VoxPitch est exploité par Lorenzo Simanic, en tant qu'indépendant en Suisse. Coordonnées dans les Mentions légales.

Selon l'activité de traitement, VoxPitch agit soit comme responsable du traitement, soit comme sous-traitant. Nous sommes responsables du traitement pour la gestion de compte, la facturation, la sécurité, la journalisation, la prévention des abus, les listes de suppression et les analyses de service. Pour les données de prospects, les messages générés et les actions de livraison effectuées sur instruction d'un client, nous agissons en tant que sous-traitant.

Le client qui importe une liste de prospects, choisit les destinataires, configure une campagne et connecte son compte WhatsApp reste responsable du traitement pour cette campagne. VoxPitch traite ces données selon ses instructions.

Nous traitons les données de compte pour créer et gérer ton compte, t'authentifier, fournir le service et communiquer avec toi. Base légale : exécution du contrat et intérêt légitime à exploiter un service sécurisé.

Nous traitons les données de facturation pour gérer les abonnements, paiements, factures, obligations fiscales et obligations comptables. Base légale : exécution du contrat et obligation légale.

Nous traitons les journaux de sécurité, adresses IP, horodatages et signaux d'abus pour protéger le service, prévenir les usages illicites, enquêter sur les incidents et faire respecter nos conditions. Base légale : intérêt légitime et, le cas échéant, obligation légale.

Nous traitons les données de prospects, messages générés, audios générés et actions de livraison en tant que sous-traitant, sur instruction du client. Le client détermine la base légale permettant de contacter les destinataires.

Nous traitons les données de liste de suppression afin d'éviter de recontacter des personnes qui s'y sont opposées ou qui ont demandé à ne plus être contactées via VoxPitch. Base légale : intérêt légitime à respecter les oppositions et à prévenir les abus, et, le cas échéant, obligation légale.

Nous traitons les données d'usage et d'analyse produit pour comprendre, sécuriser et améliorer le service. Base légale : intérêt légitime, sauf lorsqu'un consentement est requis par la loi applicable.

Pour faire fonctionner le service, nous stockons :

• Compte : email, mot de passe (haché avec bcrypt), langue, fuseau horaire.
• Voix de référence : l'échantillon audio que tu téléverses pour cloner ta voix.
• Voix clonée : un identifiant chez le prestataire de synthèse vocale (le modèle est stocké chez le prestataire, pas sur notre infrastructure).
• Messages générés : texte écrit par notre moteur IA, audio synthétisé, statuts d'envoi WhatsApp.
• Liste de prospects : nom, téléphone, ville, site web, compte Instagram, données publiques collectées ou extraites lorsque le client demande un enrichissement.
• Identifiants WhatsApp : identifiants de session nécessaires à la livraison via le compte WhatsApp lié par le client.
• Facturation : ID client Stripe, ID d'abonnement, plan, crédits restants. Aucune donnée de carte bancaire ne touche jamais nos serveurs.
• Usage : crédits consommés, envois quotidiens, erreurs via Sentry, et événements produit via PostHog. Ces données sont configurées pour minimiser les données personnelles et ne sont pas utilisées à des fins publicitaires.
• Liste de suppression : numéro de téléphone ou autre identifiant minimal nécessaire pour empêcher de nouveaux envois vers une personne qui s'est opposée à être contactée via VoxPitch.

Les données de compte viennent directement de toi lorsque tu crées ou utilises ton compte.

Les données de prospects viennent du client qui importe ou fournit la liste, de sources publiques professionnelles comme un site web, un profil public ou un annuaire public, ou d'un enrichissement demandé par le client.

Les statuts de livraison et informations techniques peuvent venir de WhatsApp, Meta, nos journaux serveur ou nos prestataires techniques.

Les données de facturation viennent de toi, de Stripe ou des événements liés à ton abonnement.

Les échantillons vocaux, voix clonées et messages audio générés sont des données personnelles lorsqu'ils se rapportent à une personne identifiable.

VoxPitch n'utilise pas les voix pour identifier ou authentifier une personne. Si tu téléverses la voix d'une autre personne, tu es responsable d'avoir une base légale valable et un consentement écrit explicite couvrant le clonage de la voix, l'hébergement, la synthèse, les usages prévus, la suppression et le retrait du consentement.

Nous pouvons supprimer un modèle vocal, bloquer des générations ou suspendre un compte si le consentement requis ne peut pas être vérifié ou si nous soupçonnons une usurpation, un abus ou un risque pour une personne.

L'infrastructure principale est hébergée sur un VPS Hetzner à Nuremberg, Allemagne (UE). L'hébergeur est certifié ISO 27001. Les données traitées dans l'Union européenne bénéficient d'un niveau de protection reconnu comme adéquat pour les transferts depuis la Suisse.

L'accès au serveur est restreint à une authentification par clé SSH. La base de données n'est pas exposée à l'internet public.

Les comptes Teams peuvent bénéficier d'une infrastructure dédiée avec choix de la région de données : écris-nous à hello@voxpit.ch pour les détails.

En transit : TLS 1.2 ou plus pour toutes les communications.

Au repos, artefacts sensibles : ta voix de référence, tes messages audio générés et tes identifiants de session WhatsApp sont chiffrés en AES-256-GCM. La clé de chiffrement vit uniquement dans la configuration d'environnement (jamais sur disque, jamais dans les sauvegardes).

Les autres données applicatives (compte, texte des messages, listes de prospects, identifiants Stripe) sont stockées sur le même serveur durci, sous contrôles d'accès au niveau du système d'exploitation. Elles ne sont pas chiffrées au niveau des champs ; la protection vient du périmètre, du contrôle d'accès et de la séparation logique par compte.

Concrètement : un attaquant qui volerait une sauvegarde ou une image disque obtiendrait des octets illisibles pour les artefacts chiffrés. Les lignes de base de données non chiffrées au niveau des champs pourraient rester lisibles, raison pour laquelle nous restreignons strictement l'accès au serveur.

Pour faire fonctionner le service, des données transitent par les prestataires suivants. Aucun n'a accès à ton compte VoxPitch dans son ensemble.

• Anthropic PBC (États-Unis) : génération de texte par IA.
• Prestataires de synthèse vocale (États-Unis et UE selon le plan) : clonage de voix, hébergement du modèle vocal et synthèse audio. La liste nominative du prestataire utilisé pour ton plan est disponible sur demande.
• Stripe Payments Europe Ltd (Irlande) : paiements, facturation et gestion d'abonnement.
• Resend Inc. (États-Unis) : emails transactionnels.
• Functional Software Inc. dba Sentry (région UE pour les données VoxPitch) : monitoring d'erreurs.
• PostHog Inc. (région UE) : analytique produit configurée pour minimiser les données personnelles.
• Hetzner Online GmbH (Allemagne) : hébergement.
• Meta Platforms Ireland Ltd / WhatsApp LLC (Irlande, États-Unis) : livraison des messages via WhatsApp.

Pour la liste nominative complète et à jour de nos sous-traitants, notamment l'identité du prestataire de synthèse vocale utilisé pour ton niveau, écris à hello@voxpit.ch. Nous répondons dans un délai maximal de 30 jours.

Lorsque la loi applicable l'exige, les changements de sous-traitants sont gérés conformément à l'Accord de traitement des données (DPA) conclu avec le client.

Quand tu clones une voix, le modèle est créé et stocké chez notre prestataire de synthèse vocale pour ton niveau. Nous ne gardons qu'un identifiant pour appeler ce modèle.

Quand tu supprimes une voix dans VoxPitch, nous appelons l'API du prestataire pour supprimer le modèle de son côté. Si l'appel échoue, nous réessayons. Tu peux nous écrire à hello@voxpit.ch pour confirmer la suppression.

Tes données sont séparées par compte. Toutes les routes API filtrent par identifiant utilisateur : un utilisateur ne peut techniquement pas voir les données d'un autre.

Un rôle opérateur existe pour le support et la maintenance. Dans l'interface d'administration, il donne accès aux agrégats de facturation (email, plan, crédits utilisés, coûts) et à des compteurs d'activité (nombre d'envois, taux de réponse). Il n'expose pas le contenu de tes messages, tes voix de référence, ni tes identifiants de session WhatsApp.

Une intervention de maintenance directe sur la base de données ou le système de fichiers reste possible, mais elle est strictement limitée aux opérations indispensables (incident technique, sécurité, abus, demande légale) et journalisée.

Pendant la durée de ton abonnement actif, nous conservons tes données pour exploiter le service.

Données de compte, listes de prospects, messages générés, audios générés et identifiants WhatsApp : conservés tant qu'ils sont nécessaires au service ou tant que tu les gardes dans ton compte, puis supprimés dans les 30 jours suivant la suppression du compte ou la demande d'effacement, sauf obligation légale contraire.

Voix clonées : supprimées de VoxPitch et du prestataire de synthèse vocale dans les 30 jours suivant la suppression de la voix ou du compte, sous réserve des délais techniques du prestataire et des retries en cas d'échec d'API.

Journaux de sécurité et d'abus : conservés jusqu'à 12 mois, sauf s'ils sont nécessaires plus longtemps pour enquêter sur un abus, une fraude, un incident de sécurité, une réclamation ou une obligation légale.

Liste de suppression : conservée aussi longtemps que nécessaire pour empêcher de nouveaux contacts via VoxPitch, sauf si la personne demande sa suppression et que cette suppression est légalement et techniquement appropriée.

Les sauvegardes serveur contenant tes données sont cyclées sous 7 jours supplémentaires après suppression des données principales.

Les enregistrements de facturation Stripe sont conservés 10 ans, conformément à l'obligation comptable suisse (art. 958f CO).

En cas de violation de données affectant tes informations personnelles, nous appliquons le régime de notification pertinent : au titre de la LPD suisse (art. 24), nous notifions le Préposé fédéral à la protection des données (PFPDT) dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour tes droits de la personnalité ou tes droits fondamentaux. Au titre du RGPD (art. 33), nous notifions l'autorité de contrôle compétente de l'UE dans un délai de 72 heures après en avoir pris connaissance, sauf si la violation n'est pas susceptible de présenter un risque pour tes droits. Dans les deux cas, nous t'informons sans délai indu si la violation est susceptible d'engendrer un risque élevé pour tes droits.

Lorsque des données sont transférées vers des prestataires situés hors de Suisse ou de l'Espace économique européen, nous nous appuyons sur une décision d'adéquation lorsqu'elle existe, ou sur les Clauses contractuelles types adoptées par la Commission européenne en 2021 (décision 2021/914) et, lorsque nécessaire, sur une évaluation du risque de transfert et des mesures techniques ou organisationnelles supplémentaires.

Les mesures techniques décrites plus haut, notamment le chiffrement en transit et le chiffrement au repos des artefacts sensibles, font partie de ces garanties.

Le service peut utiliser une personnalisation automatisée pour rédiger le texte des messages à partir des données publiques des prospects, sur instruction du client. Le client configure et autorise les envois ; VoxPitch ne décide pas des destinataires, ne détermine pas la base légale du client et ne prend pas de décision exclusivement automatisée concernant les destinataires qui produirait des effets juridiques ou des effets significatifs similaires au sens de l'article 22 du RGPD.

Lorsque VoxPitch traite des données personnelles pour le compte d'un client en tant que sous-traitant, VoxPitch et le client concluent un Accord de traitement des données (DPA) lorsque le RGPD ou une autre loi applicable l'exige.

Notre Accord de traitement des données standard est disponible sur demande à hello@voxpit.ch.

VoxPitch est établi en Suisse. Nous évaluons périodiquement si la désignation d'un représentant dans l'Union européenne est requise en vertu de l'article 27 du RGPD. Si cette désignation devient nécessaire, nous mettrons cette section à jour avec ses coordonnées. À ce stade, les demandes relatives aux données peuvent être envoyées directement à hello@voxpit.ch.

VoxPitch est l'infrastructure que nos clients utilisent pour envoyer des messages vocaux. Si tu as reçu un tel message sans t'y attendre, voici ce que tu dois savoir.

Le client qui a envoyé le message est le responsable du traitement de tes données personnelles pour cette campagne : il t'a choisi comme destinataire et a fourni, ou fait fournir, les données de contact utilisées (généralement nom, numéro de téléphone, site web professionnel et compte Instagram). VoxPitch traite ces données sur instruction du client pour générer et livrer l'audio, y compris en extrayant des données publiques de ton site web, de ton profil public, de ton Instagram ou d'autres sources publiques lorsque le client demande cet enrichissement. La base légale du client, typiquement une relation préalable spécifique, un opt-in ou une règle propre à ta juridiction, relève de sa responsabilité.

Pour exercer tes droits (accès, rectification, opposition, effacement), demande d'abord directement à l'expéditeur. Si tu ne peux pas le joindre ou si tu ignores qui il est, écris à hello@voxpit.ch : nous transmettrons ta demande au client et, si nécessaire, bloquerons tout envoi ultérieur vers ton numéro. Nous maintenons une liste de suppression afin qu'un destinataire bloqué ne soit plus contacté via VoxPitch, quel que soit le client qui l'importerait à l'avenir.

Nous conservons tes données tant que le client te garde dans sa liste de prospects, sous réserve des durées de conservation indiquées plus haut. Une demande d'effacement déclenche la suppression des enregistrements associés, sauf si nous devons conserver un identifiant minimal dans la liste de suppression pour empêcher de nouveaux contacts.

Tu as le droit de :

• Accéder à tes données (export complet sur demande).
• Faire rectifier des données inexactes.
• Faire effacer ton compte et les données associées, sous réserve des obligations légales de conservation.
• T'opposer à l'usage de tes données lorsque le traitement est fondé sur notre intérêt légitime, notamment pour les analyses produit.
• Demander la limitation du traitement lorsque la loi applicable le permet.
• Recevoir les données que tu nous as fournies dans un format portable (JSON), lorsque la portabilité s'applique.
• Retirer ton consentement lorsque le traitement repose sur ton consentement, sans affecter la licéité du traitement effectué avant le retrait.
• Déposer une réclamation auprès du Préposé fédéral à la protection des données (PFPDT) en Suisse, ou de l'autorité de ton pays au sein de l'UE.

Nous utilisons les cookies strictement nécessaires au fonctionnement du service : authentification (NextAuth), protection contre les attaques CSRF, et préférences (langue, thème). Aucun cookie publicitaire, aucun pixel de tracking tiers, aucun partage avec des réseaux publicitaires.

Si nous ajoutons à l'avenir des cookies non nécessaires ou des technologies équivalentes nécessitant un consentement, nous mettrons cette politique à jour et demanderons le consentement requis.

VoxPitch n'est pas destiné aux personnes de moins de 18 ans. Si nous découvrons un compte créé par un mineur, nous le supprimerons.

Pour tout changement matériel à cette politique, nous t'envoyons un email au moins 30 jours avant l'entrée en vigueur.

Pour toute question ou demande relative à tes données : hello@voxpit.ch