制定隐私政策指南

基础隐私政策（跨境电商平台）

本隐私政策适用于跨境电商平台（以下简称“平台”）在向全球消费者和商家提供商品销售、支付结算、物流配送与客户支持服务过程中对个人信息的收集、使用、共享和跨境传输。除非另有说明，“我们”“本平台”指数据控制者。请根据您的具体组织和业务场景替换示例占位符（例如“[平台名称]”“[联系邮箱]”）。

1. 适用范围与角色
- 本政策面向平台网站、移动应用、小程序、客服渠道、营销与广告活动以及与之关联的服务。
- 欧盟/英国法律下，我们作为数据控制者决定处理目的和方式。为履行服务，我们可能委托服务提供商（数据处理者/承包商）代表我们处理数据。
- 本政策提供一般性信息；部分地区可能适用额外或差异化的要求（见第12条“地区特定通知与权利”）。

2. 定义（概述）
- 个人信息/个人数据：与已识别或可识别的个人相关的信息。
- 敏感个人信息（示例）：政府身份证件号码、金融账户信息、精确地理位置、支付卡数据（令牌化后）、健康或生物识别数据、未成年人信息等。
- “出售”与“共享”（加州法下）：向第三方披露个人信息以换取金钱或其他有价值的利益（出售），或为跨情境行为广告目的与第三方共享（共享）。
- 跨境传输：将个人信息传输至数据主体所在国家/地区以外的国家/地区。

3. 我们收集的个人信息类别
- 标识与联系方式：姓名、用户名、邮箱、电话、收件地址、账单地址。
- 交易与订单信息：商品明细、订单号、支付状态、物流状态、发票与税务信息、关务申报资料。
- 支付与防欺诈信息：支付令牌、交易识别码、风险评分、拒付与争议记录。我们不直接存储完整支付卡号，支付数据由合规的支付机构处理并令牌化。
- 账户与偏好：账户设置、语言与货币偏好、通知选择、愿望清单、评价与问答。
- 设备与使用数据：IP地址、设备标识符、浏览器与操作系统、访问时间、点击流、Cookie与类似技术生成的标识。
- 位置数据：基于IP的近似位置；仅在获得同意时收集精确位置。
- 客户支持与通信：与客服的聊天、邮件与通话记录、投诉与请求。
- 合规与风控所需信息：按法律或海关要求的身份证明（如护照号/身份证号仅在必要时），制裁筛查结果。
- 用户生成内容：评价、图片、反馈。
- 推断与画像：基于浏览与购买行为的兴趣与偏好推断，用于个性化推荐与广告（见第11条）。

4. 信息来源
- 直接来自您或您授权的账户（注册、下单、客服互动）。
- 自动收集（通过站点/应用、Cookie、SDK、日志）。
- 来自第三方：支付服务商、物流承运人、营销与广告合作方、身份验证与风控服务、社交登录提供商（在您授权时）。

5. 处理目的与法律依据（GDPR/UK GDPR）
- 履行合同与提供服务：处理订单、支付、配送、售后与客服。法律依据：合同履行（Art. 6(1)(b)）。
- 法律合规：税务与会计记录、海关与关务申报、制裁与出口管制筛查、欺诈与拒付处理、数据主体请求响应。法律依据：法律义务（Art. 6(1)(c)）。
- 安全与防欺诈：检测与防止欺诈、滥用与网络安全事件；保障账户与系统安全。法律依据：合法利益（Art. 6(1)(f)）。
- 个性化与分析：改进产品与体验、推荐商品、测量活动绩效。法律依据：合法利益（Art. 6(1)(f)）；如需使用非必要Cookie或进行跨站跟踪，则基于同意（ePrivacy/GDPR，Art. 6(1)(a)）。
- 营销通信：向订阅者发送营销邮件/通知；在某些司法辖区需事先同意。法律依据：同意（Art. 6(1)(a））或合法利益并提供便捷退订。
- 社交登录与第三方账户关联：经您授权，用于快速注册/登录。法律依据：同意或合同履行。
- 重大利益保护：在紧急情况下保护个人或公共安全。法律依据：重大利益（Art. 6(1)(d)）。
- 如涉及敏感数据，仅在法律允许的基础上并采取必要保护措施处理。

6. 共享与接收方
- 服务提供商/处理者：云托管、CDN、支付与风控、客服系统、物流与关务、邮件与短信、营销与分析。我们与其签订书面协议，限定处理目的、保密、数据安全与协助履行数据主体权利。
- 业务合作方与商家：为完成交易或配送，向卖家与承运人提供必要的订单信息。
- 广告与分析合作方：在获得同意或基于合法利益的前提下共享有限标识与事件，以支持广告测量与定向（详见第8条与第12条“加州”通知）。
- 法律与合规：监管机构、税务与海关机关、法院与执法部门，在法律要求或为维护合法权利时披露。
- 企业交易：合并、收购或资产转让中，按法律与合同要求进行尽职调查与交接并通知您。

我们不以金钱为对价出售个人信息。如为跨情境行为广告与第三方共享数据，相关行为在加州法下可能被视为“共享”，您可随时选择退出（见第12条）。

7. 跨境传输与保障
- 当个人信息被传输至您所在国家/地区以外时，我们会依据适用法律采用保障措施：
  - 欧盟/英国：适用欧盟委员会标准合同条款（SCC）或英国国际数据转移协议（IDTA），如适用还可依赖充分性决定，并进行传输影响评估与必要的补充保护措施。
  - 美国与其他地区：采用合同承诺、加密与访问控制等技术与组织措施。
  - 中国大陆：如处理中国境内个人信息出境，依据《个人信息保护法》与配套规定开展个人信息保护影响评估、签署标准合同或通过认证等，并取得必要的同意或满足合同履行所必需等法定条件。
- 我们将向您告知跨境传输的主要类别、目的和接收方类型，并在要求时提供相关机制摘要。

8. Cookie与追踪技术
- 我们使用：
  - 必要类：用于登录、购物车、结算与安全。
  - 功能类：记忆偏好与改善体验。
  - 性能/分析类：衡量与优化网站/应用性能。
  - 广告/定向类：提供个性化广告与推荐（在需要时基于您的同意）。
- 管理：您可通过弹窗管理工具设置同意与偏好，或在浏览器/设备中禁用Cookie。我们尊重适用法律下的“全球隐私控制”（GPC）信号并据此处理加州的“出售/共享”退出。

9. 数据保留
- 我们仅在达成上述目的所需期间保留个人信息，并考虑法律义务、争议与合规要求。
- 示例：账户数据在账户存续期间保留；订单与税务/关务记录通常按当地法律保留一定年限（例如约5–10年，具体时长取决于司法辖区）；客服通信在合理期限内保留以处理争议与改进服务。
- 到期或不再需要时，数据将被删除、匿名化或安全归档。

10. 安全措施
- 采用加密（传输层与静态存储）、访问控制与最小权限、分层网络安全、日志与监控、漏洞管理与安全测试、员工隐私与安全培训、供应商安全评估、备份与灾难恢复。
- 建立事件响应流程，并在发生个人数据泄露时，按适用法律通知监管机构与受影响用户。

11. 自动化决策与画像
- 我们可能使用自动化评分与画像执行防欺诈、风险评估、个性化推荐与广告。对于在欧盟/英国境内产生法律或类似重大影响的仅依赖自动化决策，我们将提供可请求人工复核、表达意见与质疑决策的机制。

12. 地区特定通知与权利
A. 欧盟/EEA与英国（GDPR/UK GDPR）
- 您的权利：访问、纠正、删除、限制处理、数据可携、反对基于合法利益或直接营销的处理、撤回同意（不影响撤回前的合法性）。
- 投诉权：您可向当地数据保护监管机构投诉。
- 联系人：
  - 数据保护官（如适用）：[DPO联系邮箱]
  - 如您不在欧盟设立实体且面向欧盟个人，需指定欧盟代表：[欧盟代表联系信息]；面向英国个人需指定英国代表（如适用）。

B. 美国加州（CCPA/CPRA“收集时通知”）
- 我们在过去12个月内可能收集的类别：标识符、联系方式、商业信息（交易/订单）、互联网或电子网络活动信息（设备与使用数据）、地理位置（近似或经同意的精确位置）、推断数据、客户支持通信；在必要情形下收集敏感个人信息（如支付令牌、政府ID用于合规）。
- 来源：直接来自您、自动收集、服务提供商与合作方。
- 业务/商业目的：提供服务与履约、检测安全事件、防欺诈、调试/改进、内部研究与分析、营销与广告（可能构成“共享”）、法律合规。
- 披露：我们与服务提供商、承运人/卖家、广告与分析合作方、监管与执法机关共享信息（见第6条）。
- 出售/共享：我们不以金钱为对价出售数据。如为跨情境行为广告共享特定标识与事件，您可通过“不要出售或共享我的个人信息”链接或GPC信号随时选择退出。
- 敏感个人信息的使用限制：我们仅为提供服务、合规与安全目的处理，不用于推断未经许可的特征；加州居民可请求限制敏感个人信息的使用与披露。
- 您的权利：知情、访问、删除、纠正、退出出售/共享、限制敏感信息使用、不受歧视。我们将进行合理程度的身份验证并在法定期限内答复请求。

C. 中国大陆（个人信息保护法）
- 处理规则：最小必要、公开透明、确保质量与安全；变更处理目的或方式时将再次告知并取得必要同意。
- 权利：查阅、复制、更正、补充、删除、撤回同意、解释规则、请求账户注销、请求我们说明处理规则。
- 出境：在满足合同履行所必需或取得单独同意等法定条件后，开展个人信息保护影响评估、签署标准合同或通过认证，并采取必要的安全措施。

13. 未成年人保护
- 我们的服务不针对13岁以下儿童。如我们知悉收集到13岁以下儿童数据，将尽快删除。
- 在部分司法辖区（如欧盟），未满当地同意年龄的未成年人需经监护人同意方可接收定向营销或使用特定功能。

14. 第三方网站与服务
- 我们的站点可能包含第三方链接或嵌入内容。第三方的隐私实践由其独立负责，建议您查阅其隐私政策。

15. 行使权利与联系我们
- 提交请求：您可通过账户设置、隐私中心或联系渠道提出访问、删除、纠正、退出出售/共享或撤回同意等请求。
- 联系方式：
  - 邮箱：[联系邮箱]
  - 邮寄地址：[公司地址]
  - 在线隐私请求表单：[链接]
- 为保护您的数据安全，我们可能需要验证您的身份。代理人可在提供授权证明与验证后代为提交请求。

16. 变更与版本信息
- 我们会不时更新本政策以反映业务或法律变化。重大变更将通过站内通知、邮件或弹窗提示告知。
- 生效日期：[YYYY-MM-DD]
- 历史版本与变更记录：[链接]

补充说明与合规提示
- 合同条款：与服务提供商或承包商签订数据处理协议，包括保密、目的限制、协助履约与删除/归还义务。
- 同意管理：在适用地区提供Cookie同意与营销同意管理工具，记录与审计同意状态。
- 评估与记录：对高风险处理（如大规模画像、跨境传输）开展数据保护影响评估（DPIA/PIPIA），维护处理活动记录。
- 安全事件通知：在GDPR等法律框架下，发生对个人权利与自由造成风险的数据泄露时，按时限向监管机构与个人通报。

请根据您的具体数据流程、技术架构与适用法域补充本政策的细化内容（例如实际接收方名称、数据保留时间表、退出与投诉入口链接、欧盟/英国代表与DPO信息、跨境传输机制细节）。本政策为基础版本，需与您所在法域的强制性披露要求相匹配并定期审查更新。

Privacy Policy for [App Name]

Effective Date: [YYYY-MM-DD]

1. Scope
This Privacy Policy describes how [Company Name] (“we”, “us”, “our”) collects, uses, discloses, and protects personal information when you use the [App Name] mobile social application and related services. It applies to users globally, with region-specific disclosures for the European Economic Area (EEA), the United Kingdom (UK), and applicable U.S. state privacy laws (including California).

2. Controller and Contact
- Data Controller: [Company Legal Name], [Address], [Country]
- Email: [privacy@company.com]
- Data Protection Officer (if applicable): [DPO Name], [DPO contact email]
- EU/UK Representative (if applicable under GDPR Art. 27): [Rep Name/Entity], [Address], [Email]

3. Personal Information We Collect
We collect the following categories of personal information:
- Account and Profile Data: name, username, password, email address, phone number, profile photo, bio, settings.
- User-Generated Content: posts, photos, videos, comments, captions, hashtags, and metadata (timestamps, geotags if enabled).
- Social Graph and Interactions: follows, likes, shares, mentions, friend requests, and in-app activity signals.
- Messaging: messages and attachments you send via the app. Note: messages are processed to deliver and maintain service features; do not assume end-to-end encryption unless stated in product documentation.
- Device and Network Data: IP address, device identifiers (e.g., IDFA/AAID), device type, OS and version, app version, language, time zone, crash logs, diagnostics.
- Location Data: approximate location (e.g., IP-based). Precise location only if you grant permission in the app.
- Contacts: address book data only if you opt in for friend discovery; processed to match or suggest connections. Where feasible, we hash or minimize contact data and do not retain full address book contents.
- Cookies/SDKs and Online Identifiers: mobile SDK events, ad identifiers, session tokens, and similar technologies for authentication, analytics, and advertising.
- Payment and Purchases: transaction metadata (e.g., product, time, amount) received from app stores; we do not collect full payment card details.
- Support and Feedback: communications with support, problem reports, ratings, and survey responses.
- Sensitive Personal Information: we avoid collecting sensitive data (e.g., precise geolocation, health, race/ethnicity, biometric data) unless necessary for a feature you enable and with appropriate notice and consent.

Sources of Data:
- Directly from you (account setup, content submission).
- Automatically via the app and device.
- From third parties (e.g., authentication providers if you sign in with [Apple/Google/Facebook], app stores, analytics vendors, ad partners, or other users who share your contact information for friend discovery).

4. Purposes and Legal Bases (GDPR)
We process personal information for the following purposes and under the identified legal bases:
- Provide and Operate the Service: account creation, authentication, content hosting, social features, messaging. Legal basis: performance of a contract (Art. 6(1)(b)).
- Safety, Integrity, and Moderation: detect spam/abuse, prevent fraud, secure accounts, enforce community guidelines. Legal basis: legitimate interests (Art. 6(1)(f)) and compliance with legal obligations (Art. 6(1)(c)).
- Analytics and Service Improvement: measure usage, diagnose issues, improve features. Legal basis: legitimate interests (Art. 6(1)(f)); where required for non-essential cookies/SDKs, consent (Art. 6(1)(a)).
- Personalization: recommend content, suggest connections. Legal basis: legitimate interests (Art. 6(1)(f)); consent where required.
- Marketing and Communications: send service-related notices; send marketing messages if you opt in. Legal basis: legitimate interests for service notices; consent for marketing (Art. 6(1)(a)).
- Targeted Advertising: show ads based on your activity and preferences. Legal basis: consent in the EEA/UK (Art. 6(1)(a)); opt-out rights in applicable U.S. states.
- Friend Discovery and Contacts Sync: match your contacts to other users. Legal basis: consent (Art. 6(1)(a)).
- Push Notifications: deliver alerts and updates. Legal basis: consent (Art. 6(1)(a)).
- Legal and Compliance: respond to lawful requests, handle claims, maintain records. Legal basis: legal obligation (Art. 6(1)(c)).

You may withdraw consent at any time via in-app settings or by contacting us.

5. Disclosure of Personal Information
We disclose personal information to:
- Service Providers (Processors): hosting, storage, analytics, crash reporting, push notifications, customer support, security/fraud prevention, advertising technology vendors. These providers are bound by contract to process data only on our instructions.
- Other Users and the Public: content you post may be visible to other users or the public according to your settings.
- Advertising and Measurement Partners: identifiers and Internet/electronic network activity for ad delivery and measurement. In California, this may constitute “sharing” for cross-context behavioral advertising under the CCPA as amended by the CPRA.
- Authentication and Social Login Providers: if you choose to sign in via a third-party account.
- Authorities and Legal Requests: when required by law or to protect rights, safety, and security.
- Business Transfers: in connection with mergers, acquisitions, or asset sales, subject to applicable laws.

We do not sell personal information for monetary consideration. We may “share” personal information (e.g., identifiers, online activity) with ad partners for cross-context behavioral advertising; you may opt out as described below.

6. International Data Transfers
If we transfer personal information outside your country (including transfers from the EEA/UK to other jurisdictions), we use lawful transfer mechanisms such as the European Commission’s Standard Contractual Clauses (and UK International Data Transfer Addendum as applicable). Details are available upon request.

7. Data Retention
We retain personal information for as long as needed to provide the service, comply with legal obligations, resolve disputes, and enforce agreements.
- Account Data: retained for the life of the account; deleted or anonymized within a reasonable period after account closure.
- Content: retained until you delete it or your account is closed; residual backups may persist for a limited time.
- Logs and Diagnostics: typically retained 12–24 months unless required longer for security or legal reasons.
- Advertising and Analytics Data: retained per partner policies and legal requirements; in the EEA, retention for advertising identifiers is typically limited (e.g., 13 months) where required by law.
We will anonymize or aggregate data where feasible.

8. Security
We implement administrative, technical, and physical safeguards appropriate to the risk, including:
- Encryption in transit and at rest where applicable.
- Access controls, least-privilege, and authentication.
- Network and application security monitoring, logging, and vulnerability management.
- Vendor due diligence and data processing agreements.
No method of transmission or storage is completely secure; we cannot guarantee absolute security.

9. Your Rights
EEA/UK (GDPR/UK GDPR):
- Rights: access, rectification, erasure, restriction, portability, objection, and withdrawal of consent.
- You may lodge a complaint with your local Data Protection Authority. Contact details are available at: https://edpb.europa.eu/about-edpb/board/members_en and https://ico.org.uk/.
- Exercise rights: use in-app settings, our privacy request form [URL], or email [privacy@company.com]. We may need to verify your identity.

United States State Privacy Laws (e.g., CA, VA, CO, CT, UT):
- Rights: know/access, correct, delete, portability; opt out of sale, sharing, or targeted advertising; limit use/disclosure of sensitive personal information (California); non-discrimination.
- Opt-Out of Targeted Advertising and Sharing: use the in-app “Do Not Sell/Share or Target” control or our web form [URL]. We honor browser-based Global Privacy Control (GPC) signals where applicable.
- Authorized Agents (CA): may submit requests with appropriate authorization and identity verification.
- Sensitive Personal Information (CA): if collected, you may limit its use to necessary purposes; see in-app settings.

10. Children’s Privacy
The service is not directed to children under 13 (or under the age threshold in your jurisdiction). We do not knowingly collect personal information from children. If you believe a child has provided personal information, contact us to request deletion.

11. Automated Decision-Making
We do not use automated decision-making that produces legal or similarly significant effects. We may use automated systems to moderate content and detect spam/abuse; you can contact support to appeal moderation decisions.

12. Cookies, SDKs, and Tracking Technologies
We use mobile SDKs and similar technologies to:
- Authenticate users and maintain sessions.
- Measure usage and performance.
- Personalize content.
- Deliver and measure advertisements.
Controls:
- In-app settings for consent and preferences (EEA/UK).
- Device settings to reset/limit advertising identifiers (IDFA/AAID).
- Opt-out of targeted advertising via in-app control or [URL].
Some features may not function without certain technologies.

13. Third-Party Links and Features
Third-party services (e.g., links, embedded content, social login) are governed by their own privacy policies. Review those policies before use.

14. Changes to This Policy
We will update this Policy as needed. We will notify you of material changes via in-app notice or email and indicate the effective date. Continued use of the service after changes indicates your acceptance.

15. How to Contact Us
- Email: [privacy@company.com]
- Mailing Address: [Company Legal Name], [Address], [Country]
- Online Rights Request Form: [URL]
- EU/UK Representative and DPO: [emails as above]

16. Region-Specific Disclosures
- EEA/UK: Our legal bases, DPO, and transfer mechanisms are described above. You have the right to obtain a copy of applicable transfer safeguards (subject to redactions for confidentiality).
- California: We provide the following categories collected in the past 12 months—identifiers, internet/electronic network activity, geolocation (if enabled), commercial information (transactions), inferences (for personalization), and content. We disclose these to service providers and, for advertising, to partners consistent with “sharing” under CPRA. We do not sell personal information for monetary consideration.
- Other U.S. States: We provide opt-out rights for targeted advertising and, where applicable, sale. Appeal mechanisms for denied rights requests are available at [URL].

17. Additional Notes
- Data Minimization: We collect only what is necessary for the stated purposes.
- Privacy by Design: We implement appropriate technical and organizational measures and conduct privacy impact assessments where required.
- Records of Processing: Maintained in accordance with GDPR Article 30 where applicable.

Appendix: Summary of Opt-Out and Consent Controls
- Consent management (EEA/UK): in-app privacy settings.
- Targeted advertising opt-out: in-app toggle and [URL].
- GPC: honored for web contexts and supported app integrations where feasible.
- Contact syncing: enable/disable in app.
- Precise location: enable/disable device permission.
- Push notifications: manage via device and in-app settings.

Placeholders in brackets should be completed before publication (e.g., controller identity, contact details, effective date, URLs).

Politique de confidentialité – SaaS de collaboration d’entreprise

Version: [date]
Organisme: [Nom de la société], [forme juridique], [adresse du siège]
Contact confidentialité: [adresse e-mail], [numéro de téléphone]
Délégué à la protection des données (le cas échéant): [nom], [e-mail]
Représentant UE/Royaume-Uni (si applicable): [coordonnées]

1. Champ d’application
- Cette politique décrit le traitement des données personnelles par [Nom de la société] dans le cadre de la fourniture de son logiciel SaaS de collaboration (comptes, espaces de travail, messagerie, partage de fichiers, commentaires, administration).
- Elle s’applique aux utilisateurs, administrateurs, visiteurs du site, et contacts commerciaux. Des dispositions spécifiques aux clients entreprise s’appliquent lorsque nous agissons en tant que sous-traitant.

2. Rôles et définitions
- Responsable du traitement: [Nom de la société] agit comme responsable pour les données liées au compte, facturation, support, marketing et sécurité du service.
- Sous-traitant: pour les données de contenu et des utilisateurs gérées par les organisations clientes (messages, fichiers, tâches, métadonnées), [Nom de la société] agit en sous-traitant sur instruction du client, conformément au contrat et à l’avenant de traitement des données (DPA).
- Données personnelles: toute information se rapportant à une personne identifiée ou identifiable.
- Données sensibles (UE/CPRA): catégories spéciales (UE) et informations personnelles sensibles (CPRA), traitées uniquement si nécessaire et conformément aux lois applicables.

3. Catégories de données collectées
- Identité et compte: nom, prénom, adresse e-mail professionnelle, pseudonyme, photo de profil (facultative), identifiants SSO, rôle et appartenance à l’organisation.
- Contenu et collaboration: messages, fichiers, commentaires, mentions, tâches, événements de calendrier, métadonnées de documents; déterminées par le client.
- Administration et sécurité: journaux d’accès, adresses IP, horodatages, identifiant d’appareil, paramètres d’organisation, journaux d’audit.
- Support et communication: tickets, enregistrements d’appels ou de chat, contenu des demandes, préférences de communication.
- Commercial et facturation: coordonnées de facturation, moyen de paiement (géré via prestataire de paiement), historique des transactions, contrat.
- Utilisation et télémétrie: interactions avec fonctionnalités, performances, diagnostics (sans contenu), erreurs.
- Site et cookies: identifiants de cookies, préférences, pages consultées; contrôlés par le bandeau de consentement (UE/UK).

Sources:
- Données fournies par l’utilisateur ou l’administrateur (formulaires, API, SSO).
- Données générées par le service (journaux, métadonnées).
- Données provenant de services tiers intégrés (ex. IdP, stockage, outils de conférence), selon les configurations du client.

4. Finalités et bases juridiques (UE/EEE/UK)
- Fourniture du service et exécution du contrat: création et gestion de comptes, collaboration, intégrations, support.
- Sécurité et intégrité: authentification, détection et prévention des abus/fraudes, journalisation, continuité d’activité. Base: intérêt légitime et/ou obligation légale.
- Administration et facturation: gestion des abonnements, paiements, audits financiers. Base: exécution du contrat et obligations légales.
- Amélioration produit et analyse d’usage: télémétrie non intrusive, tests, qualité. Base: intérêt légitime, avec mesures de minimisation et possibilité d’objection lorsque requis.
- Communications: annonces de service et sécurité (intérêt légitime/obligation légale); communication marketing (consentement ou intérêt légitime avec mécanisme d’opposition).
- Conformité réglementaire et défense de droits: obligations légales, réponses aux autorités, exercice ou défense de droits en justice.

5. Conservation des données
- Données de compte: conservées pendant la durée du contrat; suppression ou anonymisation dans un délai de [30–90] jours après la clôture.
- Journaux de sécurité et audit: [12–24] mois, sauf obligation légale ou enquête.
- Backups: cycles de rétention [30–90] jours.
- Support: [24] mois.
- Facturation: selon exigences légales (ex. 6–10 ans).
- Le client peut définir des politiques de rétention pour le contenu; nous appliquons les instructions contractuelles. Les délais ci-dessus peuvent varier selon la loi applicable et les besoins de défense de droits.

6. Destinataires et divulgations
- Prestataires (sous-traitants): hébergement cloud, envoi d’e-mails, paiements, support, sécurité, monitoring, outils d’IdP/SSO, stockage de fichiers. Liste actualisée accessible: [URL liste des sous-traitants].
- Intégrations tierces: activées par le client; les données partagées dépendent de la configuration et sont sous la responsabilité du client.
- Autorités publiques: lorsque requis par la loi, sur base de demandes valides.
- Transactions d’entreprise: fusion, acquisition ou cession d’actifs; transfert conforme aux lois applicables et protection contractuelle.

Nous ne vendons pas de données personnelles et ne partageons pas à des fins de publicité comportementale intercontextuelle.

7. Transferts internationaux
- Lorsque des données sont transférées hors de l’EEE/UK, nous utilisons des mécanismes approuvés (décisions d’adéquation, clauses contractuelles types de la Commission européenne, addendum UK), avec mesures supplémentaires de sécurité et évaluations d’impact sur le transfert si nécessaire.
- Informations sur la localisation des données et mécanismes de transfert: [URL].

8. Sécurité
- Mesures techniques et organisationnelles: chiffrement en transit et au repos, contrôle d’accès fondé sur le moindre privilège, authentification forte/SSO, segmentation réseau, gestion des vulnérabilités, surveillance et journalisation, tests de sécurité, sauvegardes chiffrées, plan de réponse aux incidents.
- En cas de violation de données, notification aux clients et/ou autorités compétentes sans retard injustifié, conformément aux lois applicables et aux obligations contractuelles.

9. Cookies et technologies similaires
- Essentiels: authentification, maintien de session, sécurité; indispensables au service.
- Fonctionnels et performance: analyse d’usage et diagnostics; activés sur la base du consentement (UE/UK) via le bandeau de cookies.
- Le client peut configurer certaines préférences au niveau de l’organisation. Paramètres et gestion du consentement: [URL centre de préférences].

10. Droits des personnes (UE/EEE/UK)
- Droits: accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement, ne pas faire l’objet d’une décision automatisée produisant des effets juridiques.
- Exercice: envoyer une demande à [e-mail/portail], avec vérification d’identité. Délai de réponse: 1 mois (prolongeable conformément au RGPD).
- Pour les données traitées en qualité de sous-traitant (contenu du client), adressez-vous à l’organisation cliente. Nous assisterons le client pour répondre aux demandes, selon le DPA.

11. Avis pour les résidents de Californie (CCPA/CPRA)
- Catégories collectées: identifiants (nom, e-mail), données professionnelles, activité en ligne (journaux), informations commerciales (transactions), données de géolocalisation approximative (IP), données d’inférence limitées pour sécurité. Informations personnelles sensibles: identifiants de connexion/SSO et informations de paiement (via prestataire). Nous n’utilisons pas les informations personnelles sensibles pour déduire des caractéristiques au-delà des besoins du service.
- Finalités: fournir le service, sécurité, support, facturation, amélioration, conformité.
- Conservation: voir section 5.
- Divulgations: à des prestataires de services; pas de « vente » ni de « partage » au sens du CPRA pour la publicité intercontextuelle.
- Droits: connaître, accéder, corriger, supprimer, limiter l’usage des informations personnelles sensibles, opt-out de la vente/partage (non applicable si nous ne vendons/partageons pas), non-discrimination.
- Demandes: [e-mail/portail], possibilité d’agent autorisé; vérification requise.

12. Traitement en qualité de sous-traitant (clients entreprise)
- Le client est responsable de fournir l’information aux utilisateurs, de choisir les bases légales et de configurer le service (rétention, sécurité, intégrations).
- [Nom de la société] traite les données conformément aux instructions du client, au DPA et aux mesures de sécurité. Assistance aux audits raisonnables, notification des incidents, et support aux demandes d’exercice de droits, de portabilité et de suppression selon le contrat.
- Subprocesseurs: notification des changements substantiels selon le DPA; option de s’abonner aux mises à jour: [URL].

13. Mineurs
- Le service n’est pas destiné aux enfants. Nous ne ciblons pas ni ne collectons sciemment des données de personnes de moins de 16 ans. Les comptes doivent être fournis par des organisations.

14. Modifications
- Nous pouvons modifier cette politique pour refléter des évolutions légales ou fonctionnelles. Notification via le service ou par e-mail en cas de changements substantiels. Date de mise à jour indiquée en tête.

15. Nous contacter
- Confidentialité et droits: [e-mail], [adresse postale].
- Autorité de contrôle: vous pouvez déposer une plainte auprès de votre autorité de protection des données (ex. CNIL en France).

Informations complémentaires
- DPA et SCC: disponibles sur demande ou à [URL].
- Liste des sous-traitants, localisation des données, mesures techniques: [URL].
- Paramètres de sécurité et journal d’audit: gérés par les administrateurs de l’organisation.

Cette politique est un modèle de base pour un SaaS de collaboration d’entreprise. Elle doit être adaptée avec les coordonnées exactes, les URLs utiles, la liste des sous-traitants, les délais de conservation spécifiques, et les mécanismes de transfert pertinents.