Politique de confidentialité
Dernière mise à jour : 14 mai 2026 Date d'entrée en vigueur : 14 mai 2026
Nous prenons la confidentialité au sérieux. Cette politique explique quelles données personnelles nous collectons lorsque vous visitez gomoso.ai, vous inscrivez à l'early-access ou réservez un appel avec nous, pourquoi nous les collectons, à qui nous les partageons, et les droits dont vous disposez sur vos données.
Elle est rédigée pour se conformer au Règlement général sur la protection des données (Règlement (UE) 2016/679, « RGPD »), à la Loi Informatique et Libertés n° 78-17 et à la Directive ePrivacy telle qu'elle est transposée en droit français et européen.
Si quelque chose ici n'est pas clair, écrivez-nous à contact@gomoso.ai et nous reformulerons le passage concerné.
1. Qui nous sommes
MOSO AI (« Moso », « nous », « notre ») est le responsable du traitement des données personnelles décrites dans cette politique.
- Siège social : 173 rue de Courcelles, 75017 Paris, France
- Statut juridique : Société en cours d'immatriculation au Registre du Commerce et des Sociétés de Paris (les numéros SIREN, SIRET et RCS Paris seront ajoutés ici une fois l'immatriculation finalisée)
- Contact pour toute question relative à la confidentialité : contact@gomoso.ai
Nous ne sommes pas actuellement tenus de désigner un Délégué à la protection des données (DPO) au titre de l'article 37 du RGPD, mais l'adresse ci-dessus permet de joindre la personne responsable de la protection des données chez Moso.
2. Champ d'application de cette politique
Cette politique s'applique :
- au site marketing gomoso.ai ;
- au formulaire de liste d'attente early-access présent sur le site ;
- au widget de réservation des fondateurs (Cal.com) intégré au site ;
- à toute correspondance directe que vous avez avec nous (par exemple, les réponses par email à votre inscription).
Elle ne couvre pas encore le produit Moso lui-même, le produit étant en développement privé. Les design partners qui utilisent le produit reçoivent un Accord de traitement de données distinct couvrant les données produit.
3. Ce que nous collectons et pourquoi
3.1 Quand vous rejoignez la liste d'attente early-access
Lorsque vous soumettez le formulaire de liste d'attente, nous collectons :
| Donnée | Source | Finalité | Base légale |
|---|---|---|---|
| Adresse email | Vous | Vous contacter au sujet de l'early-access ; créer votre fiche dans notre CRM | Intérêt légitime (réponse à une demande que vous avez initiée) ; mesures précontractuelles au titre de l'art. 6(1)(b) |
| Nom de l'entreprise (facultatif) | Vous | Évaluer votre adéquation au programme design partner | Intérêt légitime |
| URL de profil LinkedIn (facultatif) | Vous | Vérifier l'identité et comprendre votre rôle | Intérêt légitime |
| Comment vous utilisez l'IA en marketing aujourd'hui (facultatif) | Vous | Adapter Moso à votre cas d'usage lors de la sélection | Intérêt légitime |
| Outils que vous utilisez actuellement (facultatif) | Vous | Idem ci-dessus | Intérêt légitime |
| Adresse IP | Automatique (en-têtes de la requête) | Limiter le débit du formulaire pour prévenir le spam et les abus ; déduire le pays approximatif | Intérêt légitime (sécurité et prévention de la fraude) |
| Pays approximatif | Déduit de l'IP | Comprendre la répartition géographique de l'intérêt | Intérêt légitime |
| Données d'attribution marketing | Automatique (paramètres d'URL et document.referrer) | Comprendre quels canaux apportent des leads qualifiés afin de dépenser le budget marketing de manière responsable | Intérêt légitime |
| Temps passé sur la page avant soumission | Automatique | Détection des bots (nous écartons silencieusement les soumissions inférieures à 1,5 seconde) | Intérêt légitime (sécurité) |
| Emplacement du CTA | Automatique | Comprendre quels appels à l'action performent le mieux | Intérêt légitime |
Les « données d'attribution marketing » mentionnées ci-dessus se limitent à : utm_source, utm_medium, utm_campaign, utm_term, utm_content, gclid, fbclid, li_fat_id, l'URL d'arrivée et l'URL de provenance. Il s'agit de mesure marketing B2B standard et cela n'inclut aucun pixel de tracking inter-sites ni cookie publicitaire.
3.2 Quand vous réservez un appel avec nos fondateurs
Quand vous cliquez sur « Parler aux fondateurs » ou un CTA similaire, le widget de réservation est fourni par Cal.com et s'exécute dans une iframe intégrée. Cal.com collecte ce que vous saisissez pour planifier l'appel (typiquement votre nom, votre email, votre fuseau horaire et toute note ajoutée). Cette soumission est traitée par Cal.com selon sa propre politique de confidentialité, et la donnée de réservation qui en résulte nous est envoyée par email et ajoutée à notre calendrier.
Voir §5 Sous-traitants et tiers pour la liste complète des prestataires impliqués.
3.3 Quand vous nous écrivez
Si vous écrivez à contact@gomoso.ai (ou à toute autre adresse Moso), nous recevons votre adresse email, le contenu de votre message et toute pièce jointe. Nous conservons cette correspondance pour pouvoir y donner suite et garder une trace des échanges.
3.4 Mesure d'audience (PostHog, sans cookie)
Nous utilisons PostHog (hébergement UE, eu.posthog.com) comme outil de mesure d'audience strictement limité, pour comprendre comment le site marketing est utilisé. Notre déploiement PostHog est configuré pour entrer dans l'exemption de consentement préalable de la CNIL au titre de la « mesure d'audience » (Délibération n° 2020-091, telle que mise à jour) :
| Ce que nous mesurons | Ce que nous ne mesurons pas |
|---|---|
| Pages consultées et ordre de consultation | Navigation inter-sites sur d'autres sites web |
| Clics sur les principaux appels à l'action (par ex. « Rejoindre la liste d'attente », « Parler aux fondateurs ») | Enregistrement de session ou capture d'écran |
| Pays approximatif et type de navigateur / d'appareil, déduits d'une adresse IP tronquée | Heatmaps, suivi de la souris ou enregistrement des frappes |
| Funnels agrégés (par ex. combien de visiteurs ayant vu le hero ont ensuite soumis la liste d'attente) | Identifiants persistants entre visites — votre visite est anonyme et se termine quand vous fermez l'onglet |
Pour entrer dans l'exemption, notre configuration PostHog :
- utilise l'hébergement UE afin que les événements restent à Francfort ;
- fonctionne en mode mémoire seule — pas de cookie, pas de
localStorage, pas d'IndexedDB. Aucun identifiant persistant n'est posé sur votre appareil ; vous apparaissez comme un visiteur nouveau et anonyme à chaque visite ; - a l'enregistrement de session, les heatmaps, les sondages et l'autocapture désactivés ;
- tronque les adresses IP avant qu'elles ne soient écrites en stockage ;
- respecte le signal « Do Not Track » de votre navigateur lorsqu'il est envoyé.
Comme aucune donnée personnelle n'est stockée sur votre appareil et que les données collectées sont des statistiques d'audience agrégées, ce traitement entre dans l'exemption CNIL de consentement préalable et nous n'affichons pas de bandeau cookies pour cela. La base légale au titre de l'article 6 du RGPD est notre intérêt légitime à comprendre la performance de notre site marketing (art. 6(1)(f)). Vous pouvez vous opposer à ce traitement à tout moment en écrivant à contact@gomoso.ai, et nous exclurons vos visites par la suite.
Nous ne lançons pas de pixels publicitaires (pas de Meta Pixel, pas de LinkedIn Insight Tag, pas de tracking de conversion Google Ads) et nous **n'**utilisons pas Google Tag Manager. Si nous en ajoutons — ou modifions PostHog en dehors de sa configuration sans cookie — cette politique sera mise à jour avant le déploiement, et un bandeau de consentement cookies conforme aux exigences de la CNIL sera déployé en même temps.
4. Combien de temps nous conservons vos données
| Donnée | Durée de conservation |
|---|---|
| Fiche liste d'attente (email + enrichissement facultatif + attribution) dans notre CRM | Jusqu'à ce que vous nous demandiez de la supprimer, que vous nous indiquiez ne plus être intéressé, ou trois ans s'écoulent sans contact entre nous — le délai le plus court s'applique |
| Pays approximatif et données dérivées de l'IP stockées sur la fiche CRM | Identique à la fiche liste d'attente |
| Données de limitation de débit (IP / email haché dans Redis) | Maximum 1 heure, puis expiration automatique |
| Correspondance email | Jusqu'à trois ans après la dernière réponse, puis suppression sauf si toujours pertinente pour une conversation active |
| Données de réservation Cal.com | Conservées par Cal.com selon sa politique de rétention, plus l'invitation calendaire dans notre calendrier jusqu'à 12 mois après la tenue du rendez-vous |
Lorsque la durée de conservation expire, nous supprimons la donnée ou l'anonymisons de sorte qu'elle ne puisse plus être rattachée à vous.
5. Sous-traitants et tiers
Nous partageons des données personnelles uniquement avec les prestataires ci-dessous, et seulement dans la mesure nécessaire à la finalité indiquée.
| Prestataire | Ce qu'il traite | Où il traite | Pourquoi |
|---|---|---|---|
| Vercel Inc. | L'ensemble du trafic du site, adresses IP, en-têtes de requête ; héberge le site et les edge functions | Régions UE (Francfort, fra1) configurées pour la production ; certaines métadonnées edge sont traitées globalement sur le réseau edge de Vercel | Hébergement et diffusion de contenu |
| Attio Ltd. | Soumissions liste d'attente : email, champs d'enrichissement facultatifs, données d'attribution, pays | Régions UK et UE selon la configuration actuelle d'Attio ; les transferts hors EEE sont couverts par les Clauses contractuelles types d'Attio | CRM pour le programme early-access |
| Upstash, Inc. | Adresses IP et adresses email hachées utilisées comme clés de limitation de débit | Région UE (Francfort) | Limitation de débit éphémère ; les données expirent automatiquement en moins d'une heure |
| Cal.com, Inc. | Ce que vous soumettez via le widget de réservation : nom, email, fuseau horaire, notes | UE et US (couverts par les Clauses contractuelles types de Cal.com) | Réservation d'appels avec les fondateurs |
| PostHog Inc. (hébergement UE) | Événements de mesure d'audience agrégés et sans cookie tels que décrits en §3.4 (pas d'identifiant persistant, IP tronquée, pas d'enregistrement de session) | Région UE (Francfort) — eu.posthog.com | Mesure d'audience dans le cadre de l'exemption CNIL |
| Google Ireland Limited (Google Workspace) | Correspondance email avec nous, y compris le contenu de tout message envoyé vers ou depuis nos adresses Moso | UE (données primaires hébergées dans des régions UE conformément au paramètre Data Regions de Google Workspace) et US (couverts par les Clauses contractuelles types UE et la certification de Google au titre du EU–US Data Privacy Framework) | Envoi et réception d'emails |
Nous mettons en place des Accords de traitement de données (DPAs) avec chacun des prestataires ci-dessus avant la première soumission réelle de la liste d'attente. À mesure que les DPAs sont signés, ils sont conservés en dossier et peuvent être demandés en écrivant à contact@gomoso.ai.
Nous ne vendons pas vos données personnelles, et nous ne les partageons pas avec quiconque en dehors de cette liste sauf lorsque la loi nous y oblige (par exemple, sur réquisition d'un tribunal ou d'un régulateur).
6. Transferts internationaux de données
La majorité de vos données personnelles reste dans l'EEE. Lorsqu'elles sont transférées hors EEE — le plus souvent vers les États-Unis, où certains de nos sous-traitants ont leur siège — nous nous appuyons sur :
- les Clauses contractuelles types de l'UE (Décision d'exécution (UE) 2021/914 de la Commission, Module 2) dans nos accords avec chaque sous-traitant concerné ; et / ou
- le EU–US Data Privacy Framework lorsque le destinataire y est certifié.
Lorsque des garanties supplémentaires sont appropriées (par exemple, le chiffrement en transit et au repos), elles sont exigées dans nos accords avec les sous-traitants.
Vous pouvez demander une copie des garanties en place pour un transfert spécifique en écrivant à contact@gomoso.ai.
7. Cookies et technologies similaires
Le site marketing Moso ne pose aucun cookie de première partie à des fins d'analyse ou de publicité, et nous n'affichons pas de bandeau cookies parce qu'aucun des stockages que nous utilisons ne requiert de consentement au titre de l'article 82 de la Loi Informatique et Libertés.
Les fonctions de stockage navigateur que nous utilisons sont listées ci-dessous.
7.1 Strictement nécessaires
Elles sont nécessaires à la fourniture d'un service que vous avez explicitement demandé et sont exemptes de l'exigence de consentement selon les lignes directrices de la CNIL.
| Mécanisme | Ce qu'il stocke | Pourquoi | Durée |
|---|---|---|---|
sessionStorage (moso_attribution) | Vos paramètres UTM de premier contact, le referrer, la page d'arrivée et l'horodatage de début de session | Pour que si vous soumettez la liste d'attente plus tard dans votre visite, nous sachions d'où vous venez | Effacé automatiquement à la fermeture de l'onglet |
localStorage (préférence de thème) | Votre choix de thème clair / sombre | Mémorise votre préférence visuelle entre les visites | Jusqu'à effacement du stockage du navigateur |
7.2 Mesure d'audience (sans stockage)
L'outil de mesure d'audience PostHog décrit en §3.4 fonctionne en mode mémoire seule. Il ne pose aucun cookie et n'écrit ni dans localStorage, ni dans sessionStorage, ni dans IndexedDB. Comme aucune information n'est stockée sur, ou lue depuis, votre appareil, cela sort du champ de l'article 82 et aucun consentement n'est requis.
7.3 Widgets tiers que vous chargez activement
| Mécanisme | Posé par | Quand il se charge | Durée |
|---|---|---|---|
| Cookies du widget de réservation Cal.com | Cal.com | Uniquement lorsque vous cliquez sur « Parler aux fondateurs » et que le widget s'ouvre | Selon la politique cookies de Cal.com |
Si nous introduisons un jour des cookies d'analyse ou de publicité — ou modifions PostHog en dehors de sa configuration mémoire seule — nous déploierons un bandeau de consentement entièrement conforme avec un bouton « Tout refuser » d'égale visibilité avec « Tout accepter », et cette politique sera mise à jour au préalable.
8. Vos droits
Au titre du RGPD et de la Loi Informatique et Libertés, vous avez le droit :
- d'être informé(e) de la manière dont nous utilisons vos données (articles 13–14 du RGPD — la présente politique) ;
- d'accéder aux données personnelles que nous détenons sur vous (article 15) ;
- de faire rectifier des données inexactes ou incomplètes (article 16) ;
- à l'effacement de vos données (« droit à l'oubli ») lorsque l'un des motifs de l'article 17 s'applique ;
- à la limitation du traitement de vos données dans certaines circonstances (article 18) ;
- à la portabilité de vos données — recevoir une copie dans un format structuré, couramment utilisé et lisible par machine (article 20) ;
- de vous opposer à un traitement fondé sur l'intérêt légitime, y compris au profilage (article 21) ;
- de retirer votre consentement à tout moment lorsque le consentement est la base légale (ce n'est le cas pour aucun des traitements ci-dessus, mais lorsqu'il l'est, le retrait est aussi simple que la donnée du consentement — article 7(3)) ;
- de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou similairement significatifs sur vous (article 22). Nous ne prenons actuellement aucune décision de ce type ;
- de définir des directives relatives à la conservation, à l'effacement et à la communication de vos données personnelles après votre décès (article 85 de la Loi Informatique et Libertés) ;
- d'introduire une réclamation auprès d'une autorité de contrôle — voir §14 ci-dessous.
Pour exercer l'un de ces droits, écrivez à contact@gomoso.ai. Nous répondrons dans un délai d'un mois calendaire à compter de la réception de la demande, conformément à l'article 12(3) du RGPD.
Nous ne vous facturerons pas de frais pour exercer vos droits, sauf si votre demande est manifestement infondée ou excessive (par exemple, des demandes répétées et identiques), auquel cas nous pourrions facturer des frais administratifs raisonnables ou refuser la demande en motivant ce refus.
9. Décision automatisée et profilage
Nous ne prenons actuellement aucune décision vous concernant qui soit fondée exclusivement sur un traitement automatisé et qui produirait des effets juridiques ou vous affecterait de manière similairement significative.
La logique de détection des bots sur le formulaire de liste d'attente (qui écarte silencieusement les soumissions inférieures à 1,5 seconde et les soumissions remplissant le champ honeypot caché) est une mesure de sécurité et n'affecte aucune décision concernant votre accès au programme Moso.
Lorsque le produit Moso sera lancé, toute fonctionnalité d'IA qui orienterait de manière significative des décisions vous concernant (par exemple, le scoring de leads à l'intérieur du produit) sera divulguée et configurable par le client qui contrôle l'espace de travail concerné, conformément aux obligations de transparence du Règlement européen sur l'IA pour les systèmes d'IA à risque limité.
10. Sécurité
Nous protégeons vos données personnelles par des mesures techniques et organisationnelles raisonnables et proportionnées, notamment :
- HTTPS (TLS 1.2+) sur chaque endpoint ;
- Chiffrement au repos pour toute donnée stockée par nos sous-traitants ;
- Accès au moindre privilège aux systèmes, l'accès admin étant limité au plus petit groupe pratique ;
- Limitation de débit côté serveur sur l'endpoint liste d'attente pour prévenir l'énumération et les abus ;
- Gestion des secrets — les clés API (Attio, Upstash) sont des variables d'environnement côté serveur uniquement, et ne sont jamais exposées au navigateur ;
- Due diligence fournisseur avant l'ajout de tout nouveau sous-traitant, avec un DPA signé en place avant tout partage de données personnelles.
Aucun système n'est parfaitement sécurisé. Si vous découvrez une vulnérabilité, écrivez à contact@gomoso.ai avant toute divulgation publique et nous y répondrons rapidement.
11. Mineurs
Le produit et la liste d'attente Moso s'adressent à des opérateurs marketing B2B agissant dans un cadre professionnel. Le site n'est pas destiné aux mineurs, et nous ne collectons pas sciemment de données personnelles auprès d'enfants âgés de moins de 15 ans (l'âge de la majorité numérique fixé par l'article 7-1 de la Loi Informatique et Libertés). Si vous pensez que nous avons collecté des données auprès d'un enfant, écrivez à contact@gomoso.ai et nous les supprimerons.
12. Modifications de cette politique
Nous pouvons mettre à jour cette politique de temps à autre — par exemple, lorsque nous ajoutons un nouveau sous-traitant, modifions des durées de conservation ou lançons le produit Moso à un public plus large.
Lorsque nous apportons une modification matérielle, nous :
- mettons à jour la date de « Dernière mise à jour » en haut de cette page ;
- si vous êtes sur la liste d'attente, nous vous envoyons un email résumant les changements avant l'entrée en vigueur de la nouvelle version.
Nous conservons les versions précédentes en dossier et les communiquons sur demande.
13. Politique relative aux données utilisateur des services API Google
Cette section s'applique au produit Moso (actuellement en bêta privée) lorsqu'un utilisateur autorise Moso à accéder aux données de son compte Google. Le site marketing Moso lui-même n'utilise pas les API Google.
L'utilisation et le transfert par Moso des informations reçues des API Google vers toute autre application sont conformes à la Politique relative aux données utilisateur des services API Google, y compris aux exigences d'utilisation limitée (Limited Use).
Plus précisément :
- Nous utilisons le contenu Google Drive de nos clients uniquement pour fournir les fonctionnalités destinées aux utilisateurs de Moso — indexation pour la recherche ancrée IA, références et citations dans les contenus marketing. Nous n'utilisons pas les données Google de nos clients à des fins publicitaires, ne les vendons pas, et n'autorisons aucun humain à les lire, sauf (a) avec l'autorisation explicite de l'utilisateur, (b) à des fins de sécurité, ou (c) pour nous conformer à la loi applicable.
- Nous n'utilisons pas les données de nos clients (y compris les données Google) pour entraîner ou améliorer des modèles d'IA ou de machine learning généralisés. Les données des clients sont utilisées uniquement au sein de l'espace de travail demandeur et uniquement pour alimenter les fonctionnalités Moso de cet espace de travail.
- Les données des clients sont chiffrées au repos par nos prestataires d'infrastructure (Supabase, Pipedream, Vercel).
- Lorsqu'un utilisateur déconnecte une intégration dans Moso, toutes les données synchronisées via cette intégration — y compris le contenu brut, les embeddings et les métadonnées — sont supprimées des bases de données Moso. Lorsqu'un utilisateur supprime son compte Moso, toutes les données d'espace de travail associées sont supprimées dans un délai de 30 jours.
14. Réclamations
Si vous n'êtes pas satisfait(e) de la manière dont nous traitons vos données personnelles, dites-le-nous d'abord à contact@gomoso.ai afin que nous puissions tenter de résoudre la situation directement.
Si vous restez insatisfait(e), vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle. MOSO AI étant établie en France, notre autorité de contrôle chef de file est :
Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy, TSA 80715 75334 PARIS CEDEX 07, France Téléphone : +33 (0)1 53 73 22 22 Site web : www.cnil.fr
Les résidents de l'EEE peuvent également introduire une réclamation auprès de l'autorité de protection des données de leur pays de résidence ou de leur lieu de travail, au titre de l'article 77 du RGPD.