.
En particulier :
- Nous utilisons les données utilisateur de Google uniquement pour fournir et améliorer les fonctionnalités d'Overslash visibles par l'utilisateur que vous avez expressément autorisées (relayer les appels entre vos agents et le service Google).
- Nous n'utilisons pas les données utilisateur de Google pour développer, améliorer ou entraîner des modèles d'IA ou de ML généralistes.
- Nous ne vendons, ne louons ni ne transférons les données utilisateur de Google à des tiers à des fins publicitaires, de personnalisation publicitaire ou pour toute autre finalité non liée.
- Nous ne permettons pas à des personnes physiques de lire les données utilisateur de Google sauf : (a) si nous disposons de votre consentement explicite pour des messages ou fichiers spécifiques ; (b) si cela est nécessaire à des fins de sécurité (par exemple pour enquêter sur un abus ou un dysfonctionnement) ; (c) si nous y sommes tenus par la loi applicable ; ou (d) si les données sont agrégées et utilisées pour des opérations internes sous une forme qui ne permet pas d'identifier les utilisateurs individuels.
Nous ne demandons actuellement de portées OAuth que pour Google Workspace, Google Docs, Google Drive et Gmail, et seulement dans la mesure nécessaire au connecteur que vous activez.
4. Finalités et bases légales (RGPD, art. 6)
| Finalité | Base légale |
|---|---|
| Fournir le Service (compte, passerelle, audit) | Exécution contractuelle (art. 6, § 1, b) |
| Facturation et obligations fiscales | Obligation légale + exécution contractuelle |
| Sécurité, prévention des abus, détection des fraudes | Intérêt légitime |
| Amélioration du Service via télémétrie agrégée | Intérêt légitime |
| Communications marketing (le cas échéant) | Consentement — opt-in, révocable |
| Réponse aux demandes légales des autorités | Obligation légale |
5. Sous-traitants ultérieurs et tiers
Nous recourons à un nombre restreint de prestataires pour exploiter le Service. Sous-traitants actuels :
- Vercel Inc. — hébergement de la page de présentation et de la couche edge (États-Unis/UE).
- Google LLC (Google Cloud) — hébergement de l'application et de la base de données (région UE).
- Stripe Payments Europe Ltd. — traitement des paiements (IE / États-Unis).
- Anthropic, PBC — inférence IA pour les fonctionnalités internes du Service (États-Unis).
- Google LLC (API Google Workspace) — lorsque vous connectez Google Workspace, Docs, Drive ou Gmail comme sources de données (États-Unis).
Nous n'utilisons actuellement aucun prestataire tiers d'envoi transactionnel d'e-mails ; les e-mails système sont envoyés directement depuis notre propre infrastructure. Si nous en ajoutons un, il sera mentionné ici à l'avance.
Cette liste pourra être mise à jour. Toute modification substantielle relative aux sous-traitants sera reflétée ici et annoncée à l'avance aux clients actifs lorsque cela sera raisonnablement possible.
6. Transferts internationaux
Certains des sous-traitants ci-dessus sont situés aux États-Unis ou y transfèrent des données. Dans ce cas, les transferts sont encadrés par les Clauses Contractuelles Types de l'UE et, le cas échéant, par le Cadre de protection des données UE–États-Unis (EU–US Data Privacy Framework). Nous appliquons des garanties techniques complémentaires (chiffrement en transit et au repos, minimisation des portées) afin de limiter les données transférées au strict nécessaire.
7. Durées de conservation
- Données de compte : tant que votre compte est actif, plus jusqu'à 12 mois pour réactivation ; plus longtemps si la loi l'exige (par exemple, registres de facturation, 6 ans en Espagne).
- Registres de facturation : selon les exigences de la législation fiscale espagnole (actuellement 6 ans).
- Journaux d'exploitation : entre 30 et 90 jours, puis agrégés ou supprimés.
- Jetons OAuth des services connectés : jusqu'à ce que vous déconnectiez le service ou supprimiez votre compte.
- Contenu des requêtes/réponses des services connectés : transitoire — non conservé au-delà de l'appel, hormis les enregistrements d'audit (métadonnées de la requête uniquement) qui sont conservés pendant la durée que vous configurez.
8. Vos droits
Quel que soit votre lieu de résidence, vous pouvez écrire à privacy@overslash.com pour :
- accéder aux données personnelles que nous détenons à votre sujet ;
- les corriger ou les mettre à jour ;
- les supprimer (sous réserve des exceptions de conservation légale ci-dessus) ;
- les exporter dans un format lisible par machine ;
- vous opposer à certains traitements ou en restreindre la portée ;
- retirer tout consentement que vous avez donné ;
- déconnecter tout service tiers que vous avez autorisé.
Si vous résidez dans l'EEE / au Royaume-Uni, vous avez également le droit d'introduire une réclamation auprès de votre autorité de contrôle. En Espagne, il s'agit de l'Agencia Española de Protección de Datos (AEPD) — https://www.aepd.es. Les résidents en France peuvent également saisir la CNIL (https://www.cnil.fr).
9. Mineurs
Le Service ne s'adresse pas aux enfants de moins de 14 ans (seuil fixé par la législation espagnole). Nous ne collectons pas sciemment de données personnelles d'enfants en deçà de cet âge. Si vous estimez qu'un enfant nous a communiqué des données personnelles, contactez-nous et nous les supprimerons.
10. Cookies et technologies similaires
Le site de présentation (overslash.com) n'utilise que du stockage local strictement nécessaire (préférence de thème) et n'emploie pas de cookies de suivi. L'application (app.overslash.com) utilise des cookies strictement nécessaires pour vous maintenir connecté(e). Nous n'utilisons pas actuellement de cookies publicitaires tiers ni de cookies de suivi inter-sites. Si cela change, nous publierons une Politique cookies distincte et solliciterons le consentement lorsque cela sera requis.
11. Modifications de la présente Politique
Nous mettrons à jour la présente Politique au fil de l'évolution du Service. Les modifications substantielles seront notifiées aux utilisateurs actifs par e-mail et/ou par un avis intégré à l'application au moins 14 jours avant leur entrée en vigueur. La date de « Dernière mise à jour » figurant en haut reflète toujours la version en vigueur.
12. Contact
Questions, demandes ou réclamations : privacy@overslash.com. Pour les divulgations de sécurité : security@overslash.com.