Politique de Confidentialité

1. Responsable du traitement

Le responsable est Foundster Corporate Services FZCO, IFZA Business Park – DDP, Building A1, Dubai Silicon Oasis, Émirats Arabes Unis. Licence n° 41494 délivrée par la Dubai Integrated Economic Zones Authority (DIEZ). Contact : support@foundster.com.

2. Catégories de données traitées

• Identification et contact : nom, e-mail, téléphone, nationalité, pays de résidence.
• Onboarding et KYC : passeport, Emirates ID, justificatif de domicile, échantillons de signature, bénéficiaires effectifs — obligatoire selon les règles AML/KYC des EAU.
• Compte et usage : identifiants (hachés), métadonnées de l'appareil/navigateur, IP, pages visitées, actions dans le CompanyCockpit.
• Données de paiement : traitées par Stripe ; Foundster ne stocke pas les numéros complets de carte.
• Données affiliés/tracking : identifiants de clic, cookies d'attribution, événements de conversion.
• Contenu volontaire : échanges avec Foundster AI, e-mails support, formulaires de contact.

3. Finalités et bases juridiques

• Fournir les Services — exécution du contrat.
• Respect des obligations légales (AML/CFT EAU, fiscal, registre) — obligation légale.
• Améliorer la plateforme, prévenir la fraude, maintenir la sécurité — intérêt légitime.
• Communications transactionnelles et (avec consentement) marketing — consentement.
• Programme d'affiliation — exécution du contrat et intérêt légitime à une attribution équitable.

3a. Outil Tax Check (foundster.com/tax-check)

Le Tax Check est un outil gratuit et anonyme qui produit une pré-analyse personnalisée de relocalisation fiscale aux EAU. Le flux de données diffère du reste des Services :

• Réponses du formulaire : traitées en mémoire pour exécuter le moteur de règles et le narrateur IA. Non conservées en base. Base juridique : art. 6(1)(b) RGPD / PDPL art. 5(2) — exécution du service demandé.
• Notes de contexte facultatives : filtrées contre l'injection de prompt, envoyées à Google Gemini AI (Belgique/UE) pendant la génération du rapport, puis détruites.
• Rapport généré : stocké sous un jeton signé HMAC pendant 30 minutes maximum jusqu'à ce que vous le déverrouilliez par e-mail. Supprimé dans les 60 minutes suivant le déverrouillage ou l'expiration.
• E-mail et nom (uniquement après soumission explicite du formulaire) : stockés pour livrer le rapport et — si vous avez coché l'option marketing — pour des mises à jour occasionnelles. Base juridique : consentement.
• Hash anonyme d'IP : hash SHA-256 conservé 24h en mémoire pour la limitation (max 3 vérifications par IP/jour). L'IP brute n'est jamais stockée.
• Suivi marketing : uniquement avec consentement. Maximum trois e-mails de suivi. Désinscription en un clic.
• Droit à l'effacement : écrivez à support@foundster.com — nous supprimons votre Tax Check Lead sous 30 jours.

4. Cookies, stockage local et tracking

Nous utilisons des cookies strictement nécessaires pour l'authentification, la langue, l'attribution partenaire et la session de l'assistant de commande. Ils sont exemptés du consentement (considérant 30 RGPD / art. 5(3) seconde phrase Directive ePrivacy) car le site ne peut fonctionner sans eux.

Avec votre consentement explicite, nous chargeons également Google Analytics 4 (exploité par Google Ireland Ltd. comme co-responsable / Google LLC) pour comprendre l'utilisation agrégée de foundster.com. Nous exploitons Analytics en Google Consent Mode v2 avec l'état par défaut `denied` — aucune requête Analytics ne quitte votre navigateur tant que vous ne cliquez pas sur « Accepter » dans la bannière. L'IP est anonymisée (`anonymize_ip`), Google Signals et la personnalisation publicitaire sont désactivés. Base légale : votre consentement (art. 6(1)(a) RGPD / art. 4(1) PDPL). Vous pouvez retirer votre consentement à tout moment via Paramètres des cookies dans le pied de page ou en effaçant les cookies de votre navigateur.

• `foundster_consent_v2` (essentiel, défini par nous) — mémorise votre choix (`granted` / `denied`) ; 12 mois.
• `_ga` (analytique, uniquement après consentement) — distingue les utilisateurs pour Google Analytics ; 24 mois.
• `_ga_<container-id>` (analytique, uniquement après consentement) — état de session Google Analytics ; 24 mois.
• Stockage local — langue, attribution partenaire (365 jours), brouillon de commande. Aucun tiers ne lit ce stockage.

5. Destinataires et sous-traitants

• Stripe — traitement des paiements (Irlande/États-Unis).
• Google Cloud / Google AI (Gemini API) — assistant IA, narrateur Tax Check et infrastructure (Belgique/États-Unis).
• Google Ireland Ltd. / Google LLC — Google Analytics 4 (Irlande/États-Unis), uniquement après votre consentement à l'analytique.
• Mailgun (Sinch) — livraison d'e-mails transactionnels (Irlande/États-Unis) pour les rapports Tax Check et confirmations de commande.
• Replit, Inc. — hébergement (États-Unis).
• Outils de support sous contrats de sous-traitance.
• Nous ne vendons pas vos données personnelles.

6. Transferts internationaux de données

Les données peuvent être traitées hors des EAU (notamment UE/États-Unis). Pour les transferts, nous nous appuyons sur les Clauses Contractuelles Types, les décisions d'adéquation ou — selon l'article 22 PDPL — des garanties équivalentes. Copie disponible sur demande.

7. Conservation

Les données sont conservées uniquement le temps nécessaire aux finalités indiquées et au respect des durées légales EAU (généralement jusqu'à 5 ans après la fin de la relation commerciale).

8. Vos droits

Selon le PDPL et (si applicable) le RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition, de retrait du consentement et de portabilité. Vous pouvez introduire une réclamation auprès de l'UAE Data Office ou de votre autorité locale. Écrivez à support@foundster.com.

9. Sécurité

Nous appliquons des mesures techniques et organisationnelles adaptées : TLS 1.3 en transit, AES-256 au repos, accès par rôle, journalisation d'audit, principe du moindre privilège.

10. Modifications de cette politique

Nous mettons à jour cette politique en cas de changement de pratique. Les modifications substantielles sont communiquées par e-mail ou notification in-app.