How Hook0 collects, uses, and protects your personal data — in compliance with GDPR Article 13.
The data controller responsible for processing your personal data in connection with the Hook0 service is:
Hook0 is a 100% B2B SaaS platform. We do not intentionally collect data from individuals acting in a personal capacity.
The following table sets out each processing activity, the data involved, and the legal basis under Article 6 GDPR.
| Purpose | Data categories | Legal basis (Art. 6 GDPR) |
|---|---|---|
| Service provision Account creation, authentication, API access, webhook delivery |
Email address, name, API keys, webhook payloads, IP address, usage logs | Art. 6(1)(b) — Performance of a contract |
| Billing and payment Subscription management, invoicing, tax records |
Name, email, billing address, payment instrument data (processed by Stripe), subscription history | Art. 6(1)(b) — Performance of a contract Art. 6(1)(c) — Legal obligation (French fiscal law, 10-year retention) |
| Website analytics Understanding how visitors use our site via Matomo (self-hosted) |
Anonymised IP address, pages visited, referrer, device type, session duration | Art. 6(1)(a) — Consent (cookie banner) |
| Conversion tracking Google Ads conversion measurement |
Pseudonymous click and conversion identifiers | Art. 6(1)(a) — Consent (cookie banner) |
| Customer support — live chat Crisp widget (loaded only after consent) |
Name, email, chat messages, browser metadata | Art. 6(1)(a) — Consent |
| Customer support — email Handling support requests sent to [email protected] or [email protected] |
Name, email, content of exchanges | Art. 6(1)(f) — Legitimate interests (responding to customer requests) |
| Security and monitoring Error tracking, uptime monitoring, DDoS protection, incident response |
IP address, error stack traces, request metadata, uptime check results | Art. 6(1)(f) — Legitimate interests (ensuring service integrity and security) |
| Commercial communications Product updates, release notes, newsletters |
Email address, first name | Art. 6(1)(a) — Consent |
Hook0 does not process special categories of personal data (Article 9 GDPR) and does not perform automated decision-making or profiling with legal or similarly significant effects.
We share data with our subprocessors strictly as needed to provide the Service. The complete and up-to-date list is maintained at /gdpr-subprocessors. A summary is provided below.
| Subprocessor | Country | Purpose |
|---|---|---|
| Clever Cloud SAS | France (EU) | Database, API, web application hosting |
| Cloudflare, Inc. | USA | DNS and DDoS protection |
| Subprocessor | Country | Purpose |
|---|---|---|
| Clever Cloud SAS | France (EU) | Workers calling webhook subscription endpoints |
| Scaleway SAS | France (EU) | Private dedicated workers (selected plans) |
| Stripe, Inc. | USA | Subscription and payment management |
| Brevo (Sendinblue) | France (EU) | Automated transactional emails |
| Postmark (ActiveCampaign) | USA | Automated transactional emails |
| BetterUptime | Czech Republic (EU) | Uptime monitoring and status page |
| Sentry, Inc. | USA | Application error tracking |
| Crisp | France (EU) | Customer support chat (consent-gated) |
| Google LLC (Gmail) | USA | Support inbox |
| Service | Country | Purpose |
|---|---|---|
| Matomo (self-hosted on matomo.hook0.com) | France (EU) | Website analytics |
| Google Ads | USA | Conversion tracking |
A Data Processing Agreement (DPA) is in place with each subprocessor. For transfers outside the EU, see Section 5.
Several subprocessors are established in the United States: Cloudflare, Stripe, Postmark, Sentry, Gmail (Google), and Google Ads. These transfers are governed by Standard Contractual Clauses (SCCs) approved by the European Commission (Decision 2021/914), which provide an adequate level of protection for personal data.
| Data category | Retention period | Justification |
|---|---|---|
| Account data | Duration of the contract + 30 days after account deletion | Contractual necessity; 30-day grace period to allow data export |
| Billing and invoicing records | 10 years from the date of the transaction | Legal obligation — French General Tax Code (Code général des impôts), Art. L102 B of the Tax Procedures Book |
| Webhook event logs | 7 to 30 days depending on the subscription plan | Service delivery; configurable per plan |
| Website analytics (Matomo) | 25 months | CNIL recommendation for analytics data |
| Support communications | 3 years from the last exchange | Legitimate interests; statutory limitation period for contractual claims |
| Consent records | 5 years from the date of consent | Ability to demonstrate compliance (Art. 7(1) GDPR) |
Under the GDPR, you have the following rights with respect to your personal data:
If you consider that the processing of your personal data infringes the GDPR, you have the right to lodge a complaint with the French data protection authority:
You may also contact any EU supervisory authority in the Member State of your habitual residence or place of work.
Hook0 uses a consent management mechanism on its website. The following services are only loaded after you have given explicit consent:
Consent preferences are stored in localStorage with a validity of 13 months, in line with CNIL guidelines. You can change your preferences at any time:
Hook0 implements appropriate technical and organisational measures to protect personal data against accidental loss, unauthorised access, disclosure, alteration, or destruction. These include encryption in transit (TLS 1.2+), encryption at rest, access controls, and regular security reviews.
Details of our security practices are available on our Security page.
In the event of a personal data breach likely to result in a risk to your rights and freedoms, we will notify the CNIL within 72 hours (Art. 33 GDPR) and affected individuals without undue delay where required (Art. 34 GDPR). If you discover a potential data exposure, please report it immediately to [email protected].
We may update this Privacy Policy from time to time. When we do, we will update the "Last updated" date at the top of this page. For material changes, we will notify you by email to the address associated with your account or by a prominent notice on the website at least 30 days before the change takes effect.
Le responsable du traitement de vos données personnelles dans le cadre du service Hook0 est :
Hook0 est une plateforme SaaS exclusivement destinée aux professionnels (B2B). Nous ne collectons pas intentionnellement de données relatives à des personnes physiques agissant à titre privé.
Le tableau ci-dessous décrit chaque traitement, les données concernées et la base légale applicable au sens de l'article 6 du RGPD.
| Finalité | Catégories de données | Base légale (art. 6 RGPD) |
|---|---|---|
| Fourniture du service Création de compte, authentification, accès à l'API, livraison des webhooks |
Adresse e-mail, nom, clés API, charges utiles des webhooks, adresse IP, journaux d'utilisation | Art. 6(1)(b) — Exécution du contrat |
| Facturation et paiement Gestion de l'abonnement, émission de factures, obligations fiscales |
Nom, e-mail, adresse de facturation, données d'instrument de paiement (traitées par Stripe), historique d'abonnement | Art. 6(1)(b) — Exécution du contrat Art. 6(1)(c) — Obligation légale (droit fiscal français, conservation 10 ans) |
| Analytique du site web Mesure de fréquentation via Matomo (auto-hébergé) |
Adresse IP anonymisée, pages visitées, référent, type d'appareil, durée de session | Art. 6(1)(a) — Consentement (bandeau cookies) |
| Suivi des conversions publicitaires Mesure des conversions Google Ads |
Identifiants de clics et de conversions pseudonymisés | Art. 6(1)(a) — Consentement (bandeau cookies) |
| Support client — chat en direct Widget Crisp (chargé uniquement après consentement) |
Nom, e-mail, messages de chat, métadonnées du navigateur | Art. 6(1)(a) — Consentement |
| Support client — e-mail Traitement des demandes adressées à [email protected] ou [email protected] |
Nom, e-mail, contenu des échanges | Art. 6(1)(f) — Intérêt légitime (répondre aux demandes des clients) |
| Sécurité et supervision Suivi des erreurs, monitoring de disponibilité, protection DDoS, gestion des incidents |
Adresse IP, traces d'erreurs, métadonnées des requêtes, résultats de sondes de disponibilité | Art. 6(1)(f) — Intérêt légitime (garantir l'intégrité et la sécurité du service) |
| Communications commerciales Mises à jour produit, notes de version, newsletters |
Adresse e-mail, prénom | Art. 6(1)(a) — Consentement |
Hook0 ne traite pas de catégories particulières de données (art. 9 RGPD) et ne procède à aucune prise de décision automatisée ni à aucun profilage produisant des effets juridiques ou similairement significatifs.
Nous partageons vos données avec nos sous-traitants dans la stricte mesure nécessaire à la fourniture du Service. La liste complète et à jour est disponible sur /gdpr-subprocessors. Un résumé est présenté ci-dessous.
| Sous-traitant | Pays | Finalité |
|---|---|---|
| Clever Cloud SAS | France (UE) | Hébergement base de données, API, application web |
| Cloudflare, Inc. | États-Unis | DNS et protection DDoS |
| Sous-traitant | Pays | Finalité |
|---|---|---|
| Clever Cloud SAS | France (UE) | Workers appelant les endpoints webhook |
| Scaleway SAS | France (UE) | Workers dédiés privés (offres sélectionnées) |
| Stripe, Inc. | États-Unis | Gestion des abonnements et paiements |
| Brevo (Sendinblue) | France (UE) | Emails transactionnels automatisés |
| Postmark (ActiveCampaign) | États-Unis | Emails transactionnels automatisés |
| BetterUptime | République tchèque (UE) | Monitoring de disponibilité et page de statut |
| Sentry, Inc. | États-Unis | Suivi des erreurs applicatives |
| Crisp | France (UE) | Chat de support client (conditionné au consentement) |
| Google LLC (Gmail) | États-Unis | Boîte email de support |
| Service | Pays | Finalité |
|---|---|---|
| Matomo (auto-hébergé sur matomo.hook0.com) | France (UE) | Analytique du site web |
| Google Ads | États-Unis | Suivi des conversions publicitaires |
Un contrat de traitement de données (DPA) est en vigueur avec chaque sous-traitant. Pour les transferts hors UE, voir la section 5.
Plusieurs sous-traitants sont établis aux États-Unis : Cloudflare, Stripe, Postmark, Sentry, Gmail (Google) et Google Ads. Ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914), qui garantissent un niveau de protection adéquat pour les données personnelles.
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte | Durée du contrat + 30 jours après suppression du compte | Nécessité contractuelle ; période de grâce de 30 jours pour permettre l'export des données |
| Pièces comptables et factures | 10 ans à compter de la date de transaction | Obligation légale — Code général des impôts, art. L102 B du Livre des procédures fiscales |
| Journaux d'événements webhook | 7 à 30 jours selon le plan d'abonnement | Fourniture du service ; configurable selon l'offre souscrite |
| Données analytiques (Matomo) | 25 mois | Recommandation CNIL pour les données d'analyse d'audience |
| Communications de support | 3 ans après le dernier échange | Intérêt légitime ; prescription de droit commun des actions contractuelles |
| Preuves de consentement | 5 ans à compter de la date du consentement | Capacité à démontrer la conformité (art. 7(1) RGPD) |
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
Vous pouvez également saisir l'autorité de contrôle de votre État membre de résidence habituelle ou de lieu de travail au sein de l'Union européenne.
Hook0 dispose d'un mécanisme de gestion du consentement sur son site web. Les services suivants ne sont chargés qu'après recueil de votre consentement explicite :
Les préférences de consentement sont stockées dans le localStorage du navigateur pour une durée de 13 mois, conformément aux lignes directrices de la CNIL. Vous pouvez modifier vos préférences à tout moment :
Hook0 met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la perte accidentelle, l'accès non autorisé, la divulgation, l'altération ou la destruction. Ces mesures comprennent le chiffrement en transit (TLS 1.2+), le chiffrement au repos, des contrôles d'accès et des revues de sécurité régulières.
Le détail de nos pratiques de sécurité est disponible sur notre page Sécurité.
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures (art. 33 RGPD) et les personnes concernées dans les meilleurs délais lorsque cela est requis (art. 34 RGPD). Si vous constatez une fuite de données potentielle, signalez-la immédiatement à [email protected].
Nous pouvons mettre à jour la présente politique de confidentialité ponctuellement. Toute mise à jour sera signalée par la modification de la date figurant en haut de cette page. En cas de changement substantiel, nous vous en informerons par e-mail à l'adresse associée à votre compte, ou par un avis bien visible sur le site web, au moins 30 jours avant l'entrée en vigueur de la modification.