Politique de confidentialité

Comment nous collectons, utilisons et protégeons tes données. Dernière mise à jour : 11 mai 2026.

Sommaire

Introduction
Responsable du traitement
Données collectées
Finalités
Données Google API
Sous-traitants & partage
Durée de conservation
Tes droits
Sécurité
Cookies
Transferts hors UE
Modifications
Contact

Vue d'ensemble

Préambule

Gaating est un service en ligne qui permet à des créateurs de contenu et infopreneurs de transformer n'importe quel lien en page de capture d'emails (« le Service »). La présente politique explique quelles données nous collectons sur toi et sur les visiteurs de tes pages, pourquoi, avec qui elles sont partagées et combien de temps elles sont conservées.

Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD), à la loi Informatique et Libertés, ainsi qu'aux exigences spécifiques de la Google API Services User Data Policy.

Qui sommes-nous ?

Responsable du traitement

Le responsable du traitement des données collectées via le Service est :

Gaating — éditeur du Service
Email : hello@gaating.com
Coordonnées complètes : voir Mentions légales

Ce qu'on collecte

Données collectées

A. Données de ton compte Gaating

Email (pour authentification via magic link Supabase)
Prénom et nomsi tu les renseignes lors de l'onboarding (optionnels)
Cookies de session émis par Supabase Auth pour te garder connecté

B. Données liées à l'utilisation du Service

Liens créés : titre, slug public, URL de destination, description, configuration des champs de capture, statut (actif / en pause), date de création
Connecteurs configurés : type (Brevo / Google Sheets / etc.), email du compte distant, libellés affichables (nom de liste, nom de Sheet), clés API et tokens chiffrés (cf. section Sécurité)
Logs d'envoi: succès / échec de chaque dispatch de lead vers un outil tiers (Brevo, Sheets, etc.), avec message d'erreur le cas échéant

C. Données des visiteurs de tes pages de capture

Quand un visiteur accède à gaating.com/<slug> et soumet le formulaire, nous collectons :

Les champs explicitement saisis (email, prénom, téléphone selon ta configuration)
Le consentement coché si la case est activée
Des métadonnées techniquesminimales : user-agent navigateur, referer (URL d'origine du clic), adresse IP (utilisée uniquement pour le comptage de clics anti-bot, non revendue)
Un compteur de clics sur la page pour calculer ton taux de conversion

Tu es co-responsable

En tant que créateur de pages de capture, tu es co-responsable du traitementavec Gaating vis-à-vis des leads que tu collectes. C'est à toi d'obtenir leur consentement, de leur fournir une information claire sur l'usage prévu, et de respecter leurs droits.

Pourquoi on collecte

Finalités du traitement

Tes données sont utilisées uniquement pour :

Te fournir le Service (création de liens, page de capture, dashboard, exports — base légale : exécution du contrat)
Acheminer tes leads vers tes outils connectés (Brevo, Sheets, etc. — base légale : exécution du contrat)
Te contacter pour des informations essentielles au Service ou support (base légale : intérêt légitime)
Améliorer le produit en analysant des statistiques anonymisées (base légale : intérêt légitime)

Nous ne vendons jamais tes données. Nous ne partageons pas tes données à des annonceurs ou des courtiers en données.

Spécifique Google

Utilisation des données Google API

Quand tu connectes ton compte Google à Gaating pour utiliser le connecteur Google Sheets, nous accédons aux données suivantes via les API Google, avec ton autorisation explicite via le flow OAuth 2.0 :

Scope demandé	Pourquoi	Classification Google
drive.file	Per-file access. Permet uniquement de lire et écrire dans les Google Sheets que tu sélectionnes explicitement via le Picker Google. Aucun accès aux autres fichiers de ton Drive.	Non-sensible
userinfo.email, profile	Afficher ton email Google connecté pour identification dans Gaating	Non-sensible

Pas de scope sensible

Gaating a fait le choix de n'utiliser aucun scope « sensible » chez Google. Concrètement : nous ne pouvons pas lister ton Drive, ni lire des fichiers aléatoires. Nous ne voyons que les Sheets que tu désignes un à un via le Picker.

Google API Services User Data Policy — Limited Use

L'utilisation des informations reçues des API Google par Gaating respecte la Google API Services User Data Policy, incluant les exigences de Limited Use. Concrètement, cela signifie que :

Les données Google sont utilisées uniquement pour fournir les fonctionnalités du Service explicitement demandées par toi (lister tes Sheets, écrire des leads dedans)
Nous ne transférons pasles données Google à des tiers, sauf si nécessaire pour fournir le Service ou si la loi l'exige
Nous n'utilisons pas les données Google pour des publicités personnalisées
Nous ne permettons pas à des humainsde lire tes données Google sauf si tu donnes ton consentement explicite, si c'est nécessaire pour la sécurité, pour se conformer à la loi, ou pour des opérations internes sous forme anonymisée et agrégée

Ce que nous stockons côté Gaating

Un refresh token Google chiffré (AES-256-GCM avec une clé maître côté serveur) — ce token permet de générer un access token temporaire à chaque dispatch de lead
Ton adresse email Google connectée
Par lien : l'ID du Sheet et le nom de l'onglet cibles (pas le contenu du Sheet)
Logs d'envoi : statut (succès / échec), code HTTP de retour Google, message d'erreur le cas échéant

Comment révoquer l'accès Google

Tu peux à tout moment :

Cliquer sur Déconnecter Google dans /app/connectors/googlesheets — ça supprime le refresh token chiffré de notre DB
Révoquer directement l'accès sur myaccount.google.com/permissions — ça invalide immédiatement le refresh token côté Google

Avec qui

Sous-traitants et partage de données

Pour faire fonctionner le Service, nous utilisons les sous-traitants suivants. Chacun traite tes données uniquement pour fournir un service technique à Gaating, dans le cadre d'un contrat de sous-traitance conforme à l'article 28 RGPD.

Sous-traitant	Rôle	Localisation
Supabase	Base de données + authentification	UE (Frankfurt)
Vercel	Hébergement de l'app	UE + USA
Resend / SendGrid	Envoi des emails transactionnels (magic links)	USA
Brevo, Mailchimp, Google, etc.	Si tu actives un connecteur, tes leads sont transmis à ces services à ta demande	Variable

Les transferts vers des sous-traitants hors UE sont encadrés par les Clauses Contractuelles Types(CCT) de la Commission européenne ou par une décision d'adéquation.

Combien de temps

Durée de conservation

Compte utilisateur : tant que ton compte est actif. Suppression sur demande dans un délai de 30 jours.
Liens et leads : conservés tant que ton compte est actif. À la suppression du compte, tes liens sont supprimés (cascade DB) et tes leads avec eux.
Refresh tokens et clés API connecteurs : tant que le connecteur est actif. Supprimés immédiatement à la déconnexion.
Logs de dispatch : 90 jours, puis purgés automatiquement.
Logs serveur (Vercel) : 7 jours, géré par Vercel.

RGPD

Tes droits

Conformément au RGPD, tu disposes des droits suivants :

Droit d'accès : obtenir une copie des données te concernant
Droit de rectification : corriger des données inexactes
Droit à l'effacement : demander la suppression de ton compte et de tes données
Droit à la portabilité: récupérer tes données dans un format lisible (export CSV des leads disponible à tout moment dans l'app)
Droit d'opposition: t'opposer à certains traitements
Droit de limitation : geler temporairement le traitement
Droit de retirer ton consentement à tout moment
Droit de réclamation auprès de la CNIL : cnil.fr/fr/plaintes

Pour exercer ces droits, contacte-nous à hello@gaating.com avec la mention « Droits RGPD ». Nous répondrons dans un délai d'un mois.

Comment on protège

Sécurité

Toutes les communications avec Gaating sont chiffrées en HTTPS (TLS 1.2+)
Les clés API tierces (Brevo) et refresh tokens OAuth (Google) sont chiffrés en base avec AES-256-GCM, clé maître stockée hors-base dans nos variables d'environnement
Row Level Security Postgresactivée sur toutes les tables pour garantir qu'un user n'accède qu'à ses propres données
Authentification par magic link (passwordless) — pas de mot de passe à hacker
Audit régulier des dépendances pour les CVE connues

En cas de violation de données affectant tes informations personnelles, nous te notifierons et la CNIL conformément à l'article 33 RGPD dans un délai de 72 heures.

Cookies et traceurs

Gaating utilise un nombre minimal de cookies strictement nécessaires au fonctionnement du Service :

Cookies de session Supabase : pour te garder connecté entre les pages. Durée : session ou 30 jours selon le « remember me ».
Cookie state OAuth : posé temporairement pendant le flow OAuth Google pour protéger contre le CSRF. Durée : 10 minutes max.

Aucun cookie publicitaireou de tracking tiers. Pas de Google Analytics, pas de pixel Meta. Le consentement n'est donc pas requis (cookies strictement nécessaires au sens de la directive ePrivacy).

International

Transferts de données hors UE

Certains de nos sous-traitants (Vercel, Google) sont basés aux États-Unis. Les transferts vers ces sous-traitants sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne en juin 2021, ainsi que par le Data Privacy Framework pour ceux qui y sont adhérents.

Aucune donnée n'est transférée vers un pays sans mécanisme de protection adéquat.

Évolutions

Modifications de la politique

Cette politique peut être mise à jour pour refléter l'évolution du Service, de la loi ou de nos pratiques. La date de dernière modification est indiquée en haut de cette page. Pour les modifications substantielles, nous te notifierons par email avant entrée en vigueur.

Une question ?

Contact

Pour toute question relative à cette politique ou à tes données personnelles :

Email : hello@gaating.com
Voir aussi nos Mentions légales et CGU