Politique de Confidentialité

Verst (exploitant la plateforme Verst.io, ci-après « Verst », « nous ») accorde une importance fondamentale à la protection des données à caractère personnel. La présente Politique de Confidentialité a pour objet d’informer, de manière complète et structurée, toute personne concernée sur les conditions dans lesquelles des données personnelles peuvent être collectées, utilisées, conservées, transmises et, le cas échéant, supprimées dans le cadre de l’exploitation de nos services SaaS de messaging et d’automatisation commerciale.

Cette politique couvre les traitements réalisés pour les besoins propres de Verst, notamment la gestion de la relation commerciale, du support et de la sécurité opérationnelle, ainsi que les traitements effectués pour le compte de nos Clients professionnels lorsque ceux-ci utilisent la plateforme pour gérer leurs échanges avec leurs prospects, leads et clients. Elle vise les Clients professionnels, les Utilisateurs finaux avec lesquels ces Clients interagissent via la plateforme, ainsi que les visiteurs du site verst.io.

La présente politique ne régit pas les traitements opérés par des services tiers accessibles via des liens externes ou des environnements non administrés par Verst. L’utilisation de nos Services implique la prise de connaissance de cette politique et, lorsque la loi l’exige, l’expression d’un consentement distinct pour certains traitements spécifiques, notamment en matière de traceurs non essentiels.

VERST, société par actions simplifiée unipersonnelle (SASU), immatriculée au RCS de Paris sous le numéro 993 486 349, dont le siège social est situé 60 rue François 1er, 75008 Paris, intervient en qualité de responsable du traitement pour les opérations conduites pour son propre compte, notamment celles relatives à la création de compte, à la facturation, à la relation client et à la sécurité de la plateforme.

Dans le cadre des traitements réalisés sur instruction de ses Clients via la plateforme, Verst intervient en qualité de sous-traitant au sens du RGPD. La répartition des rôles, obligations et responsabilités entre Verst et ses Clients est contractuellement encadrée par un Accord de Traitement des Données (DPA) disponible sur demande. Toute question relative à la protection des données peut être adressée à contact@verst.io.

Les catégories de données susceptibles d’être traitées par Verst varient selon la nature de la relation avec la personne concernée et selon les fonctionnalités effectivement activées. De manière générale, nous traitons des données d’identification et de contact (telles que nom, prénom, adresse e-mail, numéro de téléphone, entreprise), des données relatives au compte utilisateur (identifiants, paramètres, préférences), des données liées aux interactions avec nos équipes (support, demandes de démonstration, échanges opérationnels), ainsi que des données techniques et d’usage nécessaires à la fourniture, à la maintenance et à la sécurisation des Services.

Des données générées automatiquement peuvent également être collectées, incluant notamment des informations de connexion, des événements applicatifs, des journaux techniques, des données de session, des éléments liés à l’environnement logiciel et des données de traçage selon les réglages de consentement applicables. Lorsqu’un Client importe des données dans la plateforme pour ses propres finalités commerciales, Verst traite, sur instruction documentée du Client, les données de contact, contenus conversationnels, métadonnées associées et données issues d’intégrations activées par ce Client.

Le Client demeure seul responsable de la licéité des données qu’il collecte et injecte dans la plateforme, ainsi que de la détermination des finalités poursuivies à son niveau.

En toute hypothèse, Verst applique un principe de minimisation et s’attache à limiter les données traitées à celles strictement nécessaires aux finalités poursuivies, conformément aux exigences de proportionnalité prévues par le RGPD.

Les données personnelles peuvent être collectées directement auprès des personnes concernées via les formulaires du site, les parcours d’inscription, les demandes de contact, les échanges avec le support et les interactions commerciales. Elles peuvent également être collectées de manière indirecte lors de l’utilisation de la plateforme par les Clients, notamment par la création d’événements techniques, la génération de journaux d’exploitation, ou l’activation d’intégrations tierces telles que formulaires, CRM, API et webhooks.

Certaines informations résultent de rapprochements techniques destinés à garantir la continuité du service, la détection d’anomalies, la prévention des abus, la traçabilité des opérations et l’amélioration de la fiabilité globale de l’infrastructure. Les mécanismes de dépôt de traceurs sur le site sont, le cas échéant, soumis aux règles de consentement décrites à la section dédiée aux cookies et technologies similaires.

Les traitements mis en oeuvre par Verst poursuivent des finalités déterminées, explicites et légitimes, comprenant principalement la fourniture des Services (création et gestion de compte, exécution fonctionnelle, support), la gestion de la relation contractuelle et administrative, l’amélioration continue du produit (analyse d’usage, correction d’incidents, évolution des fonctionnalités), la sécurisation des environnements techniques (prévention de la fraude et des accès non autorisés), ainsi que le respect des obligations légales et réglementaires applicables.

Lorsque Verst agit en qualité de sous-traitant, les traitements réalisés le sont exclusivement dans le cadre des instructions documentées du Client et pour les finalités déterminées par ce dernier en sa qualité de responsable du traitement. Aucun traitement incompatible avec les finalités annoncées n’est mis en oeuvre ; en cas d’évolution substantielle, les informations adéquates sont mises à jour et portées à la connaissance des personnes concernées conformément au cadre légal applicable.

Conformément à l’article 6 du RGPD, les traitements opérés par Verst reposent sur une base légale identifiée selon la nature de l’opération concernée. La fourniture des Services et la gestion des comptes relèvent de l’exécution du contrat ; la prévention des incidents de sécurité, l’amélioration des performances et certaines communications B2B relèvent de l’intérêt légitime de Verst ; certains dépôts de traceurs non essentiels et certains traitements marketing reposent, lorsqu’il est requis, sur le consentement ; enfin, certaines opérations de conservation ou de communication de données répondent à une obligation légale.

Lorsqu’un traitement est fondé sur l’intérêt légitime, Verst procède à une analyse de mise en balance tenant compte de la finalité poursuivie, de la nature des données traitées, des attentes raisonnables des personnes concernées et des garanties mises en place afin de préserver leurs droits et libertés fondamentaux.

Les données personnelles peuvent être rendues accessibles, dans la limite stricte du besoin d’en connaître, aux équipes internes habilitées de Verst ainsi qu’à des prestataires intervenant pour la fourniture de services techniques, la maintenance, l’hébergement, la facturation, l’assistance opérationnelle, ou l’exécution de certaines fonctionnalités complémentaires. Elles peuvent également être communiquées, lorsque cela est nécessaire, à des conseils professionnels (juridiques, fiscaux, comptables), aux autorités compétentes en cas d’obligation légale, ou à des tiers impliqués dans une opération de restructuration, fusion ou cession dans le respect du cadre réglementaire applicable.

Verst n’exploite pas les données personnelles à des fins de revente à des tiers. Les accès internes et externes sont organisés selon des principes de cloisonnement, de contrôle d’habilitation et de traçabilité, afin de limiter l’exposition des données aux seules personnes autorisées.

Pour l’exécution de ses obligations, Verst peut recourir à des sous-traitants et prestataires tiers spécialisés, notamment pour l’infrastructure, les services de communication, les composantes transactionnelles, les fonctions de support ou certaines briques technologiques avancées. Ces prestataires sont sélectionnés au regard de critères de fiabilité, de sécurité et de conformité, et sont soumis à des engagements contractuels adaptés en matière de confidentialité, de protection des données, d’assistance, de limitation d’usage et de restitution ou suppression en fin de relation.

Une information complémentaire sur les catégories de prestataires mobilisées peut être obtenue sur demande à l’adresse contact@verst.io. Les traitements confiés à des tiers demeurent encadrés par les exigences du RGPD et font l’objet d’une revue périodique au regard des risques opérationnels et juridiques identifiés.

Les données personnelles sont conservées pendant des durées proportionnées aux finalités poursuivies et conformes aux exigences légales applicables. A titre de référence, les données de compte Client sont conservées pendant la durée de la relation contractuelle active ; les données de facturation sont conservées selon les obligations comptables en vigueur, notamment sur une durée pouvant aller jusqu’à dix ans en droit français ; les données traitées pour le compte du Client sont conservées selon les stipulations du DPA ; les sauvegardes techniques sont conservées sur des périodes limitées et les journaux d’exploitation sont maintenus pendant la durée nécessaire à la sécurité et au suivi opérationnel.

Les traceurs déposés sur le site sont conservés pour des durées adaptées à leur finalité, dans le respect des recommandations applicables, notamment celles de la CNIL. A l’expiration des durées pertinentes, les données sont supprimées, anonymisées ou archivées de manière sécurisée selon la nature des obligations résiduelles et les contraintes techniques raisonnablement applicables.

Verst met en oeuvre des mesures techniques et organisationnelles appropriées afin de préserver la confidentialité, l’intégrité et la disponibilité des données personnelles. Ces mesures incluent notamment la sécurisation des flux de communication, des mécanismes de contrôle d’accès et de gestion des habilitations, des procédures de journalisation et de surveillance, des pratiques de réduction des privilèges, ainsi qu’une politique interne de sensibilisation des équipes aux enjeux de sécurité et de protection des données.

En cas d’incident affectant des données personnelles, Verst applique une procédure de gestion des violations intégrant qualification de l’événement, mesures de remédiation, documentation interne, analyse d’impact et notification lorsque celle-ci est requise par les textes applicables. Compte tenu de la nature évolutive des risques cyber, aucune mesure de sécurité ne peut garantir une absence absolue de risque ; Verst s’engage néanmoins à maintenir un niveau de protection proportionné à l’état de l’art et au contexte de traitement.

L’infrastructure principale des Services est opérée en région européenne ; toutefois, certaines opérations techniques ou certaines fonctionnalités activées par le Client peuvent impliquer des flux transfrontaliers vers des pays situés hors de l’Espace Economique Européen. Dans ce cas, Verst veille à ce que ces transferts reposent sur un mécanisme de transfert valide au sens du RGPD, notamment des clauses contractuelles types, complétées le cas échéant par des mesures additionnelles appropriées au niveau de risque identifié.

Les mécanismes juridiques et techniques encadrant les transferts internationaux font l’objet d’une réévaluation régulière au regard des évolutions réglementaires, des positions des autorités de contrôle et de la jurisprudence applicable. Toute demande d’information complémentaire peut être adressée à contact@verst.io.

Conformément au RGPD, les personnes concernées disposent d’un droit d’accès, de rectification, d’effacement, de limitation, de portabilité, d’opposition et, lorsque le traitement repose sur le consentement, d’un droit de retrait à tout moment, sans affecter la licéité du traitement antérieur. Ces droits peuvent être exercés en adressant une demande à contact@verst.io.

Verst s’efforce de répondre dans les délais légaux applicables, en principe dans un délai d’un mois, pouvant être prorogé en cas de complexité particulière. Lorsque cela est nécessaire pour protéger les données contre tout accès indu, une vérification raisonnable d’identité peut être demandée préalablement au traitement de la requête. Les personnes concernées disposent en outre du droit d’introduire une réclamation auprès de la CNIL via cnil.fr.

Le site et certains environnements associés peuvent recourir à des cookies et technologies assimilées afin d’assurer le fonctionnement technique des services, de sécuriser les sessions, de conserver certains choix de paramétrage et, le cas échéant, de produire des mesures d’audience ou des statistiques d’utilisation dans le respect du cadre juridique applicable. Selon leur finalité, ces traceurs peuvent relever d’un régime strictement nécessaire ou d’un régime soumis à consentement préalable.

Lorsque le consentement est requis, un mécanisme de gestion des préférences permet d’accepter, de refuser ou de personnaliser le dépôt de traceurs non essentiels. Les préférences peuvent être modifiées à tout moment. Le refus de certains traceurs peut altérer le confort d’usage de certaines fonctionnalités secondaires, sans empêcher l’accès aux fonctionnalités strictement nécessaires au fonctionnement de base du service.

Verst peut proposer des fonctionnalités optionnelles d’intelligence artificielle destinées notamment à assister la rédaction, la reformulation, la synthèse conversationnelle ou la qualification commerciale. Lorsque ces fonctionnalités sont activées par le Client, certaines données de contexte ou de contenu, strictement nécessaires au service demandé, peuvent être transmises à un prestataire tiers d’IA dans un cadre contractuel intégrant des obligations de sécurité et de confidentialité.

Les résultats générés par IA constituent une aide à la décision et ne remplacent pas une validation humaine adaptée au niveau d’enjeu. Il appartient au Client de vérifier l’exactitude, la pertinence et la conformité des contenus générés avant tout usage opérationnel. Verst recommande de ne pas exposer de données sensibles non nécessaires au fonctionnement attendu de la fonctionnalité.

Les Services Verst sont conçus pour un usage professionnel B2B et ne sont pas destinés aux personnes mineures. Si des données concernant un mineur étaient portées à notre connaissance de manière involontaire, des mesures de suppression ou de restriction appropriées seraient mises en oeuvre dans les meilleurs délais. Toute alerte en ce sens peut être transmise à contact@verst.io.

La présente politique peut être modifiée afin de refléter les évolutions juridiques, techniques ou opérationnelles affectant les traitements mis en oeuvre. En cas de modification substantielle, une information appropriée est communiquée par les canaux pertinents, notamment par publication sur cette page et, lorsque requis, par notification directe. La version opposable est celle en vigueur à la date de consultation, sous réserve des dispositions impératives exigeant un niveau d’information ou de consentement spécifique.

Pour toute demande relative à la présente Politique de Confidentialité, à l’exercice de vos droits ou à la protection de vos données personnelles, vous pouvez nous contacter à contact@verst.io. Adresse postale : Verst — 60 rue François 1er, 75008 Paris.