Politique de confidentialité

Conforme au RGPD et à la loi Informatique et Libertés · Dernière mise à jour : 15 mai 2026

runshot est une plateforme email marketing souveraine pour DOM-TOM, propulsée par Mautic 5 self-hosted. Cette politique explique précisément quelles données nous traitons, pourquoi, combien de temps, et comment exercer vos droits.

1. Responsable du traitement

RUNPARK SAS
SIREN 898 047 055 — TVA intracom FR30898047055
Siège social : 317 bis rue Montrouge, 97460 Saint-Paul, La Réunion (974), France
Président : David CESAR
Contact général : contact@runpark.re
Délégué à la protection des données (DPO) : dpo@runpark.re

2. Données collectées et finalités

  • Inscription : courriel, mot de passe (hashé bcrypt), nom de l'organisation. Finalité : créer votre compte runshot. Base légale : exécution du contrat (CGU).
  • Listes de diffusion clients : adresses e-mail des contacts importés par vos soins, segmentation, attributs personnalisés. Finalité : vous permettre d'envoyer vos campagnes. Base légale : exécution du contrat. Vous restez responsable du traitement de vos propres listes ; runshot agit en sous-traitant au sens RGPD vis-à-vis des destinataires de vos campagnes.
  • Statistiques de campagnes : ouvertures, clics, désabonnements, bounces. Finalité : reporting de délivrabilité. Base légale : exécution du contrat.
  • Données de paiement (abonnement Pro/Business) : traitées par Stripe (cf. sous-traitants). Finalité : encaisser le paiement. Base légale : exécution du contrat.
  • Logs techniques : adresse IP, user-agent, timestamps des actions admin. Finalité : sécurité et debugging. Base légale : intérêt légitime + obligation légale (LCEN).
  • Mesure d'audience vitrine (Plausible self-hosted sonar.runpark.re + PostHog EU) : pages vues anonymes. Base légale : intérêt légitime.
  • Monitoring d'erreurs (Sentry) : capture des stack traces côté serveur. Base légale : intérêt légitime.

3. Cookies et traceurs

runshot.re utilise Plausible Analytics self-hosted (sonar.runpark.re), sans cookie ni empreinte navigateur, conforme RGPD sans bandeau de consentement. PostHog est utilisé pour l'analytique produit cross-subdomain (vitrine → app), avec bandeau de consentement à la première visite si applicable.

L'application app.runshot.re utilise un cookie de session technique strictement nécessaire au fonctionnement (art. 82 loi Informatique et Libertés — pas de consentement requis).

4. Sous-traitants

Vos données ne sont jamais vendues. Nous faisons appel à des prestataires sélectionnés pour des services techniques précis. Tous sont liés par un accord de traitement des données (DPA) conforme RGPD :

  • Stripe (Irlande / USA) — paiement abonnement Pro/Business. Garanties : Clauses Contractuelles Types UE + certification PCI-DSS.
  • Amazon SES (Irlande, UE) — relais SMTP pour l'envoi des campagnes. Garanties : DPA AWS + résidence Irlande.
  • Resend (USA) — courriels transactionnels (notifications admin). Garanties : DPA + CCT UE.
  • Sentry (USA) — monitoring d'erreurs. Garanties : DPA + CCT UE.
  • PostHog (Allemagne, UE — instance EU) — analytique produit avec anonymisation IP.
  • RUNPARK SAS / kazup.re (France, Allemagne UE) — hébergement serveur, BDD MariaDB Mautic, mail entrant, DNS.

5. Durée de conservation

  • Compte actif : tant que vous utilisez runshot.
  • Compte inactif (pas de connexion depuis 24 mois) : suppression automatique après notification 30 jours à l'avance.
  • Données de facturation : 10 ans (obligation comptable art. L.123-22 Code de commerce).
  • Statistiques de campagnes : 36 mois (durée standard pour analyse comparative année N-2).
  • Logs techniques (Sentry) : 90 jours puis purge automatique.
  • Données après suppression de compte : effacement sous 30 jours, sauf obligations légales.

6. Vos droits RGPD

Conformément au RGPD, vous disposez des droits suivants :

  • Accès : demander une copie de vos données.
  • Rectification : corriger des données inexactes.
  • Effacement (« droit à l'oubli ») : supprimer votre compte et vos données.
  • Limitation : suspendre le traitement.
  • Portabilité : récupérer vos données dans un format structuré (export CSV des listes).
  • Opposition : refuser un traitement basé sur l'intérêt légitime.
  • Retrait du consentement à tout moment pour les traitements concernés.

Pour exercer ces droits : dpo@runpark.re. Réponse sous 30 jours maximum (1 mois RGPD).

En cas de désaccord, vous pouvez saisir la CNIL : cnil.fr/fr/plaintes

7. Sécurité et localisation des données

Vos données sont hébergées sur des serveurs situés en Union Européenne (France, Allemagne, Irlande pour Amazon SES). Nous appliquons des mesures techniques et organisationnelles raisonnables : chiffrement HTTPS TLS 1.3 partout, mots de passe hashés bcrypt, accès serveur restreint, sauvegardes chiffrées quotidiennes, surveillance des intrusions. Les transferts hors UE (Stripe, Resend, Sentry USA) sont encadrés par les Clauses Contractuelles Types de la Commission Européenne.

8. Modifications de cette politique

Cette politique peut évoluer. Toute modification importante vous sera notifiée par courriel et/ou dans l'app au moins 30 jours avant entrée en vigueur.