Politique de confidentialité

Dernière mise à jour : mai 2026 · Entrée en vigueur : mai 2026

En résumé : Arbitre collecte uniquement les données nécessaires au fonctionnement du service. Nous ne vendons aucune donnée à des tiers. Vous pouvez exercer vos droits à tout moment en écrivant à privacy@getarbitre.com.

1. Qui sommes-nous ?

Arbitre est un service SaaS édité par Dataheka, entreprise individuelle enregistrée en Belgique, dont le responsable est Christophe Dubois. Le service est accessible à l'adresse getarbitre.com.

Contact : privacy@getarbitre.com

2. Données que nous collectons

2.1 Données de compte

Lors de votre inscription, nous collectons :

  • Votre adresse e-mail (identifiant de connexion)
  • Votre nom et prénom (optionnel, si renseigné)
  • Le nom de votre entreprise et votre workspace
  • Les informations de facturation (traitées par Stripe — nous ne stockons pas vos données de carte bancaire)

2.2 Données techniques de connexion

  • Adresses IP (conservées 90 jours pour la sécurité)
  • Logs d'authentification et d'accès
  • Données de session (via cookies de session chiffrés)

2.3 Données issues des connecteurs tiers

Lorsque vous connectez vos outils via OAuth (HubSpot, Google Ads, Meta Ads, Google Analytics 4), Arbitre accède à et stocke :

  • HubSpot : propriétés d'attribution des contacts (UTMs, sources, dates de création, stades de lifecycle, identifiants de deals et montants associés). Ces données restent dans votre Workspace et ne sont jamais croisées avec d'autres clients.
  • Google Ads : statistiques de campagnes (spend, conversions, noms de campagnes). Aucune donnée personnelle d'utilisateur final.
  • Meta Ads : statistiques agrégées de campagnes (spend, actions). Aucune donnée personnelle d'utilisateur final.
  • Google Analytics 4 : statistiques d'événements agrégées par plateforme et source.

Les tokens OAuth (permettant l'accès à ces APIs) sont stockés chiffrés dans notre base de données via un chiffrement symétrique (AES-256). Ils ne sont jamais exposés en clair.

2.4 Données d'usage du produit

Nous collectons des données d'usage anonymisées (pages visitées, actions réalisées) pour améliorer le produit. Ces données ne contiennent aucune donnée personnelle de vos contacts CRM.

3. Comment nous utilisons vos données

  • Exécution du contrat : synchroniser vos données depuis vos connecteurs, calculer vos métriques d'attribution, afficher votre dashboard.
  • Facturation : traiter vos paiements via Stripe, émettre vos factures.
  • Communication : vous envoyer les alertes que vous avez activées (sync échouée, CPL anormal), les communications de service, et exceptionnellement des informations produit.
  • Sécurité : détecter les accès frauduleux, prévenir les abus.
  • Amélioration du produit : analyser l'usage agrégé et anonymisé pour améliorer les fonctionnalités.

Nous n'utilisons pas vos données pour de la publicité. Nous ne vendons aucune donnée à des tiers.

4. Base légale du traitement (RGPD)

  • Exécution du contrat (Art. 6.1.b) : traitement de vos données de compte et des données issues des connecteurs, nécessaire à la fourniture du service.
  • Intérêt légitime (Art. 6.1.f) : logs de sécurité, prévention de la fraude, amélioration du produit sur données agrégées.
  • Consentement (Art. 6.1.a) : communications marketing optionnelles.
  • Obligation légale (Art. 6.1.c) : conservation des données de facturation.

5. Sous-traitants et transferts de données

Nous faisons appel aux sous-traitants suivants, tous conformes au RGPD :

  • Supabase (PostgreSQL hébergé) — stockage des données · EU
  • Vercel — hébergement de l'application · EU (région choisie)
  • Trigger.dev — exécution des jobs de synchronisation · EU
  • Stripe — traitement des paiements · US (clause contractuelle standard)
  • Resend — envoi des emails transactionnels · US (clause contractuelle standard)
  • Sentry — monitoring des erreurs (données anonymisées) · US (clause contractuelle standard)

Aucun transfert de vos données CRM vers des tiers en dehors de ces sous-traitants.

6. Durées de conservation

  • Données de compte : durée de l'abonnement + 3 ans (obligation légale comptable)
  • Données CRM synchronisées : durée de l'abonnement. Supprimées dans les 30 jours suivant la résiliation.
  • Données de facturation : 10 ans (obligation légale)
  • Logs de sécurité : 90 jours
  • Tokens OAuth : supprimés immédiatement lors de la déconnexion d'un connecteur

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données personnelles
  • Droit de rectification : corriger des données inexactes
  • Droit à l'effacement : supprimer votre compte et toutes vos données (voir section 8)
  • Droit à la portabilité : recevoir vos données dans un format structuré
  • Droit d'opposition : vous opposer à certains traitements
  • Droit à la limitation : restreindre le traitement de vos données

Pour exercer ces droits : privacy@getarbitre.com. Nous répondrons dans un délai de 30 jours.

Vous pouvez également introduire une réclamation auprès de votre autorité de contrôle nationale (CNIL en France, APD en Belgique).

8. Suppression de compte

Vous pouvez demander la suppression complète de votre compte et de toutes vos données en écrivant à privacy@getarbitre.com avec l'objet "Suppression de compte".

La suppression sera effective dans les 30 jours. Seules les données de facturation sont conservées 10 ans conformément à la loi.

9. Cookies

Arbitre utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

  • Cookie de session (authjs.session-token) : maintient votre connexion. Durée : session.
  • Cookie CSRF : protection contre les attaques cross-site. Durée : session.

Nous n'utilisons pas de cookies publicitaires, de tracking tiers, ou de cookies analytics sans votre consentement.

10. Sécurité

Nous mettons en œuvre les mesures techniques suivantes :

  • Chiffrement des données en transit (TLS 1.3)
  • Chiffrement des tokens OAuth au repos (AES-256)
  • Isolation des données par tenant (chaque Workspace est isolé)
  • Authentification à deux facteurs disponible
  • Audits de sécurité réguliers

11. Modifications

Nous vous informerons par email de toute modification substantielle de cette politique au moins 30 jours avant son entrée en vigueur.

12. Contact

Pour toute question relative à cette politique : privacy@getarbitre.com

Arbitre · Dataheka · Belgique